压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

葉超：各位嘉賓，各位同行朋友，大家上午好！

今天我要分享的主題是決戰企業網絡之端，這個標題有兩個重點，一個是決戰，一個是端。什么是端？我們可以認為端是一個個人PC，是一個服務器，甚至我們的網絡安全設備，還有我們的硬件防火墻。這些都是組成我們企業網絡的一個端點。就是當我們的邊界無法防御威脅的時候，很多威脅會到達我們的端。如果我們的安全措施在端上面都沒有感知到威脅和防守住威脅，可以說我們的防御就是已經失敗了。

首先看一下我們面臨的威脅，要做好防守或者說要做好感知的話，我們肯定首先要了解一下我們會面臨的威脅。作為一個安全廠商的角度來看，首先就是我們已經知道的，我們已經可以職別的這樣一些威脅，比如我們的惡意軟件、網絡攻擊，還有分布在互聯網上的各個IP地址，被黑客控制的，曾經發起過攻擊的IP地址，阻擊或者說是域名這些。這些其實我們現在已經有非常成熟的運行方式了，比如我們的反病毒軟件和防火墻等等，已經有了一個非常成熟的防御體系和基礎設施。再來看一下未知威脅，我們目前遇到的未知的威脅，大部分是目前已知威脅的一些進化，他們一般會延續已經采用的一些手法，產生了所謂的新的惡意軟件或者所謂新的網絡攻擊。更多的情況下是一些新的偽裝或者是一些新的便攜的手段，繞開了我們目前已經有的一些安全的體系，其實本質上發揮的變化是非常少的。面對這些未知威脅，一般公司會采取模式化的檢測，還有就是基于機器學習的檢測。前一個是根據安全研究人員本身的經驗，還有一個是下一個數據，通過機器學習的方式學習一套檢測的模式。使用的攻擊的手段和方法，還有一些重要的軟件其實是非常多的。之所以叫APT，本質上還是一個長期準備，長期潛伏以及持續性滲透的這么一個過程，它的目標肯定是被攻擊目標的數字資產。

對于APT攻擊的應對方式，其實我們現在安全企業也做了很多相應的應對方式，比如現在跑入流量，將文件還原之后放在沙箱中跑的這么一個沙箱系的產品。反病毒公司，一般會采用一些啟發式的掃描。還有一些是基于數據的，比如我們的感知體系以及威脅情報，最后一個良好的安全管理體系，其實也是我們企業內部應對APT攻擊的一個非常重要的一環。

近幾年曝光了很多的APT攻擊，我們也看到了很多的報告，在這里簡單列了一下它們的特點。目前我們看到大多數的APT攻擊基本上是完全符合Kill-Chain這個模式。投遞的環節是最脆弱的，因為我們看到的攻擊其實投遞環節是不受攻擊者控制的，當我們發出郵件，或者說我們掛了一個網站的碼之后，攻擊者只能等待被攻擊者上當。另外就是APT其實要以不暴露為第一原則，如果暴露的話，其實就意味著行動的失敗。我們在泄漏的資料當中其實已經可以看到，像這些專業的攻擊組織，其實都會對現有的安全產品做測試。另外就是他們會規避，如果說我們的終端上面，電腦上面裝了安全軟件了，可能會不執行，隱藏了他的行為，放棄這次攻擊。還有就是他們會建立類似于洋蔥網絡的這樣一個分布式加密傳輸的網絡，來逃避流量的追蹤。

大家經?？催^一些APT攻擊之后，這次NSA武器庫的泄漏也是給了我們一些啟示，我們的對手非常強大，直接可以通過網絡就接管內核了，整個流量其實是隱藏的，投遞負載的時候，其實是通過隱藏在正常的協議流量當中，我們其實是沒有辦法還原的。在端上面是一個無痕的投遞，會有電子郵件附件，會有一個腳本或者是Flash，在終端上面都會有文件生成。但是NSA武器庫完全是在內存里面來實施的。最后一點就是上一次的NSA組織出來的這些，其實會攻擊我們的基礎設施，包括安全的基礎設施，比如說我們的防火墻。

看完了我們需要應對的威脅，我們需要的對手，我們再來看一下企業本身的需求。這是來自企業的一些需求，整理一下大概是三個方面：一是運維管理的需求；二是威脅檢測的需求；三是風險處置的需求。看完威脅和需求之后，我們就會想一些需要采取的方案。理想中的方案肯定是一體化的方案，從企業內部的端和企業網絡中安全的基礎設施以及整個網絡基礎設施，最后到上面的行業軟件，這四個點組成在一起，來共同的搭建一個安全的環境，或者說提供一個安全處置的環境。

