360譚曉生:安全體系已經從城墻防御變成塔防立體防御
責編:admin |2014-12-23 16:04:22現在很多企業互聯網化了,未來將會有更多的業務使用IT,而帶來的問題就有安全問題,最近有一個新聞挺震驚的,美國索尼電影公司內部系統被黑客入侵以后整個公司斷網了,完全回到紙筆辦公,被黑客控制以后,一上電腦,數據會繼續泄漏……安全可以說是最頭疼的問題,那如何應對呢?下面就來看看360副總裁譚曉生分享的內容:
我主要介紹一下我們的信息安全防御體系怎么建的,從安全理念、防護體系、安全團隊三方面講,最后,介紹一下全球新的防御思想是什么。
我們是怎么構建安全防御體系的:安全理念,一個中心、兩個原則、三個陣地和四個假設。
首先,總體防御,要的是辦公網、數據中心、VPN網絡,如果沒有VPN,你非常危險,如果郵件服務器直接放公網上,郵件系統二逼搞定的可能性非常大,對360來說,如果上公司內部任何系統,都是需要經過VPN的,有雙因子認證才能上VPN,經過很多不同的訪問控制。對360來說,我有十多個辦公室,80多個數據中心,涉及到國外的數據中心,VPN要求員工出差時隨時能夠接入,收郵件必須通過VPN。
兩個原則:攻防平衡,自主可控。攻防安全,安全做起來是有代價的,甚至花在多錢都不能做到百分之百安全,要平衡我要保護的商業目標的價值是多大、盈利能力是什么情況,花這么多錢的情況下,做到盡可能好的防御。第二,自主可控。我也買過別人家的安全產品,過去掃描類產品,黑洞抗擊Dos供給的東西,最近走到了自主可控、自主開發這條路上,自己首先要明白該怎么防,別人家的東西都是防的組件。講自主可控,其中一個原因,說句實話,現在外面產品不太靠譜,美國的稍微好一點,國產的很多東西非常不爭氣,只能用它解決局部問題,大量洞需要自己堵,說的夸張一點,有時開玩笑說這是一堵墻,墻上有幾個洞,但是,在黑客圈里,大家覺得那不是一堵墻,僅僅是擺幾塊磚而已,站在攻擊者和防御者角度看待這個問題時候有非常大的差異。
三個陣地:第一道防線:中國邊境線,邊境線是什么?第一,你的產品,我們有客戶端產品,產品在用戶機器里運行時本身有漏洞,就會帶來非常大的問題,你的手機或者你的手環或者家用路由器和汽車控制的東西,這些是是你的產品,這些產品如果有漏洞同樣很要命;第二,對外提供的服務,指Online服務,特指WebService,我們網站是給大家提供服務的,我們每天消耗100G帶寬,有非常多的外部服務,在今天我們面臨的時代,VPN越來越外部化,漏洞非常多;第三,員工,你的員工可能拿手機收郵件,他出差時,他可能在咖啡廳接入了不安全的網絡,你的網絡可能受威脅,邊境線到你的員工級別,你的員工是不是間諜?或者你的員工是不是在別人挾持之下做一些攻擊內部網絡的事情。第二道防線:保衛大城市,包括重要的基礎設施、重要的服務器、重要的業務系統、重要的數據。第三道防線:反潛伏,假設你被搞定了,沒人敢吹牛說自己沒被搞定,我干這幾年,開會時候,我問所有互聯網公司誰敢舉手說自己沒被別人偷過庫?我也被偷過。反潛伏,假設我被搞定了,有機器被別人控制了,有員工的機器被木馬直進來了,我怎么盡早發現?像反間諜一樣,手段無外乎監控、審計、大數據分析等等。
在企業里,現在做到安全,基本有四個假設:這個假設蠻殘酷的,
第一個假設,你的系統一定有未被發現的漏洞,這幾年投入的資金越多,挖出來的洞越多,今年估計過一萬我覺得沒啥懸念,去年7800多,而且CVE僅僅是一部分洞,外面Web軟件的洞多少呢?我們花三百萬塊錢收39000多個洞,不是某一個網站有那個洞,建站工具39000多個洞,一個洞能影響幾十萬個網站,到處都是洞,我們生活在道路都是窟窿的IT世界里。
