構(gòu)建安全保密新體系

360企業(yè)安全集團(tuán)董事長(zhǎng)兼CEO 齊向東

構(gòu)建安全保密新體系

360企業(yè)安全集團(tuán)董事長(zhǎng)兼CEO 齊向東

0 前言

在今年的美國(guó)總統(tǒng)大選中，一度優(yōu)勢(shì)明顯的民主黨候選人希拉里，最后驚人地落敗給共和黨特朗普。這是由于國(guó)外黑客侵入和竊取民主黨及希拉里競(jìng)選團(tuán)隊(duì)郵箱系統(tǒng)，大量不利于希拉里的郵件被曝光，給希拉里造成了巨大的負(fù)面影響。

此事是否真的由俄羅斯政府授意黑客所為，目前依然真相難辨，但有一點(diǎn)可以肯定:數(shù)據(jù)泄密的影響已嚴(yán)重影響到國(guó)家的政治和安全。

1 泄密已成全球性的安全挑戰(zhàn)

從全球看，竊密泄密事件呈高發(fā)態(tài)勢(shì)。據(jù)美國(guó)電信運(yùn)營(yíng)商Verizon發(fā)布的《2015年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告》，2014年有近8萬(wàn)家企業(yè)被黑，導(dǎo)致數(shù)據(jù)泄漏；2122家公司公開(kāi)確認(rèn)信息被竊取; 500強(qiáng)企業(yè)超過(guò)半數(shù)遭遇過(guò)數(shù)據(jù)泄露事件。

根據(jù)2016年的報(bào)告，2015年的數(shù)據(jù)泄露事件比上年增長(zhǎng)48%，達(dá)3141起; 安全事件的漲幅超過(guò)25%，超過(guò)10萬(wàn)次。

美國(guó)政府問(wèn)責(zé)辦公室報(bào)告的數(shù)據(jù)同樣驚人:自2006年以來(lái)，美國(guó)聯(lián)邦政府的網(wǎng)絡(luò)安全事件增長(zhǎng)1300%。回顧今年以來(lái)美國(guó)遭遇的數(shù)據(jù)泄露事件:2016年2月，美國(guó)國(guó)稅局披露，有超過(guò)70萬(wàn)個(gè)人的納稅人個(gè)人信息被泄露。同樣是在2016年2月，黑客攻擊了美國(guó)聯(lián)邦調(diào)查局、國(guó)土安全部，竊取了9，000名國(guó)土安全部員工和20000名聯(lián)邦調(diào)查局員工的信息。

對(duì)在全球網(wǎng)路安全領(lǐng)域相對(duì)領(lǐng)先的美國(guó)，數(shù)據(jù)泄露問(wèn)題依然嚴(yán)重。可以說(shuō)，數(shù)據(jù)泄密問(wèn)題已成為全球性的挑戰(zhàn)。

2 中國(guó)成為APT攻擊主要受害國(guó)

2016年年初，360威脅情報(bào)中心發(fā)布的《2015年中國(guó)高級(jí)持續(xù)性威脅（APT）研究報(bào)告》顯示，中國(guó)是APT攻擊的主要受害國(guó)。國(guó)內(nèi)多個(gè)省、市受到不同程度的影響。

根據(jù)該報(bào)告，截至2015年11月底，360威脅情報(bào)中心監(jiān)測(cè)到的針對(duì)中國(guó)境內(nèi)科研教育、政府機(jī)構(gòu)等組織單位發(fā)動(dòng)APT攻擊的境內(nèi)外黑客組織累計(jì)29個(gè)。

在2015年和2016年，360天眼實(shí)驗(yàn)室發(fā)現(xiàn)和披露了多個(gè)針對(duì)中國(guó)的APT組織。其中包括海蓮花組織、摩訶草組織、索倫之眼組織、DarkHote等。

其中，海蓮花組織的發(fā)布，受到海內(nèi)外的廣泛關(guān)注。該報(bào)告被業(yè)界稱為中國(guó)“首份”“符合標(biāo)準(zhǔn)”的APT攻擊研究報(bào)告，海內(nèi)外媒體紛紛進(jìn)行了報(bào)道。有美國(guó)國(guó)家“智庫(kù)”之稱的美國(guó)外交關(guān)系協(xié)會(huì)、以及中國(guó)外交部都對(duì)這份報(bào)告進(jìn)行了回應(yīng)。改變了長(zhǎng)期以來(lái)我國(guó)在網(wǎng)絡(luò)間諜上被西方國(guó)家單方面指責(zé)和攻擊的局面。

根據(jù)360安全人員的分析，我國(guó)的科研、政府、能源、軍工行業(yè)是海外APT組織的主要攻擊目標(biāo)。這些APT組織對(duì)目標(biāo)機(jī)構(gòu)中包含2016、2015這些年份的文件或包含軍工、涉密、保密字眼的文檔都極為有興趣，一般都會(huì)進(jìn)行打包外傳。

3 形勢(shì)變化令傳統(tǒng)安全手段應(yīng)對(duì)乏力

根據(jù)美國(guó)運(yùn)營(yíng)商Verizon的報(bào)告，黑客組織侵入一個(gè)機(jī)構(gòu)，最短只需要用幾秒、幾分鐘時(shí)間，長(zhǎng)得也不過(guò)幾個(gè)小時(shí)，數(shù)據(jù)也往往在數(shù)小時(shí)內(nèi)被竊取，但我們發(fā)現(xiàn)被入侵、數(shù)據(jù)別泄露，以及采取措施緩解損失，需要多久呢？可能是在幾天、幾周之后，長(zhǎng)的可能幾個(gè)月之后。或者根本就不知道出現(xiàn)了失竊密事件，直到第三方發(fā)現(xiàn)告知才采取行動(dòng)。

