北信源鐘力:大數據驅動的泛終端安全
責編:mhshi |2017-06-15 14:55:19
第一,面向個人用戶的與經濟利益緊密相關,已經形成了黑色的產業鏈,從木馬的職責傳播和竊密,形成了很大的黑產,號稱跟網絡安全產業基本上旗鼓相當。去年開始的勒索軟件到最近“永恒之藍”也是這樣的,勒索軟件這兩年已經占據了安全威脅的快速頭條了,非常地嚴重。
也許是網絡空間作戰,尤其是看看行業應對的措施是不是足夠強。可以看到面向互聯網用戶的是有組織有國家、有地區背景支持的一些網絡攻擊越來越多,這樣的一些攻擊的特點是有技術、有時間、有資金、有人力,能耗得起,可以做很長時間的攻擊,這種不是單個的黑客所能具備的能力。它已經逐漸地具備攻擊國家基礎設施的能力,賭博士說“大藍+”來了,實際上和平年代它是以竊密為主,現在是更多跟人的切身利益相關的。而且現在我們一講APT,有大的國家背景支持的大規模的攻擊都是指APT攻擊已經成為了先進攻擊的型號。
前面說到的威脅,這些威脅的核心其實就是我們的病毒,當然現在的病毒已經不是一個傳統病毒的概念,實際上是一種更寬泛的概念,我們現在統稱為惡意代碼,它一直是各種各樣攻擊的核心,我們APT的支撐點,怎么進來、怎么為后續的攻擊竊取服務,都是攻擊的核心所在。現在惡意代碼的多中心技術也是多技術的融合,越來越強,不是單一的技術所能把它完整的描述的,在惡意代碼攻擊的全過程中,比如說植入再進入計算機,進入信息系統,這種階段它可能會有漏洞利用,我們常見的掛馬,還有利用漏洞的關系的,我給你發一個郵件如果用你的朋友給你發一個木馬也許你就收了,這種可能性就很大。在進入以后有很多的隱藏,啟動包括一些內存主流和加密,包括對郵件服務器的攻擊,你的郵件服務器是不會關機的,它會駐留在上面,包括后面的火焰病毒慢慢要獲得合法程序,變成一個合法的程序。同時它的控制端是一個什么,基本上肯定都會采用動態域名的方式進行動態開放的遷移,使相應的機構或者是處理,增加了很大的困難。這就是惡意代碼相關的演進應該說在攻防對抗中,惡意代碼的防護已經非常非常關鍵了。
這里簡單講一下近年來幾個重大的網絡安全事件,第一是震網病毒,它是針對伊朗的核設施對普通的民眾是影響不大。到烏克蘭電力事件的時候你會發現它會給你的生活帶來很多的不變,甚至是給財產帶來了損失,包括火焰病毒也刷新了我們的認識,過去的木馬病毒是很小巧的竊情,火焰病毒是接近20M是模塊化的,可是功能非常之強。還有一個是海康威視,是2015年的,這是物聯網的發展,很多物聯網的設備IP化了以后,帶來的安全問題一下子也會凸顯,其實也是很簡單就是缺損和默認的賬號密碼,可是這樣的東西剛上來的時候,會帶來很多很多的安全問題,像我們進入到物聯網的時代,不僅僅是攝像頭還有很多的物聯網設備,他們進來以后會給我們的網絡安全防護體系的設計或者是實現帶來了很多的難題,或者是增加我們很多的脆弱點,包括近期的“永恒之藍”,以及NSA的泄漏,可以做到像硬件級的控制,你怎么去升級軟件更改都沒有用。這是一些大的安全事件,表明現在的安全挑戰越來越大。
在這樣的一些網絡安全威脅下我們如何來做網絡安全體系的設計,今天我的內容主要會聚焦在終端上,按照原來美國的信息保障體系框架IATF(音)第一層是深度防御策略的,網絡與基礎設施的防御,第二是網絡與邊界的防御,第三層是計算環境的安全,終端安全就在計算環境的安全上。終端是非常非常重要的一塊,應該說它是所有網絡攻擊的跳板或者是目標,在終端能有效地感知威脅,現在我們幾乎所有的高等級的網絡安全攻擊都進行了網絡層面的隱藏,基于網絡數據是很難有效感知的,除了現在的web攻擊可以看得很熱鬧,實際上,很多的高水平的攻擊很難在網絡層面對它進行有效的感知。