第二,你的系統可能有洞,這個洞已經有了補丁,由于各種原因,你不能修補,如果你是生產型企業,人家告訴你工業控制的上位機用的是XP,現在發現一個新的漏洞,出了一個補丁,你敢補嗎?補了之后,工業控制系統可能真的不能工作了,我聽過最夸張的故事是導彈發射車的操作系統是XP的,我相信沒有人敢上去打補丁,沒有機會給你試一下,打完補丁之后導彈能不能發射出去,能不能命中目標,有大量系統有洞不能補。
第三,你的系統今天已經被滲透了,別人已經潛伏在里面了。
第四,員工不可靠,甚至做安全的員工可能都不靠譜,有的攻擊手段是找到原購弱點,比如他在外面包一個小秘,拿這個要挾他,讓他搞情報,你的員工有可能是別人派進來的間諜,有可能本身不是間諜,但是被別人控制了,或者僅僅是因為他比較蠢,搞定一個企業最簡單的方法是搞定網管,派一個年輕小姑娘去搞,給小姑娘兩百萬,你說這個小姑娘干不干,IT運維人員可能是最苦逼的活,還有一個辦法是搞定公司前臺,人是有漏洞的。我們其實是在沙灘上建筑防御攻勢。
攻防理念:你想攻擊者所想,還好,360公司本身是做安全的,過去在歷史上招募了一堆黑客,差不多一半黑客,一半開發工程師,我2010年接手的這件事,理念是首先找攻擊者,沒有攻擊者思維,防御無從做起,我首先找過來黑客,發現寫代碼的能力往往比較差,能寫代碼的人員非常少,我開始配開發工程師,做工具。
防御體系,我們的防線無外乎這么幾個:第一,網絡訪問的統一管理平臺,第一步首先是準入,員工個人的電腦帶到公司里是不能用的,不是說通過管理手段不能用,而是通過技術手段不能用,我們員工的電腦首先必須是公司簽發的電腦;二是必須裝了安全軟件才能上網,否則訪問任何東西都給一個提示,說對不起,你的電腦不能上網,原因是123456,不是公司簽發的電腦,根本不會加入域,802.1X的認證不會過,不會獲得正常IP,假如公司電腦,入了域,終端管理軟件會和一臺服務器非常頻繁的通信,會告訴我這臺機器裝了沒有,出去沒有檢測到有裝軟件的打點記錄,對不起,802.1X根本不會分配IP,這臺機器如果超過24小時沒有重啟,也會把XP踢到非正常IP網段,訪問所有東西都會提示對不起,超過24小時未重啟了,要重啟。我們過去發現一個事故,發現員工兩三個月沒有重啟電腦,后來強制24小時必須重啟,這是完全可以接受的。在網絡邊界上布了群流量監聽,我們差不多是100來G帶寬,全部抓包抓下來,長期存儲,反復運算,用概率找小概率事件,每天大量發生的事是正常的,攻擊是小概率事件,然后建模,試圖找出來網絡威脅。無線入侵檢測,在公司里,無線局域網是非常常見的,無線局域網是非常危險的,大家有一種設備,帶一個充電寶,到你那兒能夠工作一兩天時間,基本可以訪爆所有設備,你的設備過去連過哪個設備,不斷重新發起掃描,這個設備可以告訴你你連上來吧,攻擊開始做了。
在公司里要檢測有沒有人起來非法App,問所有App的時候,我會查過去連過什么樣的App,無線其實是一個弱點,我們手里有高達5.5萬億條的密碼庫,抓半個小時包,回來以后拿服務器一算就可以了。Web安全掃描系統、Webshell白盒掃描系統,兩套掃描器交叉掃描,經驗數據是兩套掃描器重疊掃描概率的90%,有90%洞兩個都能發現,還有10%個洞各自發現。