第三代浪潮的攻防戰(zhàn)

李昊原

2017年6月27日，不少烏克蘭的企業(yè)感染了新的勒索病毒，攻擊源頭是烏克蘭知名的財務(wù)軟件M.E.Doc，黑客在源代碼中植入了切取數(shù)據(jù)的后門，隨著軟件更新，廣泛使用該軟件的企業(yè)紛紛中招。360企業(yè)安全集團(tuán)副總裁左英男說，雖然源代碼安全檢測類產(chǎn)品可以檢測到這類缺陷，但類似這樣的軟件供應(yīng)鏈攻擊方式讓人防不勝防。

360企業(yè)安全集團(tuán)董事長齊向東日前在貴陽數(shù)博會網(wǎng)絡(luò)安全高端論壇演講中，將網(wǎng)絡(luò)攻擊的發(fā)展分為了三個階段，最初是“小球病毒”“救護(hù)車病毒”等，更像是惡作劇;“熊貓燒香”等以竊取隱私、錢財為目的的是第二次;從2015年開始網(wǎng)絡(luò)攻擊的復(fù)雜性和多樣性提升，尤其是針對大中型企業(yè)和政府部門。有目標(biāo)、精確、持久隱藏的ATP攻擊（高級持續(xù)性威脅），攻擊入侵的路徑也并不局限于互聯(lián)網(wǎng)，還可通過移動介質(zhì)、內(nèi)部網(wǎng)絡(luò)橫向傳播，并和社會工程學(xué)等手段相結(jié)合。

網(wǎng)絡(luò)攻擊的破壞性也在增大。據(jù)稱幾乎每個在線游戲在公測的一個月內(nèi)，都會受到攻擊，除了層出不窮的外掛與黑產(chǎn)，競爭對手的攻擊也不在少數(shù)：電商、在線教育也是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，業(yè)務(wù)活動時常收到DDoS攻擊（分布式拒絕服務(wù)攻擊，消耗對方的系統(tǒng)資源使之難以提供服務(wù)）的影響。網(wǎng)絡(luò)攻擊甚至被應(yīng)用于國際政治活動，“震網(wǎng)”史無前例地破壞了伊朗的核研究設(shè)施，而希拉里“郵件門”則一舉扭轉(zhuǎn)了美國大選的走向。

唯快不破

齊向東說，數(shù)據(jù)正成為企業(yè)核心的資產(chǎn)，數(shù)據(jù)安全也上升成為企業(yè)安全乃至國家安全的重要組成部分。即使如Facebook這樣的巨頭，面對數(shù)據(jù)泄露事件依舊焦頭爛額，而《網(wǎng)絡(luò)安全法》和今年5月實施的GDPR等法規(guī)，也讓數(shù)據(jù)安全的重要性從違規(guī)提升到違法，乃至巨額罰款的程度。在左英男看來，企業(yè)上馬云計算和大數(shù)據(jù)等項目，提升了業(yè)務(wù)效率和數(shù)據(jù)價值，但也帶來更高風(fēng)險。今年4月，他的十幾名同事在某省的兒童醫(yī)院，花了三天三夜時間幫助醫(yī)院處理安全問題。這家醫(yī)院的業(yè)務(wù)系統(tǒng)遭受了勒索病毒的大面積攻擊，病人的病例數(shù)據(jù)被加密，醫(yī)院不得不停止接待病人。正如科技進(jìn)步不可阻擋，網(wǎng)絡(luò)攻擊也正變得“無堅不摧”。以前通過病毒庫進(jìn)行“黑名單”查殺就是有效的解決方法，后來指數(shù)級增長的病毒讓安全技術(shù)開始力不從心，而此時已經(jīng)防不勝防了。

360企業(yè)安全對此有四個假設(shè)。系統(tǒng)一定有未被發(fā)現(xiàn)的漏洞，在過去一年360就給微軟、蘋果、谷歌、Adobe、VMware等5家巨頭提交了519個漏洞：一定有已發(fā)現(xiàn)但仍未修補(bǔ)的漏洞，存在時間差;系統(tǒng)已經(jīng)被滲透;內(nèi)部人員不可靠，尤其是業(yè)務(wù)外包人員，更容易成為攻擊的目標(biāo)。

“網(wǎng)絡(luò)安全攻防是一個不對稱的戰(zhàn)場，防守方要多點全面防御，而攻擊者只要突破最薄弱的一點，稍不注意別人就能突破進(jìn)你的IT系統(tǒng)?！弊笥⒛薪榻B，一個組織的安全能力可以分為五個階段：架構(gòu)安全、被動防御、主動防御、威脅情報、進(jìn)攻反制，每一個階段的安全能力都在前者基礎(chǔ)上疊加演進(jìn)。當(dāng)人們普遍接受系統(tǒng)很可能會被滲透進(jìn)來的客觀現(xiàn)實之后，如何保護(hù)數(shù)據(jù)不泄露，成了新的問題。

