崔晶炜:安全的最后一公里

摘要:在当下互联网飞速发展的时代,网络环境愈加复杂,网络安全边界愈加模糊,黑客攻击愈加频繁和复杂,传统的网络安全防护手段正在逐渐失效。怎样提升安全监控以及迅速响应能力,是下一代安全的落脚点。青藤云主机自适应安全平台,更加注重主机层面的监控与迅速响应,确保安全最后一共里不被黑客攻陷。

崔晶炜3

崔晶炜    青藤云安全高级VP

我们自己更准确的定义是云时代的主机安全。我自己和我们公司认为主机安全应该是企业安全建设的最后一公里。我今天会介绍为什么要做主机安全,为什么主机安全是最后的一公里,为什么安全的最后一公里对企业有非常重要的意义。

青藤云创立于2014年8月份,在过去将近4年时间,我们非常欣喜地看到中国的网络安全产业的迅猛发展。我相信在座各位都有类似的感受。

因为我每天在接触甲方,从安全的从业人员到安全处处长、互联网行业的安全总监。从甲方来看,有更多专职的安全岗、有更多安全的管理岗位,像我昨天去一家大型国企,去年他们的安全从运维的处室里剥离出来,成立了专门的安全处。安全越来越受到甲方的重视。有的时候安全也是不好做的,有可能承担背锅侠的角色。

从乙方的角度来看,虽然没有官方数据,但我感觉在过去3-4年,中国的网络安全市场至少翻了一番。我自己个人预测未来这一增速可能更快,也就是每三年翻一番,每年的增长速度可能会达到30%,甚至更高。

为什么网络安全会这么热?一方面是有合规性的导向,我们国家去年出台了《网络安全法》。另外一方面,安全和威胁永远是联动在一起的,为什么安全被提升到这样的高度?因为我们受到的攻击和来自内外的威胁越来越多。

为什么威胁会越来越多呢?因为产业互联网化和业务更加数字化。我们这家公司服务了很多大型的企业客户,尤其是互联网金融行业和金融行业。我以这两个行业作为对比。在10年前,20年前,无论你是作为个人去存款,需要拿着身份证去柜台办理,填一个单子,把献存进去,选择定期或者活期。你个人去银行借款基本是不可能的事情。如果是企业去借款,也需要很长的流程和审批。现在有了互联网金融、P2P,你个人的借款、贷款或者企业的贷款、借款都是数字化进行的。从你的身份识别开始,填一个验证码、密码,再加上指纹识别、面部识别,这些都是数字化的。再到你的信用评估,完全都是在线上进行的。再到你的钱款的发放,或者借贷的完成,完全都是在线上完成的。

过去你有1万块钱只有3%的定息利息,资金周转是非常慢的。现在1万块钱,通过互联网金融的手段,这1万块钱在一年之内会被周转出去50次、100次,甚至更多次。如果是短期贷、现金贷、小额贷,它的利息也是相对比较高的。在资金周转率越来越高、业务数字化的情况下,你的身份识别、信用评级、款项的发放和流向,在虚拟世界里,你对外曝露的风险越来越大。

在这样的环境下,威胁越来越大,如何做好安全呢?

从我们的企业来说,我们一直在思考攻防不对等的问题。传统的安全,如果是大型的企业,你有非常充足的人力和钱财,你要了解谁来攻击你,你要了解黑客的威胁,要了解到相当高的高度。要把传统的设备堆完才能做到防。如果是相对中小型的企业,你也要对黑客的世界和内部的企业做适当的了解。在现在的情况下,整个黑产的世界是非常猖獗的。被朋友圈刷屏的A站和摩拜被偷库了。在云化的时代,企业的数据越来越多、个人的数据越来越多,这样的事情防不胜防。你要了解黑客世界的难度越来越高,难度是呈现几何级的增长。

当然,现在的安全行业衍生了一些新的产品,在帮助企业和客户去了解黑客的世界。比如,威胁情报厂商、威胁情报联盟。

另外一方面,我们认为作为企业的安全从业人员,或者企业的CIO、CEO,应该把你企业内部的安全资产搞得更清楚一些。但我认为这一点现在做得不好。在座各位都知道,之前的安全上的都是传统的边界防护产品,你帮企业做的就是在管理资产的外面搭一层防火墙,再加上IDS、IPS或者是WAF,对于保护的内部资产的内容,你是不知道的。这就好比你筑了一座城墙,你对城里面的财务究竟有多少、保护了多少栋楼,你是不知道的。从青藤的角度,我们认为这很可怕。一方面你要增强对黑客世界的了解。另一方面,我们也要增强对企业内部数字资产,或者是从安全角度定义资产的了解。

