陸立新:美國威脅情報發(fā)展及實踐
責(zé)編:rhliu |2016-06-29 15:47:15陸立新:我本來是做病毒分析的,從99年開始創(chuàng)建自己第一個公司做終端的病毒的行為分析,叫做behavior? locking,又做的沙箱,在Intel做APT的檢測,對威脅情報也有一些接觸。
我覺得你們講得都很不錯了,很前沿,可是從反病毒的歷史來看,可以看到每個新的技術(shù)出來的時候投了很大的人力物力,看技術(shù)的抵抗病毒的能力在上升,但上升到很短的一段時間,比如說兩三年以后,馬上就會下降,為什么會產(chǎn)生這種現(xiàn)象呢?就是說在反病毒的生態(tài)系統(tǒng)中,反病毒的這方面在做努力,攻擊的那方面也在努力。他在不斷地研究你,你每次產(chǎn)生的新技術(shù)、新產(chǎn)品,你的競爭對手在研究,在學(xué)習(xí),在捕捉你的弱點,再出現(xiàn)新的辦法,所以你的檢測力馬上下降了,所以這個在國外叫做不對稱的問題,不對稱的問題現(xiàn)在是一個很大的挑戰(zhàn),不管你做什么,我做沙箱做到現(xiàn)在,我發(fā)現(xiàn)沙箱是每個公司都有的,可是沙箱很快就會被淘汰,因為反沙箱的病毒開始出現(xiàn)了,它可以監(jiān)測沙箱,檢測以后不在沙箱里面運行,這就沒有辦法了就沒有用了,像威脅情報,我覺得第一個問題就是威脅情報的前端處理的人,因為每天他們上班的時候就看到幾千條這樣的情報,到底是哪一條重要,什么是重要的是應(yīng)該處理的,只有8個小時、10個小時,每天這么做就疲勞了就叫情報疲勞證,實在是沒有辦法處理什么,所以這是一個面對現(xiàn)實的問題。再一個就是,不管用大數(shù)據(jù)處理還是機器學(xué)習(xí)機,你要知道你的對手總有辦法讓你的學(xué)習(xí)沒有辦法實現(xiàn),因為你學(xué)習(xí)的東西一定是要重復(fù)的,我要重復(fù)昨天的歷史,就會形成一種模式,學(xué)習(xí)過去如果還是按照模式去攻擊的話,肯定有用,但我們的攻擊對手不是那么聽我們的話的,他發(fā)現(xiàn)你在用他的學(xué)習(xí)機來攻擊的話,他明天就改變了方法,收集的模式,花了幾年都沒有辦法,這怎么辦。這不是一兩天能搞得清楚的問題,在國內(nèi)外都有這樣的問題,有一天我跟一個數(shù)據(jù)科學(xué)家開了一個玩笑,他們是專門做數(shù)據(jù)挪移的,你給他一大堆的數(shù)據(jù),他能從中找出一點東西來,進行移除,一般的模式都是這樣做的,我說你如果真正能這樣做出來,不如用你的模式做一個股票的測試,股票預(yù)測為什么?因為做股票預(yù)測,那個股票不會有意地反對你,最起碼是這樣的,但要做一個安全的方面,對手有意地摧毀你,產(chǎn)生一個假的或者是不重復(fù)的partten那怎么辦?所以大型數(shù)據(jù)和機器學(xué)習(xí)還是早期的,挑戰(zhàn)還是很大的。在國外我們也經(jīng)常討論這個問題,不是那么容易解決的,但并不是我們不去嘗試和努力,或許我們能找出比較好的方法。
