2017-11-10 360企业安全
2015年,360威胁情报中心首次发现了APT组织海莲花针对国内相关科研机构的攻击,引发了中国外交部专门回应和美国外交智库的公开评论。与此同时,360企业安全也正式发布了数据驱动安全技术理念,利用大数据技术,基于数据驱动和威胁情报实现基于检测和响应的积极防御,是网络安全技术的一次“革命”。
时隔两年多之后,最近海莲花APT组织新活动再次被发现,攻击了与政府、军事、人权、媒体和国家石油勘探等有关的个人和组织的100多个网站。通过针对性的JavaScript脚本进行信息收集,修改网页视图,配合社会工程学诱导受害人点击安装恶意软件或者登陆钓鱼页面,以进行下一步的攻击渗透。
目前确认国内外部分政府机构、公司的对外网站已经受到攻击,国内广东省为重灾区。水坑网站的访问用户有可能被窃取敏感账号信息或植入后门,被收集主机相关敏感信息的用户评估在十万级别,其中的极少数用户已被植入后门恶意代码。
从海莲花的再次活动和众多机构受影响,可以看出安全体系创新的重要性和紧迫性。在9月的中国互联网安全大会(ISC 2017)上,360企业安全发布了数据驱动安全2.0理念,在2年实践基础上,对数据驱动安全进行了创新演进,提出了以人为核心的新一代安全体系的架构,成为以APT攻击等新安全威胁背景下,安全体系建设的最佳实践。
新常态下的网络安全“六”化
今年五月的“永恒之蓝”事件和《网络安全法》6月正式实施对于网络安全行业是一个分水岭,广大的政企机构的攻防态势和网络安全监管形势发生了根本变化,我们称之为网络安全的新常态。新常态下,政企业机构面临的网络安全威胁形势是攻击的组织化、漏洞产业化、军火民用化;而从内部来看,每次大型活动国家强调网络安全,重保常态化、安全法制化、应急小时化,类似永恒之蓝等大型安全事件一旦发生,要求政企机构迅速作出响应和应急,国家监管力度越来越强。内外两个层面,政企机构的网络安全都面临着新要求、新挑战和新压力。
(图:网络安全新常态的六化)
构建新安全体系的“四”个假设
面对这样的新常态,我们必须思考,过去二三十年建立的网络安全体系能不能适应网络新常态,是否能应对攻防形式的变化。我们需要用四个假设来看待网络安全体系:1)任何系统一定有未被发现的漏洞。有统计显示,一个程序员写1500行代码就有可能出现一个缺陷,这个缺陷一旦被人发现就会被人利用;2)一定有已发现但未修补的漏洞。“永恒之蓝”勒索蠕虫攻击中,微软提前59天就发布了补丁,还是有很多系统没有打补丁,所以5月份有很多系统受到影响;3)假设系统已经被渗透。“海莲花”等多个APT事件中,很多系统都被渗透并控制了很多年;4)内部人员不可靠。很多安全事件很多由内部人有意或无意引发的,机构内部人员如果不可靠,把病毒带进去了,很难防御。
在这四个假设的前提下重新审视安全体系,通过有效手段来弥补传统体系的不足。传统围墙式防护思路无法应对国家背景的高级威胁,所以防护的思维要变,防护重点需要过渡到加强检测和响应,核心技术从依赖签名发现单一攻击,演进到用大数据技术和威胁情报对攻击组织进行溯源和研判。
安全能力建设的“五”个阶段
机构的安全体系,是指一个组织、一个机构的网络安全能力建设到一个什么样的程度和水平。
(图:政企机构网络安全能力的叠加演进)
网络安全能力建设分为5个阶段,第一个阶段是架构安全,比如系统应该打补丁,这是一些在系统建设时应该考虑的安全措施,非常基础而且投入不大,但是有很好的安全成效;第二个阶段是被动防御,是指传统的杀毒、防火墙、入侵检测等老三样,被动防御还是一个防的战略思维,给它配制好规则它就开始自动进行安全防护工作。
我们面临的现状是安全能力建设干了二三十年,投入这么多但还有很多安全事件爆发,需要第三个阶段的积极防御,搜索攻击链,让攻击者很难进来。当面对有国家背景的攻击组织,他们的意志很坚定,资源很丰富,我们不得不接受早晚有一天被突破进来的现实,对手突破进来并不怕,他们需要时间来寻找有价值的数据和资源,这就需要快速检测和响应,在对手实施偷窃或者破坏前发现并干掉,就还是安全的。积极防御能力非常强调人的参与,不仅仅是靠系统和设备,所以政企业机构的安全体系基本都是这三个阶段的能力建设。
我们面临的问题是,积极防御能力普遍缺失,包括技术手段和技术产品都是缺失的。同时这几个阶段的能力不是割裂的,也不是迭代的过程,而是叠加演进的过程。积极防御能力的检测和响应,需要机构安全和被动防御提供数据,作为检测分析的基础,而积极防御发现的问题需要做一些策略的处置和动作,需要架构安全和被动防御的设备来进行关联动作。
