叶晓虎:情报与数据分析驱动的协同运营

2017-07-27 中国发展网

中国发展网 7月27日 第25届金融展于7月27日至7月30日在北京展览馆与大家再次相见。本届金融展将以“创新驱动 稳健转型 共享金融”为主题,集中展示各类金融机构、金融科技企业的创新发展成果,以及面向企业、“三农”、百姓等推出的普惠金融新服务和金融IT新技术,通过多种形式、多个层次的分享互动,进一步促进金融行业内外的交流与合作,为我国金融业的稳定和可持续发展作出贡献。

北京神州绿盟信息安全科技股份有限公司高级副总裁叶晓虎出席并发表主旨演讲,以下为演讲全文:

image001

叶晓虎:非常容幸今天能有这个机会跟大家分享近几年来绿盟的情报和数据为客户进行安全服务过程中的一些实现。借今天金融展的机会,绿盟科技正式发布了2017年上半年的网络安全观察,这个报告的数据来源于我们对互联网数据的采集,以及包括我们所服务客户的一些运营总结和分析,我们可以看到发展的趋势,首先从攻击源的角度来看,我们看到有60%的恶意IP集中在GDT排名在前10的国家。

被大规模利用的漏洞数量其实很有限,其次大多数的攻击利用的漏洞都已经有了补丁,从网上安全角度来看,针对网上的攻击非常的活跃,这是目前最主要攻击的手段。勒索事件近两年频繁的发生,整个勒索的产业日期的成熟,勒索软件发展的数量也是越来越多,并且出现的利用系统漏洞进行自动传播的趋势。

接下来我们来看一下我们今天所面临的一些大家耳熟能详的威胁的情况,第一个是DDoS的攻击,我们之后会发布DDoS攻击的报告,今年上半年DDoS攻击发生的一些变化,首先攻击的流量和变化发生,从攻击的能量看它的攻击仍然是占了主要攻击手段。短时间攻击还是在所有攻击里面占的比较大的比重。

第三个我们可以看到由于这两年各行各业对安全进一步的重视,我们可以看到前两天在DDoS报告里面频繁出现的反射攻击,在我们今年观察的数据来看有所下降。今天我们处在一个数字化变革的过程当中,物联网终端的设备成爆炸式的增长,攻击方黑客一定会利用这些物联网终端的安全问题去发动攻击。

去年我们发布的关于网络视频监控系统的报告,关于物联网安全的白皮书,实际上在去年下半年就发生了好几起大规模的攻击,其Mirai针对法国网络攻击也是很大。APT攻击一直是大家关注的事件,这几年针对银行系统的攻击也月的多方面被公行,从2015年的厄瓜多尔银行,到孟加拉银行被窃取8000多万美元的重大事件。

这是刚刚过去的勒索软件WannaCry,这是我们看到的第一个具有毒虫的勒索软件,这是一个非常重要的变化,在WannaCry事件爆发的周期里面,有不少的机构停止了对外的服务,对业务产生了很大的影响,也对公众社会产生了很多影响。

我们可以看到,面对今天越来越复杂的威胁的挑战的情况下,企业的安全运营应该怎么样去建设,部署的规则可能就可以了,但是实践证明这是不可行的,安全不是静态的,是一个动态的过程,需要持续的进行监控和分析。实际上日常工作并没有发生更多的改变,还是围绕核心的资产做漏洞的检测和相应威胁的防护、事件的响应、调查的取等工作。

现在是需要把这些数据手机起来,提高态势感知的能力、综合防御的能力、预警监控能力、应急处置能力等。从我们的观点上看,安全运营数据体系分成两大类,一类是内部情报,也就是我们企业在运营的过程当中,在内部的业务环境所产生的数据,包括流量、IT、运营、URL还有枪管的数据,外部情况更多是引用第三方机构或者权威机构的数据,包括漏洞情况和威胁情况,内部情报加上外部情报这方面的数据体系的构建就可以形成一个相对完整的数据体系。