政府等機(jī)構(gòu)每年都投入巨資，為何沒(méi)有解決數(shù)據(jù)泄密的問(wèn)題？這是因?yàn)樵诂F(xiàn)在的環(huán)境下，傳統(tǒng)的壘長(zhǎng)城式的防護(hù)思路已經(jīng)不再奏效。

在互聯(lián)網(wǎng)+時(shí)代，萬(wàn)物互聯(lián)，安全形態(tài)已完全不同:首先，網(wǎng)絡(luò)安全的范疇被擴(kuò)展，安全設(shè)備要防護(hù)的不再僅僅是PC，還有打印機(jī)、復(fù)印機(jī)等各種終端，還有聯(lián)網(wǎng)的核電、核工業(yè)，以及正在出現(xiàn)的各種新型系統(tǒng)。其次，傳統(tǒng)安全邊界下在在失效，移動(dòng)、云計(jì)算的部署改變了IT形態(tài)，數(shù)據(jù)已突破了傳統(tǒng)的安全邊界。第三，具有針對(duì)性的高級(jí)威脅增加，這主要包括APT、零日漏洞、針對(duì)性攻擊，而攻擊者對(duì)相關(guān)行業(yè)很熟悉，攻擊持續(xù)時(shí)間會(huì)很長(zhǎng)，且用了很多精力來(lái)進(jìn)行偽裝。

現(xiàn)在很多基礎(chǔ)設(shè)施安全的對(duì)手并不是一般意義上的黑客，而是國(guó)家級(jí)的黑客組織，技術(shù)環(huán)境的變化和黑客組織的更高級(jí)攻擊手段，使得傳統(tǒng)的安全防守手段已經(jīng)無(wú)法奏效。

4 用大數(shù)據(jù)手段解決數(shù)據(jù)泄露挑戰(zhàn)

對(duì)于這種新形勢(shì)，我們應(yīng)該如何防范數(shù)據(jù)泄露呢？我們認(rèn)為，大數(shù)據(jù)的手段可能是我們應(yīng)對(duì)當(dāng)前安全挑戰(zhàn)的有效手段。

這里面有個(gè)安全理念的轉(zhuǎn)變:那就是從安全防護(hù)轉(zhuǎn)向檢測(cè)與響應(yīng)。

面對(duì)新型、頻發(fā)的高級(jí)威脅，沒(méi)有任何機(jī)構(gòu)是絕對(duì)安全的，指望通過(guò)安全防護(hù)將黑客組織阻止在系統(tǒng)之外，已經(jīng)是不太現(xiàn)實(shí)。因此，國(guó)際上一直都在倡導(dǎo)將重點(diǎn)轉(zhuǎn)向安全檢測(cè)與響應(yīng):在最短時(shí)間內(nèi)檢測(cè)到攻擊，并進(jìn)行及時(shí)處置和響應(yīng)，將數(shù)據(jù)泄露的損失降到最低。在攻防失衡的情況下，這是網(wǎng)絡(luò)安全的務(wù)實(shí)選擇。

要實(shí)現(xiàn)快速的檢測(cè)與響應(yīng)，掌握豐富的數(shù)據(jù)非常重要。在現(xiàn)在背景下，從單點(diǎn)上很難看出攻擊者的真實(shí)目的，只有把所有的點(diǎn)連在一起，才能看到真實(shí)的問(wèn)題。一次安全事件所利用的漏洞或者樣本，可能在互聯(lián)網(wǎng)上已出現(xiàn)過(guò)。利用互聯(lián)網(wǎng)上的海量安全數(shù)據(jù)，可以更快發(fā)現(xiàn)甚至預(yù)防安全事件，避免或減少數(shù)據(jù)泄露。

我們提出了“數(shù)據(jù)驅(qū)動(dòng)安全”的創(chuàng)新安全理念，其思路就是用大數(shù)據(jù)的方式來(lái)解決當(dāng)前的安全挑戰(zhàn)。一方面是通過(guò)海量的互聯(lián)網(wǎng)安全數(shù)據(jù)，形成豐富的威脅情報(bào)，然后推送給用戶的安全設(shè)備。另一方面是幫助用戶在本地進(jìn)行全量的數(shù)據(jù)采集。這樣，針對(duì)本地網(wǎng)絡(luò)或者終端出現(xiàn)異常狀況，可以通過(guò)與威脅情報(bào)的關(guān)聯(lián)比對(duì)，進(jìn)行識(shí)別和發(fā)現(xiàn)。在政府和企業(yè)內(nèi)網(wǎng)與終端，出現(xiàn)的任何安全漏洞、數(shù)據(jù)泄露問(wèn)題，就可以被及時(shí)發(fā)現(xiàn)和處置。

基于“數(shù)據(jù)驅(qū)動(dòng)安全”的理念，我們打造了多款創(chuàng)新性的產(chǎn)品，其中包括新一代威脅感知系統(tǒng)——天眼，可以實(shí)現(xiàn)未知威脅的發(fā)現(xiàn)、溯源、分析等功能。2015年，360天眼實(shí)驗(yàn)室發(fā)現(xiàn)29個(gè)海外APT組織，就是這套系統(tǒng)的所建立的奇功。