滴滴弓峰敏:安全范式的改變
責編:rhliu |2016-11-09 19:09:42弓峰敏(滴滴出行信息安全戰略副總裁):
下午好!感謝大家來參加這個分享。我主要和大家分享的是不是有一個范式的改變,影響到我們怎么做安全,可能會牽扯到我們每一個人。
我分享幾個方面:第一,現在冷酷的現實,我們很多嘉賓提到了我會很快過一下。第二,解釋一下新范式是什么樣的概念。第三,在此基礎上談一下,為什么我們認為有這樣一個新范式需求,給大家一個理解,有了這個理解,我相信下一步就是大家要去實踐新的范式,希望使安全保護能夠更上一層樓。
這里我簡單舉幾個例子,列舉了過去發生的一些事件,主要我想提到的是大家都知道的,今天在美國發生的大選,剛才TK也提到了,這確實是歷史上第一個網絡空間的威脅和活動真正對一國大選產生了影響,這是蠻重要的一個歷史事件。
其他的東西我不一一介紹了,我想強調的是,在這樣一些事件發生的時候,一部分我們看到的是直接的受害者,包括一些公司的聲譽、CEO丟了烏紗帽等等這些直接受害者,后面會有成千上萬,很多很多人是間接的受害者,這些間接受害者里面包括大多數像你、像我這樣的人,我們的信息被偷后意味著什么?
即使一些公司說,我幫你去觀察一下你的信譽有沒有被人偷掉,有沒有人在用,但誰又能保證作案的人在這個時間段就會用,而不是在很久以后呢?
我們總結一下發生的事情的影響,這是一個很大的影響,影響到很多人。可悲的是,往往很多事情,本來我們可以做一些事情,很多的狀況是可以不發生的,但因為我們的實踐它還是發生了,而且影響了很多人。
你去看這些案例,并不是每一個案例里面都用了,比如0-Day攻擊,實際上不是的,90%多都是用的很老的代碼也成功的造成了很大的損失。
除了剛才我們提到的孟加拉銀行的款被轉走的狀況。更有意思的因為一些個人受到要挾,欺詐行為,導致他們做出自殺等行為,這些狀況的發生是很可悲的事情。前面大家提到過訛詐軟件,訛詐軟件的出現,不光影響到企業,而且影響到個人。
剛剛開始我們知道它用的手段是通過釣魚的方式把一個惡意的東西(訛詐軟件)裝到你的機器上,你的機器共享公司的文件,導致了更多的文件被加密。更多的已經出現了它可能會直接攻擊公司的服務器,至少它對你的數據的影響就會相當大,已經不是簡單的從終端上的影響。
光訛詐這件事在過去短短一兩年中所用的技術也在不斷的發展,包括他們怎樣用一些加密的網絡做通訊,使得對它的防御難度提高了很多。
我們去看這樣的事情是不是僅僅發生在一些知識認知程度、對安全認知程度不高的企業呢?其實不是。這個是更早之前發生在RSA的,大家都用過RSA,他們這樣的公司也變成了直接的受害者,可以想象不是我們一般的人能夠逃脫這樣安全的威脅攻擊。
我們做安全這么多年,難道就沒有安全的工具嗎?我們在座很多人也是做安全的,但去看以前我們用的安全工具,為什么沒有成功的幫助我們防御這些事情?從掃描器一直到各種入侵的檢測工具,一直到下一代防火墻,終端上的防毒軟件,各種場景下他們每一個都有相當嚴重的失敗的場景。
所以,你去總結的話,某種程度上,可能我們在防御的方法技術上有一個很嚴重的大的漏洞,這就是我們想和大家探討的,刨根問底一下到底發生了什么。
你可以不看很多的細節,我想說這個紫色的盒子action。如果一個攻擊者要入侵你的網絡,可能要偷你的重要的數據,這是他的核心目標。
要達到這個目標,他可能會做N多個步驟,所以這個圓圈代表了他的準備階段,準備了很多工具,把工具植入你的網絡,最終做數據的偷盜。它的最終目標不會變,就是偷你的數據,至于達到偷你的數據的N多個過程,這恰恰是我們出問題的地方。
