在2015年8月6日ITValue主办的2015IT价值峰会上,360企业安全集团天眼实验室高级总监韩永刚分享了他对于“安全”的观点。韩永刚称,2015年全球信息安全从普通的安全产品守则转到2015年最热的三个话题:大数据、可视化、威胁情报。为什么会有这样一个变化?
以下为演讲全文:
面对如今越发严重的安全形势,传统的安全思维也面临诸多挑战。
传统安全方法已无法应对高级攻击
2014年是传统安全行业面临巨大挑战的一年。数据显示,接近八万家企业发生数据泄露,五百强中一半之内的企业都在内,因为安全事件影响到16位高管引咎辞职,比如美国最大零售商Target的CEO包括CIO因为用户信息泄露而离开公司。
这都是由于APT高级持续定向攻击导致的。其实APT使用的方法不见得有多么高端,可能很简单的方法就把你拿下了。APT攻击最关键的有两点,分别是“持续”、“定向”,就是一旦盯上你了就一定要把你拿下。APT攻击已经成为我们面临的最大威胁。
360天眼实验室跟踪到的中国被APT攻击的情况显示,很多团伙组织在国内进行APT活动。据360天眼实验室发现,2012年4月起,某境外组织对中国政府、科研院所、海事机构、海运建设、航运企业等相关重要领域展开了有计划、有针对性的长期渗透和攻击,代号为OceanLotus(海莲花)。该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播免杀木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。
通过一系列的分析回溯,我们发现海莲花攻击已经潜伏了三年以上,境外组织针对我国相关政府机构海事机构包括研究所,进行了长达三年之久的定向跟踪攻击。但他们所采用的手法并不复杂,就是利用鱼叉与水坑攻击的方式,结合社会工程学发出带有恶意软件的邮件,以及攻陷组织机构自身站点,在上面放一些伪装的升级程序,利用这样的方法感染主机,达到窃取机密信息的目的。虽然从技术角度来看,所使用的技术手段并不是很复杂,但是真的让众多国内行业用户被攻陷。
我们后面不断的跟踪,发现攻击者的手段也在提升,利用云控木马,包括近期还在活动的利用非PE的PDF恶意样本,这种恶意样本,大部分公司员工是很难分辨的。所以可以看到,现有的很多安全技术,不管是防火墙、IPS、防病毒,还是沙箱,面对众多现代新型攻击时,都很容易被绕过,传统的防护手段已经捉襟见肘,无法抵挡高端攻击了。
我们原来总希望在某一个时间、某一个位置把攻击挡住,这在现今看来,已经不太可能了。原来的防御思路就像在研究一片树叶,而现在的思路需要把视野放宽到整个森林。当我们看到整个互联网上的数据时,就会找到很多的线索。
大数据方法发现未知威胁
当我们把眼睛放在整个互联网的森林,通过360大数据技术进行安全防范,看看会有什么不一样?
以一个没有任何防护检测的设备为例,通过360大数据技术平台,我们可以看到在一个关于恶意攻击样本的相关问题,包括一些恶意的域名、有没有其他的手法、这个攻击的背景以及受攻击的信息还有哪些手段来做等,还可以关联到相关的服务器的IP地址,包括相关的域名、域名之间的联线。整个可视化的过程就是基于全网数据的分析,而且这是一个可视化的分析过程,而不仅仅是一个展现过程,而这一切靠的都是大数据分析能力。
360拥有全球最大的文件库,总日志数达到95亿;主防库覆盖中国5亿PC客户端,总日志数达到50000亿;域名库拥有50亿域名解析记录;互联网存活网址库每天有300亿条查询量,每天处理一百多亿条……所有这些安全大数据综合在一起,让我们能够通过分析看到线索,还原整个攻击的过程。当然,只有大数据本身还是远远不够的。在大数据方面,不能单纯看数据有多大,还要看对大数据的分析处理能力。360公司拥有一个EB的数据,拥有超过40000台服务器,具备一分钟可调动几十万CPU核的综合处理能力。所使用的数据挖掘与分析方法包括机器学习、人工智能、深度学习等多种方法,这样360才能在有任何线索时,就快速把整个过程回溯分析出来,即便没有线索,也能通过无监督的机器学习找出线索。
过去,我们将太多的精力放在实时防御上面,但并没有将威胁完全挡住,这个时代已经过去了。我们需要建立一个完整的防御体系,从防御、检测到响应,甚至通过威胁情报将攻击事件的预测做起来,而这一切的核心就是要掌握海量的数据,并具备强大的数据分析能力。
现在,我们已经处在一个必须变革的时代,已经不可能靠一两个安全专家就将安全这件事搞定。只有将网络层、终端层、应用交互层、用户行为层等多种数据搜集起来,才可能让企业具备持续的威胁检测发现能力,及时发现未知威胁,避免遭到更大的安全损失。(文/ITValue 胡敏 本文根据韩永刚在2015IT价值峰会的演讲整理)
关于ITValue一年一度的IT价值峰会
今年峰会主题为“IT新思维——新一轮技术商业创新的方向与方法”,300余名来自知名企业CEO、CIO、CTO、IT总监、技术总监、互联网及信息化资深专家和学者齐聚三亚海棠湾香格里拉度假酒店,将在三天的时间里探讨IT思维、互联网+转型路径、云视角下的IT、互联网颠覆者等主题进行深入的交流和讨论。Face to Face技术专家与CIO一对一交流、千亿级企业CIO俱乐部沙龙、国内外产业科技创新项目DEMO SHOW、转型私董会、创业私董会、SAP大数据游艇论坛、华硕之夜IT嘉年华晚会等特色活动将把三天的活动推向一个又一个高潮。
更多峰会精彩内容,请持续关注ITValue公众微信号:itvalue