作為一個安全公司來說，我們不可能把所有的事情都做了，所以說我們還是應該聚焦在滿足企業的安全需求上面。尤其是應對未知威脅以及APT攻擊，剛才說了，其實已知的威脅我們都已經有一套非常成熟的方案了。在應對未知威脅以及APT攻擊時候，我們其實和客戶之間應該達成一個共識，我們能感知到這個攻擊其實比防御更加重要，我們能掌控這個攻擊，比立刻處置掉更加重要。有時候我們為了了解我們的敵人到底是誰，其實我們還可以采取一些策略，比如說誘敵深入、欲擒故縱，或者最后來一個甕中捉鱉。想做到這些策略，其實我們就需要有一個非常好的對企業網絡內部已經感知到威脅的一個掌控能力。

說完這些，我提出今天最重要的一個觀點，其實端是我們必然的重點，不管是滿足企業的需求，還是應對已知、未知和端威脅。從企業來看，很多的需求都需要在端上面實現。從威脅本身來看，企業里面的端、服務器等等，其實上面承載著很多企業的數字資產。既然承載著數字資產，必然是攻擊者的目標所期望得到的東西。同時端上面也是攻擊實施的一個土壤，剛才吳院士也講了，其實我們做的是系統安全，這個系統上面其實有很多的問題，我們每天都在挖掘或者說每天都在報告出來的漏洞，其實大多數的還是系統上面的漏洞。既然有漏洞，就會有一個攻擊實施的土壤。最后端上面也是攻擊現行的一個場所，為什么現在很多做沙箱的企業他們還是轉回來做終端安全？因為沙箱里面攻擊可能不限行，那你又能知道什么呢？

我們要在端上面做一些事情的話，其實也會遇到很多的限制因素。比如說我們客戶的需求?？蛻粝Ｍ玫揭粋€更小、更快、更方便、更易用，但是效果又更好的這么一個方案，這里面可能會有一些需要去權衡的東西。另外我們端內的環境是錯綜復雜的，要面臨著很多的友商或者其他行業的一些軟件，我們能不能解決各種軟件的沖突？因為安全軟件其實很多時候都是類似于設置各種關卡，需要檢查等等，可能會造成軟件之間的沖突。

鑒于上面說的，我們來看一下實踐，就是TDIP威脅檢測和洞察平臺。我們定了三個目標：一是對端造成最小的影響；二是在端上面獲取更多的數據；三是數據集中起來之后，我們要做一個分析，最終來達到一個對于未知威脅、未知攻擊最敏銳的洞察力。大概的步驟是四個：一是感知，我們要收集數據；二是分析，要實時的分析和統計；三是利用這些分析、統計和原始數據做出威脅的洞察；四是對威脅的響應，我們要處置掉這些威脅。

這是整個數據實時處理的過程。我們從最左側的個人電腦、服務器和蜜罐，還有我們的防火墻等等安全設備，把它們的數據集中起來，在企業個性化參數的指導下來做一個數據的預處理以及相應的一些分析，這里最主要的是一個實時的未知威脅分析。另外這些數據處理完之后我們會錄入到一個大數據存儲平臺，錄入進去之后，我們可以做一些離線的分析。比如說日常習慣的學習，或者說是回顧式威脅的檢測，比如說我們經常會遇到爆發了某一個安全事件，我們需要做一個安全的巡查，安全通報過來之后要檢查一下，我們企業內部到底曾經有沒有被威脅感染過，這個時候我們就可以用這種回顧式的安全的檢查。另外就是威脅的拓撲，還有威脅的溯源這些工作，我們都可以在這個數據平臺上面去做。

TDIP提供了五種最基本的處置方法，比如隔離我們的風險程序，當我們發現風險程序的時候可以隔離掉，瑞星是做殺毒軟件的，這方面的經驗比較豐富。另外是隔離風險端，從網絡脫離，當然也可以分配掉外面的惡意地址，最后還可以切斷網間的互聯，就是通過我們的防火墻以及防火墻設備。對于生產環境下的服務器，我們不提供直接的處理方式，還是提供一種指導，讓運維人員去處理。

我們在端上傳感器的工作，主要是提供了Windows以及Linux兩個平臺的傳感器，有兩種模式，其中一種是Inspection模式，更多的在Windows上面工作，我們有一個比較成熟的Windows上面的監控，Windows也提供了很多的方案。Linux我們提供觀察模式，盡量的不影響服務器，收集的數據也是比較多的，比如內部一些進程的事件，文件的變動，網絡的事件以及關鍵的數據等等，最后我們還加了一個誘餌的事件。

這個系統當中，主要有三種數據表達的方式：一是三元組，任何數據的三元組，這個三元組主要是來表示一個事務的屬性，某一個事件發生了什么事情，還有某兩事務之間的關系。我們通過這個三元組，也是我們整個系統當中最重要的一個數據表達形式，主要用來實現我們的因果推理，事件鏈的分析和拓撲發現；二是快照，主要是應用在觀察模式，我們會比對前后的兩個快照來發現數據的變化；三是性能監視數據，我們可以實時的觀察到服務器的負載等情況。

