【2014中国CIO高峰论坛】矛与盾的故事——360公司APT实战案例分享

标签:CIOCIO高峰论坛2014CIO高峰论坛

访客:57978  发表于:2014-08-12 16:06:45

                        

曲晓东:大家上午好!我今天跟大家分享的是360公司自己如何做自己的企业安全,这个在座的很多人都对360的这个品牌不陌生,我们PC上面有4.75亿的个人用户,覆盖中国个人电脑的95%以上,在手机端我们超过5个亿的用户,覆盖中国手机用户的70%以上,这样的一个规模,使我们在中国互联网行业有一个比较好的地位,我们2011年在纽交所上市之后我们已经超过一百亿美金的市值公司已经上市的互联网企业我们摆在第四位,全球的互联网安全企业当中我们市值排在第二位。

                        360公司副总裁     曲晓东

我们这样用户规模,其实本身我们也需要一个可以系统24小时为用户服务的一个庞大的IT系统,这个系统我们全国88个机房,其中11个是核心机房,核心机房之间的带宽超过一百G的,这样的规模我们超过八万台服务器,这样的规模安全系统它的信息安全如何保护的呢,大家知道大概十年之前,我们可能都听过病毒爆发的一些通报,比如说国家播报一些预警,某某病毒要爆发了,大家要注意防范,在这样的一个时代,是一个安全威胁,是一个强感知的时代,其实安全这个东西就像是防火防盗包括系安全带一样,安全并不是用户的原生需求,威胁才是。

你感受到威胁你才会注意到你的安全,大概十年之前或者传统的时代,安全威胁是强感知的,病毒不断的爆发这样的时代,用户自然对安全的投入和重视程度比较高,但是大家看看现在的安全威胁的变化,现在的安全威胁是以APT这样的威胁形式为主要的形式存在,病毒现在大家很少看到了,因为病毒没有盈利模式的,他只是为了炫耀为了体现自己的存在感,而做木马才有商业价值,这样的代表价值是不会让受害者感知到的,所以是弱感知的安全威胁,很多时候我们看到某某著名的互联网公司被影响了,这个不是他自己发现的,这个是黑客在黑市交易很多年被某一个人透露媒体上面,大家发现原来这么著名的公司也能够被黑,发生这样重大的事故使我们意识到自己的安全隐患。

还有比如很著名的公司,这次大家可能知道斯诺登的事件,曝出我们很多企业,包括政府的很多信息已经被国外机构掌握很多,我们往往通过某种机缘巧合情况下得到我们偷走的信息反过来查我们的问题这样才查出来,这样是弱感知的安全威胁,弱感知的安全威胁下面我们对于信息的安全投入很多时候重视程度不够,或者口头上重视,或者说仅仅过程上面重视,对于结果的重视是不够的,2013年中国有1.5万台的主机被木马影响,这是个很严重的现象。

在传统的强威胁感知时代,我们很多企业采用的模型是1995年出现的,通过防护检测相应的控制来解决企业的安全问题,后来这个延展在安全边界上面进行防护,这个像防火墙、IPS等等这样的一些安全的产品和概念被用户所接受。但是弱感知时代,APT1可以穿透任何的感知的防火墙,没有这个行为你拿什么来防,这个国外已经发生了变革,现在美国最火爆的安全公司,这个公司在最后的演讲,这个公布的报告对于中国的黑客攻击行为写的报告,这个报告引起轩然大波,而且演讲之后中国人没有反驳的机会,中国人基本上在那个大会是被批判的对象。

这个APT安全防护的思想,现在的安全思想没有被中国的用户普遍的了解,360自己的安全防护体系基于这样的理念做的,我们四个假设,第一我们假设系统一定有没有被发现的漏洞,去年一年微软发布了四千多个漏洞,预计今年微软发布更多漏洞,微软这样普遍使用的系统,竟然一年几千个漏洞,这个漏洞的情况非常的严重,这些漏洞是微软公布的,我们相信一定还有已经发现但仍未修补的漏洞,就是比如说微软漏洞发现也打补丁了,但是很多的企业系统没有打上补丁。第三,我们假设这个系统已经被渗透了,这个假设存在的前提下,如果这个系统已经被渗透了我们如何发现和恢复,我们有这样的手段吗?我们很多产品理论上可以防护攻击,但是如果已经被攻击可以找回来从哪攻击的谁攻击的,攻击了多久。第四条我们员工很可能并不可靠,员工很可能被对手搞定,很多的APT攻击就是买通了员工,这个假设下我们怎么样防护。

