现在很多企业互联网化了,未来将会有更多的业务使用IT,而带来的问题就有安全问题,最近有一个新闻挺震惊的,美国索尼电影公司内部系统被黑客入侵以后整个公司断网了,完全回到纸笔办公,被黑客控制以后,一上电脑,数据会继续泄漏……安全可以说是最头疼的问题,那如何应对呢?下面就来看看360副总裁谭晓生分享的内容。
以下是现场演讲实录:
我主要介绍一下我们的信息安全防御体系怎么建的,从安全理念、防护体系、安全团队三方面讲,最后,介绍一下全球新的防御思想是什么。
安全防御体系构建过程
安全理念包含一个中心、两个原则、三个阵地和四个假设。首先,总体防御,要的是办公网、数据中心、VPN网络,如果没有VPN,你非常危险,如果邮件服务器直接放公网上,邮件系统二逼搞定的可能性非常大,对360来说,如果上公司内部任何系统,都是需要经过VPN的,有双因子认证才能上VPN,经过很多不同的访问控制。对360来说,我有十多个办公室,80多个数据中心,涉及到国外的数据中心,VPN要求员工出差时随时能够接入,收邮件必须通过VPN。
安全理念之两个原则
两个原则:攻防平衡,自主可控。攻防安全,安全做起来是有代价的,甚至花在多钱都不能做到百分之百安全,要平衡我要保护的商业目标的价值是多大、盈利能力是什么情况,花这么多钱的情况下,做到尽可能好的防御。第二,自主可控。我也买过别人家的安全产品,过去扫描类产品,黑洞抗击Dos供给的东西,最近走到了自主可控、自主开发这条路上,自己首先要明白该怎么防,别人家的东西都是防的组件。讲自主可控,其中一个原因,说句实话,现在外面产品不太靠谱,美国的稍微好一点,国产的很多东西非常不争气,只能用它解决局部问题,大量洞需要自己堵,说的夸张一点,有时开玩笑说这是一堵墙,墙上有几个洞,但是,在黑客圈里,大家觉得那不是一堵墙,仅仅是摆几块砖而已,站在攻击者和防御者角度看待这个问题时候有非常大的差异。
安全理念之三个阵地
三个阵地,第一,中国边境线,边境线是什么?你的产品,我们有客户端产品,产品在用户机器里运行时本身有漏洞,就会带来非常大的问题,第二,你的手机或者你的手环或者家用路由器和汽车控制的东西,这些是是你的产品,这些产品如果有漏洞同样很要命;第二,对外提供的服务,指Online服务,特指WebService,我们网站是给大家提供服务的,我们每天消耗100G带宽,有非常多的外部服务,在今天我们面临的时代,VPN越来越外部化,漏洞非常多;第三,员工,你的员工可能拿手机收邮件,他出差时,他可能在咖啡厅接入了不安全的网络,你的网络可能受威胁,边境线到你的员工级别,你的员工是不是间谍?或者你的员工是不是在别人挟持之下做一些攻击内部网络的事情。第二,保卫大城市,包括重要的基础设施、重要的服务器、重要的业务系统、重要的数据。最后一层,反潜伏,假设你被搞定了,没人敢吹牛说自己没被搞定,我干这几年,开会时候,我问所有互联网公司谁敢举手说自己没被别人偷过库?我也被偷过。反潜伏,假设我被搞定了,有机器被别人控制了,有员工的机器被木马直进来了,我怎么尽早发现?像反间谍一样,手段无外乎监控、审计、大数据分析等等。
安全理念之四个假设