可是這些攻擊不管在網絡上如何隱藏,最重要要有所作為,都會在終端上有所展現。同時我們要確認一種網絡攻擊是否發生了,或者它造成了什么樣的危害和后果,我們要取證,我們過去做了很多取證方面的事情去看和調查一個攻擊,最終還是要在機器上查,在終端上進行確認。同時,我們對合法和防守方,我們的用戶來說,用戶的行為不管是合規的行為也好,違規的行為也好也會在終端上進行完整的體現。同時,我們每個行業會有它的特點,我們講APT攻擊,其實它是很長久、很持久的,會對一個行業,比如說我要瞄準電信部門或者是瞄準能源部門,我會針對它的一些具體的應用做漏洞的挖掘。所以APT攻擊是跟應用關聯的。
因此這里講的是終端對安全防護是非常重要的,對我們調查取證安全事件是非常關鍵的。進一步聚焦終端就是行業內容終端,實際上,對一個國家來說,國家安全所關注的當然也關注互聯網的一些終端,關注個人信息,可是更重要的是我們的政府軍工能源,我們國家的一些重要的基礎設施是最為關注的,這里的終端是重中之重,關系到國家政治經濟安全,這些終端實際上是境外的黑客組織和情報機構或者是境外網軍作戰的目標,是我們的行業內網中的。同時也可以看到當前IT發展的形式下終端形式多樣化,傳統的終端形式仍然存在,服務器、PC、筆記本電腦,包括我們的手機在我們終端形式依然存在,在物聯網時代到來的時候,終端形式就更多了,比方說我們在給一個企業做安全解決方案的時候,會涉及到很多新的需求,像對攝像頭的一些監控的需求,對充電樁的一些監控的需求,包括中石油暴露出來的加油站等一些終端,包括可穿戴設備智能家居,我們汽車聯網以后可能都會成為這種防護或者是攻擊的一些對象。
這樣的話在物聯網時代,安全管理的復雜度是急劇上升的。一個是云計算的發展,可能我們的網絡邊界的模糊化,當時也是谷歌有這種文章,再一個我們剛進安全圈的時候提到了木桶原理,很多終端接進來的時候,移動接入的時候會存在很多的漏洞點,會急劇地增加。
這樣的狀態下我們怎么樣進行終端安全體系的設定?主要是在兩個方面,第一是從終端入網開始我們要開始全生命周期的管理,主要體現在網絡控制和終端防護與監控上面。主要是三個層次,首先終端在過這個邊界的時候要進行準入的控制。第二進來以后我們要保證系統的安全,再上一層次我們要保證數據和應用的安全。在防護方面,我們是防護監管的一體化,實際上這不但適用于行業終端,互聯網終端也是一樣的,在我們行業終端的時候,在等級保護上,我們國家的等保政策和涉密信息會很明確地提到防護監管的一體化,既要做防護設施也要為監管提供接口。互聯網終端可能認為不需要監管,實際上你們裝360的時候已經被監管了,只是很被動的監管。這是免費使用殺毒產品帶來的被動的監管,當然行業也有相應的國家要求。
北信源的終端產品體系是為剛才的理念防護監管一體化打造了三縱四橫的管理體系在當前的架構下,我們在縱向提到的邊界安全、主機安全和數據安全上,我們在橫向面向不同類型的終端,傳統的Windows的、Linux的、國產終端、移動終端和虛擬終端,將來到了物聯網的時代,下面還有很多類型的終端,所以橫軸是很多的。在終端越來越多的情況下我們要利用大數據來驅動進行分析,能進一步的提升安全能力。邊界安全方面,我們這塊做的是要保障一個主機在進入網絡的時候是安全的,確保只有安全合規的終端主機才能接入網絡,解決網絡接入設備的合規性級用戶操作行為的合規性問題,遵循接入可控與合規的理念。這種準入控制是傳統的一次準入后面就一直使用,現在要求的是動態轉入,基于主機安全狀態合規的,一個主機接進來是合規的,過一段時間沒有及時地做升級更新,出現什么問題,安全評估不合格會被置于隔離區做安全增強或者是修復,是動態的。