我们360的理念是守住三条防线,第一条防线就是边境线,我们360公司很多的产品安全卫士手机助手安装在用户电脑上,这个产品黑客可以直接攻克这个产品,可以直接接触到,这个就是职业接触黑客的边境线,我们的服务网站是提供最终的用户,我们黑客可以直接通过服务进入我们的系统内部,还有我们的员工跟外界发电子邮件上网等等这个边界线。第二就是保护到我们重要的服务器和重要系统和重要数据,这个相当于大城市。第三个防线就是反浅,我们大数据的分析防止被渗透和选择,这个是我们的安全防护的三个主要的阵地。

通过什么手段?第一道防线我们采用了网格控制的管理平台,我们有一套系统的天眼,对应火眼的产品,可以打一个通俗的比喻,像一套摄像头把所有的流量监听下来然后分析,我们这个随身WIFI卖一千多万台他是企业最大的安全隐患,大家想一想每个导弹打到企业的内网上,怎么办我们研发了防御系统,我们无线卫星检测防御系统,这个差别还没有发布,可以解决用户的问题。你像我们的安全扫描审计系统等等。第二道方向我们做密码破解机,我们公司一个机器设备,随时随地对于员工的密码进行破解,破解之后收到一个邮件你的密码已经被破解了立刻修改。第三个就是服务器的分析平台,我们的服务器日志如果出现异常,我们的管理员随时收到短信通知和邮件,迅速进行改变,我们叫做运加端加边界的防护体系,我们终端和PC上面,我们手机上面,我们PC端产品等于终端管理加上杀毒,手机上面我们通过黑白名单主动防御的方式终端解决用户的问题。在云端我们采用了一些大数据的方式,我们边界上面就是我们的天眼平台,这样的三个产品的组合其实构筑了一套弱感知时代,或者新的网络安全威胁的时代一个全新的差别体系,具体的产品大家可以在门口的展台看一下时间关系我就不细讲了。

在这样的一个防护体系下,我们如何发现APT攻击,我们自身也遇到过APT的攻击,给大家举两个例子,2014年的5月我们遇到一个APT的攻击,这个攻击我们有一套系统根据云查杀的原理抓取各种各样的恶意样本,这个本来防御系统,这个黑客瞄准了这个系统因为这个传统一样的,可能有一部分人工审核的,这个人工审核有可能操作失误,黑客发起连续上传了一个恶意网址,我们恶意代码的分析师不小心点了这个恶意网址没有感知但是APT进来了,攻破了我们第一层防线,到了我们第二层防线,迅速的被我们的日志分析服务器发现了,这个发现之后迅速报警,报给我们的管理员,我们立刻进行了这个相关的措施,我们这个措施我们88个数据中心其中11个是核心机房,核心机房里面的贷款100G,我们每天把100G全部停那里,存数据量每天存储50T的数据,通过这个大数据的分析我们可以延迟十秒钟之后可以发现问题,怎么发现呢?大家看一个例子,这个就是我们可视化的展现平台,我们看到哪一个网是正常,哪一个是高危,我们看到攻击路径通过什么进来,通过什么样的可以发现目标,通过中间的机器扫描其他的所有的网端这个不正常的访问行为,正常的访问会访问他要去的不回答面积的访问,这样的方式可以通过大数据的分析方式实现企业的安全防护,我们空间攻防才能防范最新的安全威胁供给,360进入企业安全市场之后,非常希望给我们在座的很多企业提供全新思路的安全防护的技术和服务。谢谢!


PPT下载通道曲晓东 360公司副总裁——弱威胁感知时代的企业安全--360安全实战分享http://www.cio.com.cn/repository/detail/114

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");