在这些数据体系之上,我们可以去建设相关的安全能力,利用这些数据我们可以建立态势感知的能力,可以看到当前企业安全态势的情况是什么样的,可以对发生的安全事件进行回溯、取证、分析,也可以针对当前的状态,以及威胁的情况来判断下一步可能会发生了一些风险的隐患在什么地方。

根据企业不同的业务的情况,我们可以来建设对应的入侵的态势,DDoS攻击的态势、高级威胁的态势、网络安全的态势等系统。同时还可以建设预警监控的能力,建设一个监控系统,我们可以看到企业暴露在互联网上的资产的情报,可以去监控获得漏洞披露的情报,以及漏洞在黑客社区里面的活跃度,工具利用的热度情况,以及相应的一些信誉的情报,通过这些情报的采集,可以在我们的本地网络进行资产的核查、一线资产的核准,以及对应的预警的漏洞的工作。

漏洞生命周期管理应该是安全管理里面很基础的课题,几乎所有的报告里面都会提到人数是不够的,但是企业业务快速的发展,数量变化很快,漏洞披露的数量也越来越多,如果按照以往的做法对漏洞生命周期管理很难发生变化,更多通过情报的方式来驱动,这个情报漏洞它利用工具的情况,他的活跃度是怎么样的,跟所存在的关键的业务资产的情况、匹配的情况是什么样的情况,安全团队才能够有效的专注在价值更高的工作上去,才能够提升他的工作能效。

同时,企业还可以和专业安全厂家之间建立协同的漏洞应急处置的过程,包括基于情报的风险处置来确认真实的威胁的范围。大家肯定听过这样的案例,出了一个威胁,一个规则是针对系统的攻击,但是我是Windows的系统,以前可能要做很多系统的工作,这要被大多数的安全团队所接受,基于风险的预警可以在日常的工作组织中收集、建立相应的事件。一旦出现相应的事件就不用紧急的扫描,通过这样一个过程,我们可以使得安全厂家的专业安全团队和企业的安全团队建立一套有效的工作流程。

在对应的平台上面去流转相应的工作,对对应的工作流下发给对应的防护策略,有机的完成整个的过程。未知威胁一直是大家在谈的内容,大家知道传统的安全设备像IPS防火墙都是根据规则来实时的检测一些威胁的情况,未知威胁的事情在模型上面需要做更大的变化,我们提出了这样一套的平台和方案,对于被监控的网络记下他的流量,获取安全检测告警的数据,同时把流量的原数据存储下来,以及包括恶意程序的行为数据,包括我们对被检测网络扫描的数据都存储在一个平台上面,威胁分析师就可以在这上面进行挖掘和捕获,从而可以发现背后隐藏的威胁活动的蛛丝马迹。在上周出现的漏洞,我们就在现场的环境找到了一周前恶意的披露,可以有效证明这个工作的方式。

当然前面所讲的都是我们在网络安全方面所做的一些工作,但是今天我们也可以看到网络安全的范围也在不停的扩展,一些新的方法和新的技术也在不停的出现,这两年基于行为的检测也是大家非常关注的一个技术方向,通过建立行为的期限,我们可以对用户的行为进行画像,画像完之后我们做时间区别的分析,比如机器学习和挖掘的一些方法,可以发现内容泄露的一些可能性,包括对APP攻击图谱的完整。

大多数的业务系统安全问题在它立项的第一天就已经出现了,这也是我们这两年来一直在谈的这么一个业务系统的安全生命周期,从业务系统在需求规划的阶段就应该引入对应的安全需求,在编码阶段可以进行安全编码的培训,在上线发布的时候需要准入的安全检查,在要对应的监控体系,并在整个运营的过程当中要持续的周期性的去评估业务系统安全的状况包括一些技术的手段,测试的手段,配置核查的方法,还有扫描的一些方法。

企业安全运营不是一个静态的工作,也不仅仅是企业自身的工作,需要企业、安全厂家,以及我们的监管领导机构进行紧密的合作。我们在左边这幅图上目前可以看到,作为攻击方他们的目的是非常清晰的,漏洞挖掘者在交易平台上发布他的漏洞攻击工具开发者在交易平台发布这样的工具,而攻击者在交易平台上可以获得这样的工具,他可以以非常低的成本或者非常高的攻击。

