互联网+ 电子商务 智能家居 地理信息 智能制造 信息安全 3D打印 工业4.0 人工智能 光伏 新能源汽车 消费品 集成电路 移动支付 汽车 数据中心
2017中国网络信息安全高峰论坛
当前位置:首页 > 产业动态 > 实时动态 > 正文

360企业安全集团副总裁张翀斌在“2017中国网络信息安全高峰论坛”发表主题演讲

发布时间: 2017-04-21 14:11     来源: 满天星

  2017年3月16日,主题为“共享时代的网络信息安全”的“2017中国IT市场年会——网络信息安全高峰论坛”在北京香格里拉酒店隆重举行,携手业界大佬围炉网络盛宴,共议安全大势。360企业安全集团副总裁张翀斌为大家带来“基于数据分析的安全运营”的演讲。
  以下为演讲实录:
 
  360企业安全集团副总裁张翀斌
  感谢会议主办方,感谢严所长,刚才领导专家都是从宏观、从技术角度给我们做了一些很好的指导和分享,我今天从大数据威胁情报,我今天带来的是实践,我想给各位分享一下,我们是怎么样在为客户提供的安全服务当中,怎么把威胁情报和大数据落实到具体的工作中去,欢迎各位同仁提出批评指正。
  今天的汇报分四个方面。
  第一,安全运营的现状和挑战。
  第二,我们认为它应该要做一些转型升级,所以要基于数据分析做安全运营。
  最后有两个实际的案例,可以给各位分享一下。
  这是我总结的,因为我原来做甲方,后来去年做了乙方,相信大家一定买过安全服务,大家也相信各位在有了很好的安服的服务团队,买了很多的设备,仍然存在这些挑战,比如说我这套系统运行了10【年,相信大家的访问控制策略很多人不敢动,因为很多策略都不知道该不该有,该不该生效,没办法对ACL访问控制策略做梳理。
  还有设备明明没有告警,但是主管机构来通报了,我相信甲方的领导们肯定有过体验,所有的设备都是正常的怎么会被通报了?还有资产信息,其实很多的业主也好、客户也好自己有多少家底,实际工作中发现大家真的是不清楚的,虽然我们都有资产登记表,但是如果要跟实际的系统对的话经常对不上,但是大家没有手段,怎么办?
  还有一种情况,设备大量的告警,我们统计过一个人一天处理告警信息一二百条,如果到了五六百条,人基本就崩溃了,我就当没看见这类信息了。
  还有一种是真出事儿了,我要去处置的时候发现我的设备怎么日志没有了,两会期间处理了一个应急响应处置事件,我们发现抗地设备下午3点以后的日志没有记录了,导致我们很难受,下午3点以后怎么分析,相信大家遇到过这种情况。
  还有,当我到了攻击的IP,我想看到底攻击者背景情况是什么样,他是个小黑还是黑产,还是恶意的APT的这种定向的高级攻击,我们不知道,我只知道我们家什么情况,外部什么样不清楚,所以刚才宋总也提到要共享,要打造生态。
  我相信大家肯定面临过这些挑战和困难,所以我想提,以前我们更多叫安全运维服务,我觉得安全运维就是活着,网络安全到了今天,国家层面这么重视,包括我们自己也发生了这么多泄密事件,我们不能满足于活着,我们要活得更好,那活得更好怎么解释?怎么做到?传统的安全运维应该升级为数据驱动,以持续性的监控和分析为核心的安全运营服务,这就不是个简单的运维了,不是说我设备的策略,给客户个报告,这个漏洞到底有没有危害,影响范围多大,没有人说得清楚,所以我们要做这个工作,要往这个方向转变,以持续监控和分析为核心的安全运营服务,去提升业务环节中面临的内部和外部的威胁攻击的检测分析和溯源处置能力,构建预测、发现、检测、持续响应的安全能力。
  这是出的滑动标尺模型,我只是想说明一个问题,咱们绝大部分的信息系统的安全状态应该处于被动防御,做得好的可能处于从被动防御向积极防御正在过渡的阶段,我有个假设,而且我觉得假设是成立的,被动防御阶段,我们构建了纵深防御体系一定会被打穿,而且有无数的事实证明,我们什么都不知道的情况下已经潜伏了多少次,相信大家不管从公开的报道还是自己的工作中应该有所体会。
  所以我就想提出来数据是核心,分析是灵魂,应该从资产安全监控、数据分析以及协同处置这几个方面,都离不开数据分析,都离不开威胁情报,离不开生态共享。所以这是我们想尝试同这个角度解释。
  在此基础上,我们就提出来基于数据分析的安全运营框架,大家可以看到,人、数据、工具、流程,共同的组合成了安全运营,安全运营要输出资产、漏洞验证结果、安全数据分析的报告、溯源分析、事件协同处置的通报,要想做到这些输出成果,要有什么样的人,给他设置什么样的岗位,岗位里要做什么,要具备哪些技能这些要考虑,需要哪些数据,有的数据是云端可以提供的,有的是本地监测的,有的是威胁情报厂商提供的,这是数据。
  工具、流程,工具有的是一些安全设备,有的其实是安全运营人员根据现场的情况,现场编写的处理的脚本以及工具,这应该是组织框架,我稍微往前倒一下,这是个处理流程,这是我们实际在为一个大型的行业的客户来去做运营工作的,实际有这么个岗位设置的,有几大岗位,安全监控岗,对人的技能要求没有那么高,但是要盯着大屏,要告警,他能处理他处,他如果处理不了,直接甩到后的数据分析岗,数据分析岗要分析,需要用到云端数据的时候要请求后台云端的做溯源分析、威胁情报分析包括恶意样本的分析,因为在现场往往不具备这样的环境,也不具备这样的数据量。