下面來看一些簡單的展示。這是一個統一的終端管理，在這個上面我們可以看到所有受控的端，每個端我們可以有一個實時的狀態展示，比如CPU以及內存的使用情況，以及終端上面正在發生的事件，這邊我們可以看到這臺機器正在打補丁。全網的報警列表，我們可以把網絡中有報警的計算機列出來，當然我們也可以看到詳細的報警日志，也可以看到詳細的報警事件到底是什么情況。威脅的溯源，首先找根原因，當我們發現一個文件，我們要找到這個文件第一次是什么地方出現的，找到根原因之后，我們可以在這個根原因的基礎上做一個威脅的上溯。我們來看這個根原因之前到底發生了什么，比如說這邊我從一個比較野的下載站下了一個輸入法，這個輸入法其實會釋放一個瀏覽器的安裝，這個瀏覽器最終釋放出來之后會訪問一個特定的網址，我們可以根據最后訪問的網址來追溯到整條事件鏈，這樣一步步下來。

我也通過Peddle Cheap投遞了一個勒索軟件Tesla，我們通過Tesla釋放的說明文件，來解密到底在哪個終端上面最早出現了這個勒索軟件，是由誰來釋放的。我們看到，其實這個進程是一個系統進程，這是因為我在Peddle Cheap里面選擇了讓這個進程來做這個事情。由于我們的整個數據系統是基于全文檢索的，所以你甚至可以用一個關鍵詞去找到它的一個事件鏈。還可以對于某一個威脅來評估整個企業網絡內部受影響的端到底有多少。

這邊是一些基于快照的關鍵項目數據變化的歷史。我們可以看到，比如機器上用戶的變化、共享的變化，我們的硬件、軟件以及漏洞都可以在這里完成，其實相當于一個用戶的資產管理。后面要講的就是我們的常規習慣學習，這邊還是剛才那個例子，我們觀察的上一幅圖，第一幅圖是我們觀察Lsass這個Windows的系統進程，我們觀察了三四天，其實不會出現進程創建這么一個行為，因為它本身就不具備這樣的行為。當我們通過Peddle Cheap投遞這個負載時，就產生了進程創建行為。在這一點上面我們發現了異常，不同于它常規的習慣。我們的習慣的學習，不僅僅是針對于進程，我們也可以針對一個終端或者說一個子網。

最后要講一下這個里面對于未知攻擊以及未知威脅最重要的一個技術，就是集中式的行為分析。行為分析其實是一個非常好的應對未知威脅、未知攻擊的方法和技術手段。我們瑞星其實從2007年就開始做行為分析技術，比如當年我們做了木馬行為分析以及掛馬行為分析，在IE6比較盛行的年代。2008年的時候我們做了產品化，2009年的時候，因為這個漏洞的出現，出現了黑客蠕蟲，當時我們還特地加強了網絡蠕蟲的一個檢測。

2017年的時候，我們為了應對WannaCry的爆發，我們專門研發了“瑞星之劍”，是專門針對勒索軟件的通用防護方案。我引入“誘餌”之后，進一步發展了這個行為分析技術，在端上工作的時候，其實我們也是加入了很多“誘餌”。從2007年到2017年正好是10年，也是正好印證了十年磨一劍的這么一句俗語。

剛才講的都是在一個端內的，在一臺電腦內，我們現在要做的是，不僅在端內，我們還要在整個網絡上，我們要把端上的事件，不管是原始的事件還是分析之后的事件都集中到我們的數據中心來做一個集中的分析。這時候它能感知到的這個事件就更多了，不僅僅是一個端上的事件，還有我們蜜罐的事件，還有我們網絡設備的事件等等。比如說文件在網絡中傳輸，在內網傳輸。因為TDIP本身是一個數據平臺，可以做一些程序的習慣學習，一些數據的統計，另外還可以接入威脅情報。這些更多數據的支撐，更多類型的事件，最終這個集中式的行為分析將獲得一個更好的全局觀，有一些網絡層面上的威脅或者是異動，我們可以通過這個集中式的行為分析來發現。

最后強調一下我的觀點，端上是威脅亮底牌的地方，也是我們安全廠商同威脅決戰的地方。剛才吳院士也講了，我們的網絡，比如說IPv6是有默認的加密機制的。我們現在更多的去使用HTTPs，很多時候我們的邊界產品沒有辦法全還原，這個時候，其實端就成為了整個企業安全的最后一道防線，這就是為什么說我們要在這個地方同我們的敵人來進行決戰。謝謝大家！