2019威客论坛(威客中国网)

安徒2016-06-28 11:36人评论0人阅读2863

主持人金湘宇:大家下午好!现在开始今天下午的威胁情报的分论坛。我叫金湘宇,网名是Milk,我做的事情比较复杂,现在主要做一些信息安全投资相关的工作,在威胁情报方面近年来也做了一些研究,有幸成为今天下午分论坛的主持人,也是第一个议题的演讲人,所以给大家分享一些威胁情报方面的认识。因为我既是分论坛的主持人,也是议题的演讲人,我们就直接开始吧。

第一个议题是从概念到实践威胁情报的落地。首先是威胁情报的概念,这是一个很有意思的话题,目前在市场上已经有很多的公司来说自己是威胁情报的公司,说自己的产品是威胁情报的产品,可能一时之间威胁情报的概念就很火热,实际上这里面有很有意思的事,我发现经过一些沟通发现每个人对威胁情报的理解都是不一样的,相差很大,造成我们在交流的时候大家觉得说的是一件事,可是说来说去不是一件事,有一点鸡同鸭讲的意思。

首先,当前安全防护体系的议题,我相信目前没有人对当前的安全防护体系是满意的,从目前的传统的防护体系基本上是千疮百孔的状态,这是国外的咨询公司的统计,这个统计很典型,根据攻击的时间和响应的时间来看,一般从攻击到获取权限这个时间很快,基本上是在分钟级小时级就完成了攻击,之后会偷数据,根据统计来看,基本上是一天左右的时间偷数据就完成了,这是因为目前的攻击技术高速发展,以后高度产业化甚至是产品化,以前我们做攻击还想黑客是不是会写代码,写溢出才是黑客呢?当年真的是这样的,可是现在不是了,现在有很多漏洞扫描的产品甚至是渗透测试的产品,甚至在黑市上可以找到木马的东西,攻击的难度下降了,甚至是高度产品化,自动地扫描、自动地植入,甚至是自动地插出一些痕迹,高度自动化的。还有目前的IT的发展速度也很快,带宽也很快,家庭又普遍都光线了,百兆左右的,所以攻击很快的,基本上一天左右的都实现了,目前的防控体系,高度发展的空间中出现了瓶颈,从防御方的统计来看,基本上防御方发现被攻击了,基本上都需要以月为周期才能发现,周末的时间问题才能响应,目前的防御体系基本上是接近于无效了,这是目前的问题。因此,大家对这个防护体系都不满意,都对目前的防护体系提出了更高的要求,因为攻防双方是对抗的,攻击的效率提升了,防御方跟以前相比没有太大的变化。

防御体系来说有几点需要提升,第一是海量事件中真正有价值的事件出现,还有目前的事件尤其是大型的企业而言每天收到的事件很多,就算是我们做了一些事件的合并,可能一个大型企业说的也是几百上千的,按照正常的分析的流程我们需要分析师把这一千条分析看是不是漏报和误报,这个效率很低下,淹没在数据里了。传统的都是基于签名的,一般是防病毒和入侵检测的厂家要先拿到攻击的样本和流量,这样才能写出签名来,实际上这是一种滞后的防御手段。而且目前可以看到厂商的升级入侵检测也好,扫描也好,可能都是月级的,做得好一点的有周为频度的更新。目前的攻击又遇到了瓶颈,因为目前的攻击都是APT的攻击,都是有高度指向性的,黑客为了攻击你往往会做一些碾杀或者是用自己写的木马的程序,传统的基于签名的防御体系,在APT的时代又不好使了,黑客不断地做面纱传统就不行了。组织之间是没有协同的,之前一个比较典型的以前做过应急响应,经常出现的情况是管理员发现了被入侵了,往往遇到的基本上所有的情况都是管理员说中国不喜欢把被攻击的事件共享,跨公司的没有,甚至干活的和领导之间都不希望有共享。明明是大家可以协防一下,还有很多的服务器,都是一样的问题,大家都不说就挨个遭殃。一个是目前的安全产品和厂家,都是孤立的之间也不能进行联动,都遇到了一些瓶颈。

所以国外就产生了一些威胁情报的概念,那么就回到了今天第一个问题,威胁情报到底是什么?这个概念其实很有意思,里面有威胁两个字,这不同于安全情报和漏洞情报,不同在哪儿?实际上威胁的概念不是一个很新的概念,这个概念大家比较熟悉的根源应该来自于风险管理领域,这是大家耳熟能详的模型,企业的风险跟什么有关?跟资产有关、跟漏洞有关、跟咨询有关跟事件也有关系,这里面的威胁是什么?威胁实际上是对威胁源的描述,比如说攻击者大概是谁?目的是什么?用了哪些手法?会用哪些工具,工具的过程中样本是什么?这些是对攻击源头的描述,对攻击源头的描述是威胁情报,目前在市场里其实还有很多相近的概念,比如说资产情报,这个最典型的就是国外有撒旦,中国有中非之眼,我把它称之为资产扫描的一些系统,这些系统其实很典型,收集的是IP跟域名的对应的,这个IP看来哪些端口,端口上有哪些应用是什么版本的,其实这些情报是安全情报中的一种,但不是威胁情报是资产情报。还有比如说乌云有时候会爆出一些漏洞来,其中一部分通用的漏洞比如说某个论坛的应用程序有一个漏洞,实际上这并不是威胁情报而是漏洞情报,还有一些情报,实际上这些已经有点进入到事件情报的范畴内了。所以,威胁情报是什么?威胁情报一定是对攻击源头的描述。威胁情报最大的概念是安全情报的概念,安全情报有一些厂商叫做安全智能,实际上安全情报更大的概念是包含了很多其他类的情报,所以确实是不一样的,威胁情报会有一些什么用呢?威胁情报中包含了什么东西,刚才说漏洞情况不是威胁情报,资产情报也不是威胁情报,威胁情报典型的里面有什么东西呢?首先就是威胁情报里应该可能会包含一些威胁源,这些威胁源就是对攻击源头的描述,比如说是国外的什么什么组织,还有会描述攻击的目的,是为了钱还是为了知识产权。再一个威胁情报会描述攻击对象,跟哪些东西有关联,还有是对电厂感兴趣还是对金融感兴趣,还有攻击手法,利用的漏洞是什么?用的工具有没有什么共有的特征,以及我们怎么描述它,这个概念是很重要的,威胁源的描述实际上在安全分析中有很多的好处。因为威胁源从攻击者来说往往会有一个问题,个人会经常上习惯的网站,会用习惯的浏览器,可能喜欢用自己的服务器,黑客也是这样的,总有它的习惯和历史,也有他常用的跳板,所以这些信息实际上都可以用来对威胁进行一些发现。

