谷安趙毅:量化信息安全風險
責編:rhliu |2016-06-29 15:33:03趙毅:大家下午好我是趙毅,首先感謝網絡安全大會也感謝主持人。最開始的時候主持人也說了,其實威脅情報這個話題現在這幾年行業里比較熱,代表著威脅情報說自己做威脅情報的公司也比較多,我是來自于咨詢公司的,我們實際上不是作為情報的公司,這兩年威脅情報這么火,我們也沾了威脅情報的光,我們主要做的本身就不是聚焦在攻防對抗、黑客攻擊這方面,所以今天希望從我們擅長的領域中,在風險管理的領域中給大家帶來一些關于威脅情報的不一樣的新領域的應用。
首先跟大家匯報一下,我們之前做了一些調研,大家也知道,現在威脅情報之前對國內外的威脅情報的數據資源做了一個簡單的了解,在這里我大概列出來,細數了一下據我們的了解,國內外大大小小搞這一類的至少有100多家的情況,之前威脅情報有各式各樣的標準,包括了規范、傳輸、各方面都有,我們基于威脅情報大環境的數據基礎已經具備了,我們不僅能應用在黑客對抗當中去,還可以應用在其他所擅長的領域,我們看一下下邊的。我簡單總結了一下關于威脅情報外部的數據這方面的產業鏈的基本的情況,首先,我覺得在幾個層面,很多搞威脅情報的廠家都是有數據的,數據是來自于報警、機構以及用戶的提供,有各種各樣的數據。往上了解我們有很多的處理和交換這方面,通過像大數據的技術或者是一些機器學習的相關的技術,各種各樣的領域都有,這些也有很多特別優秀的資源。另外,再往上實際上各個應用場景是不一樣的,外部的威脅警報的數據,大家常見的應用的模式,更多是放到一些設備里當成外部輸入的一些源,用它來做一些病毒的分析,還有一些用于SOC的接入,各種各樣的都有,其實外部數據還能夠在一個新的領域來做,就是做風險評估,這也就是說我們把多年擅長的東西跟外部的威脅情報的數據做了結合。接下來跟大家分享一下我們在外部的數據在風險評估和風險管理領域的一些實踐。
下面的一些內容主要是這樣的思路,給大家提出三個問題,我在三點價值上做介紹,另外跟大家分享三個案例,前一段時間在另一個威脅情報的論壇上,我曾經介紹過我們的方案,當時在座的有一些朋友聽過,我也是這樣的思路拿出三點來,可是最后我想說我們應用場景還有更多,下次再有機會給大家拿出來更多的應用場景和一些好玩兒的思路,所以說在這兒分享的話比上次再多一些分享的實踐經驗。
首先還是三個問題,我覺得這幾個問題一直是困擾著我,不是特別地清楚。互聯網+這個戰略就不講了,這個下面有各種+肯定有不同的風險,和未知的資產,我們經常做的金融的客戶中,資產梳理就是一個很大的難事。第二,我們的企業在整個行業中處于什么樣的位置,你的安全做了這么長時間,做得好與壞還是怎么樣,誰來做這樣的評價?為什么這么說?因為我從事這個行業有大概近十年的時間,我覺得其實大部分外部的威脅,例如黑客并不是說我必須要針對某一個點說就你有吸引力,我就想搞你,并不是這樣,其實他也算投入產出比的,他也是挑短板的,挑軟柿子捏,安全也是一個平衡并不是無限的投入,如果我們能識別行業水平中的位置,位置考后的這些可能會成為外部的威脅關注的焦點。我們希望能夠有這樣的一個識別包括自己做一個定位。
第三,關于合作伙伴和供應商帶來了三方風險怎么管理,在一般的運維,科技部門或者是很多甲方單位的IT部門下面的安全部門并不一定關注,他更多地包括銀行或者是一些企業當中的風險管理部,可能會更多地關注三方風險這部分,包括銀行最近幾年也對外包風險提出了更多的要求。就在這兒我們也把我們的經驗分享一下。
