辦公室里擠了好幾個人，每個人都緊盯電腦屏幕，排查各種日志數據，想要發現攻擊者留下的蛛絲馬跡。

“怎么進來的知道了嗎?”

“攻擊者清理了部分痕跡，信息不全，還不清楚。”

這是凌晨2點鐘，某大型能源集團的安全部門。

“下午我們發現了一起攻擊，它穿越了我們的邊界防護，進入了文件服務器。傳統的那些檢測方案沒有任何告警提示，以至于攻擊發生后五六個小時才被發現。安全團隊好幾個人，一直忙到現在，才梳理清楚攻擊路徑和影響范圍。”該集團的安全運營團隊負責人說道。

王工，是某大型能源集團的安全負責人，是一位擁有十五年安全經驗的老兵。他在2006年進入安全行業，一開始在國內一家科技公司干了十年。目前在某能源集團擔任安全負責人。與剛開始看見王工處理攻擊事件雷厲風行的狀態不同，他談及企業的安全工作時有很多無奈，因為有許多棘手的安全問題讓他頭疼得睡不著覺。

2016年，王工進入能源行業從事安全運營工作，這是他經過非常慎重的思考才做出的決定，因為這是一份非常有挑戰的工作。首先該能源集團本身業務范圍廣，集團總部下屬100余家分公司，需要保護的資產體量非常大，而且集團所處的能源行業，作為關鍵信息基礎設施的重要組成部分，是最常被攻擊的行業之一，網絡攻擊事件頻發。

在這樣的行業做安全工作，難度可想而知，但是王工覺得雖然應對高級復雜威脅很難，但如果找到合適的解決方案，效果可能事半功倍。

他舉了一個例子，為了應對高級威脅，集團使用了青藤安服服務，該服務提供了一個安全專家團隊，對系統環境中的威脅活動進行積極的獵殺、調查和建議。有一次青藤的專家團隊發現了一個試圖獲取服務器訪問權的攻擊活動，這可能是一個非常嚴重的漏洞。他說：“青藤的專家團隊與我聯系，告訴我他們發現了一個與已知的服務器劫持威脅組織有關的活動，并結合威脅情報信息，直接定位到進程。”

當時我特別震驚，先不說通過以往的防御策略能不能發現和確認這個攻擊行為，即使能夠發現并準確告警了，后期溯源分析整個入侵活動的來龍去脈仍然非常困難，要找很多人，排查很多設備日志，最后大概率還是沒搞清楚只好算了。青藤專家團隊竟然能快速發現入侵，通過溯源分析整體攻擊路徑，快速緩解了服務器遭受的攻擊。

王工坦承，在剛進入能源行業做安全工作的時候，沒想到能這樣輕松地應對高級安全威脅。要解決一些棘手的安全難題，可能需要嘗試新的不同路徑。這樣的領悟來源于王工對青藤安全產品的切身使用感受。

前年整個集團公司開始數字化轉型，業務數字化程度越來越高，網絡邊緣泛化。再加上本身業務體量大，集團化網站和服務器需要統一管控，這對安全工作又提出了新的挑戰，安全部門需要建立全面的資產可見性，從而快速發現入侵、及時響應風險。

通過上一次事件，青藤安全能力給了我深刻的印象，并讓我可以放心地使用他們的產品，所以我們選擇青藤作為安全合作伙伴。在集團的近10,000臺服務器上全部部署了青藤萬相Agent。當時考慮為了提高效率想要分幾天分批部署，結果這種考慮完全是多余的，因為青藤萬相Agent通過運維自動化工具被部署到100臺服務器上，只用了2分鐘，全部部署完成也只用了大約5個小時，而且對業務系統沒有產生任何影響。部署青藤產品之后，安全部門對集團總部和各分公司的資產信息有了最全面準確的了解。

王工說：“以前，我們要花幾個小時才能檢測到一個事件，而一旦檢測到，就必須進行研究才能找到它，全靠人工排查。青藤萬相強大的實時監控和響應能力很好地解決了這個難題。這一點我對青藤萬相的管理方式印象特別深刻。有一次，突然接到青藤萬相的產品告警，發現反彈shell和webshell，安全人員通過反彈shell的告警郵件，迅速確定失陷主機為公司一臺文檔服務器。然后通過日志的審計插件訪問日志詳細信息，進而還原出攻擊的整個路徑。”

最后王工說到，在能源集團公司做了這么久的安全工作，面對安全威脅我變得越來越從容。我希望能有更多像青藤萬相這樣易于部署、維護和管理的安全產品，幫助我們解決新業務帶來的新安全問題。