威胁情报实际上是战略和战术的协同,攻防的对抗一定是拼的人的智能,所以如果从宏观来说一切安全防护体系一定是以人为核心的,当然大家可能也有一些说是我的安全体系是以数据为核心的,我是以业务为核心的,有可能是以其他的东西为核心的,但是宏观来说,一定是以人为核心的,因为是人在用这个体系。但是在攻防对抗里人是比较少,有技能的人比较少,不是每个公司都能雇佣到黑客级的人,战术层面一定是机器的对抗,一定利用的是机器的功能,这个战略和战术之间实际上是通过情报打通,也就是一些有研究能力的人,有攻防能力的人专门做一些分析,对大多数战术层面的用户而言,我们只需要让我们的设备支持这个情报就可以了。

从宏观来说,威胁情报其实不是银弹,是不是我用了威胁情报就不会被入侵呢?是不是用了就万能了呢?实际上一定不是的,因为威胁情报是一种知识,是一种知识的共享,所以它解决的不是你不被攻击的问题,而是只要有一个人有一个地方被攻击了,我的知识可以快速地传递,帮助其他的人更快地更好地来响应这个威胁,所以威胁情报一定不会让你不被攻击,但是它对我们防护的体系又是很重要的,威胁情报实际上是一种改变成本的技术,因为用了威胁情报,实际上黑客一定还可以攻击你的内网,可是他的成本大大提升了。前面提到威胁情报提到的内容,黑客会经常用木马,还会买一些跳板的机器来进行攻击,这一切其实都是钱。如果用了威胁情报以后,每次买了木马依然可以攻击成功,可是应用的时间大大地缩短了,以前用半年,现在可能用一周就会被发现,被发现之后反而就会极为被动,威胁情报是基于威胁分析的,对威胁源头的指向性相当地强,国外经常曝中国的国家级APT,很多判断的依据是什么?因为有一些木马样本只是被这些人所用,而美国产生了一个理论叫做网络的军火,军需官的理论,因为这些木马只卖给某些单位,不在民间出现,所以只要出现了这个木马,一定是国家级的APT事件,我们做安全应急响应的时候也是这样的,如果我们攻击的是大家已经知道的漏洞,这个事会降低相应的级别的,一旦我们发现这个攻击是通过零队(音)来完成的,所以难度一定很大。所以这大大地提升攻击者的成本和暴露的风险,当用了威胁情报之后,确实可以改变我们说的不平衡的态势。还有一个经常问的问题,大家说威胁情报的东西实用么?是不是又是一个很虚的概念?厂商偏用户钱或者是骗融资编的概念,我们举了一些国外的威胁情报的概念。这是著名的爱因斯坦计划,当时也提到了一些爱因斯坦的诟病,因为他是做全流量的分析的,流量太多、数据太大,我前面提到的第一个问题,给你这么多数据怎么分析呢?其实已经没法分析了,爱因斯坦计划中很重要的一点是应用威胁情报来解决这么大数据量的分析的问题。同时,以美国为例,在政府和企业之间也开展了一些威胁情报的交换,包括美国在去年通过了一个法案叫做CISA法案,美国还建立了很多ISAC信息共享和分析的中心来做分享。以美国为例,这是根据美国国土安全部的材料的总结,还有一个CISCP的计划,这是网络安全的信息共享和协同的效果,统一发现威胁情报,把威胁情报发给相关的重要基础设施和单位。美国还有一个ECS的项目,主要做的是国家参与威胁情报的链条,其实威胁情报在我们国家也是这样的,谁手里的威胁情报最多,一定不是市面上的公司,一定是国家,因为国家有网络的流量,还有执法权,而公司只能找一点自己的流量抓样本来分析,是没有取证能力的,其实最大威胁情报的产生者和使用者都是政府,美国也是这样的。ECS这个计划里,是由美国国土安全部和产业相关单位做情报的交换、收集,自己也会做一些发现,他把这些威胁情报提供给可以为美国关键基础设施的厂家提供的。美国海提出了AIS的计划,主要是做自动指示器的共享,其实这种指示器是威胁情报中的一部分。甚至美国还提出了基于威胁情报的生态系统,这是安全和弹性的网络生态典型架构。中间那部分是类似于情报平台的东西,左边是外部的一些情报的相关的伙伴,右边这个比较有趣了,上边的绿的叫NCPS,实际上绿色的这块就是爱按斯坦计划,右下角这块最有意思,美国的典型架构里,未来的防火墙、路由器、防病毒、代理服务器,必须支持机读的威胁情报,美国政府之前开发了一个威胁情报标准,所有的设备未来都可以用机读的方式来交换威胁情报。其实按照这个体系来进行建设之后,美国所有相关的重要基础设施的设备都可以连起来了,当它有一个签名和特征或者是一个AP可以下发的时候,几分钟就可以下发全网进行检测和响应。还有一个是威胁情报的百准,为了提升它的实时性,一定是用机读的方式,而且威胁情报是由人来处理的话还是不行,所以威胁情报最后的落地一定是系统间的对接,一定是通过标准化机读接口的对接。