在企业里,现在做到安全,基本有四个假设,这个假设蛮残酷的,第一个假设,你的系统一定有未被发现的漏洞,这几年投入的资金越多,挖出来的洞越多,今年估计过一万我觉得没啥悬念,去年7800多,而且CVE仅仅是一部分洞,外面Web软件的洞多少呢?我们花三百万块钱收39000多个洞,不是某一个网站有那个洞,建站工具39000多个洞,一个洞能影响几十万个网站,到处都是洞,我们生活在道路都是窟窿的IT世界里。第二,你的系统可能有洞,这个洞已经有了补丁,由于各种原因,你不能修补,如果你是生产型企业,人家告诉你工业控制的上位机用的是XP,现在发现一个新的漏洞,出了一个补丁,你敢补吗?补了之后,工业控制系统可能真的不能工作了,我听过最夸张的故事是导弹发射车的操作系统是XP的,我相信没有人敢上去打补丁,没有机会给你试一下,打完补丁之后导弹能不能发射出去,能不能命中目标,有大量系统有洞不能补。第三,你的系统今天已经被渗透了,别人已经潜伏在里面了。第四,员工不可靠,甚至做安全的员工可能不靠谱,有的攻击手段是找到原购弱点,比如他在外面包一个小秘,拿这个要挟他,让他搞情报,你的员工有可能是别人派进来的间谍,有可能本身不是间谍,但是被别人控制了,或者仅仅是因为他比较蠢,搞定一个企业最简单的方法是搞定网管,派一个年轻小姑娘去搞,给小姑娘两百万,你说这个小姑娘干不干,IT运维人员可能是最苦逼的活,还有一个办法是搞定公司前台,人是有漏洞的。我们其实是在沙滩上建筑防御攻势。
攻防理念,你想攻击者所想,还好,360公司本身是做安全的,过去在历史上招募了一堆黑客,差不多一半黑客,一半开发工程师,我2010年接手的这件事,理念是首先找攻击者,没有攻击者思维,防御无从做起,我首先找过来黑客,发现写代码的能力往往比较差,能写代码的人员非常少,我开始配开发工程师,做工具。
安全防护技术体系
防御体系,我们的防线无外乎这么几个:第一,网络访问的统一管理平台,第一步首先是准入,员工个人的电脑带到公司里是不能用的,不是说通过管理手段不能用,而是通过技术手段不能用,我们员工的电脑首先必须是公司签发的电脑;二是必须装了安全软件才能上网,否则访问任何东西都给一个提示,说对不起,你的电脑不能上网,原因是123456,不是公司签发的电脑,根本不会加入域,802.1X的认证不会过,不会获得正常IP,假如公司电脑,入了域,终端管理软件会和一台服务器非常频繁的通信,会告诉我这台机器装了没有,出去没有检测到有装软件的打点记录,对不起,802.1X根本不会分配IP,这台机器如果超过24小时没有重启,也会把XP踢到非正常IP网段,访问所有东西都会提示对不起,超过24小时未重启了,要重启。我们过去发现一个事故,发现员工两三个月没有重启电脑,后来强制24小时必须重启,这是完全可以接受的。在网络边界上布了群流量监听,我们差不多是100来G带宽,全部抓包抓下来,长期存储,反复运算,用概率找小概率事件,每天大量发生的事是正常的,攻击是小概率事件,然后建模,试图找出来网络威胁。无线入侵检测,在公司里,无线局域网是非常常见的,无线局域网是非常危险的,大家有一种设备,带一个充电宝,到你那儿能够工作一两天时间,基本可以访爆所有设备,你的设备过去连过哪个设备,不断重新发起扫描,这个设备可以告诉你你连上来吧,攻击开始做了。
在公司里要检测有没有人起来非法App,问所有App的时候,我会查过去连过什么样的App,无线其实是一个弱点,我们手里有高达5.5万亿条的密码库,抓半个小时包,回来以后拿服务器一算就可以了。Web安全扫描系统、Webshell白盒扫描系统,两套扫描器交叉扫描,经验数据是两套扫描器重叠扫描概率的90%,有90%洞两个都能发现,还有10%个洞各自发现。