我们的答案,认知黑客、认知自己,两个方面都要做到。青藤的产品是帮助企业的安全从业人员更好地认清自己,认清我们需要保护的资产。

我刚刚举了一个城墙的例子。云是一个趋势,从物理的数据中心到虚拟化,现在会有公有云、私有云或者混合云。传统的边界防护手段在这个时代没有那么有效。因为在传统的时代,你的数据中心在哪里,你是非常清晰的。在你的数据中心外围放一个防护的设备,那就叫防火墙,相当于是一座城墙。但是,在云的时代,你的虚拟的服务器在哪里,可能各个地方都会有。搞一个地图没有太大的意义,因为里的资源池是动态的。在这样动态的技术架构下搭城墙就没有那么有效。这是一个方面。

第二个方面,黑客的攻击手段越来越高明。传统的时候,你利用一些黑白规则把黑客挡在外面,但现在的黑客有更高级的攻击手段,更善于伪装自己。基于边界的安全防护在这种情况下不是那么有效。

我们换一种视角,黑客从城墙进来,无论城墙在哪里,无论道路在哪里,最终企业的安全资产在什么地方?你的ERP、应用或者是很多系统是建在服务器操作系统之上的。有没有可能把承载这些应用系统或者是企业核心资产的小颗粒做一个细颗粒度的防护,或者是对这些细的应用系统进行清点?以前我们做的是城墙和外围防护,现在有没有可能细颗粒度到防护城里的每一栋楼,或者防护每一栋楼里的每一个房间。你可以在每一个房间设一些头发丝,设一些特征毛点,或者是一系列的指标。可以举一个人体免疫力的例子。如果你要防止病毒,你不知道知道外面的病毒有多少种,你要知道身体出不出问题可以建立一系列的指标。比如,体温是不是正常、头发是不是掉了、心脏是不是感到不舒服。你可以通过了解房间内部设立一系列的指标。如果这些指标发生细微的变化,你知道可能是有病毒攻进来了。

这是我们的理论,我们想将这个视角转化为对内外指标的持续监控和分析,相当于对城市里的每一个区域的每一栋楼的每一个房间设立一系列的指标。不管外界病毒攻过来的过程是怎样的,只要它攻进来,必然会触发内部指标的细微变化,我们捕捉这些变化,并且分析这些变化。这就是我们倡导的自内而外的自适应安全理论。

刚刚我提到云化的时代。过去物理的服务器比较简单。现在我们认为绝大部分资产仍然在你的业务负载之上。这个业务负载可能是物理的服务器,也可能是虚机,也可能是云主机。现在的互联网和尝鲜的行业也在用容器的技术,物理机、虚机、容器是承载应用系统或者真正的数字资产的基础。我们做的就是业务负载平台的保护。

过去大家都说安全的工程师,我们希望能够帮助打造一个安全产业,让更多的安全的工程师变成安全的分析师。怎么让安全的工程师逐渐成长为安全的分析师?一是甲方的安全从业人员更好的了解企业内部安全视角的资产。再举刚才的例子,一个房间里究竟有几个花瓶、几个保险柜,安全人员应该更清晰的了解这些内部情况。二是活动。还是举刚才的例子,会有什么样的人进房间来搬这些花瓶和保险柜。三是关系。如果你管理上万个房间、上万台主机、上万台服务器,这些服务器不是相互孤立的,这些服务器内部的各种系统和各种数据有相互调用的关系,这个房间的花瓶会搬到另外一个房间。我们希望有一种软件或者有一个平台能够帮助安全人员更好地分析各个房间之间的关系,或者各个业务系统之间的连接关系,或者系统和数据之间的连接关系。如果安全的从业人员可以把内在的这三点做好、理解好,第一个是安全角度的资产,第二个是内部的活动,第三个是内部的连接关系,安全人员从工程师上升为分析师绝对不是难事。这是我们希望打造的理念,也是青藤的产品实现的功能。

自内而外,从了解我们自身的业务系统来说。我再从外在威胁来介绍。

这是典型的黑客攻击路径。黑客一般都会在外部做一些信息收集,收集一些关于甲方的目标信息数据,可能是收集一些邮件、联系人,为攻击做好准备。准备好了攻击和武器会进行刺探扫描。利用相关的漏洞钻进来,会上传一个shell,控制了服务器进行反向连接,会做提权,把自己的权限提高,安装后门。可能会潜伏在里面做一些内网的扫描渗透。为了防止自己的痕迹被北方发现,会做擦除日志的工作。传统的安全对这些也会有一些应对措施,但不是那么有效。青藤的理念和技术可以帮忙提升最后这个闭环的效率。

