压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

一洞觀全球

非常榮幸今天跟大家分享我們團隊做的事情。我叫練曉謙，來自知道創(chuàng)宇，現(xiàn)在是公司研究部的部門副總監(jiān)，在團隊主要做的事情就是Web方面的安全研究和安全云監(jiān)測、安全云防御。我今天分享的議題題目叫《一洞觀全球》，通過這個大圖大家可以看出來，這個洞指的就是4月份的”心臟出血”漏洞。我這個議題會通過”心臟出血”漏洞因為的數(shù)據(jù)，還有各個國家應對這個漏洞的修復速度來看出各個國家在應對重大安全事件時候的一個反應能力。前面會介紹一下漏洞影響態(tài)勢和修復態(tài)勢，做一些數(shù)據(jù)的解讀，最后會簡單延伸一下，說一下針對重大安全事件應對的一些思路和方法。

這個漏洞是危害非常大、影響非常廣的，所以是歷史上第一個上央視的漏洞。當時央視在這個漏洞爆發(fā)的第二天的晚上，《新聞1+1》就報道這漏洞，當時也電話連線采訪了我們公司的余弦。簡單說一下這個漏洞，互聯(lián)網上大家進行數(shù)據(jù)傳輸時，為了確保數(shù)據(jù)不被別人竊聽，就使用了加密技術SSL。很多人都使用了一款叫OpenSSL的開源軟件包，這次的漏洞就出現(xiàn)在這個OpenSSL軟件包上面。這個軟件包存在漏洞，導致可以讓攻擊者獲得服務器上64K內存的數(shù)據(jù)內容。可能這個漏洞不足以讓攻擊者獲得所有的權限，但是可以讓攻擊者獲取一些本來應該加密的數(shù)據(jù)，卻得到了一些明文，這些數(shù)據(jù)包含了證書、用戶名密碼、郵件內容、聊天和很多的商業(yè)數(shù)據(jù)，所以說這個漏洞的危害會非常大。還有就是影響面非常廣，因為OpenSSL的應用非常廣，下面大家可以看到，有很多的公司都是全球最牛的互聯(lián)網公司。央視給這個漏洞的定性就是，好像廣大用戶在互聯(lián)網上的鑰匙被偷竊。從現(xiàn)在來看，再過5年，或者10年的時間看這個漏洞，也許它就是歷史上影響最廣泛的一次漏洞。它影響了下面這些服務，443端口是HTTPS，是我們常用的Web訪問，465、993、995都是郵件加密，這些郵件傳輸都會加密，非常重要。還有就是1194就是VPN，VPN就更不用說了，都是可以直接進入內網。

下面是一些截圖，這是淘寶的截圖，當時可以看到淘寶的用戶名和密碼，都是明文。這還是一張?zhí)桶膸欤梢缘玫紺ookie，這些截圖非常寶貴，因為可能在將來的20年或者30年之內都沒有這種截圖可以看到淘寶的明文口令。這數(shù)支付寶，下面也是用戶名，手機號碼，還有各種信息。最下面是余額寶的信息，還有余額寶的收益。12306鐵道購票系統(tǒng)，這個重要性更是不言而喻了，包括用戶名、密碼，還有密碼回答問題，還有身份證信息。這是163郵箱的一些東西，是網神VPN設備，并不是說這個廠商不好。下面是國外的，這是中華電信的hinet，臺灣使用非常廣泛的郵箱。這個是BudgetVM，它是一個服務器提供商，做虛擬化的，大家可以看到，可以直接獲取的就是用戶名和密碼的明文，我拿著這個用戶名和密碼，可以以這個人的帳戶登錄到這個網站上去。如果這個用戶名是某個公司的運維人員，他手里可能有成百上千的服務器，我用這個帳號登錄了，就可以擁有成百上千的肉機。我這邊只是截了一個，如果愿意獲取的話，可以有成千上萬的帳戶，是非常龐大的肉機群，就是通過這么一個漏洞，不需要控制主機，直接拿到敏感信息，就可以直接做這么多的事情。

我截的這些圖并不是說這些公司不好，只是說這些公司這么牛，都會受到這個漏洞的影響，因為這個漏洞是有一個叫OpenSSL的第三方開源組件，很多公司搭建整個信息系統(tǒng)，不可能完全都是由自己來創(chuàng)造所有的軟件，包括硬件肯定是購買，很多的軟件，還有操作系統(tǒng)，肯定不是自己的，現(xiàn)在有很多在進行國產化，但是也有很多應用，不可能從頭開發(fā)，必然是用第三方的。這些第三方的軟件一旦出現(xiàn)漏洞，那它的范圍就非常廣。我這邊截了很多互聯(lián)網的，沒有截到跟政企有關的，大家可以想一下，肯定有很多。