Webshell白盒掃描系統,對服務器上代碼做檢測,對安卓有半自動化掃描,掃描系統做法上,我們采用不相信員工的策略,明白告訴所有員工,默認不被信任,我要通過各種手段查你,包括對于開發人員,要求開發完之后送交安全審查,然后上線,這個事能得到遵守的可能性微乎其微,開發人員有個特點,開發完之后要測一下,部署一個代碼之后,自己總要上去看看對不對,我把這個過程抓下來,只要發現過去掃描沒有掃到的URL,掃描器立馬找漏洞,服務器上代碼一產生改變,掃描器立馬開始掃描,做成全自動的,規定你報,不報也能抓出來。后來做了鷹眼,當當、去哪兒等將近十家互聯網公司在用,銷售許可證前幾天才拿到,沒有銷售許可證的時候,這些互聯網公司開使用了,我不要求制度,我認為制度不可靠,靠系統自動發現。辦公網的安全審計等等,比如申請ACL,過去ACL是申請了我就開,開了之后放在哪兒?時間長了,人們要一個什么東西時候會找你要,不用的時候很難告訴你,ACL也是,核心交換機上抓了所有的網關之間的流量,我會看哪IP和哪個IP用哪個端口進行過通信,通過大數據的方法,校驗ACL策略,如果沒有某種通信,最后還是要問他為什么當初要申請這個東西。
第二層,比如VPN訪問是雙因子認證的,重要業務系統訪問是雙因子認證的,對所有員工的密碼采用暴力破解,有一臺6CPU密碼破解設備,要求是復雜密碼,15位以上,附加條件是只要能夠被我們算出來無條件修改,過程全是自動的,算出來之后3天之內改,如果不改,抄送APP,再不改,直接開掉。所有機器通過加固機器上去,有數據安全審計系統。服務器上,有日志系統,日志有兩套,本機有一套,遠程有一套,我們用這套手段成功抓出了三年前試圖在春節前看12366的同事,他在服務器上干活的時候,信息安全部同事已經報告到我這兒了,要直接把他踢過去,春節前把這個人開掉了。對于服務器上產生的新聞檢,需要做Webshell的掃描和監控。
內部使用工具上,我們要求做安全防范的同事像產品經理一樣,360產品比較講究用戶體驗,我們做安全產品時也是這樣的,哪怕內部工具,也要求做的好用。團隊,目前信息安全部有36個人,一半黑客,一半開發人員,從團隊分工來說,有專門負責網絡層的,網絡設備、網絡協議;有負責Web安全的,有負責云計算安全的,私有云規模也挺大的,有無線與硬件安全團隊,現在發現硬件領域的安全還是蠻荒時代,拿到攝象頭之后,拆開以后,馬上能找到破解方法,我們做了一個盒子,WiFi模塊和以太網模塊上面都有,完全靠軟件很難搞,做了調試工具,有安卓安全組,有iOS安全組,有應急響應中心,有專門做協議和逆向分析組,在360安全公司里,我們本身能得到安全主線的支持,即使這樣,我們還是建了完整的團隊。就像前面李大學講的,做技術支持,其實和商業結合很重要,和商業的關系怎么處很重要。
萬物互聯的后移動互聯網時代
在座多數是同行,從IT來說,有些什么新的趨勢呢?智能硬件越來越多,不管叫物聯網,還是叫智能硬件,今后幾年肯定越來越多。但是,它的安全是非常成問題的,今年Defcon上有一個展示,45分鐘,展示22種硬件設備,包括海信電視機、LG冰箱、亞馬遜機頂盒、索尼和松下的藍光播放器,今年發現USB的漏洞,入侵的話,可以改USB Firmware,智能硬件變成了破解對象。我們過去的防御,不管防火墻,還是IPS,有用沒用?有用,十顆***過來能擋住三顆、五顆,在物聯網時代,過去的東西沒辦法保護你的安全,由于太大,或者由于部署原因,沒辦法部署在那個東西前面,過去我們的防御思想是邊界防御,剛才那些全在網絡邊界上,越來越模糊,而且會持續的模糊下去,為什么?互聯網給我們帶來的紅利本質上是什么?無外乎兩點:一個是信息變得對稱了,信息流動變得快速和便捷;二是數字信息的復制是無損的,可以非常快速的傳播,天然的屬性會讓邊界變得模糊,隨時隨地都能聯網的時候,人到處走,身上帶的智能終端設備跟著你走,網絡不斷的變,如果靠傳統的防御思想已經過時了。今天企業的網絡邊界已經推到了某個設備上,不管是隨身帶的,還是房間里的智能設備,或者是一臺服務器,或者是租用的虛擬機,到了某一個對象上,邊界在那里,邊界的防御思想要跟著辦。
