宋超：大家中午好！非常感谢这次腾讯云给了这样一个机会，以及在座各位专家，能到这个云安全会场，和各位共同探讨一下数据泄露，全流量数据网里发现内外网新型威胁。

2013年-2014年云泄露的情况。

雅虎泄露了将近5亿数据，eBay一个多亿数据，这里展示了上百亿数据情况。

数据泄露现在非常严重，比如“山东徐玉事件”也是个人非常重大的安全事件。数据泄露里，前些日子也有某个银行行长把数据泄露给代理商，由代理商泄露给黑产。刚才美女主持也讲的希拉里邮件泄露，这也是影响从个人到企业，到金融，到国家，也是由希拉里邮件泄露之后导致个人国家层面的权力的交替是变换的过程。

数据信息泄露的主要途径。

木马，黑客攻击里也谈到了千变万化，背后也是木马拿去数据的方式，植入的手段是多种方式，最后用数据窃取工具，它一般是用木马或一般黑客工具，比如电子邮件，希拉里私人定制了邮件，据报道曾经被5个国家黑客组织拿去了她的邮件信息，拒绝服务的攻击造成的破坏，流量劫持，勒索软件也比较猖狂，每年勒索软件能给黑产带来上亿收入，也给银行和重要的金融部门带来无法估量的损失。黑客攻击、后门、隐蔽通道泄露、数据篡改、销毁等等攻击手段，这次我们讲的是木马内外部泄密情况。

传统的信息数据泄露是我们经常面临的问题，公司也有相应的团队帮助国家做电子取证工作。电子取证过程中，我们发现很多单位要回溯黑客攻击的源头时，有传统的防火墙没有办法回溯到最终黑客初始攻击以及IP情况，传统网络安全设备也是只会保存高级的事件，缺少攻击细节，无法开展对实时数据和深层历史数据的分析，所以，我们去追溯攻击还原时找不到黑客的线索。

一个攻击可能最小的成本200元，但有时候电子取证成本，一个企业或单位把电子证据保存得非常好，设备也能把数据检测得非常准确，我们取证的成本也会非常小。如果取证的成本比较小的话，它相对而言会增加攻击者的成本。所以，它的成本就会大于200元，在2万元或几十万的程度。

传统安全管理设备也有一个问题。2015年，苏州遭到网络攻击1.6亿次，这种次数对我们真正抓到黑产或打掉黑产团伙，国内外黑产团伙的同时，我们如果是专家，通过1.5亿次线索里寻找非常准确的证据，会面临非常非常大的工作问题。前面也有腾讯云的领导讲鉴黄师做出鉴黄程序可以节省300多元成本。这是攻击噪音太多，使得有些攻击无法识别出来。

《网络安全法》对非法获取公民个人信息情节的依据，也是获取信息以外的个人身份信息超过500种以上，获取支付结算，证券交易、期货交易10组以上的就构成犯罪。

我们发现一些攻击事件以后没有从事中发现这样的攻击事件，往往是从这个事儿发生之后发生非常重大的安全事件以后我们再往前去推，推的时候有时候也是因为我们电子证据不足和其他问题不足造成数据泄露的问题，我们没办法回溯。

我们对非法获取信息数据的黑客和信息载体的平台，我们进行实时的监测，并能详细记录整个事件的过程，比如对方使用了什么样的攻击武器或手段，获取信息的数量，它有什么样的目的，黑产或来自境外有目的的APT攻击，或者内部活商业秘密的获取，我们是怎么样做的。

新一代大数据事件分析平台，是基于全流量的深度分析以及特征检测、行为检测、还原取证、关联分析、追踪溯源等多种技术为一体应对内外部高级定向攻击以及内部威胁。因为外部攻击成功以后也会潜伏在内部，这时候防护会非常得薄弱。刚才周斌总裁也讲了原理面，有个安全事件，就是有个黑客到对方公司破解对方的Wi-Fi侵入到公司内部盗取数据，就是这方面的安全事件。

新的防御理念及监测模式（解决方案）

我们要对存储事件和恶意行为分析。我们可以利用大量规则和学习方式去攻击黑客，这和黑客的攻击方式是类似的，可以用机器深度学习的方式，人的行为方式去分析出来共性特征，然后加到大数据分析平台中，再根据域名信息挖掘，邮件深度分析，邮件传递过程中出现了什么问题的，敏感信息外泄检测以及情报关联分析与追踪溯源。

外部的监测。

主流数据获取工具监测案例。

SQLMap也是非常多客户使用的，监测漏洞，拿去数据的攻击。这是黑客利用SQL Map进行注入攻击，我们能实时检测，可以利用大数据方式还原SQL Map注入详细的参数信息，获取非法读取数据库的表字段信息。比如通过SQL注入技术或SQLMap数据，黑客拿去了客户网站里多少字段，子弹里多少信息，上面拿了多少条数据都可以一一展现，并可以重读还原出来。

菜刀是现在中国以及国外黑客使用非常多的Webshell管理工具。很多的时候，用菜刀连接网站时可以执行任何命令，也是可以对它进行解码，进行检测。检测菜刀的同时我们也可以知道，利用菜刀篡改了网站里什么样的信息，反馈的数据。

