知道创宇云防御：产品+服务双轨协作筑安全

“快来看今天的日志，这里攻击量高出很多倍！”小王循声走进办公室，就这样开始了一天的工作。

小王是知道创宇404积极防御实验室的一名安全研究员，也就是传说中云防御平台“背后的男人”。

每天，知道创宇云防御安全大数据分析平台对海量日志进行多维度的智能分析和挖掘，形成丰富的安全报告。这其中，就藏着与网络攻击、安全态势相关的蛛丝马迹。

刚出来的安全报告显示，某一IP的攻击量成倍增长，呈现明显异常。

结合日志与ZoomEye的数据分析，小王发现该IP一直在扫描一网站后门，且路径相似的IP不止一个，其背后都是路由器。通过Seebug漏洞社区进行关联分析，发现该款型号的路由器最近爆出了一个通用性高危漏洞。情况表明，他们都被黑客劫持为肉鸡。

基于创宇盾与Seebug、ZoomEye的联动机制，404积极防御实验室提早就做了防御措施，在其防护下，该网站并未受到攻击影响。

“我们的工作都是围绕着客户的网站业务安全，不间断的为云防御平台提供安全能力输出。”

像小王这样专门负责数据挖掘与分析工作的专业安全人才在知道创宇云安全团队还有近百名，他们在日常安全运营中，从每一天的日志中捕捉信息与问题，比如某个IP流量异常，那就要去分析这个IP的行为路径、攻击了什么目标、是不是肉鸡等等，综合各方信息，试图去解释攻击的原因，并给出临时解决方案、彻底解决方案。

小王进一步解释道：“我们还有一些小伙伴负责产品的规则与策略优化，尤其是出现通用漏洞的时候，考虑到客户的安全，无论什么时候我们都要第一时间进行响应，研究如何拦截攻击、升级策略，不能让客户暴露于危险之中。”

安全防御的日常

这个外人看起来很高大上的安全防御工作，既需要专业技术的支撑，还需要积极防御的心态。“在有限的时间内去预测可能发生的威胁，去紧急处理漏洞，这些其实都是很艰苦也很考验技术的。”小王感叹道。

拿重保期间来说，404积极防御实验室的日常就升级为重点网站网络安全保障和全网应急响应。一场国家级大型会议，保障往往会提前很久就开始布局，首先是保障人员的安排，以确保7*24小时不间断值守。

其次是逐一分析防护网站，根据其业务特点和安全要求提供针对性的安全建议。

“比如有些网站主要提供在线业务办理，白天要保障业务稳健运行，晚上却基本没人使用，我们就会就建议客户开启创宇盾的‘夜间模式’；还有一些网站是针对大陆公民的，那么我们就建议客户屏蔽境外IP访问等等。”

最后是加强日志的审查，网络上的潜在目标、未知威胁都要一一排查清理。

据了解，在十九大前夕，有匿名攻击者通过国外社交网络发出风声要发动网络攻击，其中某国家重点网站位列其中。得到这个消息后，小王及保障组人员第一时间做出应急，避免了境外恶意攻击事件的发生。

除了关注整体安全态势，还需要持续关注客户网站的可用性，比如网站是否被植入了博彩页面、是否有后门、是否存在访问过慢甚至无法打开等情况，这背后或许是一场DDoS攻击，或许是入侵篡改，或许是网站存在安全漏洞，这都需要404积极防御实验室的安全专家们去发现并解决。

当会议活动结束后，安全保障也并不会马上撤离，依然需要保持较高的警惕性继续去延续日常的防御，并将经验和数据逐步优化到的知道创宇云防御安全产品当中。

安全防御产品并不只是接入就完事了，其背后更多的是安全专家们动态的服务。

据小王介绍，“我们很多服务对于客户来说是无感知的，这个恰恰也是知道创宇云防御的优势，在客户的整个生命周期中，安全保障都需要我们负责，以前出了问题再去找厂商解决的路子已经行不通了，我们是要在风险来临之前截断攻击的可能性。”

知道创宇云防御平台从成立至今，不管是日常运维还是重保时期，所有客户网站均以零被黑、零事故的佳绩持续进行着安全防护。

一方面，不断累积充实的黑客大数据持续优化着云防御平台各安全产品的规则和策略；另一方面，平台背后的安全专家们通过积极防御的策略最及时地发现未知攻击，最有效地进行应急响应，最全面地解决网站安全问题。

产品+服务双管齐下的动态性安全防护，正是如此，使得云防御平台整体网络安全能力不断强化，并转化为客户提供更好的网络安全保障。这也使得知道创宇云防御越加受到客户的信赖，更是知道创宇云防御取得市场占有率第一的最大诀窍所在。