  数据分析完了以后,如果说事情结束了会给到信息通报,通报给出事的单位,如果说需要处置的,事先处置了,同时要去帮助系统做修复处置,比如说两会期间爆发的××021109S漏洞,相信搞安全的同事肯定有好几天也没睡好觉,要处置。最后我举的例子就是我们S漏洞,我们在某个客户是怎么做的。这个就不细说了,我的岗位会要求职责、能力。
  这页我是想讲数据安全分析应该包括哪些内容,首先是内部的危险分析,发现内部存在不合理的暴露面、漏洞、违规访问、内部攻击威胁。因为有个假设我们内部一定会被打穿,所以你就要假设内部可能有个机器已经实现了,可能内部已经有攻击行为,或者是内部人员自己本身有一些异常的行为,所以就要分析,这不是简单的扫个漏洞就OK了,你会发现远远不够,还有内部的主机。我们最近刚处理了一个非常大的大型国有企业,它的几个省的分公司,都发现了失线的主机。大家想象不到,你觉得他在这个圈里做得挺好的,所以要发现这个问题。
  外部的攻击威胁,我们讲内部失线,还有外部的攻击威胁,也要去看,设备告警了我们要分析,没告警,很多真正高端的攻击恰恰设备是没有告警的,我们分析完以后,要处置的时候研判也要进行数据分析。本地的数据分析包括DDOS,攻击态势的分析,包括本地的威胁深度分析,比如说本地流量数据的深挖分析,单位的邮件登录,很简单,我这一个单位假设有一千台终端,大家平常大数人请求的DNS服务器,可能都是国内的,就几台主机请求了国外的一个,而且是个不知名的,肯定不是谷歌DNS,是个不知名的DNS,这个事儿任何设备都不会告警,但是这往往就是个不好的信号,有可能就是被控制了。这就是很好的告警。当然web是个服务器,还有网站安全漏洞分析,咱们传统讲的漏洞分析,这里只占了一小块内容,还有很多其他的。我一旦发现了线头,我肯定要围绕着这是谁,他在什么时间,他在攻击我的目标是什么,用了什么手段,目的是什么,我们怎么解决,要求开展数据分析,努力的把事件的全貌给还原出来,这样为我们的处置提供合理合法的依据。这里涉及到内部数据的分析,包括流量数据、安全事件、资产,包括IP、URL,包括用的恶意文件,甚至还有邮箱地址、QQ的一些虚拟的身份。云端的威胁情报这里包括黑客IP的资产,恶意URL,包括邮箱等等,这都是要结合在一起做的。
  要做这些工作,我是觉得是需要有平台、有设备、有工具支撑的,从我的角度讲,要做好这些工作,工具平台要满足以下几个要求。
  第一,采集的数据维度要足够。经常讲的大数据,我个人理解大数据有两个属性,一是数据量够大,二是维度要足够多。我数据量非常大,但是就一个维度或者是两个维度,这个数据量再大也没有意义,维度一定要足够多。二是要全流量
  第二,开放的架构,支持规则模型的自定义。传统的买盒子的这种方式有用,能构建我们的纵深防御体系,但是仅仅有这个,真的是远远不够,不管是防火墙还是DNS,一个月升级一次规则库已经很可以了,但是攻击是一个月才升级一次吗?肯定不是的,一定是实时对抗的,发现攻击立马在云端威胁情报数据分析完了,规则马上就要下下去,你只是传统的盒子做这个工作,真的是无能为力,因为就不是设计用来干这个的。
  所以我们要做到这个程度的安全运营,必须要求我们的工具、平台要支持这个功能。要支持检索、统计分析、机器学习,因为这里面很多不告警的一次攻击的行为,你是要靠统计分析,靠快速的检索、机器学习去实现,而不是以前简单的纯粹的规则匹配,要有云端威胁情报。
  我给各位举个案例,一个就是刚才讲的漏洞,3月8日凌晨3点11分,利用这个对某个银行进行攻击,我们分析得到了IP,我们回到威胁情报,360这个方面是强项,也是吸引我从体制内跑到体系外最大的原因。我们很快就能发现在我们的库里已经标记是僵尸网络。
  通过另外一个平台的数据,发现这个IP经常访问常用的软件、网址,判断这个IP是什么用户,再继续法下这个攻击者曾经使用过多个IP,这个时候客户已经报告了公安机关或者是监管机构了,监管机构的授权下,我们就配合监管机构就能发现这些信息,公安机关有权力,360没有,公安机关去查处这个,最后我们就能形成右下角的攻击者的画像。
  第二个,另外一个案例,这个案例涉及的比较多,从发现线索到分析到溯源到处置,客户这边发现的是部分域名被挂黑产,我们就决定对所有这个行业的客做黑产的域名的专项分析,首先分析资产的安全性,说起来挺可怕的,最早的数据说是一万多个挂在互联网上的资产,经过了一周的时间梳理,最后大概是三四千,也就是说大家不知道自己有多少家底真的挺正常的,这么多业务单位,自己偷偷上线了应用系统太正常了,安全部门不知道,非常正常。同时对云监测进行告警分析。
  我们最后确定发现这次案例,倒不是说什么国家性、政府性的攻击就是黑产,挂的博彩、挂的赌博网站,现在这个事儿客户那边已经处理完了,监管机构也介入了。
  我今天跟各位分析的都是一些站在实战层面的工作,有的说的比较不太客气的,请各位批评指正。谢谢!

收藏