日前，有業內媒體報道，上海市徐匯區人民檢察院公布了一起網絡安全案件。

我們注意到這是一起頗值得研究的案例，這實際上是利用了云廠商提供的壓力測試服務功能，對目標網站進行了DDoS攻擊。這起案例也引起了我們的思考。

從安全測試的角度，安全測試人員行為如何更可控地監督？如何避免未授權測試情況的發生？

從攻防的角度，這些云上資源是否已經成為當前攻擊者的有力工具？

圍繞上述話題，我們邀請到了三位業內安全專家，分別從安全測試和攻防的視角為我們解讀這一事件，分享自身的觀察和理解。

安全服務需探索建立更合理的合作機制、授權機制

眾安天下創始人楊蔚告訴我們，安全行業中也曾經發生過許多因安全人員未授權測試而對目標單位業務造成損失，最終難逃牢獄之災的案件，這也再次為安全人員敲響了警鐘，要規范技術操作的流程，在得到充分授權的前提下，才能夠開展相關測試工作，以規避法律層面的風險。

雖然當前安全行業內當前安全服務和安全測試的項目中也會用到一些類似的安全測試工具，但授權確認機制已經是一項必須履行的動作。在項目開展前，實施方會與被測試方一同就工作內容、邊界和側重點進行確認，即使存在可能涉及漏洞導致的資源耗損或濫用的測試內容，也都會明確要求安全人員點到為止，確認漏洞存在即可，避免對用戶的業務造成實際的損失。

他表示，從行業常見案例來看，當前存在的行業現象主要有兩大類：

其一是客戶委托的測試工作內容雖然提前做了預案和嚴格的測試范圍約定，但偶爾也會出現安全服務人員無意識超范圍測試的情況。常見情況比如需要測試的域名歸屬于第三方，在被測試方不確定歸屬的情況下委托服務機構進行測試，盡管是得到了委托和授權，假設服務機構使用了一些攻擊類測試操作，進而造成了一定的業務影響，那么最終就可能會因為超范圍測試的爭議而引起責任方的追究。這一類非惡意造成的未授權測試現象已經成為當前業內安全服務管理過程中的較為容易產生爭議的“雷區”和盲區。

另一類則是“偽授權”測試，往往在互聯網公司所屬的安全應急響應中心和一些漏洞平臺中較為常見。在近兩年的一些類似案例中，一些年輕的白帽子為了在各大平臺中“刷榜單積分”，可能會給一些官方的漏洞平臺提交自己所在學校教務系統的漏洞，或是其他網站的漏洞，如果一旦對業務造成影響和一定業務損失，甚至可能會引起更大的糾紛，最終因為給責任方造成業務損失而被處分乃至被行政、刑事處罰的案例也已屢見不鮮，相關平臺也需要考慮對安全研究員和白帽專家也需要有更好的特赦機制，另外作為安全研究者和白帽專家也需要考慮測試邊界和安全紅線，對自我行為上做好約束和自律。

楊蔚認為，出現此類“偽授權”測試的原因在于，安全人員或者白帽子與平臺之間建立的合作機制仍然較為模糊，這也為安全人員后續的測試行為埋下了一定的隱患。因此，安全測試中的各方如何建立一個很好的合作機制、授權機制，去保證安全服務的合法性，保證安全服務過程中各方的合法權益，仍然是一個值得整個行業深入探討的話題。

他向我們介紹，眾安天下在做安全服務的過程中已經逐步探索建立起了一套標準化的流程和機制。

首先，在項目啟動前，作為服務方會跟被測試方一起對工作內容、邊界、側重點進行確認，明確哪些方向的漏洞要重點關注，以及哪些方面是明令禁止不能做的，會進行約法三章，劃出明確清單和要求。

其次，在項目管理實施過程當中要去監測整個測試的實施過程不越界。如遇到邊界不清晰的資產，還需要對這些資產進行深入的漏洞測試，引入報備的機制，在做任何可能超出約定范圍的測試前都再次跟被測試方進行確認，在得到充分授權的前提下，再去深入地開展相關工作，保證整體安全測試的過程可控。

最后，值得強調的是，還要將服務內容和責任邊界落實到法律層面，形成三方的電子協議。在協議中也會明確提出，執行的過程當中一旦遇到突發情況，三方如何來協調處理，盡量避免出現法律層面的糾紛。

