NSC2013 中国网络安全大会分会场一 方兴

主持人:谭总展示了大数据的方法,下面我们再强调一下。先不安排提问环节了,下面的演讲者是我们国家在漏洞挖掘方面最顶级的专家,号称国内Windows内核漏洞的第一人,南京瀚海源的方兴,我们有请。他报告的题目是“数字空间的威胁感知”。

方兴:今天时间比较有限,我讲的东西是比较水的,没有什么干货的东西,当然更加务虚一点儿,对未来的思考,包括今天早上的时候,我跟有一些客户在外面交流,他们说现在整个网络的安全大家都觉得很重要,都在不断的提出问题,但是好像都没提出很好的解决问题的方法。

为什么导致这样的一个现状呢?我们目前IT整个安全当中有什么样的一些特性会导致出现这样的状态,出现这样的状态以后,我们怎么去解决,当然这不一定能完全解决,但确实我们目前整个网络安全到底跟我们传统的安全有什么大的不同的地方?

在这当中我觉得我们目前整个网络安全,包括面临的最大的一个问题,我们在威胁感知上整个IT系统和网络体系是缺乏的,感知威胁,我们有一种无痛症,这种人是非常危险的,因为他接触到危险的环境是完全没有感知的,危险对他造成很大的伤害他都不知道回避这种威胁或者解决这种威胁必然就会导致威胁的扩大和问题。这当中大家对我们有点了解的都知道我们是做APT检测的厂商,这当中我们也发现很多特码,包括WPS云的攻击,我们把分析提出来,就会有很多人跳上来质问说这是APT攻击,你怎么证明它是个P?在这当中APT可以分成三个问题,A问题,P问题和T问题,但是A问题是你怎么感知到这种威胁,你无法感知这种威胁是没办法回答P问题和T问题的,它为什么持续,正因为你感知不到攻击者才能持续的对你发起攻击,正因为你感知不到威胁者才能进去给你造成很大的威胁,我们现在首先要解决的是A问题,你解决了感知的问题,在这个基础上你才能真正的解决P问题和T问题,不可能一上来就把P问题和T问题解决掉。所以,我认为要解决当前的问题。首先要解决感知威胁的能力问题。

现实生活中我们怎么感知这种威胁呢?一般事前我们对威胁模式有一个认定,避免进入威胁的场景,我们从小的时候会被爸爸、妈妈教育什么情况是很危险的,你碰到这种情况要避免进入这种威胁的场景。在事中的时候,我们靠各种的感官,当有人打你的时候你会产生疼痛感,这种不断感受的威胁,并且用已有的知识来识别这种威胁,来避免遭受损失。在事后则是我们通过产生异常的事情或者造成的损失,我们知道威胁产生了,房子坍塌了,我知道有问题了,你的钱包丢了,我知道我整个产生了失窃的事情,但在IT当中我们会发现整个感知威胁的体系面临很大的挑战,在事前我们的威胁场景不像在现实生活中是可以回避的,比如我们打开一封邮件是有危险,但是在IT的场景中你能回避这样的场景吗?你没办法回避,很多是基于工作,基于业务的需要,那你必须要打开。

在事中的时候,我们虽然有一些威胁特征识别的技术,但是没办法适应威胁的变化,因为在IT当中,威胁的变化不像现实生活中是固定的,我们的一个木马随便变形一下就变成新的东西,不断有恶意的开发者不但的产生新的威胁,但是我们如果基于已有的威胁的识别很难识别它的。

另一个就是缺乏对威胁的感知,威胁到底是什么,怎么识别这种威胁的感知,我们怎么产生这种痛觉或者能够产生你触觉的东西在IT当中是没有一个严格的区分的,所以,产生损失,导致危害的时候你感知不到这种威胁。另外,事后也存在很大的问题,第一损失不可直接的,如果我们信息资产的损失可能把你信息窃走了,你也不知道损失,这个损失没最终呈现在你的面前,你不知道这个损失的产生,甚至你知道这个损失的产生,你也不知道和IT系统相关,最典型的伊朗的离心机破坏了,但是伊朗并不知道这是因为IT的安全导致了他的这种损失。这样在整个IT领域中没办法识别感知这种威胁,但是只有识别和感知这种威胁,我觉得才能建立一个有效率的,并且能够真正实现低成本安全的这样一个方案,我们在现实生活中怎么来建立安全的体系,比如我们走在大街上,我身上可能揣着两万块钱,我卡里有一百万不需要特别安全的保护也能获得足够的安全感,那是为什么呢?那是因为我们通过这种威胁的感知,首先损失的感知映射到你威胁的感知,我钱掉了,产生了有人偷了东西,把这个威胁联系起来,通过这个威胁我们在场景中取证,去追查,找到犯罪的人,对他进行追责,通过这样一套事后保证的体系,提高了作案攻击的成本和法律风险,降低损失。

如果在IT的安全中建立不起来这一套体系,IT只能靠事前或者事中高端对抗的防范成本来防范。整个安全既感知不到威胁,但是你可能为了这种不知道,不能确认的威胁付出巨大的成本,但是也很难真正解决安全的问题。

