北信源钟力:大数据驱动的泛终端安全

钟力:各位来宾下午好,我是来自北信源的钟力。我跟大家分享的内容是大数据驱动的泛终端安全。主要的内容是三个部分,按照我们讲安全的惯例我们会讲现在面临着日益严重的网络安全威胁,接下来是我们的主题,我们如何在终端做构建安全的体系,最后在当前的数据时代,我们如何面对众多的终端数量的时候,利用现有的成熟的大数据平台和技术进一步提升网络安全能力。应该说现在的网络威胁持续升级,知道是有两个方面:

钟力

第一,面向个人用户的与经济利益紧密相关,已经形成了黑色的产业链,从木马的职责传播和窃密,形成了很大的黑产,号称跟网络安全产业基本上旗鼓相当。去年开始的勒索软件到最近“永恒之蓝”也是这样的,勒索软件这两年已经占据了安全威胁的快速头条了,非常地严重。

当然最近的永恒之蓝也没有挣多少钱,也许是网络空间作战,尤其是看看行业应对的措施是不是足够强。可以看到面向互联网用户的是有组织有国家、有地区背景支持的一些网络攻击越来越多,这样的一些攻击的特点是有技术、有时间、有资金、有人力,能耗得起,可以做很长时间的攻击,这种不是单个的黑客所能具备的能力。它已经逐渐地具备攻击国家基础设施的能力,赌博士说“大蓝+”来了,实际上和平年代它是以窃密为主,现在是更多跟人的切身利益相关的。而且现在我们一讲APT,有大的国家背景支持的大规模的攻击都是指APT攻击已经成为了先进攻击的型号。

前面说到的威胁,这些威胁的核心其实就是我们的病毒,当然现在的病毒已经不是一个传统病毒的概念,实际上是一种更宽泛的概念,我们现在统称为恶意代码,它一直是各种各样攻击的核心,我们APT的支撑点,怎么进来、怎么为后续的攻击窃取服务,都是攻击的核心所在。现在恶意代码的多中心技术也是多技术的融合,越来越强,不是单一的技术所能把它完整的描述的,在恶意代码攻击的全过程中,比如说植入再进入计算机,进入信息系统,这种阶段它可能会有漏洞利用,我们常见的挂马,还有利用漏洞的关系的,我给你发一个邮件如果用你的朋友给你发一个木马也许你就收了,这种可能性就很大。在进入以后有很多的隐藏,启动包括一些内存主流和加密,包括对邮件服务器的攻击,你的邮件服务器是不会关机的,它会驻留在上面,包括后面的火焰病毒慢慢要获得合法程序,变成一个合法的程序。同时它的控制端是一个什么,基本上肯定都会采用动态域名的方式进行动态开放的迁移,使相应的机构或者是处理,增加了很大的困难。这就是恶意代码相关的演进应该说在攻防对抗中,恶意代码的防护已经非常非常关键了。

这里简单讲一下近年来几个重大的网络安全事件,第一是震网病毒,它是针对伊朗的核设施对普通的民众是影响不大。到乌克兰电力事件的时候你会发现它会给你的生活带来很多的不变,甚至是给财产带来了损失,包括火焰病毒也刷新了我们的认识,过去的木马病毒是很小巧的窃情,火焰病毒是接近20M是模块化的,可是功能非常之强。还有一个是海康威视,是2015年的,这是物联网的发展,很多物联网的设备IP化了以后,带来的安全问题一下子也会凸显,其实也是很简单就是缺损和默认的账号密码,可是这样的东西刚上来的时候,会带来很多很多的安全问题,像我们进入到物联网的时代,不仅仅是摄像头还有很多的物联网设备,他们进来以后会给我们的网络安全防护体系的设计或者是实现带来了很多的难题,或者是增加我们很多的脆弱点,包括近期的“永恒之蓝”,以及NSA的泄漏,可以做到像硬件级的控制,你怎么去升级软件更改都没有用。这是一些大的安全事件,表明现在的安全挑战越来越大。