作为防守方,分工与协作效率的提升是保持企业高水平安全状态非常重要的课题,我们回顾一下今年上半年几个比较有影响的漏洞处置的一些过程,这是3月初针对Struts2漏洞我们做总结的情况,我们在大概9点03的时候发布了预警的通告,将近5个小时以后进行了在线漏洞检测的能力,8个小时之后所有的安全防护设备具有了安全防护的能力。我们所动作SaaS服务所保护的网站里面,我们在10个小时左右发现了第一起这样的攻击,我们仅仅是比攻击方提前了不到两个小时的时间。

这是我们在前段时间WannaCry整个响应的过程,在5月12日晚间我们检测到了相应可疑的攻击之,5月13日凌晨现场值守的工程师就做样本的通报,所有的环节包括我们的研究团队、产品团队、服务团队都紧急的启动起来,我们的安全服务团队加入脚本,我们在客户本地的安全工程师去到客户的现场为客户进行补丁的加固、系统的修复,事后我们对整个过程做了一个回顾,我们大概为200多家客户提供了这样的服务,这200多家客户都没有受到大的影响。

大家都知道WannaCry利用的漏洞在4月份已经发布了对应的补丁,但是同这张曲线图上大家可以看到,大部分企业在事件发生的当天才进行扫描设备、防护设备,包括操作系统的升级,这说明企业在安全运营和协同运营的过程之中还需要很多改进的空间,很多事情在事前去采取措施就可以接触漏洞带来的风险。

6月中的时候“无敌舰队”组织向多家证券金融公司同时发起DDoS比特币的勒索,中国电信的云机主动为我们提供服务,这也是一个非常好的结果,这是协同运营非常好的例子。我们总结今年协同过程中,可能看到一些存在的问题,传统的协作模式效率是比较低下的,它的周期很长,周期越长面临的风险越高,技术上的环节是有更加的复杂。

所以近几年,绿盟科技提出了协同运营的模式,也是一直在做对应的实现,在我们所服务的客户里面,大致上可以分为三种情况,第一种情况是客户把它所有的工作都交给绿盟来负责,所有的事情通过云端来进行操作,第二个客户是在他的企业侧部署了对应的平台,由客户来指定哪一类的业务系统的数据可以由绿盟的云端的专家团队来为它进行服务,由哪一类的数据、系统是需要离线的进行处理。第三种类型还是最传统的,通过离线的方式。从我们这几年的实践经验来看,这三种用户在面对安全运营响应整个处置的过程效率和效果有了非常明显的不同。

所以我们今天企业和安全厂家在威胁前面临的众多的挑战,如何更好的协同运营,对于企业来讲他所面临的困难我认为有几点,首先改变预算的结构机制;第二是企业需要在安全运营的能力工具在现有的开发机制整合,改善业务系统的生命周期的管理;第三是作为监管合规的线索。

对安全厂家来讲,大多数的安全厂家以前都是做安全研究开发的安全产品,今天它需要从单点的产品转化为提供,从产品的交付转变为价值能力的交付,这对很多安全厂家都是一个很大的挑战。第二攻方本次是对抗,实际是双方能力的较量,对于安全厂家来讲,如果要为客户提供更好的安全服务的能力,就需要去积累更多的安全的能力,只有积累更多的安全能力,才能够有效的提升对抗的水平和速度。第三个是如何在监管机构的领导下如何在企业和安全厂家之间建设有效的协同运营的体系。

绿盟科技作为一家国内最早从事网络安全的企业之一,10多年来我们为上万个客户提供安全产品、安全解决方案、按照服务,但我们意识到我们做的还是很不够,这几年持续的在安全研究、安全技术以及安全运营上面进行投入,我们的一部分工作也得到了国内外同行的认可,包括微软等。我们也希望在未来能够和更多的金融企业展开相应的安全技术、安全运营、安全研究方面的合作,希望能够为金融业的企业安全贡献更多的力量。以上是我今天分享的内容,谢谢大家。