同時控制方式有多種,可以適用于多種場景,有一些企業是固定IP的,有一些是動態IP的,準入控制方式是非常多,有的是通過交換機來進行控制,還有直接走入網關來做。在主機安全層次首先要做的是基線的安全配置,熱配置和終端有技術的安全的配置,這是等保和分保都有新穎的要求。其實美國聯邦政府的FDCC大家都聽說過,這也是聯邦政府的信息安全配置,我們國家也發布了相關的標準,應該是國家新聞中心做的電子政務網絡的核心配置,都要求計算機應該具備相應的安全基線配置以后才進網使用。第二是做主機行為和監控防護的,這塊會對文件訪問的行為,系統的配置,做一些控制,同時對外設的使用,包括網絡的一些訪問做監控。再一個是異常監控行為的正常模型之外的行為的監控。第三個是補丁管理,這次“永恒之藍”也凸顯出了補丁管理的重要性。第四是對上述的行為進行審計,主機安全。
應用層面是數據和應用的安全,這塊涉及到的,首先為主機上的數據提供安全防護,比如說像文件保險箱和加密的措施,第二是數據防泄漏,我們這個主機上的敏感信息在流出的時候,通過電子郵件和及時通信郵件可以看看有沒有敏感的信息進行泄漏,這是防泄漏的檢測。我們要打印一份刻錄和復印。第三是數據的安全檢查,計算機應該符合安全的規定,有一些行為是可以做的,有一些行為是不能做的。大家應該熟知的非法外聯的保密安全檢測。
基于這樣的一些手段,我們提供統一的安全管理,提供這種防護監管一體化的安全管理手段。我們傳統上可能不同的安全產品,尤其是CS架構的產品,不同的產品有不同的客戶端和管理端,用戶那里使用是非常痛苦的,用戶的主機上裝了3、4個大家都會覺得會有兼容性的沖突的問題,現在用戶的需求是在客戶端上盡量地變成一個客戶端統一調度,在服務端也是一樣的,我們不能每一種產品都是一個控制臺來管理,進入我們的信息中心幾個大屏都不夠用,這種管理是要做到統一的安全管理,一個平臺管理所有的終端。這樣的基礎上帶來的好處是使得我們為大數據的擴展提供基礎,同時有了數據以后有了數據的基礎,我們可以更多地加入機器學習人工智能的分子進一步提升安全的能力。
前面講到了防護的架構以后,重點再提一下防病毒。這里的病毒不是傳統的病毒的概念,而是惡意代碼防護的概念,現在的病毒木馬等這樣的都可以歸入這個范疇了。現在的產品體系里,防病毒主要是兩塊,一個是網絡防病毒,基于網絡數據來做防病毒,另外一個是主機防病毒,在主機上通過病毒行為來發現病毒程序,或者是做靜態的掃描。實際上我們在終端上大量使用的病毒但是未知病毒發現不了,行為監測是需要用戶有一定的介入,而且需要加入人工的判斷,而且有誤報存在,在行為檢測更多是通過云端來做。當前的防病毒產品或者是反APT的產品,實際上他們只是發現了APT的線索而已,我們做APT攻擊的時候,是半年或者是長達一年的時間查一下查出來,所以只是發現了一個線索而已。這種監測方式通過沙箱通過旁路的方式用虛擬執行的方式來判斷,是不是有APT攻擊線索的出現。
第四,這里要強調防病毒產品多樣性的必要性,如果我作為一個黑客進行攻擊的時候,開發了一種惡意代碼,肯定是要把市面上主流的放毒產品過一遍看看能不能查到我才會做攻擊。同樣的,對安全廠商來說,對我的用戶來說,某種程度上也是需要不是一種防毒產品而是多種同時存在。公安網絡上也是的種殺毒引擎同時存在的。
防毒這塊北信源和啟明星辰一起成立了辰信領創,現在很多的殺毒都是擺設,北信源看不下去了,進一步拓展我們終端安全的能力。
