神州網云宋超:全方位網絡態勢感知發現內外部新威脅
責編:rhliu |2016-11-11 17:47:24宋超:大家中午好!非常感謝這次騰訊云給了這樣一個機會,以及在座各位專家,能到這個云安全會場,和各位共同探討一下數據泄露,全流量數據網里發現內外網新型威脅。
2013年-2014年云泄露的情況。
雅虎泄露了將近5億數據,eBay一個多億數據,這里展示了上百億數據情況。
數據泄露現在非常嚴重,比如“山東徐玉事件”也是個人非常重大的安全事件。數據泄露里,前些日子也有某個銀行行長把數據泄露給代理商,由代理商泄露給黑產。剛才美女主持也講的希拉里郵件泄露,這也是影響從個人到企業,到金融,到國家,也是由希拉里郵件泄露之后導致個人國家層面的權力的交替是變換的過程。
數據信息泄露的主要途徑。
木馬,黑客攻擊里也談到了千變萬化,背后也是木馬拿去數據的方式,植入的手段是多種方式,最后用數據竊取工具,它一般是用木馬或一般黑客工具,比如電子郵件,希拉里私人定制了郵件,據報道曾經被5個國家黑客組織拿去了她的郵件信息,拒絕服務的攻擊造成的破壞,流量劫持,勒索軟件也比較猖狂,每年勒索軟件能給黑產帶來上億收入,也給銀行和重要的金融部門帶來無法估量的損失。黑客攻擊、后門、隱蔽通道泄露、數據篡改、銷毀等等攻擊手段,這次我們講的是木馬內外部泄密情況。
傳統的信息數據泄露是我們經常面臨的問題,公司也有相應的團隊幫助國家做電子取證工作。電子取證過程中,我們發現很多單位要回溯黑客攻擊的源頭時,有傳統的防火墻沒有辦法回溯到最終黑客初始攻擊以及IP情況,傳統網絡安全設備也是只會保存高級的事件,缺少攻擊細節,無法開展對實時數據和深層歷史數據的分析,所以,我們去追溯攻擊還原時找不到黑客的線索。
一個攻擊可能最小的成本200元,但有時候電子取證成本,一個企業或單位把電子證據保存得非常好,設備也能把數據檢測得非常準確,我們取證的成本也會非常小。如果取證的成本比較小的話,它相對而言會增加攻擊者的成本。所以,它的成本就會大于200元,在2萬元或幾十萬的程度。
傳統安全管理設備也有一個問題。2015年,蘇州遭到網絡攻擊1.6億次,這種次數對我們真正抓到黑產或打掉黑產團伙,國內外黑產團伙的同時,我們如果是專家,通過1.5億次線索里尋找非常準確的證據,會面臨非常非常大的工作問題。前面也有騰訊云的領導講鑒黃師做出鑒黃程序可以節省300多元成本。這是攻擊噪音太多,使得有些攻擊無法識別出來。
《網絡安全法》對非法獲取公民個人信息情節的依據,也是獲取信息以外的個人身份信息超過500種以上,獲取支付結算,證券交易、期貨交易10組以上的就構成犯罪。
我們發現一些攻擊事件以后沒有從事中發現這樣的攻擊事件,往往是從這個事兒發生之后發生非常重大的安全事件以后我們再往前去推,推的時候有時候也是因為我們電子證據不足和其他問題不足造成數據泄露的問題,我們沒辦法回溯。
我們對非法獲取信息數據的黑客和信息載體的平臺,我們進行實時的監測,并能詳細記錄整個事件的過程,比如對方使用了什么樣的攻擊武器或手段,獲取信息的數量,它有什么樣的目的,黑產或來自境外有目的的APT攻擊,或者內部活商業秘密的獲取,我們是怎么樣做的。
新一代大數據事件分析平臺,是基于全流量的深度分析以及特征檢測、行為檢測、還原取證、關聯分析、追蹤溯源等多種技術為一體應對內外部高級定向攻擊以及內部威脅。因為外部攻擊成功以后也會潛伏在內部,這時候防護會非常得薄弱。剛才周斌總裁也講了原理面,有個安全事件,就是有個黑客到對方公司破解對方的Wi-Fi侵入到公司內部盜取數據,就是這方面的安全事件。
新的防御理念及監測模式(解決方案)
我們要對存儲事件和惡意行為分析。我們可以利用大量規則和學習方式去攻擊黑客,這和黑客的攻擊方式是類似的,可以用機器深度學習的方式,人的行為方式去分析出來共性特征,然后加到大數據分析平臺中,再根據域名信息挖掘,郵件深度分析,郵件傳遞過程中出現了什么問題的,敏感信息外泄檢測以及情報關聯分析與追蹤溯源。
外部的監測。
主流數據獲取工具監測案例。
SQLMap也是非常多客戶使用的,監測漏洞,拿去數據的攻擊。這是黑客利用SQL Map進行注入攻擊,我們能實時檢測,可以利用大數據方式還原SQL Map注入詳細的參數信息,獲取非法讀取數據庫的表字段信息。比如通過SQL注入技術或SQLMap數據,黑客拿去了客戶網站里多少字段,子彈里多少信息,上面拿了多少條數據都可以一一展現,并可以重讀還原出來。
菜刀是現在中國以及國外黑客使用非常多的Webshell管理工具。很多的時候,用菜刀連接網站時可以執行任何命令,也是可以對它進行解碼,進行檢測。檢測菜刀的同時我們也可以知道,利用菜刀篡改了網站里什么樣的信息,反饋的數據。