在这当中,威胁是一种意图,一种人的主观的,当然可以分成自然的威胁或者人的主观的威胁,但是一般在IT系统中更多的我们强调的是人的这一层面的威胁,威胁首先来自于人的意图,人的意图你是很难去检测到的,但是这种人的意图始终是要借助某种工具或者行为产生,通过这种工具,小偷要作案,他可能要携带各种各样的工具,通过这样的工具来产生这样的行为,最后产生事件的后果。要对这种威胁进行感知的话,这当中我们有几个考虑,一个从工具和负载的行为上针对已知形状的恶意特征的特征可以归纳,这是我们传统的安全一直在做的事情。

另一个,是否能通过在事件和后果之间建立一种关联的恶意的特征曲识别他们之间的这种关联性,那可能找到更多的这样一些危害的线索,这种的可能是依赖于我们数据,包括刚才谭晓生谈到的数据的分析。

另一个,如果我们在工具和敷在伤的检测更多是基于事中的检测,在后面可能是针对事件和后果是基于事中和事后,但是你如果把内容和行为进行关联,才能把你损失的感知转化成对威胁的感知,只有把这个链路打通了,才能真正建立起可以对威胁进行感知的体系。

我们可以借鉴一下在民航的系统,民航也很重要,这也是我经常讲的一个例子,它是怎么全面的感知这种威胁或者保证我们的安全,这当中我们可以看到最先开始我们过民航安检的时候会进行身份的核查,这是用已知的知识,曾经这个人犯过罪,我可以通过身份证的识别发现这种威胁,之后需要对你所有的行李,包括你的人身进行X光机的检查,它的原理是什么?是对你的内容和负载进行深度的威胁之间的关联,进行检查,看你行李中是不是有可能造成危害的金属状的、液状的,或者尖锐状的识别来发现你的威胁,登机上有监控的人员,通过行为来发现,比如上次乌鲁木齐劫机的时候,劫机者是把武器撞在雨伞带上飞机,他在飞机上抽这个雨伞的行为被发现,旁边的安检人员马上扑上来把他进行了控制,这时候是通过行为来发现危险。

还有各种危机的事件,这种损失的事件可以跟危险的场景相关联,比如烟雾的探头,不应该产生烟雾的地方产生了烟雾,这些地方发现危险,最后有对数据的分析和汇总。可以看到,通过各个层面对危险的感知最后才能保证基本上我们民航坐飞机觉得有安全感,实现了整个安全感知的情况。

我觉得要建设IT威胁感知能力,首先威胁感知的能力,这当中怎么去建设一个真正对威胁感知的能力,刚才360谭晓生也谈到了一些,威胁的感知最大的问题,我们怎么论证哪些是导致危险的,怎么提取这样的知识,对威胁进行感知,特别是未知的攻击。时间有限,大家感兴趣可以看一下我以前讲的PPT,技术当中怎么通过多维度,也是吸取这种多维度威胁感知的思想,从动态的到静态的对事件的监控,动行为的监控,包括对内容负载的识别,能够全面的识别潜在的威胁。能够识别这种威胁之后,实际上需要一种协同运维,因为在IT的整个领域,特别是APT的攻击中,攻击者利用的手段,采用的技术,都远远不是普通用户能够分析和发现到的,这个时候是需要有专业的人员来帮着他协同运维来分析这种威胁,实际上也需要一些信息能共享到专业的人士这边。

另一个在我卡来未来很重要的威胁信息的共享,因为APT是小概率,但是是大破坏的事件,如果没有这种威胁信息的共享,我们每个点都是成为一个信息的孤岛,它在防御APT的能力上会受到很大的牵制,只有动作这种威胁信息在一个点上发现问题,然后同步到所有的点,对威胁进行处置,才能有效的对威胁进行及时的处置和规避和发现,就像我们感受到痛,我们感受到热度,这个信息传递到大脑,我们产生全身的协调,会逃逸危险的场景。

最后分享一个,我们12月4号的时候逮到一个针对中国政府发起的攻击,使用的是专门针对国产化的软件WPS,在这当中我们知道斯诺登,为什么我们没有产生行动?现在都在推国产化,国产化包括两个大的安全,包括两个含义,一个是信任的问题,一个才是狭义的安全的问题,狭义的安全解决的是能力问题,信任解决的是主观恶意性的问题,推国产化能解决信任的问题,但并不一定能解决安全的问题,攻击者一样能针对它发起攻击。这是我们逮到的一个非常专业的攻击,可以看到他伪装成国务院发展中心,专门针对政府的官员,它的漏洞利用了WPS,针对国产化软件真实的攻击,如果你用Word打开它,它会告诉你我是一个很重要的文件,你只能使用国产化的软件打开,给出了一个WPS的链接,你用WPS打开就能触发这个漏洞,最后释放这个木马植入到系统中去。

在这当中可以看到运维的价值,实际上它是没有专业人员在受害的客户,是信息同步给我们的云端,12月3号晚上发起的攻击,12月4号早上我们分析出来,紧急进行处理,它制作是非常精良的,0DAY漏洞+特种木马+变形对抗+虚拟机对抗+高强度加密。我们感知一个威胁要有新型检测的技术,还要相应的运维的保证和时间响应的速度。

谢谢大家。

上一篇:NSC2013 中国网络安全大会2013开幕 张群英

下一篇:杨春燕:2015年电子商务交易额或达18万亿