盡管棱鏡門事件已經過去了近8年,，但數據守衛(wèi)的戰(zhàn)爭從未停止,，服務器數據竊取及其罪魁禍首“后門程序”仍在肆虐。

　　關于棱鏡門

　　棱鏡計劃（PRISM）是由美國國家安全局自2007年起開始實施的絕密電子監(jiān)聽計劃,，2013年6月,，這一計劃被前中情局（CIA）職員愛德華·斯諾登曝光，涉及多個國家,、多個領域的機密數據竊聽,。

　　在棱鏡門事件中，跟大眾息息相關的是,，斯諾登向美國《華盛頓郵報》披露的服務器數據竊聽事件,，根據斯諾登提交的資料，2007年-2013年6年間,，美國國家安全局和聯邦調查局通過進入多家網絡巨頭的服務器,，監(jiān)控公民的秘密資料，影響人數過億,。

　　盡管涉事方都矢口否認,，但棱鏡門事件在全球范圍引起巨大影響，對服務器數據安全的保護也從企業(yè)和個人層面,，提升到國家級戰(zhàn)略高度,。

　　沒有絕對的安全，棱鏡門一直在身邊

　　曾經一度有人認為，只要對服務器進行物理隔離,，就能避免數據泄露,。其實不然，隨著黑客攻擊手段的進步,，物理隔離環(huán)境已不再安全,。電磁、聲音,、熱感,、光學和震動等多種邊信道攻擊方法，以及供應鏈攻擊等,，都有可能導致隔離環(huán)境的數據泄漏,。

　　黑客一般利用漏洞上傳后門程序，或者在補丁及其他安裝程序中夾帶后門,，在成功入侵服務器后,，二進制類后門（MSF、CobaltStrike,、Mimikatz,、Metasploit等）會執(zhí)行并收集數據，再通過外帶傳輸,、隱秘隧道等方式外傳數據,。

　　近期備受攻擊者追捧的內存馬webshell，執(zhí)行方式更為隱蔽,，其攻擊原理是在內存中寫入惡意后門和木馬程序并執(zhí)行,。因為其利用中間件的進程執(zhí)行某些惡意代碼，不會有文件落地,，屬于無文件攻擊的一種,，反病毒引擎很難發(fā)現，給企業(yè)安全檢測帶來更大挑戰(zhàn),。

　　杜絕棱鏡門“四部曲”

　　后門雖然隱蔽性強,、難以發(fā)現，但是做好防上傳,、防執(zhí)行,、早發(fā)現、防外連4項工作,，就能有效防御后門利用,，杜絕棱鏡門發(fā)生。

　?、俜郎蟼鳎呵袛嗪箝T上傳途徑

　　后門上傳的大部分途徑是Web流量,，但攻擊者一般會利用加密Webshell等方式做流量混淆,，因此一般的WAF類設備很容易被繞過。目前比較有效的方式是基于RASP技術保護Web中間件,，RASP插件一般作用于ASP,、PHP、Java等腳本語言解釋器內部,，通過HOOK函數的方式,，跟蹤Web請求上下文，識別可疑行為,，進行針對性的響應處置,，能有效阻止利用漏洞上傳或創(chuàng)建后門程序。

　?、诜缊?zhí)行：免疫二進制后門

　　啟用白名單防護策略,，自動學習已啟動應用清單,，并綜合威脅情報,、病毒告警等信息，快速識別出可信應用白名單,，非白名單應用,，如后門程序、勒索病毒,、挖礦病毒以及其他未知應用程序等將無法運行,，最終實現對二進制后門免疫。

③早發(fā)現：及時體檢

　　也許很多企業(yè)的業(yè)務系統存在后門程序已久,，只是還未發(fā)現,，此時給系統做一個全面的檢查就顯得尤為重要。國內有不少廠商可以提供這方面的服務或產品,，如奇安信基于“特征+行為”的雙重檢測引擎,，可以做到精準發(fā)現后門程序，還原后門攻擊途徑,，實現早發(fā)現,、早治療的目的。

④防外連：將危害降到最低

　　在后門防治中,，切斷外連途徑是關鍵,，一方面防止數據外泄，另一方面阻止失陷服務器橫向擴散,，污染更多服務器資產,。除了后門外，部分原本可信的白名單應用也可能存在非法外連,、傳輸數據的行為,，因此要格外注意這些非法外連，將危害降到最低。

　　數據安全無小事,，無論是國家政策層面,，還是實際業(yè)務層面，我們都應該在服務器端做好數據安全工作,，其中關鍵工作之一是要做好后門防治工作,，杜絕服務器棱鏡門再次發(fā)生。