并且右侧这张图可以看到，黑客攻击使用菜刀后门的路径以及菜刀密码，在这里面也能实时展示出来，我们可以检测黑客所有的行为，包括菜刀的路径、密码以及执行的指令，后面它有个数据，也是检测获取数据库密码，它所有的东西我们可以实时监测出来。黑客或黑产攻击的同时，我们能把它的证据在第一时间获取出来，能挽回企业和重要单位重要的损失，能做到回溯过去，发现现在以及预测未来的工具。使用POS密码、CAIDAO等，黑客攻击的密码、手段和武器，比如菜刀的手段，目的是获取网站里大量数据的情况。

刚才用SQLMap数据注入的手段，还有用网络菜刀获取数据手段造成数据泄露，利用木马城区获取数据的手段。Ghost也是中国比较有名的远程控制木马，可以对你的电脑添加删除和文档的获取，文档获取过程中可以利用它的规则共性特征做实时的检测，右侧这边的图有很多共性的东西。

比如通讯时分析F模式和BF模式的木马。木马通讯时会把对方受控者机器名和内存大小、机器版本、网络IP信息会传递给控制者，我们能发现它共性的东西，我们可以利用特征识别方式，在下面的图里能看到通讯协议解密和解码功能时，能看到对方如果拉取机器里的邮件、文档或重要数据时，我们能实时检测，并给报警还原出来。

其他外部形式信息泄露的监测手段。

1、利用数据泄露、撞库等形式信息泄露的快速发展。很多信息泄露是用撞库的形式，他拿去了国内非常重大的网站数据，可以用这个数据撞另外一个知名网站的数据，以及信息泄露，撞库的同时可以看到不同的IP，正常情况下，一个人的行为是非常有规律的，如果是同一个IP同时获取不同的帐号和密码，去尝试登录不同的帐号和密码，并且IP来自国外。

我们知道，黑客和黑产攻击时，现在国家《网络安全法》和工信部、公安部打击网络犯罪非常积极，以及非常严厉的，一般撞库的人不敢随便用IP。所以，我们定很多规则，包括撞库时来自国外的IP，对使用不同用户名和密码对一个网站进行登录获取的过程都知道，这只是场景之一，我们还可以设计其他的场景。

2、预置软件非法获取个人隐私行为检测及取证分析。中国有很多App软件，把你的手机号，非常详细的家庭住址，包括门牌号、个人信息以及通讯录信息也都回传到自己的后台中，这也是窃取个人信息非常严重。因为有《隐私法》只规定回传数据隐私多少，这是我们实际工作中发现很多人的信息被获取了，一是获取到公司里，二是黑产里或黑客后台中。

3、对VPN、隐秘通道以及TOR的识别监测。

我们监测这么多的不同形式的信息泄露，可以完整地监测，黑客利用了哪些手段进行了数据窃取，我们如何能当时快速发现。

内部监测。

对内部监测时也有很多的方法和手段，最重要的是，因为我们当时在温州有个广电系统被黑时，当时以为是黑客的攻击，最后发现也是内部人员对有线电视去做的破坏和篡改。

刚才讲的例子里，银行里也有人员把信息泄露出去。有一个经常探讨的问题“外部铜墙铁壁，内部非常薄弱”，所以，我们对内部也要进行详细的监测。周斌总刚才讲了利用Wi-Fi破解这个公司的密码，获取网上SOC里云安全数据。基于数据流量的获取正好可以和云安全做互补动作。SMB共享攻击里也有用户有文档共享的过程，有些黑客入侵公司也会寻找内网共享的情况，内网共享我们会把数据包电子证据完整保存下来，也可以对它进行详细地分析的过程。

每个规则触发不同的报警，比如SMB共享，利用菜刀、SQLMap注入也有不同的规则，触发报警时也会保存不同的攻击数据包，保留完整的电子数据。电子数据里我们也可以利用不同的专家，SMB共享里可以浏览到Pattern值或files文档信息。

其他内部信息泄露的监测手段。

除了通过SMB共享，还有内部信息泄露里的网盘，现在很多网盘信息上唇比较方便，有的网盘可以上传上百G或上T的数据，我们做其他电子取证过程中，很多公司知名数据库或文档数量也是非常大的，有上T的数据，公司也会有数据可查，利用网盘上传时，我们做其他电子取证时看到有人用网盘上传了公司上T的数据，我们可以用进出流量比，每天进的流量10M或100M，但出的流量有上百G或上T的数据，肯定这个人有异常的行为。

对SVN代码服务器的监测。

结合威胁情报发现内外部信息泄露的异常行为监测。

刚才讲内部情报发现内部的一些问题，有一些公司在招聘网站上频繁地动里简历，我们就知道这个员工有离职的倾向，离职的原因可能是公司待遇不好，工作不愉快。如果这个人在重要岗位有可能会获取公司很重要的信息，我们可以对异常威胁情报做重点监测，这段时间内重要资产进行详细的分析。

今天我的介绍就到这里，谢谢大家！