互联网技术研讨会(文字速录):
1、下一代信息安全的特点与需求
谈到信息安全,我们就不得不提到信息威胁攻击。目前的信息威胁攻击照比以前的攻击上升了一个层级,这种攻击更加危险也更加不容易被人察觉,国外称之为下一代安全攻击或者高级威胁。攻击的流程我们称之为攻击链,攻击链分为技术攻击链与利益攻击链。
(一)攻击链
从技术上来说攻击链由七个步骤组成。当攻击黑客确定攻击目标之后,第一个步骤为了解目标,了解系统的相关弱点,了解与系统有关的人的资料等;
第二个步骤为制造武器,根据第一阶段的的调研资料,制定专门的攻击武器,这些定制工具,一方面可以进入你的系统,另一方面,它们会成功躲避掉电脑安装的安全防护软件,保证安全工具检测不到这些武器;第三个步骤为传送武器,将制造好的攻击武器传送到目标系统上去,根据目标的特性制定传送方式,比如通过最常用的邮件的方式传送恶意代码,或者通过优盘、网站传送;
第四个步骤为攻击破坏、漏洞利用,拿到进入系统的权限;
第五步骤为安装程序,安装一些恶意的控制程序,一般开始阶段会安装一些小的破坏程序,以防止引起警觉;
第六步骤为隐藏攻击,目前的攻击者都会将自己隐藏好,安装好的程序会与C2服务器连接,便于隐藏自己的身份;进行完这六步,它才真正开始进行第七步进行攻击,盗取你的某一个文件,开始在你的系统进行破坏。
从攻击的利益链来看,有人专门负责调研,有人专门负责制造攻击武器,有人专门负责打通你的系统通道等等。每一环节可能都由不同的组织或不同的个人分工协作,每个阶段收取每个阶段的利益,最后达到共同目的。
(二)对抗攻击
由技术或由利益来看整个攻击的过程,我们所面临的攻击都是通过攻击链的视角。那么面对现在的这种攻击,我们该采用什么样的方式来对抗?
安全攻击与防御,速度最关键。现实中的大量的安全事件都是在发生了很长时间才能被发现。时间是安全攻击与防御里面非常关键的要素,我们响应与处置的时间越短,留给攻击者的时间就越短。攻 击者如果一开始对我的系统有不轨意图的时候我能产生警觉,后续持续进行实时监控,这样攻击者在开始阶段就能被及时制止。这种情况非常类似昆明火车站砍人事件,如果那几个人一进入到云南的地界内,我们就能对这些人的行为进行监控,这样就能有效避免火车站砍人的事件了。
(三)攻击者
谈到信息安全,就要谈及我们的对手——攻击者。按照威胁层级将对手分为五个量级:第一级为个人威胁;第二级为黑客团体;第三级为经济犯罪威胁;第四级为恐怖主义威胁;第五级为国家级威胁。
应对五个量级的对手,我们目前有以下三种安全的监控方式:第一种为特征匹配,例如黑名单防护、防病毒、防火墙等;第二种为异常行为分析,总结出正常的行为特征,一旦发现异常行为,就会进行实时监控,通过异常行为的分析来发现未知的攻击;第三种为基于情报共享的协同防御,依靠体系、机构、全社会的力量来做防御,这种防御方式与反恐类似。基于攻击者的特点,从下一代安全来看,目前的安全防护已经从“个体或单个组织”的防护转变为“信息驱动”的共享与协作。
(四)信息共享
信息共享,最常见的共享信息为安全威胁情报。2014年,美国麦迪昂特发布了一份安全威胁情报报告,特别要提出的是在这份报告的附录中将攻击的特征都总结出 来,并用格式化的语言呈现,供分析平台去“机读”,通过分析平台总结出一系列指标,更有利于安全防护,这种方式在国外开展的情况要比国内好得多。
我们目前的安全防护机制往往是在第五阶段安装恶意控制程序时才被发现,有时候甚至在恶意程序安装完成后也没被发现。真正理想的状态是我们应该把监控点提前, 变被动为主动。当有人或者程序在扫描探测我的系统的时候,我的系统就开始对他们进行实时监控与分析,在对方做出实质性破坏之前就能被及时制止。安全攻防的时间速度最关键,以空间换取时间,保证监控点的提前,掌握安全的主动性。
2、“协同共享”信息安全体系思考与实践
(一)安全共享平台
当拿到信息以后如何分析、处置将会改变你的防御体系。建立信息安全共享的平台体系,威胁情报、安全情报等信息可以自动传输并识别。在这个平台之下,我们也需 要之前的传统防护设备,如安全外贸网关、防护墙等。这些传统设备将对信息进行采集与分析,将数据传送至平台上,由平台做统一的分析和对外的接口。平台与外 部进行信息交互,形成一个共享体系,平台集分析、处理、取证、共享情报等多种功能为一身。
(二)“PPT”模式
安全行业,除了有平台支持,最重要的还是要有人。简单来说,安全行业有“PPT”(人、流程与技术手段)这个常用词,指的是人利用技术手段按照处理过程来对这个平台所发现的安全隐患进行处置。如何处理安全威胁情报很重要,当你收到这个情报,你和你内部的防御系统如果能进行一个充分的结合,并发生作用的话,则可以改变你的防御体系,可以让整个体系跨平台、跨部门去做很多事情,单单一个情报可以带动后面的一系列的过程。
(三)安全威胁情报处理
关于处理威胁情报我们总结为了三部分,第一步是可视化,第二步是分析,第三步是处置。外部的威胁情报传输过来,比如最近有一种杀毒软件检测不到的病毒正在运行,那么我们去了解这些病毒有什么特征,需要人员的分析及处置,需要通过这三步贯彻有效信息。安全不是简单的一个设备,也不是简单的一个人,它需要的是一系列的改变。
(四)大数据分析
威胁情报会落到大数据分析上,关于大数据分析我们认为有四个技术环节:数据采集、数据存储、数据分析、数据呈现。原来我们想从采集到存储再到分析甚至到呈现 都由一家完成,后来发现做并不科学,事实上国外的成功经验也告诉我们这种模式并不可行。未来是四个环节横切的呈现,每一个环节都由专业的公司来完成,每个公司都要抓住自己的核心竞争力,通过这种方式来满足客户的需求。这个年代速度很重要,谁能够在行业中最先占领高地,则未来发展将占有更大的优势,所谓“天下武功,唯快不破“。