在这样的一些网络安全威胁下我们如何来做网络安全体系的设计,今天我的内容主要会聚焦在终端上,按照原来美国的信息保障体系框架IATF(音)第一层是深度防御策略的,网络与基础设施的防御,第二是网络与边界的防御,第三层是计算环境的安全,终端安全就在计算环境的安全上。终端是非常非常重要的一块,应该说它是所有网络攻击的跳板或者是目标,在终端能有效地感知威胁,现在我们几乎所有的高等级的网络安全攻击都进行了网络层面的隐藏,基于网络数据是很难有效感知的,除了现在的web攻击可以看得很热闹,实际上,很多的高水平的攻击很难在网络层面对它进行有效的感知。可是这些攻击不管在网络上如何隐藏,最重要要有所作为,都会在终端上有所展现。同时我们要确认一种网络攻击是否发生了,或者它造成了什么样的危害和后果,我们要取证,我们过去做了很多取证方面的事情去看和调查一个攻击,最终还是要在机器上查,在终端上进行确认。同时,我们对合法和防守方,我们的用户来说,用户的行为不管是合规的行为也好,违规的行为也好也会在终端上进行完整的体现。同时,我们每个行业会有它的特点,我们讲APT攻击,其实它是很长久、很持久的,会对一个行业,比如说我要瞄准电信部门或者是瞄准能源部门,我会针对它的一些具体的应用做漏洞的挖掘。所以APT攻击是跟应用关联的。

因此这里讲的是终端对安全防护是非常重要的,对我们调查取证安全事件是非常关键的。进一步聚焦终端就是行业内容终端,实际上,对一个国家来说,国家安全所关注的当然也关注互联网的一些终端,关注个人信息,可是更重要的是我们的政府军工能源,我们国家的一些重要的基础设施是最为关注的,这里的终端是重中之重,关系到国家政治经济安全,这些终端实际上是境外的黑客组织和情报机构或者是境外网军作战的目标,是我们的行业内网中的。同时也可以看到当前IT发展的形式下终端形式多样化,传统的终端形式仍然存在,服务器、PC、笔记本电脑,包括我们的手机在我们终端形式依然存在,在物联网时代到来的时候,终端形式就更多了,比方说我们在给一个企业做安全解决方案的时候,会涉及到很多新的需求,像对摄像头的一些监控的需求,对充电桩的一些监控的需求,包括中石油暴露出来的加油站等一些终端,包括可穿戴设备智能家居,我们汽车联网以后可能都会成为这种防护或者是攻击的一些对象。

这样的话在物联网时代,安全管理的复杂度是急剧上升的。一个是云计算的发展,可能我们的网络边界的模糊化,当时也是谷歌有这种文章,再一个我们刚进安全圈的时候提到了木桶原理,很多终端接进来的时候,移动接入的时候会存在很多的漏洞点,会急剧地增加。

这样的状态下我们怎么样进行终端安全体系的设定?主要是在两个方面,第一是从终端入网开始我们要开始全生命周期的管理,主要体现在网络控制和终端防护与监控上面。主要是三个层次,首先终端在过这个边界的时候要进行准入的控制。第二进来以后我们要保证系统的安全,再上一层次我们要保证数据和应用的安全。在防护方面,我们是防护监管的一体化,实际上这不但适用于行业终端,互联网终端也是一样的,在我们行业终端的时候,在等级保护上,我们国家的等保政策和涉密信息会很明确地提到防护监管的一体化,既要做防护设施也要为监管提供接口。互联网终端可能认为不需要监管,实际上你们装360的时候已经被监管了,只是很被动的监管。这是免费使用杀毒产品带来的被动的监管,当然行业也有相应的国家要求。