美国做了很多的铺垫和标准,其中一个标准是CVE,这系做漏洞的扫描标准,我们以前做扫描不同厂家对漏洞的定义不一样,可能说的是一回事,可是作为一个客户有多个厂家的东西就没法儿对应的。中国也有引进,中国有CVCNE,实际上美国也做了一个威胁情报的标准,典型的是中间的三个,就是STIX,这是威胁情报格式定义的标准,还有TAXII。根据美国的标准的公开的情况,美国基本上一线的组织和厂家都已经支持威胁情报了,可能很多我们耳熟能详的厂家,比如splunk,可以看到国外的厂家其实也不傻,国外一线的厂家都支持了,国内的可行性和必要性也是一目了然的。

最后再说一些威胁情报的实践和落地的情况,威胁、情报这几个词提及的程度减少了,所以也有一个论调就是说威胁情报是不是在国外认为也是一个吹牛的东西,已经住建部认可了,可是根据我在现场了解的情况来看,不是这样的。我们看到了终端的安全的产品,网络设备也好,防火墙也好,甚至我见到有DNS的提供商都支持威胁情报的,所以根据我看的情况不是威胁情报不靠谱,正好与之相反,国外的威胁厂家都认为这是功能了,大家已经都支持了,所以看起来它的热点在降低,可是落地程度其实是提升的。威胁情报也不能走入一个误区,是不是有情报就可以了,机读一定是跟设备对接,一定要解决问题,有威胁情报相当于网络根据跟我们看病是一个道理,如果有一个人天天说你有毛病,我可能就觉得你说得挺准,你是一个“名医”,除了问我有什么毛病,我还要问你能治么?你说不能治我就会觉得这个医生有毛病。所以威胁情报里告诉你有问题,有人对你进行攻击了,这些都不重要,最重要是你怎么帮助用户去响应和解决这个问题。还是类比医疗,大夫给你看病的费用其实是很便宜的,可是治疗费贵、药贵,威胁情报领域也是这样的,单纯的分析一些威胁情报是一个不错的生意,但这个生意其实不是市场中真正赚钱的,真正赚钱的是能利用这些情报解决用户问题的解决方案产品,防火墙可能会出现下一代防火墙和支持威胁情报的。

举一个基于威胁情报的安全体系,这个体系是目前以SOCK为安全体系的安全的升级版,SOC解决的是数据汇集的问题,但并不能解决数据的分享和设备之间进行及时响应和联动的问题,实际上目前一些新的安全解决方案里把SOC升级为SIC。所以情报体系也升级了。再一个是威胁情报的价值,应用的场景是很多的,在事中、事前、事后都是可以进行应用的,以事后为例,我们的平台里有很多的信息,我们可以机遇威胁情报把这1000个事件进行排序,有一个IP对很多的用户都发起了攻击,这样可以对事后分析做一些辅助,还可以做一些溯源,甚至事中的时候可以自动把情报给设备,自动滴做一些响应,威胁情报是对源头的画像,我们可以预先知道它可能进行攻击,比如说我们知道攻击者专门做攻击了,用的一部分的域名。

我第一个议题就这么多,我们下面有请IBM首席资讯安全架构师为大家做一个X-Force如何抵御安全威胁的分享。

李承达:大好,我是IBM全球的首席架构师,我的工作是做安全,我们讲的是临时攻击和落点分析和政策,先跟各位讲讲什么是X-Force,X-Force其实是IBM威胁情报最核心的来源,我们有弱点政策和弱点分析,有世界上最大的分析库。今天要特别跟各位讲的部分也是最有趣的部分,就是弱点分析。是指我们看到网络上的流量,看到它的triffic,我们会发现里面有那些潜在的威胁,更重要的是事情我们可以抢先一步侦测所谓的临时的攻击,这也是今天我想强调的重点。

PAM是什么东西?这个是X-Force里面的元件,专门做弱点分析,很多人看到这个名字会想,奇怪里不是讲弱点分析,这个名字怎么会是PAM呢?我们之所以把它取名PAM是因为我们找到了一个非常有效的方法去处理这个东西,我们看到威胁的方法是一旦我们有这个知识以后,我们可以侦测说有一个黑客可以看到里面有可能的威胁。我们怎么透过侦测protocol的方法来实现。

我们把PAM,我们所谓的看25G的流量是所谓的一个分包进来我们从,我们同时间这样做,但同时间可以达到25句的,目前世界上没有人可以做到这个数字,没有人可以达到一秒钟。

PAM本身可以了解500多种Protocols,这个比例很有趣,这也是为什么PAM特别地快,可以想一下今天左边有6000条,右边有三个弱点,最笨的方法是我看到一个包进来我去match3万条rull就可以得到一个结论这个是不是有问题,可想而知从这个角度来看我们就是比别人快一点的。

我刚刚讲了,我们有6000条到底是哪3万个弱点。CVEs是一般揭露弱点的地方,有一些黑客白帽黑帽研究一些东西,在一个论坛上揭露,CVE通常是一个揭露的地方,每个落点都会有一个CVE的号码,这三万多个落点中包含了2万多个CVE,因为CVE并不是唯一会攻击弱点的地方,还有X-Force本身就是一群白帽,去做一些逆向的工程,我们本身也找出了很多的弱点,也是放在自己的数据中心里。我讲的6000多条都是攻击,还有一个尤其的东西是我们可以做outdata最很流行的绑架软件,一中了以后就可以把硬件加密,然后种了这个加密的软体,我因为我们是一个看到一个所以

另外因为有很多种的模式存在,千变万化,常常是一个更新以后,它的behavier是不一样的,这个东西交给X-Force处理就好了,我们看进去说这是。

我们要跟各位讲到底怎么做,做出一样的东西,我们是从网络一层层去看,像剥洋葱一样,我们从layer2一直到lyer到后面的SSL,到后面的SDDP,再到里面的是一层一层往下看。等下会给各位看一个例子,我们每往前走一步有删掉一大半的可能。(略)

