奇安信战“疫”日记九 白皓文：和“病毒”赛跑

      新型肺炎疫情发展迅猛，超乎了很多人的想象，也扰乱了很多人假期的安静生活。

　　1月27日8时，农历大年初三，我还在睡梦中，就接到了star(汪列军)的通知：组建抗击疫情的情报团。由于头天晚上照顾生病的小孩儿，在接到电话的那刻，感觉头脑还在发懵，在听到是疫情相关的紧急任务后，我立即清醒过来。

　　疫情似火,刻不容缓!根据我13年的从业经验，可以判断，非常时期，网络安全形势严峻。保障关键业务系统的安全稳定运行及敏感信息安全、重要网站的正常运转和内容不被篡改，成为我们网络安全从业者义不容辞的责任。尤其是国家卫健委、疾控中心等单位，是我国抗疫的关键节点的安全防范。

　　我们必须跟攻击者赛跑。Star等同事在26日深夜就已经开展了相关工作。

　　27日上午8时30分，我也参与到了情报团的任务讨论和工作计划制定中，明确了负责的任务与目标：从威胁情报侧、恶意样本侧、天擎云查杀日志侧发现利用疫情热点的安防事件。

　　9:00，我们团队开电话会，与刘爽、何治秋等同事仔细商讨应对方案。攻击发现与防范的形势紧迫，但越是紧迫越不能仓促应对，以防忽略微小的可能形式。

　　12：00，我们最终确定了多个发现疫情相关攻击事件的发现流程方案，并与Star等人沟通，得到认可。

　　团队同事立即投入到开发工作中。在家中远程办公有个“好处”：十分利于没日没夜……刘爽、何治秋等团队成员承担了所有相关代码的开发工作，持续到深夜。

　　接近0点，开发工作终于完成，并稳定投入使用，上线了所有监控流程。

　　一天时间，从领到任务进行开发，到投入使用，我们真的是在与时间、与攻击者赛跑。

　　监控上线之后，新的挑战来了：在海量级的数据里发现和疫情相关安全威胁事件犹如大海捞针。最初我们需要每4个小时才能输出一次攻击监测结果，这样显然不能满足需求。考虑到效率，我们不断进行改进，最终实现了接近于实时的攻击监控。

　　伴着新冠肺炎确诊及疑似病例数据的攀升，有关疫情内容访问不断飙升，“疫情”百度指数达到了80万以上。在这种情况下，保证医疗、疾控、卫生、公安等单位，在非常时期网站可用、正常运转，就变得非常重要。特别是，如果这些网站被篡改，正常内容被替换成谣言，后果不堪设想。

　　安域团队大年初一就成立专班，投入到了战斗中。强哥他们针对疫情，迅速提供了基于优质带宽的多节点DDoS防护、DNS防护和网站加速功能，保证医疗机构相关网站在被大量、集中访问时依然快速、可用；针对网页篡改，上线Web应用攻击防护、重保只读等功能，还成立了特别支持组，对卫健委等机构接入的网站防护提供高优先级、快速处理通道，保证卫健委等相关职能部门发布的政府公告及其他权威信息不被恶意篡改。

　　我看情报团的工作简报统计，疫情期间，近30个疫情防控相关单位的网站、近200个域名免费接入了奇安信的“安域系统”，拦截Web应用攻击超过150万次、CC攻击超过了3亿次。

　　我们还必须和网络黑产赛跑。

　　听刘浩鹏说，他也是26日深夜11点多接到的电话，当时正在跟家人聊天，他领到的任务是：通过白泽实时监测发起攻击的威胁者或组织，找到威胁程度高、活动频繁、定向医疗卫生站点的威胁者或组织。

　　白泽是公司目前在做的产品，能够从各个产品线的告警信息中，通过各种纬度，把不同IP关联成个人组织一类。

　　我很少看见刘浩鹏焦虑：这个任务确实挺有挑战性，差不多一天要出四份不同的报告，每一份报告还需要大量的调研、统计等工作。四份报告都很重要，容不得一丝敷衍，关键时刻，他只能紧急联系团队里的戴帆涛等小伙伴。在了解抗疫的需求后，戴帆涛毫不犹豫分担起了任务。

　　持续到27日凌晨3点，架构搭建工作完成，开始对疫期活跃的黑产团伙进行了有效的监测，并每天输出相关报告。

　　截至2月6日晚23点，情报团共输出每日监测报告11份，非定向威胁组织监测报告7份，非定向威胁组织统计报告1份；共监测到威胁者10638人，活动频繁的较大规模威胁组织4个；在疫情期间，发现黑产组织利用疫情热点通过邮件、QQ、微信、telegram等方式投递木马的攻击事件，捕获相关样本10余个。