北信源的终端产品体系是为刚才的理念防护监管一体化打造了三纵四横的管理体系在当前的架构下,我们在纵向提到的边界安全、主机安全和数据安全上,我们在横向面向不同类型的终端,传统的Windows的、Linux的、国产终端、移动终端和虚拟终端,将来到了物联网的时代,下面还有很多类型的终端,所以横轴是很多的。在终端越来越多的情况下我们要利用大数据来驱动进行分析,能进一步的提升安全能力。边界安全方面,我们这块做的是要保障一个主机在进入网络的时候是安全的,确保只有安全合规的终端主机才能接入网络,解决网络接入设备的合规性级用户操作行为的合规性问题,遵循接入可控与合规的理念。这种准入控制是传统的一次准入后面就一直使用,现在要求的是动态转入,基于主机安全状态合规的,一个主机接进来是合规的,过一段时间没有及时地做升级更新,出现什么问题,安全评估不合格会被置于隔离区做安全增强或者是修复,是动态的。同时控制方式有多种,可以适用于多种场景,有一些企业是固定IP的,有一些是动态IP的,准入控制方式是非常多,有的是通过交换机来进行控制,还有直接走入网关来做。在主机安全层次首先要做的是基线的安全配置,热配置和终端有技术的安全的配置,这是等保和分保都有新颖的要求。其实美国联邦政府的FDCC大家都听说过,这也是联邦政府的信息安全配置,我们国家也发布了相关的标准,应该是国家新闻中心做的电子政务网络的核心配置,都要求计算机应该具备相应的安全基线配置以后才进网使用。第二是做主机行为和监控防护的,这块会对文件访问的行为,系统的配置,做一些控制,同时对外设的使用,包括网络的一些访问做监控。再一个是异常监控行为的正常模型之外的行为的监控。第三个是补丁管理,这次“永恒之蓝”也凸显出了补丁管理的重要性。第四是对上述的行为进行审计,主机安全。

应用层面是数据和应用的安全,这块涉及到的,首先为主机上的数据提供安全防护,比如说像文件保险箱和加密的措施,第二是数据防泄漏,我们这个主机上的敏感信息在流出的时候,通过电子邮件和及时通信邮件可以看看有没有敏感的信息进行泄漏,这是防泄漏的检测。我们要打印一份刻录和复印。第三是数据的安全检查,计算机应该符合安全的规定,有一些行为是可以做的,有一些行为是不能做的。大家应该熟知的非法外联的保密安全检测。

基于这样的一些手段,我们提供统一的安全管理,提供这种防护监管一体化的安全管理手段。我们传统上可能不同的安全产品,尤其是CS架构的产品,不同的产品有不同的客户端和管理端,用户那里使用是非常痛苦的,用户的主机上装了3、4个大家都会觉得会有兼容性的冲突的问题,现在用户的需求是在客户端上尽量地变成一个客户端统一调度,在服务端也是一样的,我们不能每一种产品都是一个控制台来管理,进入我们的信息中心几个大屏都不够用,这种管理是要做到统一的安全管理,一个平台管理所有的终端。这样的基础上带来的好处是使得我们为大数据的扩展提供基础,同时有了数据以后有了数据的基础,我们可以更多地加入机器学习人工智能的分子进一步提升安全的能力。

前面讲到了防护的架构以后,重点再提一下防病毒。这里的病毒不是传统的病毒的概念,而是恶意代码防护的概念,现在的病毒木马等这样的都可以归入这个范畴了。现在的产品体系里,防病毒主要是两块,一个是网络防病毒,基于网络数据来做防病毒,另外一个是主机防病毒,在主机上通过病毒行为来发现病毒程序,或者是做静态的扫描。实际上我们在终端上大量使用的病毒但是未知病毒发现不了,行为监测是需要用户有一定的介入,而且需要加入人工的判断,而且有误报存在,在行为检测更多是通过云端来做。当前的防病毒产品或者是反APT的产品,实际上他们只是发现了APT的线索而已,我们做APT攻击的时候,是半年或者是长达一年的时间查一下查出来,所以只是发现了一个线索而已。这种监测方式通过沙箱通过旁路的方式用虚拟执行的方式来判断,是不是有APT攻击线索的出现。

第四,这里要强调防病毒产品多样性的必要性,如果我作为一个黑客进行攻击的时候,开发了一种恶意代码,肯定是要把市面上主流的放毒产品过一遍看看能不能查到我才会做攻击。同样的,对安全厂商来说,对我的用户来说,某种程度上也是需要不是一种防毒产品而是多种同时存在。公安网络上也是的种杀毒引擎同时存在的。