并且右側這張圖可以看到,黑客攻擊使用菜刀后門的路徑以及菜刀密碼,在這里面也能實時展示出來,我們可以檢測黑客所有的行為,包括菜刀的路徑、密碼以及執行的指令,后面它有個數據,也是檢測獲取數據庫密碼,它所有的東西我們可以實時監測出來。黑客或黑產攻擊的同時,我們能把它的證據在第一時間獲取出來,能挽回企業和重要單位重要的損失,能做到回溯過去,發現現在以及預測未來的工具。使用POS密碼、CAIDAO等,黑客攻擊的密碼、手段和武器,比如菜刀的手段,目的是獲取網站里大量數據的情況。
剛才用SQLMap數據注入的手段,還有用網絡菜刀獲取數據手段造成數據泄露,利用木馬城區獲取數據的手段。Ghost也是中國比較有名的遠程控制木馬,可以對你的電腦添加刪除和文檔的獲取,文檔獲取過程中可以利用它的規則共性特征做實時的檢測,右側這邊的圖有很多共性的東西。
比如通訊時分析F模式和BF模式的木馬。木馬通訊時會把對方受控者機器名和內存大小、機器版本、網絡IP信息會傳遞給控制者,我們能發現它共性的東西,我們可以利用特征識別方式,在下面的圖里能看到通訊協議解密和解碼功能時,能看到對方如果拉取機器里的郵件、文檔或重要數據時,我們能實時檢測,并給報警還原出來。
其他外部形式信息泄露的監測手段。
1、利用數據泄露、撞庫等形式信息泄露的快速發展。很多信息泄露是用撞庫的形式,他拿去了國內非常重大的網站數據,可以用這個數據撞另外一個知名網站的數據,以及信息泄露,撞庫的同時可以看到不同的IP,正常情況下,一個人的行為是非常有規律的,如果是同一個IP同時獲取不同的帳號和密碼,去嘗試登錄不同的帳號和密碼,并且IP來自國外。
我們知道,黑客和黑產攻擊時,現在國家《網絡安全法》和工信部、公安部打擊網絡犯罪非常積極,以及非常嚴厲的,一般撞庫的人不敢隨便用IP。所以,我們定很多規則,包括撞庫時來自國外的IP,對使用不同用戶名和密碼對一個網站進行登錄獲取的過程都知道,這只是場景之一,我們還可以設計其他的場景。
2、預置軟件非法獲取個人隱私行為檢測及取證分析。中國有很多App軟件,把你的手機號,非常詳細的家庭住址,包括門牌號、個人信息以及通訊錄信息也都回傳到自己的后臺中,這也是竊取個人信息非常嚴重。因為有《隱私法》只規定回傳數據隱私多少,這是我們實際工作中發現很多人的信息被獲取了,一是獲取到公司里,二是黑產里或黑客后臺中。
3、對VPN、隱秘通道以及TOR的識別監測。
我們監測這么多的不同形式的信息泄露,可以完整地監測,黑客利用了哪些手段進行了數據竊取,我們如何能當時快速發現。
內部監測。
對內部監測時也有很多的方法和手段,最重要的是,因為我們當時在溫州有個廣電系統被黑時,當時以為是黑客的攻擊,最后發現也是內部人員對有線電視去做的破壞和篡改。
剛才講的例子里,銀行里也有人員把信息泄露出去。有一個經常探討的問題“外部銅墻鐵壁,內部非常薄弱”,所以,我們對內部也要進行詳細的監測。周斌總剛才講了利用Wi-Fi破解這個公司的密碼,獲取網上SOC里云安全數據。基于數據流量的獲取正好可以和云安全做互補動作。SMB共享攻擊里也有用戶有文檔共享的過程,有些黑客入侵公司也會尋找內網共享的情況,內網共享我們會把數據包電子證據完整保存下來,也可以對它進行詳細地分析的過程。
每個規則觸發不同的報警,比如SMB共享,利用菜刀、SQLMap注入也有不同的規則,觸發報警時也會保存不同的攻擊數據包,保留完整的電子數據。電子數據里我們也可以利用不同的專家,SMB共享里可以瀏覽到Pattern值或files文檔信息。
其他內部信息泄露的監測手段。
除了通過SMB共享,還有內部信息泄露里的網盤,現在很多網盤信息上唇比較方便,有的網盤可以上傳上百G或上T的數據,我們做其他電子取證過程中,很多公司知名數據庫或文檔數量也是非常大的,有上T的數據,公司也會有數據可查,利用網盤上傳時,我們做其他電子取證時看到有人用網盤上傳了公司上T的數據,我們可以用進出流量比,每天進的流量10M或100M,但出的流量有上百G或上T的數據,肯定這個人有異常的行為。
對SVN代碼服務器的監測。
結合威脅情報發現內外部信息泄露的異常行為監測。
剛才講內部情報發現內部的一些問題,有一些公司在招聘網站上頻繁地動里簡歷,我們就知道這個員工有離職的傾向,離職的原因可能是公司待遇不好,工作不愉快。如果這個人在重要崗位有可能會獲取公司很重要的信息,我們可以對異常威脅情報做重點監測,這段時間內重要資產進行詳細的分析。
今天我的介紹就到這里,謝謝大家!
下一篇:朱小黃:金融科技安全探討