微步在线李秋石: 如何用威胁情报应对安全事件?

李秋石:各位来宾大家下午好!这会已经快三点了,稍微有一些困,我这次带来的分享是比较贴切实战的案例,大家关心的威胁情报如何应用,如何落地,我们会把我们在践行中所积累的一些经验和事件分享的处置经验分享出来给大家做一些研判。

李秋石

威胁情报在国内包括在国际是比较热的一个话题,从美国和中国的威胁情报,各种各样的厂商和解决方案一直成为了大家关注的焦点。在实践中,我们这一次可以先给大家分享一个相关的数据和市场是有关系的。有一个朋友告诉我了,世界上有两种类型的企业,一种是知道自己被黑了,还有一种是他不知道。这其实也就是喜欢了防御领域对检测和响应到底是不是有足够的认知,以及对价值是不是有足够的认识。这是与高德纳独特的预测,高德纳预测到2020年企业会持续地出现在被攻击的状态,它无法再自己的内网或者是自己的网络内存在攻击的立足点。同时,在未来3年,在国际上我们的信息安全的预算也就是说资金的方向也逐渐从防御、防御、防御转向为检测和响应这两个象限。最下边是最新的数据,2017年国际信息安全市场的规模将达到98亿美金,安全服务的占比占63%,也就是说设备占比已经低于服务和解决方案了。它的增长的驱动力其实主要来自于企业的预算、由原来的防御转向为检测与相应以及预警。

国内的趋势非常地明显,我国也认识到了这个趋势的变化,从“十三五”信息安全规划到《安全网络法》都已经提到了网络安全监测预警机制。建立威胁情报的预警机制和相应的预警平台。介绍一下我们公司,看我们公司能做什么,其实从去年一些事件中,到2016年网络信息安全事件已经到了登峰造极的阶段,除了今年的WannaCry这个事,大家都有印象它已经关系到我们的生命安全,就是在山东发生的徐玉玉被诈骗的事件,她被诈骗是山东高考信息系统被黑客入侵,转到电话诈骗者的手里,他们利用这些信息进行诈骗从而导致了受害者的心理承受能力达到了极限,从而产生了生命安全的问题。今年也看到了国家相关的规划,对信息安全我们欠了很多的债,包括缺乏和防御检测机制的企业,逐步会有相应的动作和措施。我们公司是微步在线,我们目前完成了A轮的融资,我们的主要团队是来自于微软亚马逊以及阿里还有美团的相关成员,我们85%是技术和安全分析人员,CEO薛峰(音)来自于公安部第三研究所,微软中国安全总监以及亚马逊中国首席信息安全官。我们提供的解决方案其实就是能帮助大家在徐玉玉的事件中利用威胁检测和相应的机制,在黑客攻击的过程中及时发现响应的指标,从而引导大家做及时的防御和处置。这皆是我刚才说的故事,其实不知道自己被黑的那些企业,作为它的甲方,也就是说我以前在企业中甲方作为信息安全的从业人员,我最痛苦的是什么?一天晚上睡觉,第二天早上起来从新闻中得到企业的数据被拖出去或者是信息泄漏了。后面更痛苦的事是CEO和董事会问这个事到底是什么原因怎么发生的?一问三不知,这个不会吧?为什么呢?因为我们不知道这次攻击的行为是怎么发生的,它所使用的技术、相关的流程以及战术是什么?我们无法解答这个问题,更不用说向用户回答这个问题了。我要知道这些问题,一定要具备可指导行动的情报作为指引。退市作为别人和同行业发现问题,当你被问到的时候,往往会加一句,这种事情会发生在我们企业内吗?应该不会,如果在座有经验的话,信息安全是没有办法做到决定的。