防毒这块北信源和启明星辰一起成立了辰信领创,现在很多的杀毒都是摆设,北信源看不下去了,进一步拓展我们终端安全的能力。

推出的第一款产品是景云网络防病毒系统,三个组成部分,在终端上的代理,Web系统控制中心和私有服务器。这个产品的部署是既可以面向互联网用户的公有云的部署方式和云查杀的方式和病毒的监测,跟现在的杀毒产品架构类似,还可以部署企业私有云,也可以做云查杀。查杀的过程中,尤其是云查杀中有多种的防病毒引擎做协同的查杀,这里有狩猎者引擎和云查杀引擎等进行协同查杀,确保这个更为准确或者是没有漏网之鱼。

在技术方面,有这么几项,一个是Matrix人工智能启发引擎。第二是多步主防技术,一个恶意代码做攻击的时候,行为展现是分多个阶段的,比如说一个很典型的恶意代码藏在Word文档里,用户如果点开了这个Word文档里面,通常是漏洞的利用程序,执行完了以后再到它的控制服务器再下载相应的真正的攻击程序,这个程序再运行下来会释放到系统的阶段,或者是文件系统的每个步骤,这样多种的行为来进行判断,实行恶意代码的入侵。

还有我们对WannaCry勒索病毒的侵害。这对我们的影响很大,我在高速上接到了天津的病毒中心打的电话,需要一些相应的专杀工具,我们公司也紧急地做应对,推出了一些专杀工具,包括的一些陆续的数据恢复,包括了解密的工具来有效地应对病毒。

说到终端安全体系的架构,最后我想说的是大数据驱动,我们在现有的安全体系之下,在部署到一定的安全终端的量了以后,我们如何来进行大数据驱动。应该说会很自然的想法,因为大数据驱动不只是我们厂商,在跟我们大的行业用户和客户交流的时候,很自然都会想到要利用大数据技术来驱动,这是因为云计算大数据技术的落地于实施,为我们的大数据驱动提供了平台和技术基础。我们的目的是利用大数据来加固内网安全,提升安全管理的能力和效率,用大数据的好处是前端可以做到更大时空维度的数据采集和存储。我们过去在做安全的时候,在主机上的一些数据,通常做完了处理以后那些数据就扔掉了,一次性的处理,有了这个大数据平台以后,很多的线索和数据能够把它存储下来。

半年前受限于检测能力,可是相关的可以数据保存下来了,半年以后我的检测能力提升了,看到了这种攻击线索,再回溯和调查分析会发现这个家伙半年前就来了,我们可以做更唱时间维度的分析,实际上我们做这种APT分析的时候也是要综合很多历史的数据或者是综合很多地域的数据,这样才能形成我们对APT攻击完整的描述。前端有了数据以后,我们后端就可以很自然地把这些数据做更好的分析,最终的目的是能做到基于大数据的网络安全管理应用的性能监控、安全态势感知核威胁情报获取,可以提供更有力的决策支持。我们行业的用户里,不管是政府军队还是竣工这样一些行业的用户都是相对隔离、相对封闭的网络,它的四不像互联网上的终端和攻击的事件,内网的事件没有那么多,有很多的关注点在我们部署的应用上到底怎么样,需要了解。所以我们就要做这种性能监控,而且把这里面的一些东西和安全能结合起来。

大数据驱动的类型,这里面主要是针对终端的有两种类型,一种是基于互联网终端的,像腾讯和阿里包括一些防病毒厂商,终端商的数据都采集上去,到厂商这边做会聚和分析,腾讯管家7、8亿的终端,亿级必要的数据汇集到那里,会做分析,看你用户的一些行为等等一些东西。在行业内网里面,我们不可能把所有行业中的数据采集到北信源来分析,是基于每个大的行业和信息系统来做的,大类的信息系统,比如说公安内网和国家电网终端数量是在百万级的,虽然差了两个等级,可是在采集的数据和用的数据来看,其实不比互联网的数据差多少,都是在数据量级上相差不大的。

北信源在大数据驱动上有很多的基础的。我们的终端安全管理产品是连续11年在全国市场占有率第一,我们管理着超过4000万台行业终端,数量非常之多,我们在部署大数据系统的时候,只要把我们的客户端做一个简单的升级,就具备了这样前端强大的数据采集能力。