我覺得有一種方法是要的,除了我剛才說的不管用什么技術(shù),在設(shè)計技術(shù)的時候人家有什么辦法可以把技術(shù)打掉,這是遲早的問題,只要你推廣了你的技術(shù)和產(chǎn)品的話,對手很快就會把你打下去所以在設(shè)計的時候,你會想到如果對手把我打掉怎么辦,回到情報搜集也是一樣的,能不能在設(shè)計這種機器學(xué)習(xí)的過程中地能不能搞一個很快可以學(xué)習(xí)反饋調(diào)節(jié)你的機制的這個方法,如果能找到這一點投資的努力就會更有效果。不然的話那位專家說,那個模式改變的話,十年八年收集的數(shù)據(jù)都沒有用,因為那個IP地址用的privide的方法打掉了,不知道在哪個地方,跟蹤的技術(shù)就沒有用了。所以,adoctive很重要。再一個我記得有人提這樣的在中國講一個人要是辦事情就學(xué)老子,要學(xué)做人就學(xué)孔子,養(yǎng)心就學(xué)老子,如果真正從孫子兵法的角度來考慮,我倒是覺得很有借鑒意義,孫子兵法翻譯了很多語言的版本,是僅次于圣經(jīng)的一本著作,我覺得在中國我們有這種優(yōu)勢。孫子兵法有一條講得很清楚,就是說要立于不敗之地就要知道對方,你要知己知彼才能百戰(zhàn)不殆,如果只知道對方不知道自己,那可能一勝一負,反病毒的歷史來說,大家集中的焦點都是在黑客、那個病毒的本身,但沒有注重自己的弱點在什么地方。我說的自己就包括了設(shè)計的產(chǎn)品、我們的技術(shù)和我們的用戶,他們的弱點在什么地方比如說很多病毒公司來了一個新的病毒一檢測知道這個是病毒了馬上就停止在那個地方,大家一收集,值一算就擋住了那個病毒,實際上那是做得不夠的。為什么?那個病毒應(yīng)該是值得研究的,看他用了什么新的方法,看他用了什么新的工具,然后用新的技術(shù)方法和工具反復(fù)檢測用戶的環(huán)境中,客戶的環(huán)境中到底有沒有這種抵抗能力,包括用戶里安裝的所有的安全的軟件,是不是有辦法打上,才能及時地反饋回來,你自己的弱點在什么地方。包括你自己的產(chǎn)品在什么地方。有一些實驗室檢測你的產(chǎn)品發(fā)現(xiàn)弱點,檢測你的邀請第三個公司到公司來檢測,發(fā)現(xiàn)你的弱點,可是那個不是哪邊都能做,也不是及時就能做的,就跟一個人是一樣的。也不能每天都讓醫(yī)生幫助你檢查身體,每天都有一點點弱點,一年五年以后這個弱點才會成一個比較大的毛病。可是如果找到了一個病毒,我能夠把病毒認真地分析,看到他的發(fā)展方向包括用的方法和工具是往哪個方向發(fā)展,我用那個東西解釋了以后可以馬上進行實地的測試,我覺得這個方法是值得借鑒的。
還有數(shù)據(jù)的處理,很大的挑戰(zhàn)是目前來說這些產(chǎn)品提供的數(shù)據(jù)包括SIM、包括IPS,或者是防火墻,提供的數(shù)據(jù),提供給你的時候這些產(chǎn)品在設(shè)計的時候沒有想到今天的數(shù)據(jù)要歸總到這個地方來運用,剛才很多專家講了要建立一個平臺,要建立一個云端,要進行數(shù)據(jù)的處理。但要想數(shù)據(jù)從外面收過來,沒有想到這個數(shù)據(jù)要給你用,所以數(shù)據(jù)的可靠性、數(shù)據(jù)的質(zhì)量很有問題,我們在國外也碰到了這樣的問題,一大堆的數(shù)據(jù)來,真正有用的很少,所以我們跟他說叫做垃圾進來、垃圾出去,所以你要用一個好的質(zhì)量的數(shù)據(jù)輸入的話,會省掉很多計算的時間,也會提供很好的結(jié)果。這不是一天兩天就能夠做到的,因為數(shù)據(jù)提供的地方,比如說防火墻、終端,提供給你們的人根本沒有考慮今天要用,所以這個東西要反饋回去要修改,之后才能達到高質(zhì)量的數(shù)據(jù)源,我覺得這也是一個挑戰(zhàn)。我知道。這是我知道的關(guān)于情報搜集的問題。
謝謝!
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