再说一下漏洞的问题,我相信每一个甲方在手里掌握的漏洞信息,和在外界收集到的信息多的有成百上千个,少的也有几百个,我们要先修哪一个呢?我们有足够的资源修复吗?我们需要有相应的时间和资源修已知的问题,况且漏洞是无法避免的问题。监测与响应的重要性,我的信息安全团队要有科学的KPI。我们分享一个数据就是MTTD,平均安全威胁发现时间,这是有可被衡量和参考的数据的。根据Mandiant2017年发布的数据,亚太企业平均发现威胁的时间是217天,为什么有这么长这和网络攻击杀伤链是有关系的。我发现这个威胁的时候,去处置和相应往往需要7到30天,我的资源有限,不知道原因不知道背景是什么,之前所有的防御手段是阻断阻断阻断,但我并不知道是为什么来得,更别说在根本上进行处置了响应了。平均的时间如果说有科学的考核机制,其实对应的信息安全团队我们所做的目标和投入方向是可被参考和可被量化的。

这是我说的网络攻击杀伤链,里面有非常科学的模型来做的,一个黑客和攻击者从发现这个企业的目标,到进入这家企业摸清的架构,再到供应的立足点,再直接地找到攻击的敞口,需要非常长的时间,不是说上一秒决定攻击,下一秒就搞定企业的。我们有不同的类型,当然如果你得罪了某个员工就不用说了,这是非常非常有针对性的,只针对这家企业或者是某个老板进行攻击,这个情况是比较特殊了。我们看到中间这个维度,有针对的黑客和犯罪组织他的攻击范围有一些是针对行业的,有批量性的,但也是有针对性的。我们从防御的角度如何在第一时间定性这个攻击,将直接决定了我们的响应级别。网络攻击杀伤链头三步可以忽略,第四步开始,我们可以看到某个钓鱼或者是恶意程序或者是某个账户被诱骗,这些信息对甲方来说包括对用户来说往往是大量的,是非常复杂的噪声,也就是说,我可能完全无法区分到底是一个普通的恶意程序,还是一个非常有针对性的,背后有组织的攻击行为,再下一步就是可能会产生小规模的失窃情况,这时候我们就可以进行非常有效的检测和响应了。第六步是远程控制,这个指标就更明显了。这类似于在航空业有一个习惯,每一个重大安全事件之前是有上千个故障征兆的,这个如何有效的发现?是情报驱动的检测机制能给大家带来的收益和价值。

我举一个案例,有一个中关村的上市公司,在内部网络服务器中利用威胁情报中心,在服务器上发现了一个恶意程序,这个恶意程序可以有两种响应决定市,可能是一个小黑客或者是做一个实验的行为,也有可能是针对公司的行为,他在第一时间做响应的时候脱不了壳,我们做了第一时间的响应和相关的分析,发现这个水平是非常高的,是具备了专业黑客攻击水平的,有可能是由某个国家自治的攻击行为。这个行为就拉响了最高级别的警报,2000台生产服务器进行了排查,最后发现2000台全部被控制,这个定性被发现,这个攻击不是窃取信息的行为,是一个利用高级工具截取服务器的流量给境外赌博网站进行导流的行为,这是骗钱的行为,对整个的响应是非常具备参考价值的。

再举一个例子就是WannaCry,我们的角度不一样,以情报驱动的响应和处置其实是和甲方直接相关的。我们所服务的几个大型企业是有上百台上千台的终端,甲方的人员已经被叫来响应了,对他来说信息已经饱和,各种各样的关于WannaCry的报告铺天盖地,到底有哪一条是值得参考的,哪一条应该去按照他的指引去操作,这个也是他所面临的问题。还有一个最重要的问题是,可能在内网是隔离,可是有很多BYOD的客户,很多员工的电脑,周末可能会拿回家。但是WannaCry这次攻击的恶意程序首先会连接秘密开关,如果是联通是可以不加密,如果联不通可以加密。这都是内网隔离的企业,没有部署相应的措施的。我们的客户第一时间以情报驱动的响应机制是什么呢?IT人员就会在内部配置相应的对开关以及变种程序所使用的开关的程序解析,保证证券公司在开户前所有的员工和设备是可以联通这个开关的,在内部做了解析。我新连入的设备不会加密,同时再做一些后续的处置措施。我们的客户实现了保障数百万台的设备,以后在整个网络做了相应的监测,知道自己到底有多少的内网设计是可以联系开关的,明确定位哪些是视线主机。再套用自适应网络安全模型ASA,以WannaCry这个事件为例,是怎么进行响应的?防御环节能打补丁打补丁,很多的设备如果没有完善的补丁管理体系,是没有办法任何的设备是可以打好补丁的,这个是防御环境我们可以做的。监测环节是利用我们的开关和秘密开关做相应的监测,发现我的内部网络到底有多少连接的设备,我们会精准定位我的网络里有多少的事件主机响应做什么呢?屏蔽445的端口,我们再利用自己的变种和开关,对相应的木马和样本进行分析。我们也把我们和客户的实践经验在这里抛出来,供大家做研判。