传统的安全,在信息收集方面,社工这个事是很难防的,它不是技术的问题,而是管理和流程的问题。黑客给你发过来一个邮件,你打开或者不打开,企业内部的人员,财务人员或者人力资源部门是不是有这样的意识?这是很难防范的。我们的理论,防社工很难防,可以什么都不做。刺探扫描、漏洞利用、上传shell,传统的安全工作都是在这个区域进行对抗。但是遇到的问题什么?在你上了这么多的安全设备之后,对于大型企业来说,你每天会收到上万条日志告警,有黑客撩了你上万次,你可以打出一个很长的报告,每天跟领导汇报一下防住了1万次的攻击。但是,对于内部的甲方或者是领导来说,你挡住了1万次的攻击,这一点不重要,你能告诉我这1万条里面有多少条是有效的、有多少条是值得关注的、有多少条是根本不需要关注的。在传统的安全设备中,根本没办法判别这些东西。如果有1万条,天天都是“狼来了”。很多安全人员最后就是皮了,这些日志告警什么都不是,因为确实很难防。

但是,总归有漏网之鱼。如果越过了这些,真正到了服务器这一层,这个事情就非常可怕。传统的设备漏掉就漏掉了,真的当黑客到了服务器这一端,反而传统设备是不知道的,这个事情变得非常可怕。今天爆发的A站和摩拜是典型这样的事情,黑客控制了服务器,做了偷库。在传统安全设备防不了的情况下,怎么样防?可以看得出来。在传统安全设备对抗不了的区域,服务器安全才是核心安全。在服务器上,你不能出事。如果真的有一次严重的事故,必然是一次大的事故。

怎么样防呢?我们会有一些答案。我们来做一些场景化的例子。这些例子都是在主机层面的,也就是安全的最后一公里。为什么这是安全的最一公里?因为你企业最重要的资产都在服务器上。

这个例子是我们去年帮助一个大型的互联网客户发现的。这是一个视频直播类的大型互联网客户,主机的数量是数千台。去年7月份,在某一天的凌晨,我们系统告警,发现黑客利用漏洞往外传数据。被我们产品的“反弹shell”功能捕捉到了。我们的安全工程师和分析师服务于很多客户,晚上有人加班,我们的安全人员很快收到了邮件告警。基于我们的平台,我们对“反弹shell”的目标服务器进行了深入分析,是哪一台服务器建立反向连接。我们发现了另外两个内核级的后门。在传统的安全概念,无论是黑客,还是安全专家,如果你在系统内部发现了内核级的后门,基本上就可以放弃了,要么你的数据已经被偷走了,要么你就必须得把服务器关掉,或者是进行格式化。

我们收到告警以后,这个事情确实非常大,我们的服务人员给客户打电话。经过几个小时的排查,我们发现了具体的情况和木马的特征,对整个内网和所有电脑展开了排查。经过产品的溯源,再加上配合客户的人工响应,发现这是一次典型的社工事件。最开始是黑客在2月份的时候给人力资源部门发了一封邮件,有一个附件,点开了就进来了。3月份的时候,黑客又渗透到财务部门,把财务的数据都拿到了。这就非常可怕。在2、3月份的时候就进来了,而且进了两个关键的部门,拿到了所有的人力和财务的数据。但是,这不是它的最终目标,它的最终目标是想拖走企业服务器上的那些客户的数据。它潜伏了半年多。

在半夜1点多给客户打电话的时候,客户的第一个反应是他们有内鬼。经过排查,我们发现不是内鬼,是一次典型的社工事件,半年多的时间。到了7月份的时候,人力资源有所有人的名单。研发在IT部门的安全意识相对薄弱一点,在7月份的时候又渗透到研发系统,拿到了所有系统的口令和密码,一直到真正的核心资产服务器上。进入核心的服务器,对外传数据的时候,很幸运,因为客户装了我们的软件,被我们的“反弹shell”功能发现了,我们捕捉到了。

这样一个事件对于传统的安全产品是根本处理不了的。我们分析了传统的杀毒软件,根本处理不了,很可能查不出来结果,还会被认为是一次内鬼事件,还可能出现拖库事件,但我们很容易的处理了。

第二个案例是云主机经典网络上的内网攻击。这是一个政企类的客户,事业单位。他们用了某云的经典网络的云主机。因为他们有些非核心的应用用了国内大型的云上主机。在座各位知道,云主机有VPC,也有经典网络。客户装的云主机的数量不多,大概就是十几台。在这十几台上都装了我们的软件。我们的软件会有这样一个特点,会帮它扫描有哪些租用的主机没有安装监控软件。他们的同事跟我们说不对,他们就这十几台主机,怎么我们发现了数千台主机都没有安装青藤的软件?这不是我们的问题,这是经典网络的问题。云上的经典网络就是大的网络,中间没有任何隔离。所有这些机器都可以相互PIN到,可以相互访问。这是一个小的机群,如果在座各位用公有云和经典网络,一定要小心一点,这些网络并没有隔离措施,云上的主机都可以被访问到。如果企业比较核心的内容放在上面,这是比较可怕的事情。