主持人金湘宇:风险管理其实也是一个信息安全很老的话题,一度也是在信息安全服务里最热门的一个领域,当然大家那震做信息安全服务项目首先都会想到要做一个风险评估,实际上风险评估在这么多年的历史里,实际上它的理论好象也没有什么改变,所以在之前的一段施加里,大家纷纷觉得风险评估没有什么进步也没有什么用,可是随着威胁情报的概念的出现,风险评估的概念的体系也有了很大的不一样的进步了,右边有请谷安天下的赵毅来介绍一下量化信息安全风险。

赵毅:大家下午好我是赵毅,首先感谢网络安全大会也感谢主持人。最开始的时候主持人也说了,其实威胁情报这个话题现在这几年行业里比较热,代表着威胁情报说自己做威胁情报的公司也比较多,我是来自于咨询公司的,我们实际上不是作为情报的公司,这两年威胁情报这么火,我们也沾了威胁情报的光,我们主要做的本身就不是聚焦在攻防对抗、黑客攻击这方面,所以今天希望从我们擅长的领域中,在风险管理的领域中给大家带来一些关于威胁情报的不一样的新领域的应用。

首先跟大家汇报一下,我们之前做了一些调研,大家也知道,现在威胁情报之前对国内外的威胁情报的数据资源做了一个简单的了解,在这里我大概列出来,细数了一下据我们的了解,国内外大大小小搞这一类的至少有100多家的情况,之前威胁情报有各式各样的标准,包括了规范、传输、各方面都有,我们基于威胁情报大环境的数据基础已经具备了,我们不仅能应用在黑客对抗当中去,还可以应用在其他所擅长的领域,我们看一下下边的。我简单总结了一下关于威胁情报外部的数据这方面的产业链的基本的情况,首先,我觉得在几个层面,很多搞威胁情报的厂家都是有数据的,数据是来自于报警、机构以及用户的提供,有各种各样的数据。往上了解我们有很多的处理和交换这方面,通过像大数据的技术或者是一些机器学习的相关的技术,各种各样的领域都有,这些也有很多特别优秀的资源。另外,再往上实际上各个应用场景是不一样的,外部的威胁警报的数据,大家常见的应用的模式,更多是放到一些设备里当成外部输入的一些源,用它来做一些病毒的分析,还有一些用于SOC的接入,各种各样的都有,其实外部数据还能够在一个新的领域来做,就是做风险评估,这也就是说我们把多年擅长的东西跟外部的威胁情报的数据做了结合。接下来跟大家分享一下我们在外部的数据在风险评估和风险管理领域的一些实践。

下面的一些内容主要是这样的思路,给大家提出三个问题,我在三点价值上做介绍,另外跟大家分享三个案例,前一段时间在另一个威胁情报的论坛上,我曾经介绍过我们的方案,当时在座的有一些朋友听过,我也是这样的思路拿出三点来,可是最后我想说我们应用场景还有更多,下次再有机会给大家拿出来更多的应用场景和一些好玩儿的思路,所以说在这儿分享的话比上次再多一些分享的实践经验。

首先还是三个问题,我觉得这几个问题一直是困扰着我,不是特别地清楚。互联网+这个战略就不讲了,这个下面有各种+肯定有不同的风险,和未知的资产,我们经常做的金融的客户中,资产梳理就是一个很大的难事。第二,我们的企业在整个行业中处于什么样的位置,你的安全做了这么长时间,做得好与坏还是怎么样,谁来做这样的评价?为什么这么说?因为我从事这个行业有大概近十年的时间,我觉得其实大部分外部的威胁,例如黑客并不是说我必须要针对某一个点说就你有吸引力,我就想搞你,并不是这样,其实他也算投入产出比的,他也是挑短板的,挑软柿子捏,安全也是一个平衡并不是无限的投入,如果我们能识别行业水平中的位置,位置考后的这些可能会成为外部的威胁关注的焦点。我们希望能够有这样的一个识别包括自己做一个定位。

第三,关于合作伙伴和供应商带来了三方风险怎么管理,在一般的运维,科技部门或者是很多甲方单位的IT部门下面的安全部门并不一定关注,他更多地包括银行或者是一些企业当中的风险管理部,可能会更多地关注三方风险这部分,包括银行最近几年也对外包风险提出了更多的要求。就在这儿我们也把我们的经验分享一下。

首先先给大家介绍一个案例,这是我们之前的一些项目中的实际情况,我们配合金融机构做风险处理,在过程中信息里的数据中心在国内,由于是国际的业务,所以说经常跟国外的数据中心做数据和有接口的交换,出现了中断和异常的情况,首先肯定是排查一些漏洞或者是看是否有黑客,APT等。包括网络通讯也没有问题。后来棒查询到了数据中心的IP都别人拉黑,大家也知道很多外部的三方有机构,在黑名单列表里就被扔到防火墙阻断的黑名单里面去,其实它本身并没有太大的问题,但往往这种第三方外部的评价,评价上黑名单对他的网络确实是造成了影响,于是其实就认识到在这种环境下,我们可能用传统的通过自身的内部的视角来看,可能不是一个全貌,我们还需要换一个视角,从外部的角度看一下,这是我们带来的通过数据带来全新的视角来审视这个企业包括各单位的信息单位的状况。我一直不知道这个更深入的话应该是怎么样地描述,其实我也发现了像这个图形一样,这不是什么新鲜的东西,你两个维度来看,一个是比较沮丧的脸,一个是比较微笑的脸,这个图倒过来看就是这样子的,这说明有很多的事物从单方面的一个视角只是片面的,我们必须通过多维度和多视角来看待一个事物才是比较真实的。一旦动作多个视角多个维度看一个事物可能会看得更清楚。