大数据驱动的目标简单有三大块,第一是基于大数据的安全管理,会有资产威胁和脆弱性等风险要素的全面管理,也有依据国家标准的一些合规性安全管理,以及基于事件的安全管理。第二是基于大数据网络安全态势感知和威胁情报获取,我们可以把威胁的状态进行展现,同时可以做针对APT攻击的深度的挖掘和分析。第三是机遇大数据的业务应用性能的监控目前我们做到的数据源主要是终端上的一些数据,上面各种各样的应用的数据,以及每一个行业内网中必要的网络数据进行采集。现在我们基本上每台终端每天采集的数据在两兆左右,一年是P级的数据量来进行分析。这是简单的大数据处理流程,会采集一些日程和日至、流量,利用大数据平台来做这种存储,包括后端的分析。这是每个层次相关的大数据分析的一些组件,采集、传输、存储、分析,到最后的大数据的展示。

这是后端大数据相关的分析模型,包括了用户行为方面的,涉及到网络分析的模型。前端的数据很多,我们后端可以很好地去做相关的模型来做分析。同时后面分析需要什么样的数据,可以再去定制策略让前端的代理做更好的数据采集。这是涉及到应用性能监控的模型。这是北信源大数据驱动的泛终端安全管理平台,一个架构,可以简单看看。这是一个平台的应用界面把最后的使用展现给用户的一些内容,关于业务应用性能方面的一些呈现。这也是应用性能监控的一些内容,这里还有安全相关的日常用户的一些监测,比方说我们在给中国移动和公安内网做的时候会有异常用户的监控,比方说涉及到一些数据不是这个警种的人的时候,其他的人来看会有一些问题,像王宝强等等这样的一些事件的时候很多人查人家的记录,这些都可以在大数据平台上展现出来,分析哪些用户是违规查阅的。这是终端控制台的大数据分析展示的效果。大数据展示基本上没有太多的地方大家做的内容都差不多。

我们在大数据驱动这块目前的平台已经有几个典型的用户,一个是公安部全网进行了部署,约300万台的规模。还有是国家电网的部署,这个部署也是100多万台的部署,基于这样的行业终端安全。刚才提到我们做行业大数据驱动的时候,和互联网不一样的地方,做互联网终端大数据驱动的时候,是所有的互联网终端都会会聚到厂商,会聚到腾讯,会聚到阿里,在行业里面是不允许这样做的。在每个行业大数据驱动的平台都是在行业内部去部署的。他们的官员是什么,今天另外一个主题是威胁情报,威胁情报的分享或者是共享,在这一块北信源做了安全服务云,相当于作为连接各个行业内部信息系统的一个纽带,这样的话我们可以做云端的安全分析,还可以每一个行业云里面有一些威胁情报和系统可以发给我们,我们可以有必要给其他的行业信息系统做警示或者是跟国家相关的部门去联动。这是相当于北源在这儿做安全服务云的中间的连接纽带。

最后小结一下今天的演讲内容,首先我们是简单回顾一下网络安全威胁,虫威胁入手,现在的威胁是越来越严重了。第二是介绍终端安全的管理体系,在当前物联网的场景下要做泛终端的安全,这个安全怎么落做是防护监管一体化,既要防也要做态势感知,获取相关必要数据进行监管。第三,在终端具备一定数量规模之后,我们需要大数据的驱动,形成更高的安全能力。

这次“永恒之蓝”病毒事件可以看到,当一种强力病毒来袭的时候,已部署的恶意代码防护措施通常是无效的,或者是面临着很大的挑战。这时候是要求有效的应急处置,要有高水平的安全服务和快速的应对。这次事件不管是北信源或者是企业或者是绿盟这样的安全企业那几天都特别忙,都在为我们的用户做服务和应急处置,我们的安全是没有百分之百安全的,网络安全一直是处在攻防对抗之中,希望我们业内的同行共同努力,来打造国家更加安全的网络空间。

谢谢各位!

上一篇:张健:对勒索病毒事件的一些思考

下一篇:微步在线李秋石: 如何用威胁情报应对安全事件?