推出的第一款產品是景云網絡防病毒系統,三個組成部分,在終端上的代理,Web系統控制中心和私有服務器。這個產品的部署是既可以面向互聯網用戶的公有云的部署方式和云查殺的方式和病毒的監測,跟現在的殺毒產品架構類似,還可以部署企業私有云,也可以做云查殺。查殺的過程中,尤其是云查殺中有多種的防病毒引擎做協同的查殺,這里有狩獵者引擎和云查殺引擎等進行協同查殺,確保這個更為準確或者是沒有漏網之魚。
在技術方面,有這么幾項,一個是Matrix人工智能啟發引擎。第二是多步主防技術,一個惡意代碼做攻擊的時候,行為展現是分多個階段的,比如說一個很典型的惡意代碼藏在Word文檔里,用戶如果點開了這個Word文檔里面,通常是漏洞的利用程序,執行完了以后再到它的控制服務器再下載相應的真正的攻擊程序,這個程序再運行下來會釋放到系統的階段,或者是文件系統的每個步驟,這樣多種的行為來進行判斷,實行惡意代碼的入侵。
還有我們對WannaCry勒索病毒的侵害。這對我們的影響很大,我在高速上接到了天津的病毒中心打的電話,需要一些相應的專殺工具,我們公司也緊急地做應對,推出了一些專殺工具,包括的一些陸續的數據恢復,包括了解密的工具來有效地應對病毒。
說到終端安全體系的架構,最后我想說的是大數據驅動,我們在現有的安全體系之下,在部署到一定的安全終端的量了以后,我們如何來進行大數據驅動。應該說會很自然的想法,因為大數據驅動不只是我們廠商,在跟我們大的行業用戶和客戶交流的時候,很自然都會想到要利用大數據技術來驅動,這是因為云計算大數據技術的落地于實施,為我們的大數據驅動提供了平臺和技術基礎。我們的目的是利用大數據來加固內網安全,提升安全管理的能力和效率,用大數據的好處是前端可以做到更大時空維度的數據采集和存儲。我們過去在做安全的時候,在主機上的一些數據,通常做完了處理以后那些數據就扔掉了,一次性的處理,有了這個大數據平臺以后,很多的線索和數據能夠把它存儲下來。
半年前受限于檢測能力,可是相關的可以數據保存下來了,半年以后我的檢測能力提升了,看到了這種攻擊線索,再回溯和調查分析會發現這個家伙半年前就來了,我們可以做更唱時間維度的分析,實際上我們做這種APT分析的時候也是要綜合很多歷史的數據或者是綜合很多地域的數據,這樣才能形成我們對APT攻擊完整的描述。前端有了數據以后,我們后端就可以很自然地把這些數據做更好的分析,最終的目的是能做到基于大數據的網絡安全管理應用的性能監控、安全態勢感知核威脅情報獲取,可以提供更有力的決策支持。我們行業的用戶里,不管是政府軍隊還是竣工這樣一些行業的用戶都是相對隔離、相對封閉的網絡,它的四不像互聯網上的終端和攻擊的事件,內網的事件沒有那么多,有很多的關注點在我們部署的應用上到底怎么樣,需要了解。所以我們就要做這種性能監控,而且把這里面的一些東西和安全能結合起來。
大數據驅動的類型,這里面主要是針對終端的有兩種類型,一種是基于互聯網終端的,像騰訊和阿里包括一些防病毒廠商,終端商的數據都采集上去,到廠商這邊做會聚和分析,騰訊管家7、8億的終端,億級必要的數據匯集到那里,會做分析,看你用戶的一些行為等等一些東西。在行業內網里面,我們不可能把所有行業中的數據采集到北信源來分析,是基于每個大的行業和信息系統來做的,大類的信息系統,比如說公安內網和國家電網終端數量是在百萬級的,雖然差了兩個等級,可是在采集的數據和用的數據來看,其實不比互聯網的數據差多少,都是在數據量級上相差不大的。
北信源在大數據驅動上有很多的基礎的。我們的終端安全管理產品是連續11年在全國市場占有率第一,我們管理著超過4000萬臺行業終端,數量非常之多,我們在部署大數據系統的時候,只要把我們的客戶端做一個簡單的升級,就具備了這樣前端強大的數據采集能力。