下面我有一些具体的从外面能看到的数据,我们通过外部的互联网数据有什么威胁,像钓鱼数据不是从内部可以看到的,这也是我们要解决的信息安全问题,必须得通过互联网、通过数据的方式才能够让我们发现这个,这块我们跟合作伙伴那边取了一些数据做了一些简单的统计,也看了一下现在集中在包括银行证券的金融机构的调研的数据还是很多的,我们跟最终的用户也进行了沟通,确实这方面的风险,无论是监管的角度还是自身的角度也确实是要关注的,但是并没有一种方法说我一下就可以根除这种问题,因为外部有很多的钓鱼服务、数据服务,谁也不可能我的信息就是全的,就是完整的。所以必须要整合外部的资源来对这些风险或者是威胁做识别,这是有必要的。刚才我给大家举了一个例子,这个截图是我的邮箱截的,我经常收到一些邮件,用了一些订阅的软件和工具,我也没有处理,因为我们用的腾讯的企业邮箱,自动地就把一些邮件拦截下来了,很简单,他们大量发垃圾邮件,被四大国外组织拦截下来之后,直接把它拉黑扔到了垃圾箱里面,这样企业邮件的业务就会受到阻断,人家认为你是恶意的,这类的黑名单也是造成了外部的威胁。

所以,外部其实有很多数据,今天借着威胁情报论坛,严格意义来说是基于外部数据然后实现量化的风险管理,而威胁情报是我们引用的主要的数据之一,我们也通过借助自身咨询公司在行业里的定位,整合了100多个厂商包括威胁情报源的资源,再加上数据还加上运营商级别的通信数据,DNS的数据,以及互联网公开的数据,这些数据类似于我们公开可查的很多的信息,把这么多的数据隐藏整合变成一个应用,提供这样的风险评估的能力。这是基于外部的数据进行风险评估的思路。

花点时间简单讲一下我们的思路是如何实现的,首先,这比较简单没有过深的技术,我们通过外部进行了数据分析识别了企业的主体,我们通过通信的数据就能够对这些企业的互联网的虚拟的资产做识别,比较简单其实就是我们能够有的域名,能够有的主机服务,包括各种各样的子域名服务,还有包括公网的IP地址,可想而知这些信息都能拿到,我可以把这些对称到每一个企业自身。这样做有什么好处呢?我们通过这种方式服务了300多个企业,包括金融、企业、政府类,这些数据是客观存在的,客观存在树立出来的互联网虚拟的资产,在实际中跟管理的资产清单是有差异性的,尤其很多上线频繁的情况,对比外部识别出来和内部清单的差异性就可以暴露出管理流程的差异性,具体的情况我们帮助排查了差异性,也确实识别了跟多的非法上线很多研发部门的私接上线,这是外部和内部看到的差异性。

第二,识别了虚拟的资产之后,利用了威胁情报的数据,我们也是借助数据基础牢固的情况,把各个情报进行了整合,通过刚才提到的这些资产去查询有的威胁情报,当然是多维度的,关键的是通过各式各样的威胁情报或者说报警,基于这些数据可以查到多维度的,我们发现在外部数据中能实现的能力,包括业务方面的、隐私方面的、应用方面的、网络及环境方面都可以,这里面的数据比较小,接的数据是多种多样的,包括大家也知道像讲师网络的报警,被泄漏的数据,甚至我们都知道乌云补贴漏洞盒子,把这些汇总起来,我们在六个维度上做一个打分的评价。中间我们建立的风险的评估的模型目的其实并不是解决单个技术识别多与少的问题,是在这一组数据下结合了频率、影响、持续时间等等一系列的指标的因素,建立可评价测量的风险指标,参与进的计算。目的是我们希望通过这种方式找到这些维度中的短板,从而捉到自己要进行加强安全投入的点。同样,我们通过这类数据不仅能做到这样子,在实际应用中还发现了比较有趣的事,我们通过外部的报警,同时对比了内部的信息,比如说外部的防火墙有报经,这里面也有外部攻击,实际应用有几种情况。第一,如果内部也有同样的安全措施,可以进行联合解决这种问题。第二,内部和外部报警和展示的现状是不一样的,不一样是因为策略本身就不足,暴露出一些管理上的缺陷,另外对成熟度比较低的行业中,通过外部威胁的揭示能够促进他重视安全工作,加强安全措施的改进。这是外部视角和内部视角的关系。

后面我们也建立了可量化的,这是基于外部的可测量,所以量化是比较容易的,最终我们对每个企业会有一个分数的评价,这是具体的千分制的情况,这是动态的过程。因为搞外部的数据还有一个很重要的是它的实时性,底层数据我们实时从接口里面做一些查询,这样保证我们给出的情报数据是最及时的。之后我们通过这种防止从一个新的视角上对这种风险做了揭示,这实际上是跟传统已知的内部方法,比如说漏洞扫描、渗透测试、日志分析、人工检查等,为这些工作提供了更新的方法,共同完成风险评估,从内外两个维度来审视这个问题,因为原来在整个的外部的数据,大部分大家都有了,我们做的这件事本身也不产生数据,我们主要是借助外部比较好的威胁情报的数据资源。这些数据资源把他从一个全局分析的角度,原来是无法对传到企业或者是行业的,把全球的数据对称到单个的企业,为他们输送威胁感知的能力,现在有很多来做风险评估,用这种方式基于外部数据每天都可以做,原来一般每年做、每季度做就不错了,这种东西没有办法变成日常的常态化的管理,这是一个价值。

