网络安全 频道

GNTC大会没白来,360内部应急响应图到手!

  【IT168 资讯】11月28日, 以 " 新技术 · 新架构 · 新网络 " 为主题的 "GNTC 全球网络技术大会 " 今天在北京正式开幕,下午的安全专场来自360信息安全总监高雪峰做了精彩分享,他指出,目前,攻守与防御不平衡,攻击可以单点攻击,但是防御需要全方位防御,360内部防御团队包括了网络安全、web安全、云安全、安全运营、安全渗透、安全研究、应急响应、移动安全等多个团队。

GNTC大会没白来,360内部应急预案图到手!
▲360信息安全总监高雪峰

  360整体安全防御体系(内部安全)包括了三个层面、四维度,整体防御思路:建堤防御、主动发现、事前预警、事中检测、事后追溯,未来还将通过大数据+AI来做支撑,一下为演讲实录(略有删减):

  我在360负责信息安全,基于内部是的一次红蓝对抗,我们一方面有做防,也有团队做攻,他有一次通过钓鱼邮件渗透穿到了内网拿到很多信息。这个钓鱼邮件怎么渗透呢?就是HR有一些邮箱,我们一些攻击者拿到邮箱,不断的钓,其实也没有用什么附件,就是打开Word文档拿到一些信件,用他的邮件给大的领导发,然后拿到很多东西。这就是很简单的通过一两个安全能力渗透能力比较强的可以打到内网当中。这是不是说我们在内网安全防御中有很多问题呢?其实也不一定,因为我们在安全防御中做了很多东西,这也就是为什么我们拿这个话题讨论。

  现在很多企业、网络安全服务商他们提供的东西是通过设备能解决一些网络安全问题,但在攻防过程中没有一家网络安全公司说他不会被打穿,我们是比较有自信,但是也不敢说自己防御作的多好,因为在定向的情况下,不是通过APT也一样能拿到一些东西。

GNTC大会没白来,360内部应急预案图到手!

  我介绍一下内部自己防御怎么做的,我们会把自己的团队里面分为若干个小团队,这里面有80-90人左右,后续会增加30人左右的渗透和运营。你会看到各个领域,不同的维度从底层网络层面、应用层面,包括到上层很多系统层面,包括整体的运营、响应都有在做,包括移动各个方面来防御我们整个体系,包括从云的平台,虚拟化引用得比较多。这是从防御来说大家可以做这样的事情。

  另外一方面,其中隐藏一些做安全研究的,如果关注的话有几个团队是比较牛的,像IOS越狱研究、Web安全研究也非常知名,包括云安全,我们去年挖了很多。谷歌主要针对安卓,微软主要是分析漏洞,攻击的目的其实是为了防御,另外像虚拟化的逃逸和控制层面的东西非常多。我们去年挖了曝出了100多个,还有很多没有曝。在官方和外部没曝出来我们自己有研究的能力,把这些问题找到修复的方法能解决。

GNTC大会没白来,360内部应急预案图到手!

  我们在做内部安全的时候有一些防御的理念和防御的思路,做的时候基于几个层面,从网络层、系统层到数据层。另外网络安全是空间性的东西,我们现在只提防御的层面,前两天国家颁布了一个应急响应的处置预案,那个我也觉得是从国家层面意识到的问题,过去我们讲的是不断的防,通过买设备或者通过一些方法能防御,其实纯粹的防是防不住的,所以我们做了很多类似于监测的东西,或者我们发现安全的风险在这个过程中不断的做响应和运营,这样整体的思路是建立已有的防线,但是这个防线不可能不被突破,我们有一些通过自己主动发现的机制,发现自身的问题然后去改进。

       另外一方面,通过监测或者响应有一些预警,再者如果针织被攻击了之后我们得有一些方法或者得有一些东西知道我们被攻击了,其实现在很多的情况,包括我们对控股公司做渗透的时候,我们在里面都呆了好几天,很多重要的系统权限拿下来了,敏感的信息也拿下来了,但根本不知道我们进来,这也是监控和应急响应的事,如果有人攻击你能知道谁攻击你,另外攻击之后我们有解决方案处理,得有溯源机制,我们知道谁攻击、攻击了哪些东西、怎么做防御。后续我们花大量的精力,包括或许有安全研发的,更多支撑大数据和AI,怎么能把大数据联动起来在上面做数据建模,然后做更深入的分析。

  通过思维分析我们罗列了一些我们大概做哪些东西,这些边边角角的事,都是大的,但实际上运维过程中时很烦琐,和攻击不一样。做防御的话边边角角每个层面得做,所以防御也是分几个维度来说,会有第三方的产品,更多的全部是自研,80多个人其中有一半的是做研发,把很多我们遇到的问题通过自身的研发能把这个问题解决掉。

  我们发现很多安全的厂商说能解决这个问题、解决那个问题,但实际上每个企业当中有特定的环境、特定的需求和攻防的要求,你通过单一的设备会发现在运营过程中运营性很差,我们最主要的东西是要有很强的运营性,这是一方面。

  在监测方面。我们做的监控或者是日志,基于文件或者基于命令基本都是自研的,不一定是产品化的东西,但基本上不都是基于自己内部的攻防实践有一些工具、平台做这样的事情。这也是列了其中几个相对来说比较重要的维度,这块能感知到一些威胁,但这快的感知更多的是发现,发现已经有的一些安全的东西,后续我们做的很多大数据和AI的东西想更深一点。