Webshell白盒扫描系统,对服务器上代码做检测,对安卓有半自动化扫描,扫描系统做法上,我们采用不相信员工的策略,明白告诉所有员工,默认不被信任,我要通过各种手段查你,包括对于开发人员,要求开发完之后送交安全审查,然后上线,这个事能得到遵守的可能性微乎其微,开发人员有个特点,开发完之后要测一下,部署一个代码之后,自己总要上去看看对不对,我把这个过程抓下来,只要发现过去扫描没有扫到的URL,扫描器立马找漏洞,服务器上代码一产生改变,扫描器立马开始扫描,做成全自动的,规定你报,不报也能抓出来。后来做了鹰眼,当当、去哪儿等将近十家互联网公司在用,销售许可证前几天才拿到,没有销售许可证的时候,这些互联网公司开使用了,我不要求制度,我认为制度不可靠,靠系统自动发现。办公网的安全审计等等,比如申请ACL,过去ACL是申请了我就开,开了之后放在哪儿?时间长了,人们要一个什么东西时候会找你要,不用的时候很难告诉你,ACL也是,核心交换机上抓了所有的网关之间的流量,我会看哪IP和哪个IP用哪个端口进行过通信,通过大数据的方法,校验ACL策略,如果没有某种通信,最后还是要问他为什么当初要申请这个东西。
第二层,比如VPN访问是双因子认证的,重要业务系统访问是双因子认证的,对所有员工的密码采用暴力破解,有一台6CPU密码破解设备,要求是复杂密码,15位以上,附加条件是只要能够被我们算出来无条件修改,过程全是自动的,算出来之后3天之内改,如果不改,抄送APP,再不改,直接开掉。所有机器通过加固机器上去,有数据安全审计系统。服务器上,有日志系统,日志有两套,本机有一套,远程有一套,我们用这套手段成功抓出了三年前试图在春节前看12366的同事,他在服务器上干活的时候,信息安全部同事已经报告到我这儿了,要直接把他踢过去,春节前把这个人开掉了。对于服务器上产生的新闻检,需要做Webshell的扫描和监控。
内部使用工具上,我们要求做安全防范的同事像产品经理一样,360产品比较讲究用户体验,我们做安全产品时也是这样的,哪怕内部工具,也要求做的好用。团队,目前信息安全部有36个人,一半黑客,一半开发人员,从团队分工来说,有专门负责网络层的,网络设备、网络协议;有负责Web安全的,有负责云计算安全的,私有云规模也挺大的,有无线与硬件安全团队,现在发现硬件领域的安全还是蛮荒时代,拿到摄象头之后,拆开以后,马上能找到破解方法,我们做了一个盒子,WiFi模块和以太网模块上面都有,完全靠软件很难搞,做了调试工具,有安卓安全组,有iOS安全组,有应急响应中心,有专门做协议和逆向分析组,在360安全公司里,我们本身能得到安全主线的支持,即使这样,我们还是建了完整的团队。就像前面李大学讲的,做技术支持,其实和商业结合很重要,和商业的关系怎么处很重要。
万物互联的后移动互联网时代
在座多数是同行,从IT来说,有些什么新的趋势呢?智能硬件越来越多,不管叫物联网,还是叫智能硬件,今后几年肯定越来越多。但是,它的安全是非常成问题的,今年Defcon上有一个展示,45分钟,展示22种硬件设备,包括海信电视机、LG冰箱、亚马逊机顶盒、索尼和松下的蓝光播放器,今年发现USB的漏洞,入侵的话,可以改USB Firmware,智能硬件变成了破解对象。我们过去的防御,不管防火墙,还是IPS,有用没用?有用,十颗子弹过来能挡住三颗、五颗,在物联网时代,过去的东西没办法保护你的安全,由于太大,或者由于部署原因,没办法部署在那个东西前面,过去我们的防御思想是边界防御,刚才那些全在网络边界上,越来越模糊,而且会持续的模糊下去,为什么?互联网给我们带来的红利本质上是什么?无外乎两点:一是信息变得对称,信息流动变得快速和便捷;二是数字信息的复制是无损的,可以非常快速地传播,天然的属性会让边界变得模糊,随时随地都能联网的时候,人到处走,身上带的智能终端设备跟着你走,网络不断的变,如果靠传统的防御思想已经过时了。今天企业的网络边界已经推到了某个设备上,不管是随身带的,还是房间里的智能设备,或者是一台服务器,或者是租用的虚拟机,到了某一个对象上,边界在那里,边界的防御思想要跟着办。