做英男安全的本質(zhì)是人與人的對抗，人是諸多安全問題的根源，也是解決安全問題的關(guān)鍵

“即使攻擊者進(jìn)了你的網(wǎng)絡(luò)或系統(tǒng)，在系統(tǒng)中找到你的關(guān)鍵數(shù)據(jù)資產(chǎn)也需要時間。如果我們能夠通過快速的檢測和響應(yīng)，在攻擊者偷走你的數(shù)據(jù)或造成破壞之前及時發(fā)現(xiàn)攻擊者，并迅速響應(yīng)處理，那么你的數(shù)據(jù)資產(chǎn)還是安全的?！比绻f進(jìn)攻方打的是發(fā)現(xiàn)漏洞和企業(yè)修補(bǔ)漏洞的時間差，防御方則是打被滲透和對方竊取數(shù)據(jù)的時間差——攻防雙方的戰(zhàn)術(shù)恰如一句臺詞：天下武功，無堅不摧，唯快不破。

快速檢測和快速響應(yīng)屬于主動防御，在損失發(fā)生之前解決問題。再進(jìn)一步，威脅情報可以幫助企業(yè)了解進(jìn)攻方，在情報有效及時的情況下，甚至可以通過合法的手段反制。

“大數(shù)據(jù)+”安全

主動防御的重點在于威脅的持續(xù)檢測和應(yīng)急響應(yīng)，攻擊者無論如何隱藏自己，都會在網(wǎng)絡(luò)和系統(tǒng)中留下蛛絲馬跡，只是往往這些痕跡無法被傳統(tǒng)的基于特征的檢測技術(shù)識別為攻擊。2015年，360企業(yè)安全就提出了“數(shù)據(jù)驅(qū)動安全”的理念，依托大數(shù)據(jù)技術(shù)獲取的長期行為數(shù)據(jù)，建立行為基線，然后通過采用威脅情報、機(jī)器學(xué)習(xí)、人工智能的方法進(jìn)行行為分析，及時發(fā)現(xiàn)偏離行為基線的異常行為，實現(xiàn)快速的威脅檢測以方便安全分析和響應(yīng)人員及時采取措施。

而支撐上述主動防御高效快速的重要基礎(chǔ)，是360積累10多年的安全大數(shù)據(jù)。目前360在全球有6億PC端和8億移動端用戶，收集的惡意樣本總數(shù)超過150億、每天新增惡意樣本900萬?！鞍褠阂鈽颖痉诺缴诚渲羞\行，然后收集這些樣本的行為數(shù)據(jù)，比如調(diào)用了哪些函數(shù)、訪問了哪些網(wǎng)絡(luò)、啟動了哪些進(jìn)程、打開了哪些文件等，在這些行為數(shù)據(jù)的基礎(chǔ)之上，在大數(shù)據(jù)平臺中利用機(jī)器學(xué)習(xí)算法，進(jìn)行威脅建模和關(guān)聯(lián)分析，然后或許你就會發(fā)現(xiàn)，幾萬個惡意樣本來自同一個攻擊組織?！蓖{情報是提高高級威脅檢測效率，縮短檢測時間的利器，360利用安全大數(shù)據(jù)、機(jī)器學(xué)習(xí)和人工智能的行為分析技術(shù)生產(chǎn)的威脅情報，通過在線或離線方式推送到客戶側(cè)的產(chǎn)品、服務(wù)、平臺。

“大數(shù)據(jù)+”的安全能力，不僅可以檢測威脅，還可以對威脅進(jìn)行溯源。企業(yè)的數(shù)據(jù)能力可分為高中低三個檔位，低位數(shù)據(jù)能力建立在架構(gòu)安全和被動防御的基礎(chǔ)上，核心是數(shù)據(jù)的采集能力，企業(yè)將終端、網(wǎng)絡(luò)安全設(shè)備、系統(tǒng)和應(yīng)用等的數(shù)據(jù)進(jìn)行充分的采集，這是構(gòu)建“大數(shù)據(jù)+”安全能力的基礎(chǔ)。中位數(shù)據(jù)能力屬于主動防御的范疇，企業(yè)需要建設(shè)基于大數(shù)據(jù)的安全運營平臺，這個平臺起到了“大腦”的作用，對采集的數(shù)據(jù)進(jìn)行建模分析和檢測，并指揮被動防御階段建立的安全設(shè)備協(xié)同聯(lián)動，完成響應(yīng)處置的動作。高位的數(shù)據(jù)能力，即360企業(yè)安全基于安全大數(shù)據(jù)構(gòu)建的威脅情報，可以提供給企業(yè)用于檢測分析。

在企業(yè)建立完整的大數(shù)據(jù)安全運營體系，首先要判斷企業(yè)所處的安全能力階段，然后根據(jù)現(xiàn)有的安全投資狀況，補(bǔ)足低位的數(shù)據(jù)采集能力后，才能逐步建設(shè)中高位的數(shù)據(jù)能力。左英男重申了“人是安全的尺度”，安全的本質(zhì)是人與人的對抗，人是諸多安全問題的根源，也是解決安全問題的關(guān)鍵?！拔覀儙椭髽I(yè)有效地解決安全問題，完整地構(gòu)建安全能力，核心是幫他們把安全隊伍給帶起來?！痹谇捌?60的安全服務(wù)人員會入駐企業(yè)并協(xié)助企業(yè)提升安全運營人員的能力，只有讓客戶的安全運營團(tuán)隊掌握安全運營體系的檢測、分析和響應(yīng)能力，大數(shù)據(jù)安全能力才能在企業(yè)真正落地。