  应急响应分析,一方面是我们通过自研的东西能解决把数据包还原,另外我们会对流量进行定向的保存,如果攻击在短时间内没发现,在后续溯源过程中能找到我们的问题出在哪儿。还有是做的类似于轻量级的蜜罐,这个蜜罐是想通过在系统和系统之间,或者网络节点和边界,如果渗透要攻击你的时候必然会经过一些节点,通过这样的方式补充防御体系、监控体系做的不太好的情况下,或者没有发现的情况下,通过这种方式能够发现我们被攻击的可能。另外一方面在漏洞挖掘或者做攻防,360做攻防的很多,包括微软、谷歌、windows系统、安卓系统他们也有在研究,但他们研究是为了挖高价值的漏洞,我们这方面也有在做,但我们更多做研究的目的是为了解决自身的安全问题,统计下来像BAT的大公司都是用的开源应用,所以360也一样,动辄就是二三十万或者几十万集群的规模,不管实体机还是虚拟机,所以这块用的很多开源性软件是很差的,我们花了很多人在这方面的研究就是在官方没有找到解决方案之前,或者发现安全漏洞可以自己修复,自己可以补丁,或者自己为好的业务做比较深入的监控,后续有安全问题可以自己去解决,这是响应分析当中做的事情。

  运营是周期性持续做的事情。我们发现安全产品,或者少量的人能解决持续的公司安全问题,这个是不适合的。今年512爆发的是比较严重的,而且我们帮助很多国家机关,包括公安部他中招的程度比较严重,所以我们也在协助修复,但是在协助修复中发现一个问题,它是在512爆发的,但是4月份补丁修复日发布了,相当于给了一个月时间让大家修漏洞,其实像360内部大概有将近1万多台个人终端,我们发现这个问题之后就开始扫描,自己写一些POC,自己报着往上试,看哪些有问题。统计了很多数据之后就推送补丁,一个月的推送时间是比较空余的。政府机关有一些是隔离网,有时候没有修复,所以512爆发很多个人终端就被加密,这块是要在安全运营商持续做工作的重要性。包括很多网络防控,我们是互联网公司,所以我们IDC访问需求是很旺盛的,现在有70多个IDC,10个核心的IDC,在这个过程中公司访问IDC是蛮多的,网络请求一个月就一千多条,这个日常运营的工作量非常大,相对来说是比较枯燥的,也得有一定技术含量的人来做。另外一方面,还有一些审计的事,审计这块儿我相信很多在座日志监控或者告警系统都有处理,但是很的事是他坚持不下来,今天看一看或者后天看一看就忘了,但其实这是很重要的点。另外像告警我们是在做优化的,最初很多命令的操作一天几千条,给一个人看,他基本看不过来,所以我们做了很多机器学习的方法改进这些东西。包括我们在新技术上,保持日志的一致性也探索用区块链技术作一些优化。

GNTC大会没白来,360内部应急预案图到手!

  这是我们日常工作中相当大的节点,处理应急响应的事件,包括怎么持续优化,包括怎么做日常运营的告警和处理,包括无线当中怎么做扫描监测,遇到高危漏洞如何相应,如何快速的把这个事情解决掉。

  另外一方面,我们花了更大的精力是做大数据,目的是为了把大数据做很多的关联,然后能产出。我们也在和国家有关机关单位,包括中央的企业、部委企业、央企沟通的时候,发现他们有一个误区,他们想把这个建成大数据平台而建大数据平台,什么业务系统都往大数据平台上迁,原来用的好好的都往这个平台上迁,这个其实是有误区的,我们是为了做关联,做关联的目的是为了后续持续的分析和建模,能找到在人工处理过程中解决不了的问题。我们内部会把很多数据的结合作为数据集往一块串。

GNTC大会没白来,360内部应急响应图到手!

  这是我们整体建模的东西,基于现有的分析数据源,然后通过模型根据现有的平台,比如底层的存储平台、计算平台,到上层的关联度分析,分析出来有很多需要人不断的优化平台,在上面做很多不同维度的运营。我们想做的态势感知,包括下面有很多安全设备,网络设备、安全设备,我们采购了很多第三方的安全设备,但这块能够给我们提供一部分的数据,很多平台包括我们自研的东西其实解决的就是自营性的东西。通过这样的平台最后解决的是什么呢?我们希望真正能够达到态势感知。现在看到大数据很热、AI很热,在安全领域态势感知很热,是个系统都叫态势感知,什么都往上套,其实我对态势感知的理解,我们更多的是发现问题,现有的不管通过安全分析也好,安全运营也好,其实是发现现有已经存在的问题,我们要的态势感知是什么呢?是未来发现风险概率比较高,它能够判断出来这块相对来说重要性更高一些,有一个预判的作用。

  举个例子,内部的开发人员有可能我们会对他的安全行为做一些记录,对他的安全意识做一些记录,有可能一些人的安全意识比较差,新起了一些项目,他和另外的人组成了一个小团队开发平台,这块来说其实这几个人安全意识都比较差,未来他开发的平台或者产品也好,他出问题的概率一定会比较高,这是我们想达到的目标,这是我们目前做的基于安全建模和大数据的东西。

  这其实是我们目前通过资产的收集做的可视化的东西。

  还有一张图是内网边界呈现的状态,我们做防御的过程中有一个理念,通过攻防当中,所有的防御者能够通过像攻击者一样的方式思考,我们交流也好,为政府解决方案也好,他接受的是卖产品的理念,实际在真正的攻防对抗和攻防防御过程中,我们更多的要思考攻击者要攻击你有那些方法和思路,把这些方法和思路了解之后我们产生了防御手段和防御方法来产生对抗,谢谢大家!

1
相关文章