数据驱动安全的“两”年实践
政企机构面临的现状是很多机构有很多安全产品,但是产品各自为战。360在2015年提出了“数据驱动安全”的理念,核心是利用大数据提升检测能力和水平,以态势感知系统和威胁情报中心为平台,通过安全运营和应急响应服务,通过大脑指挥产品,构建协同联动的防御体系。经过两年的实践,我们发现数据驱动安全非常有效地提升了政企机构的积极防御能力。
360在两年多时间里,帮助很多的公安、网信、运营商、银行等机构建立了安全运营平台和态势感知平台,有这样“大脑”作基础,通过外部数据采集,实现既知己又知彼,提升了检测能力,很好地应对外部的安全威胁,特别是一些高级的威胁,也能够检测到因为内部人员不可靠产生的威胁。
(图:数据驱动的协同联动防御体系)
在两年实践过程中,我们发现这样一个平台如果没有一个水平很好的团队去运营很难做到能力落地,如果安全人员能力水平不够,不能从数据终发现攻击的要素,就没办法完成响应。
今年5月的永恒之蓝事件,360派出了1500人帮助近2000家政企机构现场完成了整个事件的处置。在实践过程中安全运营团队可以划分为三类岗位:一是值班岗,主要是安全运维工程师,负责系统运维和响应处置;二是分析岗,也叫研判岗,是水平比较高的安全分析师,可以利用平台和系统,结合专家知识和经验及时作分析,追踪溯源;三是决策岗,即CSO或CISO等安全管理人员,要进行决策。平台再加上这样一个安全运营的团队,才能真正实现检测和响应,最终提升防御能力,降低响应时间,才能真正解决问题。所以安全体系离不开人的建设。
基于360和很多政企用户两年多的实践,提出了数据驱动安全2.0升级版。
360最强的优势是在云端的大数据,这个数据协同了很多数据,在威胁情报能力和数据能力驱动下,提升了产品的安全能力,实现了产品间的协同联动。
人是安全问题的根源,也是安全运营的核心,安全体系要发挥作用,必须要建立以人为核心的运营机制,数据驱动安全2.0就是建立以人为核心的安全体系,通过云端大数据平台赋能产品,让产品更加聪明;赋能人,让水平普通的安全人员完成复杂的,特别是面对高级威胁的能力,利用云端能力去解决,这是数据驱动安全的核心理念。
新体系解决安全“两”大核心问题
数据驱动安全2.0——以人为核心的安全体系,面对两大失效问题挑战:没有技术手段保障的运营机制一定会失效;没有人员参与运营的技术机制一定会失效。第一个解决的是安全能力不足的问题;第二个解决的是安全人力不足的问题。
如何解决安全能力不足的问题?数据驱动安全2.0特别强调要依靠云端大数据,构建云端的安全能力平台。包括威胁情报中心、应急响应中心、网上云检测,这些能力需要数据驱动安全2.0推进整合成一个平台,整合成便于安全人员使用的工具、资源和能力。有了这样一个平台,安全运营人员和分析工程师,即使在客户现场,也能够方便地使用云端能力,变得更聪明,完成因经验、知识不足无法完成的复杂响应和处置工作,比如说一些安全事件的应急响应。
(图:安全运营面临的两个挑战)
解决安全人力短缺的“两”大方式
从政企机构安全能力建设体系来看安全人才的缺乏,架构安全、被动防御、积极防御、威胁情报和进攻反制,不同的阶段的人才需求是不一样的。
第一类是进攻反制和威胁情报人才,攻击渗透和安全分析人才的培养成本非常高,不是看几本书、上几堂课就能培养出来,需要大量的实战。
第二类是做基础的安全运营工作的人。其实永恒之蓝事件中很多中招的机构就是没有人去做最简单的打补丁的事情,只要做得及时就没有问题,这类安全人才是非常缺乏的,但人才培养的成本代价也相对低一些。
解决第一类攻防渗透人才问题, 360旗下有一个补天漏洞平台,这是一个基于互联网的开放平台,用众包的方式把互联网散落在各个公司甚至学校的,一些具有攻防天赋的人才吸引进来。这个平台聚集了36000多白帽子,将散落社会上的安全力量、政企机构和安全企业联合起来,这是一个很重要的安全人才队伍。
(图:校企协同,打通网络安全人才培养最后一公里)
对于70万网络安全人才缺口,我们提出了一个360网络空间安全学院校企合作计划,帮助院校做一些课程的开发,360有很强的团队技术积累,也有实战环境,在实验室建设方面有很强的实力。
按照教职委要求和一些学校合作开发了22门基础课程,还有实验室建设方案,帮助院校或者相关系设计好实验室环境和实验课程,配合高校做出适合行业和地区的方案。
——摘自《360企业安全》微信公众号