【2015 CIO高峰论坛视频回放】吴云坤:数据驱动安全

标签:高峰论坛互联网+2015中国CIO高峰论坛

访客:135720  发表于:2015-07-20 14:33:01

我之前在安全行业做了10多年,但在互联网+提出后,我发现一个问题:做传统公司采用的方式很简单,把盒子和软件交互给我们的企业,然后就断了。断的是跟客户的关系,而且在这个过程中,所有盒子中收集到的数据和要做的所有的事都是客户的所有权。做为一个安全公司来说,没有任何数据,也帮不了客户更多的东西。我当时离开上家公司的时候跟很多人说,传统的公司需要发生变化,而这种变化很重要的一点是这家公司能不能拥有数据,并且利用数据帮助客户。我进入到这个行业,发现传统企业跟互联网公司之间最大的差别是是否拥有数据。360的目的很简单,就是做个人安全,做企业安全。最基础的一点——我们知道卡巴斯基被黑了,360有7000多人,我们做企业安全的目的就是保护我自己,如果我自己都保护不了,不可能保护用户。而在这个过程中,我发现,其实我们可以把经验分享给很多的企业。


安全有的时候看似很神秘,其实抓住两点就可以。

一、 是你的对手是谁。

举个例子:今天我们帮助一个普通的网民保护了他的电脑,他的对手是小黑客。但是,当我们帮助企业保护他们的安全时,对手有可能是黑客产业链。当到达第三个级别——我们帮助国家应对国家安全时,对抗的可能是跨国组织的攻击。其实,一家公司水平的高低完全取决于他选择的对手是什么。这是第一个理念。

二、 安全是一个很现实的行业。

只有有钱的人才需要做安全,安全公司只会保护有钱的人,原因很简单,黑客不会盯着没钱的人,没钱的企业。

吴云坤:数据驱动安全

(演讲嘉宾:360企业安全集团总裁吴云坤)


这两个原则是很基础的原则。今天的360很简单,一是把自己的经验拿出来分享给需要安全的公司,二是针对目前所拥有的技术展开思考,我们认为对手是从个人升级到企业、国家,我们用的方法是驱动数据的方法。

安全行业里有很多的变化,包括08至15年里关键词的变化,这种关键词的变化经常被运用在各个场合,背后的变化是什么值得我们思考。我们重新审视那些情况危险的公司,像卡巴斯基,资料全部被拿走;像SONY,这是以前是安全做得非常好的企业;去年500强中有一半的企业被黑掉,这些都是真实的情况。大家说这是国外,国内没有听说这样的事。其实是有公开的、知名的事件的,比如说,某网站被脱库了,某某资料被偷走了,这都是黑客。这是我们天眼实验室检测到的东西,我们的标号是ATP-C-00一直到APT-C-06,简单的说是高级定向持续性的攻击。比如说,我今天看中了一个企业,可以花三年的时间来持续的攻击。最早的时间是到8年、9年、10年,持续了很长的时候,顶住你,看你到底在哪出错。我们看它的手法非常简单,发一封邮件给你就把你黑了。国外的很多案例在国内也有,比如在国内Dsahdel感染了334起,俄罗斯的金融系统非常担心这样的攻击。Dsahdel有可能就在我们身边,被攻击的不是上千万的网民,而是在座的一两个人,或者是企业中很高级的管理人员。所以,APT的难点是在海量攻击中快速找到非常高级的攻击,这点对于技术来说有很多难点,最重要的是思路的变化。我们现在常见的安全方案解决不了这样的难题,所以希望有所变革。

我们再来谈谈海莲花事件,这是境外的组织定向攻击国内的,有一千多个中了枪。如果纵观这件事,差不多持续了3年,而且只攻了海洋、交通这样的系统。这样的攻击采用的手法很多是木马,大家都知道,做这种攻击的攻击者在放出攻击者之前,会用所有的杀毒工具先测一遍。

在这个攻击实例中,如果今天我们是海洋系统的人,访问海洋机构的一个网站,这样海洋系统的人就中招了。我们选择10多个人发一封邮件,有很长的后缀名,看起来是通知,你看了以后也中招了。这样的手段对我们来说,看起来防护并没有难度,但是也人中招,就是因为在安全意识和技术方面做得很薄弱。这样攻击的后果对我们来说很大,对客户端来说,整个控制的主机在北京和天津为多,控制服务器的全在国外。你发现在整个追踪的过程中很难,而攻击很简单。海莲花是不断演进的攻击方式,整个思路也很简单——发个邮件,关于什么国家安全的函告,你一点就中招了。这样的简单的手法,对我们来说,免杀木马就可以避免,如鱼叉攻击、水坑攻击就可以做了。这种看似简单的攻击对我们来说很容易被干掉。

具体怎么监测?

以前的做法很简单,在终端上装个软件,这对我们来说,发现这样的东西,就像在整个森林中看一片叶子。所以,现在我们的思路是,有三个定律:一是时间——森林中出现的问题,一般早于一片叶子出现的问题。二是观察一片叶子不如观察整个森林的所有数据。第三,一座森林中找到的数据往往普世于单片叶子。所以,这是互联网的数据,360用这些规律的时候很简单,只是用在一个企业的安全上而已。只有从互联网海量的多维数据中挖掘观点,才能快速的感知,包括客户端的问题。在这个过程中,最重要的是思路的改变,以前是研究客户本身的流量,这是必须有一家公司有足够的数据帮助客户解决问题。这种情况下,我们当时做了一个案例。什么都没有,我们想知道在整个互联网的情况下有没有申请控制域名,中招者是谁,途径是什么,最后我们做了一个可视化的系统,中间是一样的文件,可以关联出所有中招的人。而这个可视化背后是很简单的数据,我们在云端有很多的数据。不仅如此,还有很重要的一种能力,我们说有了数据还要能处理,只要互联网有这样的能力,就比一般的公司强。在这种情况下,只有具备这种能力,才能做到真正的大数据。最后还包括信息处理的能力,恶意软件发现等等,简单的来看就是——你有没有数据,你能不能存,能不能算,能不能处理。最后可视化当中能不能分析等等。

我们的思路原来是本地的一些东西,现在我们要做的是把云端的能力推送到本地,这种推送是通过数据的能力推送下来这是概念和思路。

最重要的是威胁情报的下发。简单的说,未知威胁发现的关键能力有四点很重要——设备、数据、运营、技术能力,互联网有数据和运营能力,这往往是我们在整个数据驱动安全中最重要的点。我们选择厂商、设备、软件很大层面是找具有数据运营能力的公司。

这个时代不得不消灭个人英雄。我刚进互联网的时候,大牛小牛很多,一个漏洞可以带来很多的收益,现在不行了,只有通过数据解决问题,有一堆的数据专家才能解决从一片叶子到一片森林的安全跨度。

简单的来说,有数据你能看见威胁,有数据你能认识威胁,有数据你能消除威胁。在数据的驱动下,我们的安全才能得到进一步的提升!

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");