首先先給大家介紹一個案例,這是我們之前的一些項目中的實際情況,我們配合金融機構做風險處理,在過程中信息里的數據中心在國內,由于是國際的業務,所以說經常跟國外的數據中心做數據和有接口的交換,出現了中斷和異常的情況,首先肯定是排查一些漏洞或者是看是否有黑客,APT等。包括網絡通訊也沒有問題。后來棒查詢到了數據中心的IP都別人拉黑,大家也知道很多外部的三方有機構,在黑名單列表里就被扔到防火墻阻斷的黑名單里面去,其實它本身并沒有太大的問題,但往往這種第三方外部的評價,評價上黑名單對他的網絡確實是造成了影響,于是其實就認識到在這種環境下,我們可能用傳統的通過自身的內部的視角來看,可能不是一個全貌,我們還需要換一個視角,從外部的角度看一下,這是我們帶來的通過數據帶來全新的視角來審視這個企業包括各單位的信息單位的狀況。我一直不知道這個更深入的話應該是怎么樣地描述,其實我也發現了像這個圖形一樣,這不是什么新鮮的東西,你兩個維度來看,一個是比較沮喪的臉,一個是比較微笑的臉,這個圖倒過來看就是這樣子的,這說明有很多的事物從單方面的一個視角只是片面的,我們必須通過多維度和多視角來看待一個事物才是比較真實的。一旦動作多個視角多個維度看一個事物可能會看得更清楚。
下面我有一些具體的從外面能看到的數據,我們通過外部的互聯網數據有什么威脅,像釣魚數據不是從內部可以看到的,這也是我們要解決的信息安全問題,必須得通過互聯網、通過數據的方式才能夠讓我們發現這個,這塊我們跟合作伙伴那邊取了一些數據做了一些簡單的統計,也看了一下現在集中在包括銀行證券的金融機構的調研的數據還是很多的,我們跟最終的用戶也進行了溝通,確實這方面的風險,無論是監管的角度還是自身的角度也確實是要關注的,但是并沒有一種方法說我一下就可以根除這種問題,因為外部有很多的釣魚服務、數據服務,誰也不可能我的信息就是全的,就是完整的。所以必須要整合外部的資源來對這些風險或者是威脅做識別,這是有必要的。剛才我給大家舉了一個例子,這個截圖是我的郵箱截的,我經常收到一些郵件,用了一些訂閱的軟件和工具,我也沒有處理,因為我們用的騰訊的企業郵箱,自動地就把一些郵件攔截下來了,很簡單,他們大量發垃圾郵件,被四大國外組織攔截下來之后,直接把它拉黑扔到了垃圾箱里面,這樣企業郵件的業務就會受到阻斷,人家認為你是惡意的,這類的黑名單也是造成了外部的威脅。
所以,外部其實有很多數據,今天借著威脅情報論壇,嚴格意義來說是基于外部數據然后實現量化的風險管理,而威脅情報是我們引用的主要的數據之一,我們也通過借助自身咨詢公司在行業里的定位,整合了100多個廠商包括威脅情報源的資源,再加上數據還加上運營商級別的通信數據,DNS的數據,以及互聯網公開的數據,這些數據類似于我們公開可查的很多的信息,把這么多的數據隱藏整合變成一個應用,提供這樣的風險評估的能力。這是基于外部的數據進行風險評估的思路。
花點時間簡單講一下我們的思路是如何實現的,首先,這比較簡單沒有過深的技術,我們通過外部進行了數據分析識別了企業的主體,我們通過通信的數據就能夠對這些企業的互聯網的虛擬的資產做識別,比較簡單其實就是我們能夠有的域名,能夠有的主機服務,包括各種各樣的子域名服務,還有包括公網的IP地址,可想而知這些信息都能拿到,我可以把這些對稱到每一個企業自身。這樣做有什么好處呢?我們通過這種方式服務了300多個企業,包括金融、企業、政府類,這些數據是客觀存在的,客觀存在樹立出來的互聯網虛擬的資產,在實際中跟管理的資產清單是有差異性的,尤其很多上線頻繁的情況,對比外部識別出來和內部清單的差異性就可以暴露出管理流程的差異性,具體的情況我們幫助排查了差異性,也確實識別了跟多的非法上線很多研發部門的私接上線,這是外部和內部看到的差異性。