安全體系也經過了若干變化,現在流行的安全體系是立體防御,說穿了是什么?由過去玩工程的游戲,就是靠城墻防御變成塔防游戲,區別在哪里?城墻一旦被打破,進去可以屠城,如果塔防程序,進攻者需要過一道一道關,過去叫硬殼軟糖,殼咬破之后,里面的東西很美味,現在玩塔防新的安全模型,云管端,管道就是邊界一級的防御,終端上的防御,在2014年,終端防御的優先級重新被提高了,過去大家認為終端已經做到那個樣子,殺毒軟件快做死了,過去終端管控也不是特別有效,今年對于終端安全的重要性又提升了,這條防線到什么程度了呢?開始和云結合起來,一個程序在某個終端里運行時,會采集它的行為,他做了什么API的調用,它用了什么資源,會把這些信息匯總到云端,云端可以收集多個終端設備的行為信息,再用大數據分析看有沒有異常,和過去在單個終端上做的安全防御有非常大的變化。終端這一級要引起足夠重視,第一,要納入安全防御網絡中,第二,終端要有自我防御能力,這是下一步可能要增強的,終端要能檢測到它自己遇到了什么問題,它有自我防御機制。云是這些年一個大的變化,可能已經有超過5年時間了,云安全思想,云提供的是更大的數據存儲能力和更強的計算能力,我有了云,有算力,可以翻來覆去算歷史數據,找出中間的異常。
新的安全邊界在哪里?安全邊界有很大的變化,過去網絡出口是邊界,現在某一臺終端中跑的一個應用程序變成新的邊界,比如手機里的一個App會變成新的邊界,今年有一個思想,軟件定義邊界,過去我們做ACL,從這臺設備到另外一臺設備中間可以通過哪個端口進行通訊,今天要看的是某個終端中間的某一個應用程序可以和另外的某個終端上某個應用程序通過某個端口進行通信,深入到一個終端物理設備內部進到一個程序進行控制。
有了云之后,你的網站可能在公有云里邊,公有云中有很多東西是你不能控制的,比如多住戶安全問題,比如云服務商會不會偷看你的數據問題,你的邊界已經推到云里了,這個邊界也需要一系列解決方案,這方面有關的法律法規比較欠缺,后面幾年大家肯定能夠看到這方面的完善。無線網絡,這是一個新的邊界,還有各種各樣智能硬件設備,會帶來新的邊界。你開的汽車,車聯網,邊界又到了車里,今年云的趨勢叫混合云,私有云和公有云最后可能會變成混合云,邊界是動態變化的,邊界防御沒錯,只是在邊界防御具體怎么做上會產生非常大的變化。
要重視一點,Thaeat Intelligence,這是今年特別熱的一個詞,要做完全,要玩情報這一級,我們認為需要兩方面東西:第一,大數據收集與分析能力;第二,攻防知識。所謂的大數據的分析能力,我要能夠存儲多長時間的數據,有多大的業務范圍,業務細節程度,一個App同另外一個機器里的App通信,如果不了解業務規則,你很難知道這個通信應該不應該產生。這個業務到底是干什么的?到這一級才能知道訪問到底是不是違規的。中心是攻防思想,給一個銀行做一個安全解決方案的時候,剛開始開發人員拿了一套方案,看著不滿意,我把信息安全部人叫過來,問他們應該怎么搞,他們講一個小時,攻擊者提的攻擊點和防御者設防的地點無一重合,兩者是完全不同的思想,攻防知識其實是核心。