安全体系也经过了若干变化,现在流行的安全体系是立体防御,说穿了是什么?由过去玩攻城的游戏,就是靠城墙防御变成塔防游戏,区别在哪里?城墙一旦被打破,进去可以屠城,如果塔防程序,进攻者需要过一道一道关,过去叫硬壳软糖,壳咬破之后,里面的东西很美味,现在玩塔防新的安全模型,云管端,管道就是边界一级的防御,终端上的防御,在2014年,终端防御的优先级重新被提高了,过去大家认为终端已经做到那个样子,杀毒软件快做死了,过去终端管控也不是特别有效,今年对于终端安全的重要性又提升了,这条防线到什么程度了呢?开始和云结合起来,一个程序在某个终端里运行时,会采集它的行为,他做了什么API的调用,它用了什么资源,会把这些信息汇总到云端,云端可以收集多个终端设备的行为信息,再用大数据分析看有没有异常,和过去在单个终端上做的安全防御有非常大的变化。终端这一级要引起足够重视,第一,要纳入安全防御网络中,第二,终端要有自我防御能力,这是下一步可能要增强的,终端要能检测到它自己遇到了什么问题,它有自我防御机制。云是这些年一个大的变化,可能已经有超过5年时间了,云安全思想,云提供的是更大的数据存储能力和更强的计算能力,我有了云,有算力,可以翻来覆去算历史数据,找出中间的异常。
新的安全边界在哪里?安全边界有很大的变化,过去网络出口是边界,现在某一台终端中跑的一个应用程序变成新的边界,比如手机里的一个App会变成新的边界,今年有一个思想,软件定义边界,过去我们做ACL,从这台设备到另外一台设备中间可以通过哪个端口进行通讯,今天要看的是某个终端中间的某一个应用程序可以和另外的某个终端上某个应用程序通过某个端口进行通信,深入到一个终端物理设备内部进到一个程序进行控制。
有了云之后,你的网站可能在公有云里边,公有云中有很多东西是你不能控制的,比如多住户安全问题,比如云服务商会不会偷看你的数据问题,你的边界已经推到云里了,这个边界也需要一系列解决方案,这方面有关的法律法规比较欠缺,后面几年大家肯定能够看到这方面的完善。无线网络,这是一个新的边界,还有各种各样智能硬件设备,会带来新的边界。你开的汽车,车联网,边界又到了车里,今年云的趋势叫混合云,私有云和公有云最后可能会变成混合云,边界是动态变化的,边界防御没错,只是在边界防御具体怎么做上会产生非常大的变化。
要重视一点,Thaeat Intelligence,这是今年特别热的一个词,要做完全,要玩情报这一级,我们认为需要两方面东西:第一,大数据收集与分析能力;第二,攻防知识。所谓的大数据的分析能力,我要能够存储多长时间的数据,有多大的业务范围,业务细节程度,一个App同另外一个机器里的App通信,如果不了解业务规则,你很难知道这个通信应该不应该产生。这个业务到底是干什么的?到这一级才能知道访问到底是不是违规的。中心是攻防思想,给一个银行做一个安全解决方案的时候,刚开始开发人员拿了一套方案,看着不满意,我把信息安全部人叫过来,问他们应该怎么搞,他们讲一个小时,攻击者提的攻击点和防御者设防的地点无一重合,两者是完全不同的思想,攻防知识其实是核心。