這個漏洞的影響態(tài)勢，我們團隊也是在這個漏洞爆發(fā)的第二天，就對全球進行了一個安全評估，評估這個漏洞的影響范圍。可能當時大家都沒有意識到這個漏洞會有多大的危害，以前沒有這種類型的漏洞，也許影響面非常大，但是沒有一個量化的數(shù)字。我們談的就是在第二天，包括以后的每一天我們都會實時的評估出這個漏洞在全球的影響范圍。漏洞第二天就是243萬全球受影響的漏洞主機，還有很多國家的重要信息系統(tǒng)，只有重要信息系統(tǒng)才會用加密程序。

這張圖是一個全球地圖，剛好跟面板上的圖是一樣的，這邊用顏色標出來的，顏色越深，表示這個國家受漏洞影響的服務器數(shù)量越多，大家可以看到，美國是最多的，有的國家沒有，在中國邊上有一個白色的國家是朝鮮，還有非洲，歐洲比較多一些，很明顯，能夠看出來這個信息化的程度。朝鮮不說了，大家直接看非洲，就知道比較落后。這是一個三維的圖，這個也是通過相當于熱感應的感覺，受影響的數(shù)量越多，這個地方的顏色會越深。大家可以看到右邊是中國，中國的東南沿海非常發(fā)達，西北就弱了，左上角是歐洲，下面是非洲，就很貧瘠了。

我們還做了一個全球各個國家受這個漏洞影響的數(shù)量和排名，前35名，我們這邊叫做可打擊對象暴露面。最大的圓圈就是美國，中國在倒數(shù)第二行，并不是很多。這個意思是說，受漏洞影響的數(shù)量不多，但是并不代表是好事，下面會說到。這是具體的數(shù)字，剛才那個圖的具體數(shù)字，美國是83萬，中國在倒數(shù)第三行，是第16位。大家可以看到，臺灣、日本在我們的上面。我們還特地拿了中國周邊和歐美的20個地區(qū)進行了一個比較，美國還是很龐大，中國在右上角。這也是一個數(shù)字，就是剛才那個排名。

我們該怎么解讀這些數(shù)據(jù)？是不是受漏洞影響越少就越好呢？肯定不是，因為美國那么多，肯定不能說美國信息化程度落后，或者安全不發(fā)達。基本上來說，這個漏洞影響的都是重要的信息系統(tǒng)，因為它是加密的。我們認為，基本上現(xiàn)在暴露出來的數(shù)量跟這個國家所建設的重要信息系統(tǒng)，信息化建設的能力程度是成正比的。作為中國來說，它是一個大國，肯定是世界強國，但是跟其他國家相比，在網絡上并不算一個網絡強國，它的信息化建設程度并沒有那么的高，這一點前面其實李主任也說了，信息化建設，我們還需要往前推進，或者說步伐還要邁得再大一點，這依賴于各位企業(yè)。這個數(shù)字還是比較驚人的，美國是34%，中國僅僅是1%，差了很多。而且我前面截的那長圖是淘寶、支付寶，包括微信，都是中國最牛的互聯(lián)網企業(yè)，我能截到圖，但是我沒有截到Google、Facebook、Twitter的，為什么？因為他反應比我們快，當然也有時區(qū)的關系。

漏洞修復態(tài)勢，我們把每個國家第一天受漏洞影響的數(shù)量和第三天受漏洞影響的數(shù)量拿出來進行一個比較，就知道這個國家的修復比例，就可以看出這個國家在應對一些重大安全事件時候的一些反應能力。前面其實李主任也提到了，叫應急響應機制，是不是這套機制流程是正確的。總體來看，全球的漏洞影響數(shù)量肯定在不斷的遞減的，基本上前三天遞減快一些，后面的能修復就修復了，不能修復的大家很少去關注。我拿第一天和第三天的數(shù)據(jù)來比較，這是一個數(shù)字，大家可以看一下，修復率最高的是新加坡，然后是美國，新加坡可能是有它的原因，因為它的國家更小，可能信息化管理更加集中，所以可能更快，只是推測。美國是49%，這個數(shù)字非常驚人，就是說到第三天的時候，修復了一半的服務器。大家可以想像，下面可能有很多的企業(yè)人，大家的企業(yè)在”心臟出血”的第二天，有沒有把全集團、全企業(yè)存在這個漏洞的服務器找出來，并且修復這個漏洞？大家想一下差距，我們能直面這個數(shù)字，很遺憾，差距比較大，中國是18%。這是一個柱狀圖的比較，全球的平均水平是40%，中國還是差的。中國跟它在世界上大國的地位相比，它的信息化程度，包括信息安全建設都沒有那么完善，我們是不如日本的，全球排名是102。