作为一个风险管理来说,跟安全管理还是有差异性的,所以说我给大家带来的不是攻防对抗也不是准技术的,第二我给大家带来了第二个价值的分享,我们建立了量化评价的体系,不仅对一个企业能进行量化的评价,对一个行业也可以做这样的事。现在我国的部委单位或者是政府单位这些有近百个,每个单位包括行业监管都是也垂直管理职能的,从今年开始配合部委单位也是进行了外部量化评价对网络安全绩效考核的应用。通过这种方式可以利用外部客观的数据对下级单位进行竞价和对比,关键在于很多行业数据中要建立统一可测量的评价标准,再次强调,它只要在同一个计算方式下同一个标准模式下就可以打分,评价出这是高与低的差异性。这点是很重要的。在这儿我们也做了一些数据采集,现在我们会持续对各行业进行数据的分析和采集调研,目前面对金融、证券、保险、卫生、教育互联网各方面,我们行业中都去做行业调研,包括银行采了200多家,识别了金融机构,证券包括了券商、基金,后面像教育、高校、医院都会去做,目前我们对企业单位实现了4000家单位的识别,并且我们持续地对行业进行分析。

这是我们上个月做的互联网金融做的报告,在这儿首先是采样的336家互联网金融公司,包括了众筹、做P2P的。基于外部数据的方式进行逐个单位的量化评价之后,汇总综合水平进行整体的评价,我们认为在这个尺度下有一个打分制,评价是857分。根据这个也会筛选出来,整体情况下,54恩%都是900分之下,整体看较好。下面的图比较小,这就是每一个的分布情况。同样,区别开进行分类,包括众筹、P2P,分别是什么,还有外部资产,我们发现在这里面像外部的资产是数量最多的,确实三方支付业务是相比其他分类比较多。我们不仅能看到这些,还可以有风险指标,外部识别的劫持,有漏洞的情况,外部的攻击、僵尸网络,我们建立了12项风险指标,基于这个指标对各个单位进行量化。并且我们针对详细数据,还有一个很重要的意义是,我们通过这种方式揭示出一些具体的风险项,通过它另外可以关联揭示出一些行业共性的风险,在行业共性的风险中可以及时地对称到行业内的企业,这是非常有意的事情。

以上是我在企业和在行业中的应用,当然在行业中除了我们做了各个金融的行业、医疗的行业、教育行业,另外还可以把它纳入到上级对下级监管职能的落地。实际上我们的经验也是在这其中,这个角度上可以促进整个下级单位开展信息安全工作,并且提高重视程度,另外现在也推动了国家等级保护,也可以用第三方评价作为抓手来促进体系完善和工作的开展。这是我们在行业和企业中的经验。

第三是给大家带来另一个角度的应用,是为第三方风险的管理的经验,合作企业供应商第三方带来的直接风险是比较多比较大的。之前我看乌云的数据上有一个数据,去哪儿的合作伙伴间接的泄漏的问题,还有一些行业的科技公司直接在邮件里爆出来跟国家大型企业管理层邮件往来的信息,这意味着企业除了保障自身的安全的防护,对第三方合作伙伴和供应商的风险也是非常重要的,后面有一些调研和调查的数据给大家展示一下。去年普华永道做了一个调研在网络报告里专门调研了第三方安全风险,里面的数据表示只有16%的企业用户在关注三方风险,而且积极地做三第三方安全风险的风险管理和控制,23%左右为三方风险都不是特别地关心,都忽略了这样的风险带来的影响,我们再配合看现在的银监会对金融机构的外包风险的监管指引中也提到了,必须要求下面的金融机构对供应商或者是外包商实施第三方评估,并且不能依赖自评估的结果,必须采用第三方公正的结果进行评价。我们一直没有找到非常好的方法来管理第三方风险,现在有了外部这么多的数据,有了这样的基础,我们可不可以做一些事呢?我们发现,用这种风险管理方式不光对行业进行评价也可以对供应商和第三方合作伙伴做评价,还要强调一点,关键是在同一标准同一尺度下进行量化评价这样就可以把供应商和合作伙伴进行前期的,有的在国外做一些净值调查或者是定期持续性地做风险和安全的评价,以完成第三方安全风险的评估这样的工作。通过外部数据就完全可以实现,这也是一个好的思路,这不是我提的,用外部数据分析评价第三方供应商或者是合作伙伴,这个其实在国外已经有这样的开展了,有这样的一些经验了,也是一个比较好的思路。

以上就是我们作为一个在风险管理领域中的公司的经验,把我们所擅长的东西跟外部的数据项结合,在风险管理和风险评估的领域的一些经验给大家做一些分享。严格来说我们也是借助了行业发展比较好的趋势,外部有很多同行,所以说我们也希望在这儿积极和大家合作,其实我们在各个领域都发挥了自己的优势和擅长的东西,也一起可以创造更大的价值。我们这个已经可以在线做体验和应用了,如果感兴趣的话,其实可以发邮件到我们的邮箱,可以帮助大家提供这样一个邀请码,让大家免费体验。

谢谢大家!

主持人金湘宇:我们现在进入茶歇阶段。

主持人金湘宇:下面开始第二部分的议题,首先请思睿嘉德总裁董靖为大家分享机器职能辅助威胁情报生产的三个实例

董靖:首先感谢主办方给我们这样一个机会让我们分享在威胁情报生产方面的实践经验。这个话题我们报的时候说是三个实例,后来想想每一个实例都可以讲至少半天以上。

现在大家碰到的问题是在威胁情报领域大家觉得落地比较困难,在威胁情报领域落地困难其实主要是我们需要有很多的人力资源去投入,会有很多的困境,今天我主要会讲三个有关的困境,这个困境并不代表着我们旧的模式没有吸引力,实际上它还是非常有效果的,可是在落地过程中,大家都会觉得需要改进更进一步,首先我们会讲三个困境,第一是类似于拿webshell,这是大量的互联网公司有大量地露在web的服务器,它跟木马有取消,怎么样快速地除了大量的webshell的应急都有很多的工作可以做。第二个困境是说现在各种会议都讲怎么用威胁情报去做溯源和追踪,大家经常会看到DNS这种方式,这种方式也会遇到很多的问题,比如说现在在隐私保护方面可以用很低的成本做得到,第三还会讲一讲怎么在用户侧做威胁情报的再生产,因为现在有一个很大的困境在于威胁情报发放一天可能有几十万条,企业和用户处如何落地是一个很头疼的问题。

