#CIO峰会干货分享#Anti-APT实践

标签:服务器安全沟通存储云计算

访客:50640  发表于:2013-07-15 15:50:02

谭晓生

360 公司

CIO/副总裁

刚才胡臣杰的演讲很精彩,咱们盼望着明年在南航的候机楼有特殊的服务。我带来的话题离不开是安全了,360没有设CIO这个角色,我是负责技术的总裁,从公司的技术运营到信息的统计都是我管的。作为安全是被别人攻击的对象,我们砸了很多人的饭碗,包括做病毒的,从过去做广告软件的到现在做钓鱼的,每天我们都是在砸别人的饭碗,他们本身具备的掌握安全的技术,对我们的网站发起攻击,试图做个木马渗透我们的网站。我们有全球最大的排名单,对所有的软件或者是网站进行采样和检验以后对他们分成黑的灰的,这张名单很有意义的,它具有很大的商业价值。在去年的5月份到前年的五月份发生过两次很严重的渗透事情,别人会定向的对我们投放木马,包括我们样本检测的上传的渠道,以及利用一些员工安全意识差的渠道发生渗透的事件。安全的实践上,我过去也采购过过去安全厂商的产品,后来发现不够,这条防线,我们说安全是一个木桶,只要一个板短别人就可以进来。

刚才说到我们偷的东西还有源代码,对一个安全的软件来说,源代码失窃意味着别人拿到以后研究了以后对你慢慢的攻击,像南航,我相信里面的票价信息、航班信息,如果可以进一步的渗透到你们的收入信息,越是大型的企业越是被别人盯着的对象。

我们面临的挑战有哪些,电脑的混用,开发部门的电脑往往会接触到一些核心的数据,和办公网络是不是分离的,我们这种安全公司有一种调试的情况,病毒木马的调试,你本身做的事就很危险,如果毒网没有隔离就会带来安全上的隐患,如果隔离又很不方便。如果说刚才南航说的乘务员用IPAD,但是你如何保证这个IPAD是不是安全的,更典型的是手机很多企业允许员工用手机接着收邮件,更不用说允许这些设备处理业务,在企业往会开放无线网络,在安全放防范上安全性能更低,因为是开放的。还有无线网络,随身WIFI很方便但是给我们带来了很大的挑战。这个时候你的新的策略,或者是你升级的补丁下去就不会得到升级。还有一个是弱密码的问题,进行攻击的时候邮件是最主要的途径,可以通过发嵌入有攻击代码的文件,邮件很容易冒名,可以冒老板的名给你发邮件,如果是老板的名字给你发的邮件,我相信大家都会看的。这些事是我日常工作需要战斗的事。怎么做,第一个是多网隔离,他们之间要传递文件用USP代码,日常的工作时要严格的检查这个。第二个是准入,我们是基于用户管理的,通过认证才能获得相应的信息,还有是只允许公司给你配的电脑。还有你的设备上没有安装一个软件,我们安装的是360的企业版,一定要装,不仅是装这个企业版还得把主动的防御装上去。这就实现了隔离,有的员工安装完了以后把主动防御关了,这样就等于白装了。手机方面,目前我们用登机准入的方式,因为为了工作效率不得不让大家使用自己的手机收邮件甚至访问工作流,但是目前只实现到这样的频率,估计有一个季度以后我们自己开发的方案就可以用了,会实现更强的隔离,隔离的是哪个网络,允许他看的是什么数据。网络的准入,只有经过允许的软件才行,其他不允许的软件不能运行。这是认证的网络准入界面,如果到了这个界面就说明你要干这些事情,这里有一个地址可以下载软件,如果不行就找IT部门落实。这是我们的软件准入,可以看到每台电脑装的是什么软件。这是一个安全的全局管控的东西。既使是这样,我每次都可以逮出几违反规定的人。还有一个是弱密码,检测到我们就会叫他们更改。天眼主要是针对未知的监测。对于WEB来讲,也是一个服务,我们自己做了一套扫描器,我用第三方的扫描器也开发了一个,我们在办公室出口做厅包,然后送给扫描器。你到服务器要假设你的员工有可能会违规的往上面砸东西,他的东西未必是严格的遵循你的代码插件,如果被改了要送检测,如果被入侵了也能及时的发现,这个效果目前是很好的。这个Webshell实时监测系统,这个可以本地检测文件的变化,如果有变化就推到扫描仪进行及时的监测。在办公室和在机房是把网络全部停下来,在SNORT做分析,目前可以做到监听。在万兆检测之外还有外部的旁入的监测,这套监测只是基于外部的访问,这套监测主要我们做了包捕和重组,我们对模型进行建立。大数据存储与计算。

我在所有的机房出后进行实时的监测,实时服务器是进行模型判断用的。还有一套Shell日志监测系统,在服务器上做的操作都会送到一个集中的地方判断,这个模型也同样用到了技术,如果有异常可以及时的发出告警。安全运营有十几个人干这个事,如果遇到什么样的问题,如果需要登陆服务器进行权限的改变,也可以通过这里其他改变。

我们是由端进行各种信息的采集,在边界的计算能力不够,我们把计算的能力丢到云里做。360从今年开始做一些企业端的解决方案,更多的是把过去自己的防御经验产品化,可以为他们提供服务。安全防御上的经验也愿意跟大家共享,今后大家有兴趣可以跟我分享,我也刚刚注册了经理家,用户名是我的名字,大家可以跟我进行交流。谢谢大家!


评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");