剛才說了數(shù)量，咱們現(xiàn)在再來看一下修復的行業(yè)分類，這是美國在第三天之前修復的一些行業(yè)，包括石油、電力還有一些運營商。美國政府，還有金融、銀行等等。下面是臺灣，包括教育，還有中華電信也是第三天修復的，還有一些教育的VPN系統(tǒng)。日本在第三天修復的也是政府、金融、石油那些比較重要的行業(yè)，還有教育。我并不能截中國的，大家自己想想，在第三天的時候到底自己企業(yè)，包括很多的信息主任在這邊，大家是不是能夠做到，是不是能排查到自己存在的漏洞和服務器，然后再來修補它。

這個數(shù)據(jù)的解讀其實就比較明顯了，中國在這種非常大的網絡安全事件應對的時候，速度肯定是落后的。不要說跟美國相比，跟其他的國家相比，它現(xiàn)在是低于全球的水平。可能不光是企業(yè)，在國家層面也是，應該更好的去推動這件事，因為畢竟是很多重要的信息系統(tǒng)都是企業(yè)的，也是屬于國家的，整個國家應該怎么去應對這種局面？

我提大概兩個現(xiàn)狀和建議。通過漏洞影響態(tài)勢數(shù)據(jù)來判斷，我們的重要信息系統(tǒng)還是欠發(fā)達的，一開始李主任講的，跟我這邊的解讀基本上比較貼近。重要信息系統(tǒng)欠發(fā)達，信息化建設還是亟待加強的，從圖片我們就可以看出來，東南沿海和西北地區(qū)差距太大了。網絡安全防御能力很弱，目前來說應該說是全國從上到下都非常重視，但是重視了之后機制是不是能跟上？在國家的法律上面是不是能健全？然后再來推動這件事情。包括每個企業(yè)內部在推行這些信息化安全建設的時候，是不是會有些阻力，是不是能夠真正的配合到一起，都是有很大的工作需要做的。

在面對重大安全事件時候的一些應急響應能力，該怎么做，一些思考。不光是”心臟出血”，以前也會有，今年可能會有一些比較大的”心臟出血”。在9月份有一個”破殼”漏洞，這個漏洞是針對命令行的漏洞，可以直接控制主機，這個漏洞的影響很廣，而且這個漏洞目前來看，將來遺留的問題會非常多，很多廠家，包括安全廠家出廠的安全設備可能都會存在這個漏洞，大家可以想像，包括網關設備，都會存在，就直接作為一個進入內網的入口。10月份還有一個Drupal漏洞，在國內用得比較少，Drupal是在國外用得非常廣泛的，也是可以直接拿后門的。

針對這些，包括剛才翰海源的老總說的那個漏洞也非常廣，但是跟我這邊不太一樣，他的那個漏洞利用，包括漏洞出現(xiàn)的原因都不一樣，他那個需要人點擊一下，我這邊列出來的漏洞都是黑客攻擊者只要想，就可以主動的，不需要受害人參與點擊什么鏈接，就可以直接拿到權限。針對這種漏洞危害大，影響范圍廣的局面，我們應該怎么樣去接受這種挑戰(zhàn)？包括出現(xiàn)這些漏洞，作為我們公司來說，基本上可能就是一個星期，包括前兩天，可能都沒有睡覺在熬夜，我們也叫安全響應，就是針對這個漏洞，我們也會做一些安全響應，研究這個漏洞，然后檢測，因為我們是做云檢測的，檢測出全球，或者全國一些重要企業(yè)存在這個漏洞點，再然后我們還有一個產品叫云防御平臺，在得到這個漏洞消息的同時，在幾個小時內我們就會上最新的防御漏洞。

武俠當中有一句話叫天下武功唯快不破。快的意思是什么？首先一般剛出來，流傳開了就變成第二手漏洞了，這個時候大家會補漏洞。對于黑客攻擊者來說，我們以前經常說有限的攻擊時間窗口，可能就是幾天，他需要攻下你想要的目標。但是作為信息化人來說，作為信息安全人員來說也一樣的，他有極短的應急時間窗口，他在這個應急時間窗口要做的是搞清楚這個漏洞是做什么的，能影響哪些設備，在我的負責轄區(qū)里面有多少服務器受這個漏洞的影響，這些漏洞的服務器在哪里，IP地址是多少，都需要知道，知道之后才是批量的上補丁更新。