我們有了很多防御工具,但很多工具顯然沒有防住,可能它連看都沒有看到,為什么?最終的原因,從剛才顯示的表中,它不是一定按照線性的過程走的,而且每一步它都有N多個變數,所以,過去我們都集中在看它走的每一個步驟,把它的步驟當成我們防御和檢測的目標。恰恰在這塊它的變數太多,而且不是所有的步驟它都會走,這是我們走入誤區的最大的問題。
你要幫它總結一下,你可以想他們為了他們的目的,他們的目的一旦清楚以后手段是可以變的,它要去找最重要的珠寶,這個珠寶你放在哪個房間、怎樣進入這個房間,通過門還是通過其他渠道這就成為了變數的出現。
所以,這是防不勝防的場景。另外一點,他們會打持久戰,持久戰的概念,因為它要達到這個目的,它有足夠的時間,還有一定的資源的話,我們以前的工具在拿到一個數據,它會把你的數據存多久再去做關聯,這是很簡單的概念,但在這個時候,因為我們沒有預計到它打持久戰的場景,所以我們很難看到兩者的關聯信息,因為我們很早就把它丟掉了。
對于是整個產業鏈的問題,攻擊者某種意義上對網絡技術的利用形成了一個產業鏈,今天我們聽到過,講的很多數據黑產的狀況,他們形成了一個工業化的產業鏈,這是他們走在我們做防御攻擊的人的前面的,這是我們值得學習的另外一個教訓。
回到這里,這是剛才那個表的一個細的劃分。如果我們看這四個主要的步驟的話,有一點欲速不達的概念。如果我們想在中間步驟把它搞定,我們的集中力全放那個時候,它有很多變數很多情況下看不到。
如果我們有耐心愿意等的話,因為它最后一個環節是最重要的環節,這個時候我們在最后一個環節等它,我們看到的信息是最多的,而且能夠檢測到它的可能性是最多的,這是另外一個維度去看怎樣做防御的問題。
再看第二個領悟,從左邊一直往下看,從黃色到橘色到紅色,它掩飾了很多傳統的知道的過程,從最初文件里的病毒到網絡蠕蟲,它是演進的過程,到了中間這個部分它已經到了一個時代,充分利用了網絡空間對他們的好處,形成了他們自己的產業鏈,這時候它的力量變得巨大無比。
我們做防御的人,最早在終端上做的是防毒,當我們用網絡用得很多的時候,如果我們在網絡上做防御是有網絡效應的,對于我集中管理很有效,如果一個地方能把你搞定,就省了很多事。
今天有很多的終端,我們用了很多基于網絡的工具,大家今天聽到我們關于云的討論,云的出現確實很多方面,從支持現代的IT技術和商業需求上,它有很多的優點,但云技術沒有從根本上帶來一個全新的安全問題,它可能只是應用場景和部署的問題。
但做工具的人往往犯了一個錯誤,看到大家當今最敏感的問題,我們就沖上去解決這個問題,我們往往做一個單一的全新的產品解決這個問題。所以,這時候你看藍色的盒子,還在很大程度上處在相對孤立、各自為戰的狀況。
如果我們從安全工具開發的防御模式上,不能去考慮基于生態的防御,那么我們的仗沒有打的時候可能就輸了一半。
這就引入了安全保衛的范式的改變。從舊實踐里,我們總是盯著漏洞,它是一個中間環節,我們知道漏洞也不知道它下面要干什么。我們就沖動了去解決漏洞的問題,后面還有一個概念,什么東西我可以把你防御掉,所以我不需要后面擔心了。
從方法上,從我們的部署上都可能是一個單一化單點的狀態。在新范式下,我們得到了教訓后,我們一定要以業務為目標,它的最終目標要么是和你的數據、要么是業務流程造成破壞。這時候我們再追求的不僅僅是盲目防御,我要不間斷的做監控,能夠盡早在第一時間感知到,然后能夠做出反應。
按照這樣的思路走下去,我們一定要相信威脅情報共享的概念,一定在威脅情報共享的基礎上,我們才能夠去抗衡今天的威脅很多基于網絡和它自己的生產鏈的手段。
這個圖我給大家一個簡單的概念,我們傳統做網絡安全,尤其是企業安全產品的時候,顯然我們意識到IT發展的過程,還有威脅它的發展,還有整個業務的發展,這三個的發展會產生新的對安全需求的場景和安全的工具,影響到安全工具怎么去部署。