在網絡安全行業領域提供實戰服務，都會模擬實戰攻擊提供測試服務，沒有任何一個團隊能夠完全保證不出問題，畢竟它是一個偏實戰攻擊類的測試，良好的做法是建立更合理的合作機制、授權機制，以及更有效的溝通渠道來保障執行人員在更合法，更合規地去開展相應的工作。

云上資源的濫用已成全新攻防趨勢

從攻防的視角，云廠商提供壓測功能本來是用來檢測網站性能用的，比如帶寬、并發訪問量等等，那怎么會被用來做DDoS攻擊呢？

網宿科技副總裁呂士表在采訪中告訴我們，因為超過服務器承接能力的非正常訪問會形成事實上的DDoS攻擊，所以云壓測的大規模并發能力是具備發起類似DDoS攻擊能力的。從事件分析來看，一方面是遭受攻擊的系統網站設計的負載能力或許不能負載超大規模并發訪問，另一方面，背后原因也可能是云壓測工具被錯誤操作而給業務造成了實際的損失。

他表示，網宿CDN和安全平臺也曾檢測到客戶遭受類似的攻擊，但從過往案例中可以看到，控制利用物聯網設備仍然是發起DDoS的主要攻擊方式，但此類云壓測服務在一定程度上的確會降低攻擊者發起DDoS的成本，作為一個超大規模分布式訪問的典型應用場景，壓測服務對驗證和提升應用系統高并發能力很有幫助，但也需防范此類云上資源濫用引發的安全風險。因此他也建議，提供壓測服務的第三方平臺應該給出明確的安全使用原則和法律提示，盡到平臺方的責任。

另一位安全專家，網星安全技術合伙人兼安全負責人李帥臻從攻防趨勢的視角為我們進行了解讀。他表示，在目前看來，在安全攻防中對公有云的服務濫用已經是一個比較常見的現象。在一些實戰案例中，許多攻擊者都會購買云上的一些公開服務，比如云函數，以及云上的一些存在漏洞組件的數據庫來做一些對外的匿名攻擊。

從防御者視角來說，云上資源是一塊非常龐大且復雜的大型基礎設施，對攻擊者而言也同樣極具價值，因此對于云服務的濫用是比較常見的。云廠商提供了非常繁多的云服務類目，從最底層的操作系統到應用層面，從代碼層面到函數層面，云廠商都提供了非常豐富的組件。那一旦某一個組件出現一點小問題，就會被攻擊者敏銳地發現，并放大他的利用價值。

李帥臻談到，此前也曾發生過某個數據庫被曝存在反射放大漏洞，發現許多攻擊者都曾通過這一漏洞利用云廠商提供的云服務來對外發起DDoS攻擊的案例。因此對于云服務功能的濫用不是第一次，肯定也不是最后一次。

在他看來，之所以能夠發生這樣的攻擊事件，或許也是因為云廠商設置的壓測條件不夠嚴謹所導致。他表示，在攻防的視角出發，近年來許多攻擊者都會嘗試通過域前置的方式去隱藏自己的遠控軟件，這也是利用了云廠商沒有對域名做歸屬權的驗證，所以可以允許攻擊者偽造自己的身份對目標發起遠控。

事實上，通過一些互聯網公開的代理軟件，去注冊一個賬號后通過代理出口去進行訪問的攻擊行為，以及利用SaaS化的基礎設施對終端進行遠程控制，都已經是攻擊者的慣用手段。這些都是通過濫用公開服務而造成的攻擊。

李帥臻最后表示，由于云技術表現出的服務成本低、便捷性高、擴展性好等特點，SaaS化服務也不斷成熟，云上提供的服務種類愈發豐富。但在為用戶提供更多層次服務的同時，也帶來了更多可利用的攻擊面。攻擊者的攻擊成本和技術門檻正在變得越來越低。因此作為云廠商來說，在做好鑒權的同時也需要對用戶的使用目的進行監督。

他建議，作為云上基礎設施提供商，云廠也可以參考如微信、支付寶去設計更強的實名校驗，從更多層面去增加攻擊者的成本，才能夠相應地提高犯罪難度，更大范圍地去降低安全風險。