我們的思路是，安全意識和應急機制，安全意識現(xiàn)在大家都有了，然后就是應急響應的機制，因為這種事情可能平時不會發(fā)生，但是一發(fā)生的時候，大家是不是能扛得住？包括企業(yè)內部有很多部門，你在應急的時候需要協(xié)調其他部門的資源，本身安全跟業(yè)務的正常運轉是有沖突的，怎么去推進這些事情？查找自身的脆弱點，可能對于一些小公司來說還好，但是對于大公司來說，你自己有幾百萬臺服務器，或者是幾百萬的IP地址空間，你還需要去自己想漏洞檢測工具，想去修補的話很難，幾百萬你怎么在第一時間，或者第一天、第二天就能知道哪些服務器存在漏洞？手工是做不了的。稍微延伸一下，作為政企人員來說，安全運維人員自己查很難，即使你信息化工作做得再好，你的登記做得再全面，你可能都無法掌控那么上百萬的規(guī)模。作為廠商來說，不是安全廠商，就是服務器的硬件廠商，你賣給企業(yè)的網關設備，防火墻設備，VPN設備，這些廠商它有沒有安全售后？我不知道有沒有，可能即使有，也不會很好。還有就是軟件，比如OpenSSL是一個軟件，大家在用，現(xiàn)在OpenSSL剛好是免費的，當然也會有很多收費的軟件，它出現(xiàn)漏洞以后，是不是售后很到位？出現(xiàn)安全漏洞之后，他會不會第一時間把補丁推送給你還是怎么樣？這應該都算售后工作。像OpenSSL是開源的，但是它的漏洞出來之后，響應能力會很快，因為畢竟是一種自發(fā)組織。安全公司層面，做一些專業(yè)的安全應急服務，像我剛才說的，我可以知道全球，主要是對于國內，國內的哪些服務器受這個漏洞影響，我能定位到這些威脅的服務器位置在哪里。我寫了一個字叫”知”，就是先知的”知”，我可以在黑客攻擊之前就告訴你，你企業(yè)內部有哪些服務器存在這個漏洞。

及時防護，因為你已經知道了脆弱點在哪里，受威脅的服務器在哪里，該怎么防護是很重要的。展開一下就是，在政企方面運維人員需要做的就是修復漏洞，更新版本，打補丁。作為設備廠商和軟件廠商來說就是升級自己的產品，這是責無旁貸的事情，但是很少人能夠做到這些。安全公司在這邊可以做的事情就比較多了，傳統(tǒng)的防御設備，你把設備賣給企業(yè)了，出來一個新的東西，你怎么能及時的把東西推給別人？把庫升級了等等，你能不能做到這些？這是安全公司一個非常重要的核心競爭力。現(xiàn)在跟傳統(tǒng)不太一樣的就是云防御平臺，并不是說直接把硬件放在服務器的前面，而是說接入到我們的云平臺上，這樣的話，所有的數(shù)據(jù)，所有的攻擊請求都會經過云平臺，這樣的話會更加方便，我直接在云平臺上打虛擬不定，壓根不需要在服務器上打補丁，防御了幾十萬網站，瞬間可以打上補丁，哪些人在攻擊都能看出來。據(jù)說像9月份的”破殼”漏洞，9月25日、26日在夜里報出來的，第二天我們就把這個漏洞的補丁上傳到云安全平臺上，所有的攻擊我們都可以捕獲到。在下午的時候發(fā)現(xiàn)利用這個漏洞攻擊的數(shù)量飆升，黑客攻擊的反應還是很快的，半天之內。這邊還寫了一個字，叫做”道”，對于安全的公司來說，你知道這些存在漏洞的地方，包括前面截了很多圖，可能你要做的事情并不是偷數(shù)據(jù)或者怎么樣，而是及時通知廠商。

前面是”知”，后面是”道”，剛好是我們公司名稱，知道創(chuàng)宇的”知道”兩個字，知是先知，在黑客之前知道哪些策略點，定位危險，道就是道眼。

最后允許我再花兩分鐘時間講一下我們這個平臺，叫”鐘馗之眼”，是很酷的名字，英文名叫ZoomEye，都是從這個平臺來的。”鐘馗之眼”平臺，大家有興趣的話可以去了解一下，這個平臺是做什么的？是對全球網絡空間IP地址或者是網站、域名等等進行掃描，就是可以識別你這個設備是什么設備，你這個設備是哪家廠商，這個設備使用了什么組件，這個組件的類型是什么，使用了什么服務，這個IP地址所處的地理位置是什么，包括網站域名也是這樣，就是各種組件都可以識別到，相當于一個網絡設備的指紋識別。同時存在于庫里面，相當于這個平臺就是為安全和大數(shù)據(jù)服務的，是安全和大數(shù)據(jù)一個很好的結合點。當有重大安全事件來臨的時候，我可以利用這個平臺迅速的定位危險點所在，幫國家或者幫各個企業(yè)來做到這件事。這是我的QQ號，35248466，也可以到我的微信，謝謝大家，我的分享結束了！