这些客户在使用这些云主机,漏洞管理是安全人员很大的工作,把漏洞堵住了,安全效能就会提升上去。我们发现很多主机上存在redis未授权访问漏洞,我们用软件非常方便的排查定位,并且修复了漏洞。

我们有一些商用的客户,现在管理的客户的主机数量,最大的单个客户有上万台主机,在运营商和金融行业都会有。我们的产品是分布式的架构,对于框架和资产的清点是非常方便的。我们的软件会定时清点一遍每台主机上的资产,而且会做到分级、分权管理,包括集团公司、子公司都可以一目了然的目前使用的服务器和主机从安全的角度资产是什么样的情况。第一,做到心里有数,我管的钱和资产究竟是什么样的情况。第二,在资产出现风险的时候,你能够快速的定位。比如,清除了一个Struts2漏洞,你管着上万台主机,怎么快速定位这些漏洞,怎么快速定位哪些机器上有这些框架,哪些机器上有这些漏洞,用青藤的产品可以非常快速的定位这些资产。我们也回来提供帮助,做相关的漏洞资产的导出和修复。

最后再举一个场景化的实例。黑客干活都是趁大家下班以后。这是能源行业的客户。安全驻场人员在下午下班时间接到产品告警,发现了“反弹shell”和“Webshell”,迅速的进行排查。安全人员使用了安全日志操作审计,检查黑客操作的每一条命令,发现历史记录被黑客清空了。因为黑客总想隐藏自己的痕迹。但是,青藤有一个审计功能,所有黑客入侵的痕迹都被记录下来。我们不慌不忙的看到了黑客是怎么进来的。黑客利用系统漏洞进行了提权,安装和修改了一些文件,装了rootkit系统后门,并且发现了多个系统后门和被篡改的关键位置文件。

最后我们分析出来黑客入侵的路径就是strust2漏洞,黑客上传webshell后进行提权及安装后门操作。我们的报告可以完整的还原黑客是怎么进来的,我们该怎么样进行响应。我们的系统也试图进行自动化的响应,但从安全的角度,不仅在中国,在全球范围内,对黑客事件没有办法完全做到自动化的响应。

我还要强调一个“微秘端”,我们在安装了软件的每一台机器上虚开一个端口,这个端口对于已经进来的黑客扫其他机器是非常有帮助的。它可以大大提高内网诱捕黑客的几率。

对于企业来说,传统的安全设备必须得上。从最后的效果来讲,要讲安全的最后一公里,对企业来讲最重要的就是服务器,因为服务器是承载企业最重要资产的负载。如果能在服务器做好安全,相当于开启了“上帝视角”,你能够纵览全局,你能够知道安全资产,能够快速定位漏洞,能够很清晰地还原每一次黑客入侵事件。资产清点做到完全自动化,我们的软件设定每天做一次全量扫描。如果你管着上万台的主机、10万台的主机都没有问题,全量扫描的时间也就是几分钟,对系统资源几乎没有消耗。如果有实时的入侵,也可以相对轻松的做响应分析。

青藤的产品不仅想服务于客户,我们还想服务于甲乙方的安全人员。我们希望甲乙方的安全工程师都能够从工程师的角度变成安全分析师,帮助安全行业进一步的提升。

我们会在主机层面采集很多数据,所以我们也会新开了功能,对在主机上采集到的珍贵数据进行大数据分析和机器学习,希望帮助甲方把安全提升到新的高度。

我们服务了很多的大型商用客户,上万代的主机并发,做到了稳定可靠。产品本身也是非常安全。我们的软件是绝对的绿色进程,如果是跟别的软件有冲突,我们可以做自杀打卡机制,对系统资源最小的耗用。同时,我们的软件做到了对人最低的要求,非常简单易用。

我们现在有三个功能模块,资产清点、风险发现、入侵检测。我们今年会开发三个功能,日志安全、安全基线、快速任务。我们希望这是一个平台级的产品,把很多能力开放给安全从业人员,让大家做更多自由的发挥。

我们现在已经有很多大型的客户,在互联网、金融、运营商和政府行业。

最近刚刚有一家美国媒体把我们评为全球前十位的云安全初创公司。过去一年之内三度入选Gartner报告。入选全球最酷安全厂商是非常难的。我们的投资方,A轮是宽带资本,B轮是红杉资本。我们认为主机安全是安全的最后一公里,希望有更多的机会跟大家交流。

上一篇:黄乐:安全工作的甲方乙方——媒体安全工作实录

下一篇:胡影:我国大数据安全标准进展与应用实践