我讲这些东西已经假设大家对分析情报有一定的了解。因为牵扯到人工智能辅助生产威胁情报,所以我简单给大家说说人工智能的技术,现在来看人工智能主要是概括,第一是机器学习,有监督和无监督的机器学习,人工智能今年突然变得热起来,安全领域应用场景也变得多起来,机器学习最大的优势是能大幅度降低分析工作人员和安全工作人员的工作量,如果现在去讲人工智能替代分析人员的话,其实这个为时尚早是不现实的,但我们也能看到它能够大幅度降低50%甚至是到达80%的分析工作量,这对现在的安全行业来讲是非常大的促进。在数据的算法中,实际上数据挖掘只有三类问题,第一是回归主要是做数值预测的,另外是聚类和分类,我们主要在三两个方向是用得比较多的,因为回归可能大家看到广告的点击的预测,像电商购物会有一些货品的推荐,这些用得比较多。聚类和分类,是把一堆不相干的大量原始的样本归成一堆一堆的,这就是聚类。分类是说把很多原始的样本分成一个类别一个类别的,所以这个分类实际上是我们在安全领域用得非常多的,比如说实际上木马识别也可以归纳为分类的问题,因为一个同源的木马,一个家族不管是EK还是哪个EK去做的话,实际上做出来的有高度的代码辅用,所以是很容易分成不同的类别的。当然还有自然语言处理。

机器学习用在安全领域传统的流程步骤是什么样的,基本上我们会有很多的原始数据,进行无监督的机器学习就可以把它做聚类,这个有挺多,实际上很多大数据分析产品里面平台里面会说做异常分析,异常分析很重要的一点是要做聚类,我把相类似的相同的用户行为的业务系统登录行为聚成一类一类的,有一线的部门、后台的部门,不推的业务领域的部门,日常的业务系统登录的行为是不太相同的,有的销售人员每天早上到办公室半个小时,这半个小时的时间是他登录邮件系统CRM系统非常频繁的时间,等他到了10点以后,集中地拜访客户,下午4点钟之前这段时间很少碰CRM系统,看里面详细的客户的详细的信息,典型的行为分析进行聚类。有了分类的结果进行监督的分析,分类其的好处是它的性能非常地有益,所以在海量数据里可以找到我们比较关注的类别,比如说像异常分析里面像我们发现说业务后台人员的登录时间都是在白天的工作时间,突然有很多异常的行为发生在凌晨,这个用分类器很容易很快速地就能做出来。

今天我就讲三个实力这三个实力不太会讲基础的东西,第一是webshell的分类,假设大家对webshell有一些了解,Ctnife一句话的webshell不管是大码还是小码检测的过程中都有困难,因为对webshell用脚本来写的木马,只需要经过简单的几个月的学习,就可以自己去更改这些webshell的特征,代码的顺序,特征的值。怎么样检测webshell就变成了很头疼的问题,第一个困境是用签名的办法去检测木马,碰到了很大的问题。到底是什么样的原因和根源造成了检测webshell的误报和漏报呢?前面的演讲者也提到了写政策表达式,实际上很复杂,原因是它的keyword或者是partten信息不够,你用很少量的信息报木马的话就会有问题。partten写得松就会有误报。大家很自然的想法是,如果只是Keyword partten信息量不够,或者是函数量不够,是不是可以提取更多的特征,特征提取得更多,就可以判别准确性,我可以用特征信息,先用了那个函数、后用了哪个函数,先给了变量的赋值还是后给了变量的赋值,我们就有了n-gram,前后按一个顺序发生的partten。

可以看到在国际会议上,在首尔刚刚开完的会议,其中有一个议题是讲怎么样用人工智能的办法大规模地识别webshell。做法很简单,把webshell里面先符号化,代号话,先做token,下面有一个例子,有一个函数名都给简化成function,赋值函数值的变化有字符串或者是各种各样的,用n-gram看它发生的顺序,之后再把它向量化,在一个多维向量空间里算余弦。他们选用的办法是SVM和KNN,这个演讲者做了很多年从13年开始到16年做了3年多的时间,但在我们看来其实有很多可以改进的空间,我们自己也在过去半年中跟合作伙伴做了webshell的人工智能的检测识别。首先特征选取上,我们是选了包括函数名、变量代号、字符串代号、运算符代号,如果把一个函数名简化成归一,就变化了一个function的代号,实际上它已经丧失了很多特征。我们就用更多的特征去选,还有ensemble也是机器学习里使用的,把多种算法组合在一起来做的。实际上,我们也看到了聚类的结果,可以做到webshell很多的文件名是用散列值webshell的值来代表做文件名的,即使是不同的散列值也可以作成一个名类,你可以得到非常好的效果,如果能够把木马做实时的据类和分类的话,对应急响应是非常有帮助的因为你首先知道木马的行为是什么,具有多大的破坏性,应该怎么样解决问题,在企业中扩散的范围和扩散的速度是不是很快。我们怎么用机器学习的方法做大规模的webshell的聚类和分类以及识别的问题。