另外一个案例是hao123挂马我们另外一个客户在百度的事件发生了以后,半夜12点说我要做应急响应,考研我们的MTTD和MTTR响应,我们的分析师发现了所有的攻线指标和黑客所使用的网络资产,也就是说hao123有多少的域名、木马都是它的资产,当你都掌握了之后,他更换攻击成本和事件成本也是非常高的。我们的客户利用威胁情报和现有的下一代防火墙进行了联动,实现了8小时的内网联动处置。这个事情是发生了,我们利用了8个小时,远低于亚太地区所有企业的响应时间,我们现在可以拍着胸脯说可以不受hao123事件影响了。杀伤链第四步发生的时间是什么?是43天之前,这个远低于业内平均水平了,在整个的行业里,在亚太地区是有172天,北美地区信息安全这么发达的地区要用99天,这就是量化我们用情报驱动的,我们新的检测和响应的安全机制到底做什么?

2015年苹果的开发工具受了感染,12306、滴滴和使用的微信都受到了影响,这个事件是非常典型的在2015年9月18日这个事件被偶然的机会发现。我们在座溯源分析的时候发现,他在2015年2月26日就开始进行了这次攻击,并且所有的攻击资产和网络攻击就开始了。没有任何人在做这件事情。

大家会问一个问题,微步在线是如何做到这件事的这是我接到的最多的问题我能说的就是这些,我们有强大的自研和分析的能力,我们既分析情报又是情报的生产者。我们汇集了全球优秀的安全厂商和合作伙伴,包括管理了超过200家的情报源,我们自己又有非常强大的样本分析和溯源的能力,包括云端计算的资源是非常非常庞大的,有沙箱,包括了基础的网络数据,包括了PDS数据和历史数据,这对溯源是非常有用的。我们有威胁分析平台,这也是唯一开放的综合性的分析平台,大家都可以注册账号进行免费的试用。我们在按黑客栈事件、Gost和孟加拉央行的事件进行了全程的跟踪和相应的客户企业和监管部门进行了实时的联动。

目前我们的主要产品的实现方式是威胁情报平台,也叫威胁情报中心,这是部署在客户的DMZ区域,内部网络在本地实现内部检测,你把你的血将抽出来,放到威胁情报中心,我们把疫苗打到威胁情报中心,进行实时响应。同时有内部溯源的功能,如果我们发现了报经,这个报警和每天发生1000个是不同的,它是正在发生或即将发生的威胁。和远程控制服务端的连接的行为和内部植入的攻击立足点,比1000个报警都有价值,我们包括了SIM和SOFT研究,如果没有这些大数据平台也可以进行部署和响应,因为它可以帮助你从大量的日至中解脱出现,发现最重要的火苗在哪里。我告诉你就是火苗在哪里。

我们还有自动化的溯源系统,这是基于机器学习的方式,这是没有公开的产品,主要是为相应的机构做自动化的溯源和追踪。

我们展台在外边B21,大家有兴趣可以去我们的展台,我们也有公众号,希望大家做相应的交流和研判。我这次的分享就到这里,如果有兴趣欢迎和我们交流。谢谢大家!

上一篇:北信源钟力:大数据驱动的泛终端安全

下一篇:Dennis Batchelder: Protecting the Protectors