第二,識別了虛擬的資產之后,利用了威脅情報的數據,我們也是借助數據基礎牢固的情況,把各個情報進行了整合,通過剛才提到的這些資產去查詢有的威脅情報,當然是多維度的,關鍵的是通過各式各樣的威脅情報或者說報警,基于這些數據可以查到多維度的,我們發現在外部數據中能實現的能力,包括業務方面的、隱私方面的、應用方面的、網絡及環境方面都可以,這里面的數據比較小,接的數據是多種多樣的,包括大家也知道像講師網絡的報警,被泄漏的數據,甚至我們都知道烏云補貼漏洞盒子,把這些匯總起來,我們在六個維度上做一個打分的評價。中間我們建立的風險的評估的模型目的其實并不是解決單個技術識別多與少的問題,是在這一組數據下結合了頻率、影響、持續時間等等一系列的指標的因素,建立可評價測量的風險指標,參與進的計算。目的是我們希望通過這種方式找到這些維度中的短板,從而捉到自己要進行加強安全投入的點。同樣,我們通過這類數據不僅能做到這樣子,在實際應用中還發現了比較有趣的事,我們通過外部的報警,同時對比了內部的信息,比如說外部的防火墻有報經,這里面也有外部攻擊,實際應用有幾種情況。第一,如果內部也有同樣的安全措施,可以進行聯合解決這種問題。第二,內部和外部報警和展示的現狀是不一樣的,不一樣是因為策略本身就不足,暴露出一些管理上的缺陷,另外對成熟度比較低的行業中,通過外部威脅的揭示能夠促進他重視安全工作,加強安全措施的改進。這是外部視角和內部視角的關系。
后面我們也建立了可量化的,這是基于外部的可測量,所以量化是比較容易的,最終我們對每個企業會有一個分數的評價,這是具體的千分制的情況,這是動態的過程。因為搞外部的數據還有一個很重要的是它的實時性,底層數據我們實時從接口里面做一些查詢,這樣保證我們給出的情報數據是最及時的。之后我們通過這種防止從一個新的視角上對這種風險做了揭示,這實際上是跟傳統已知的內部方法,比如說漏洞掃描、滲透測試、日志分析、人工檢查等,為這些工作提供了更新的方法,共同完成風險評估,從內外兩個維度來審視這個問題,因為原來在整個的外部的數據,大部分大家都有了,我們做的這件事本身也不產生數據,我們主要是借助外部比較好的威脅情報的數據資源。這些數據資源把他從一個全局分析的角度,原來是無法對傳到企業或者是行業的,把全球的數據對稱到單個的企業,為他們輸送威脅感知的能力,現在有很多來做風險評估,用這種方式基于外部數據每天都可以做,原來一般每年做、每季度做就不錯了,這種東西沒有辦法變成日常的常態化的管理,這是一個價值。
作為一個風險管理來說,跟安全管理還是有差異性的,所以說我給大家帶來的不是攻防對抗也不是準技術的,第二我給大家帶來了第二個價值的分享,我們建立了量化評價的體系,不僅對一個企業能進行量化的評價,對一個行業也可以做這樣的事。現在我國的部委單位或者是政府單位這些有近百個,每個單位包括行業監管都是也垂直管理職能的,從今年開始配合部委單位也是進行了外部量化評價對網絡安全績效考核的應用。通過這種方式可以利用外部客觀的數據對下級單位進行競價和對比,關鍵在于很多行業數據中要建立統一可測量的評價標準,再次強調,它只要在同一個計算方式下同一個標準模式下就可以打分,評價出這是高與低的差異性。這點是很重要的。在這兒我們也做了一些數據采集,現在我們會持續對各行業進行數據的分析和采集調研,目前面對金融、證券、保險、衛生、教育互聯網各方面,我們行業中都去做行業調研,包括銀行采了200多家,識別了金融機構,證券包括了券商、基金,后面像教育、高校、醫院都會去做,目前我們對企業單位實現了4000家單位的識別,并且我們持續地對行業進行分析。