但往往我們有一個錯誤,相對來說用戶對安全的認知和實踐是某種意義上忽略掉的,我們把最重要的在安全保衛環節的人的因素沒有充分考慮到,恰恰今天我們要認識到這一點,要把人重新拉到這一保衛的環節中來。
我們去看看,從另外一個角度進一步解釋一下新范式和舊的實踐是怎樣的對比關系?傳統的時候,我們講VPN的概念,但是在以前把VPN變成了很簡單的對信任邊界劃分的東西。
今天大家認識到以后,有一個信任區的概念,一個區要么是信任,要么是全不信任。
還有一個Segmentation,過去是分段,也是在網絡防火墻做配置的時候的簡單的區域的管理方法,今天我們把這個分段的概念仍然很重要,但分段重要的目的是能夠做細度的不同部門之間的流量監控,同時在發生事件的時候能夠很高效的做隔離,同樣的概念但今天應用場景有所改變。
在新理念下我們做基于生態系統的安全防護的要點:一是對目標的認知,一定是以業務為中心,你要知道你需要的是什么東西,要第一時間對一個生態做以感知,在這個基礎上再做應急的處理。因為大多的場景你有足夠的時間把它搞定,并不是沒有一個預防的概念就搞不定它。
怎樣做一個最佳的安全事件,顯然這個時候我們提到的用的工具和部署流程都去支持一個概念,就是我要做不間斷的監控、排查和及時處理的概念。
這里面對產品工具有具體的要求,比如我希望我所用的工具一定能夠支持威脅情報共享的模式,里面重要的就是API的概念,任何環境中我對工具的應用,有了API的概念讓這個工具集成到我的應用過程中就可能有最大的靈活性。一定在一開始就選擇一個流程,按照這個流程做,再不斷的做閉環的更新。
今天我談得會比較快。在這個地方我最后希望給大家帶出的概念,我知道今天其他嘉賓也提到的,今天已經到了一個時代,我們不再說網絡安全或物理空間安全,因為這個時代網絡安全和物理空間安全對每個人來說已經緊緊連在一起了,所以為什么說每個人應該有一個安全的意識,進入到生態系統的安全的防護和自我保護的活動中來。
為什么這么說呢?如果你去看這個圖,你可以從最上面看,它可能反映的是我們在早期隨著安全問題的出現,對安全問題怎么去處理,你看到往往都是一些基于漏洞、網絡的漏洞加固、掃描、木馬注入、拒服務攻擊,整個影響是什么?
在早期可能有一些人,他們一開始也是玩玩,但后來影響到很多人不能訪問企業的網站,再往下走,隨著整個安全威脅的發展和IT技術的發展,你會發現更多的東西越來越多的和我們有些接近了,很顯然Poss機的狀況,一下子從電商、銀行、酒店把所有它的用戶帶入其中,他們的信息直接被盜了,他們就直接變成了受害者。
再往下看訛詐軟件這樣的東西,有很多攻擊通過脫庫的形式,做各種欺詐的東西。這些時候你已經看到每個人個人和一個企業,和一個業務已經連在一起了,都變成了受害者,也可能是直接的,也可能是間接的。
再往下看變成了什么狀況呢?如果你去看今天已經看到的很多的例子,確實直接把物理空間和網絡空間拉在了一起。
我們有不少的例子,包括一些普通的國家相對作為一些網絡的攻擊,我們從整個歐洲和中東都聽到過很多實際發生的例子,當然這些東西都是直接對抗的工具,有很多例子是間接的,比如出現在我剛才提到的一些狀況,比如出現在英國,一個年輕人收到相當于詐騙的郵件,號稱是從當地警察局來的,你在網上做了什么事情,我們查到有證據,你必須要交罰款,而且我們會給你建黨公布。這些年輕人也說可能他本身精神上有一些脆弱的地方,他根本搞不懂到什么地方找到幫助,所以導致他自己自殺了。
所以,盡管它不是直接的,但間接危害在行騙人是沒有預計到的。但我們從安全的角度看,這確實是安全的問題,它是物理空間和網絡空間結合在一起影響到一個普通老百姓的安全的問題。
我的分享就到這里,非常感謝大家的時間。