大數據驅動的目標簡單有三大塊,第一是基于大數據的安全管理,會有資產威脅和脆弱性等風險要素的全面管理,也有依據國家標準的一些合規性安全管理,以及基于事件的安全管理。第二是基于大數據網絡安全態勢感知和威脅情報獲取,我們可以把威脅的狀態進行展現,同時可以做針對APT攻擊的深度的挖掘和分析。第三是機遇大數據的業務應用性能的監控目前我們做到的數據源主要是終端上的一些數據,上面各種各樣的應用的數據,以及每一個行業內網中必要的網絡數據進行采集。現在我們基本上每臺終端每天采集的數據在兩兆左右,一年是P級的數據量來進行分析。這是簡單的大數據處理流程,會采集一些日程和日至、流量,利用大數據平臺來做這種存儲,包括后端的分析。這是每個層次相關的大數據分析的一些組件,采集、傳輸、存儲、分析,到最后的大數據的展示。
這是后端大數據相關的分析模型,包括了用戶行為方面的,涉及到網絡分析的模型。前端的數據很多,我們后端可以很好地去做相關的模型來做分析。同時后面分析需要什么樣的數據,可以再去定制策略讓前端的代理做更好的數據采集。這是涉及到應用性能監控的模型。這是北信源大數據驅動的泛終端安全管理平臺,一個架構,可以簡單看看。這是一個平臺的應用界面把最后的使用展現給用戶的一些內容,關于業務應用性能方面的一些呈現。這也是應用性能監控的一些內容,這里還有安全相關的日常用戶的一些監測,比方說我們在給中國移動和公安內網做的時候會有異常用戶的監控,比方說涉及到一些數據不是這個警種的人的時候,其他的人來看會有一些問題,像王寶強等等這樣的一些事件的時候很多人查人家的記錄,這些都可以在大數據平臺上展現出來,分析哪些用戶是違規查閱的。這是終端控制臺的大數據分析展示的效果。大數據展示基本上沒有太多的地方大家做的內容都差不多。
我們在大數據驅動這塊目前的平臺已經有幾個典型的用戶,一個是公安部全網進行了部署,約300萬臺的規模。還有是國家電網的部署,這個部署也是100多萬臺的部署,基于這樣的行業終端安全。剛才提到我們做行業大數據驅動的時候,和互聯網不一樣的地方,做互聯網終端大數據驅動的時候,是所有的互聯網終端都會會聚到廠商,會聚到騰訊,會聚到阿里,在行業里面是不允許這樣做的。在每個行業大數據驅動的平臺都是在行業內部去部署的。他們的官員是什么,今天另外一個主題是威脅情報,威脅情報的分享或者是共享,在這一塊北信源做了安全服務云,相當于作為連接各個行業內部信息系統的一個紐帶,這樣的話我們可以做云端的安全分析,還可以每一個行業云里面有一些威脅情報和系統可以發給我們,我們可以有必要給其他的行業信息系統做警示或者是跟國家相關的部門去聯動。這是相當于北源在這兒做安全服務云的中間的連接紐帶。
最后小結一下今天的演講內容,首先我們是簡單回顧一下網絡安全威脅,蟲威脅入手,現在的威脅是越來越嚴重了。第二是介紹終端安全的管理體系,在當前物聯網的場景下要做泛終端的安全,這個安全怎么落做是防護監管一體化,既要防也要做態勢感知,獲取相關必要數據進行監管。第三,在終端具備一定數量規模之后,我們需要大數據的驅動,形成更高的安全能力。
這次“永恒之藍”病毒事件可以看到,當一種強力病毒來襲的時候,已部署的惡意代碼防護措施通常是無效的,或者是面臨著很大的挑戰。這時候是要求有效的應急處置,要有高水平的安全服務和快速的應對。這次事件不管是北信源或者是企業或者是綠盟這樣的安全企業那幾天都特別忙,都在為我們的用戶做服務和應急處置,我們的安全是沒有百分之百安全的,網絡安全一直是處在攻防對抗之中,希望我們業內的同行共同努力,來打造國家更加安全的網絡空間。