這是我們上個月做的互聯網金融做的報告,在這兒首先是采樣的336家互聯網金融公司,包括了眾籌、做P2P的。基于外部數據的方式進行逐個單位的量化評價之后,匯總綜合水平進行整體的評價,我們認為在這個尺度下有一個打分制,評價是857分。根據這個也會篩選出來,整體情況下,54恩%都是900分之下,整體看較好。下面的圖比較小,這就是每一個的分布情況。同樣,區別開進行分類,包括眾籌、P2P,分別是什么,還有外部資產,我們發現在這里面像外部的資產是數量最多的,確實三方支付業務是相比其他分類比較多。我們不僅能看到這些,還可以有風險指標,外部識別的劫持,有漏洞的情況,外部的攻擊、僵尸網絡,我們建立了12項風險指標,基于這個指標對各個單位進行量化。并且我們針對詳細數據,還有一個很重要的意義是,我們通過這種方式揭示出一些具體的風險項,通過它另外可以關聯揭示出一些行業共性的風險,在行業共性的風險中可以及時地對稱到行業內的企業,這是非常有意的事情。
以上是我在企業和在行業中的應用,當然在行業中除了我們做了各個金融的行業、醫療的行業、教育行業,另外還可以把它納入到上級對下級監管職能的落地。實際上我們的經驗也是在這其中,這個角度上可以促進整個下級單位開展信息安全工作,并且提高重視程度,另外現在也推動了國家等級保護,也可以用第三方評價作為抓手來促進體系完善和工作的開展。這是我們在行業和企業中的經驗。
第三是給大家帶來另一個角度的應用,是為第三方風險的管理的經驗,合作企業供應商第三方帶來的直接風險是比較多比較大的。之前我看烏云的數據上有一個數據,去哪兒的合作伙伴間接的泄漏的問題,還有一些行業的科技公司直接在郵件里爆出來跟國家大型企業管理層郵件往來的信息,這意味著企業除了保障自身的安全的防護,對第三方合作伙伴和供應商的風險也是非常重要的,后面有一些調研和調查的數據給大家展示一下。去年普華永道做了一個調研在網絡報告里專門調研了第三方安全風險,里面的數據表示只有16%的企業用戶在關注三方風險,而且積極地做三第三方安全風險的風險管理和控制,23%左右為三方風險都不是特別地關心,都忽略了這樣的風險帶來的影響,我們再配合看現在的銀監會對金融機構的外包風險的監管指引中也提到了,必須要求下面的金融機構對供應商或者是外包商實施第三方評估,并且不能依賴自評估的結果,必須采用第三方公正的結果進行評價。我們一直沒有找到非常好的方法來管理第三方風險,現在有了外部這么多的數據,有了這樣的基礎,我們可不可以做一些事呢?我們發現,用這種風險管理方式不光對行業進行評價也可以對供應商和第三方合作伙伴做評價,還要強調一點,關鍵是在同一標準同一尺度下進行量化評價這樣就可以把供應商和合作伙伴進行前期的,有的在國外做一些凈值調查或者是定期持續性地做風險和安全的評價,以完成第三方安全風險的評估這樣的工作。通過外部數據就完全可以實現,這也是一個好的思路,這不是我提的,用外部數據分析評價第三方供應商或者是合作伙伴,這個其實在國外已經有這樣的開展了,有這樣的一些經驗了,也是一個比較好的思路。
以上就是我們作為一個在風險管理領域中的公司的經驗,把我們所擅長的東西跟外部的數據項結合,在風險管理和風險評估的領域的一些經驗給大家做一些分享。嚴格來說我們也是借助了行業發展比較好的趨勢,外部有很多同行,所以說我們也希望在這兒積極和大家合作,其實我們在各個領域都發揮了自己的優勢和擅長的東西,也一起可以創造更大的價值。我們這個已經可以在線做體驗和應用了,如果感興趣的話,其實可以發郵件到我們的郵箱,可以幫助大家提供這樣一個邀請碼,讓大家免費體驗。
謝謝大家!