接下来我们再讲一讲看一看现在比较流行的恶意网址,实际上这个网址并不是说一定是一个钓鱼网站,或者说是一个挂着码的网站也有可能是一个木马的主控服务器。传统的做法是用WHOIS的分析,它分析的好处是可以通过注册的邮件地址,可以通过各种各样的注册的人名、地址变化看看这些域名是不是有组织关系,是不是一个黑山组织或者是一个黑客组织来创立的。但实际上,WHOIS也碰到了很多的问题,大家拿出来讲都是讲它发现了的,实际上这里面的不准确里也是非常高的,而且现在黑客组织已经了解到世界上所有主流的安全厂商可以去看黑客组织的分析报告,必然会看到用WHOIS做分析、做关联。这样我们也看到越来越多的地下组织用很便宜的价格去买域名注册的隐私保护的服务,这样的话WHOIS关联有一个很大的问题,可能过去积累10年的数据或者是20年的数据,但只要新发现了一个注册域名,它用了priverce的的话,以后的关联都不可能用起来了,你现在就变成了一个困境,当然WHOIS这种方式现在还是相当有作用的,因为还有很多组织没有跟上使用priverce服务的潮流,可是我们也预期到未来的话会加快。当然还有一些DNS用域名解析注册IT之间的解析到什么地方,这些去做关联,但实际上这也有很大的问题,因为现在动态的DNS也已经很流行乐。包括我们看到的很流行的手法叫域名阴影的技术,实际上是怎么做的,黑掉了一个域名控制了账户,比如说叫ABC.com我在里面注三级到四级的域名,ABC.Com是很正常的网站,可是其他就被解析到有木马的网站,这时候用WHOIS就会遇到很多的问题,因为这是一个正常的域名注册商来注册的,总之,有很多的问题。

现在逼着我们去想,我们有什么更多的办法做到恶意网址、恶意域名,大家自然而然地想到了用指纹的方式去做。其实大家都知道,现在类似于人机识别反欺诈,现在UUID不给你了,只给一个广告的ID,实际上对设备不同的应用是不同的,其实这种情况就完全类似于我们在C&C这上面发现的问题,所以我们怎么做,其实基本上大家的思路是一样的,就是做更多的指纹。我们除了WHOIS和DNS我要看到恶意网络里更多的指纹。比如说我们要看基础设施的指纹。比如说网站的证书,大家知道黑产也是你去恶意网站也是需要维护的,肯定要有SSH,重要的是网站的证书,证书的获取方式很多,可以在网络里抓包抓到网站的证书,也可以直接尝试连接,可以有服务器身份的证书可以拿的到。这个证书为什么会有作用呢?是因为现在地下组织也是讲究自动化作业,因为对他来说手工做自动化服务器成本是非常高的,这就倾向于所有的至少有一部分的服务器是共用相同的证书,这是可以作为指纹而且是可以获取的。这就多了一个维度,我们可以看到更多的指纹,其实很简单还有是服务器之间是有相连的,当然这个相连的流量去获取或者说有一些脚本去指向的话,这些也是需要去做深层的工作才能拿的到,不像证书很容易,因为证书的指纹我相信大家拿回去做都可以做得出来,还有很多,比如说共用了一个黑产的基础设施的供应商,因为现在在黑产行业里也有很多ISP,做的事情就是提供hosting,就提供一个虚拟的云主机服务,我就给你提供云主机,或者说我就给你黑掉的服务器个。

除了基础设施上的指纹我们还可以做到表层应用的指纹,也有很多可以选择的,很简单很多的钓鱼网站,其实黑产也是不停在改进自己的手法,所以在钓鱼网站里嵌入了很多公开的统计代码,他想知道哪个教育网站统计的数量最多,为什么呢?也是跟黑产的产业链做一个价值链相关的,因为现在黑产每个分工非常地明确及他也想知道,也许他们之间会有各种各样的结算的协议,会根据使用量做基础设施提供,所以会在里面加入流行的,比如说Google anylitics,网站是从哪儿来的,有分层的协议,北京有一堆做伪基站的,天津、上海各有一堆做伪基站的,可是我怎么知道挣的钱到底是北京的伪基站的团伙有没有干活,也许就在家里等着、歇着,结果所有的伪基站都是上海的,上海人帮我赚了钱,北京人没有帮我赚钱,怎么分账呢?有很多做统计的代码页可以把它当做指纹。还有协议层也可以看到协议传输的通信协议也非常有特点,如果简单地做分析的话,简单地投都是非常有作用的。另外像代码层的HTML页面,代码层的javascript也是有分析的,这是webshell里类似的技术。如果把这些指纹想象一下像人机识别的指纹一样,如果欧放进来可以作为关联的维度,从原来的3、4个变成了20个、30个,这样做威胁情报和溯源分析的时候就更有效果。当然有一个问题,WHOIS这种关联分析实际上是非常简单的,因为它是单线的,你可以用鼠标或者是国内的一堆专业的网站,还有Google kandle这样的服务,一个恶意的域名点进去很容易找到注册的人的邮件或者是电话,你再一点就很轻松地把图画出来了,这实际上可以用手工来做的,但如果把特征量加进来,加到超过20个、30个的话,靠人和分析员做手工是不现实的,这时候就会用到机器学习、数据挖掘的算法。你把这些都合在一起的时候就可以更精确地还原真正的画像,可以看到,这个做法和思路是非常清晰的我们把原来WHOIS碰到的困境,特的特征数太少,关联万一有一个线断了就断了,但我们加入了很多的信息。

接下来我会讲一讲用户侧情报再生产,困境是feed流,现在威胁情报都开始做Feed,一个厂商一天下来几十万的Feed我们也在做域名的识别,经常一天下来几十万的新增的恶意域名是非常正常的,因为现在注册域名太便宜了,而且现在都是DJA算法脚本来进行,非常流程化,怎么把几十万各Feed放到防火墙里面,去这是一个很头疼的问题,这在企业里是没法儿落地的,一般的做法是弄一个所谓的热库,我可能认为针对这个行业我认为是威胁度非常高的url,包括一些样本的散列都可以放进去,但这也有一个很大的问题,你到底相信不相信威胁情报、生产产品能够对行业做出有针对性的筛选?这其实是一个很现实的问题,因为我刚刚在first今年的会上,厂商的展台基本上就是两类,一类是威胁情报的平台,一类是做自动化的应急响应的我问了每一个做威胁情报平台的,只有一家跟我说他们有按照行业划分的威胁情报数据的提供,只有一家。还有一个很严重的问题,就是这一家到底相信不相信,这是一个很大的问题。

怎么样才能让威胁情报更好地落地呢?好像这些糖果一样,你喜欢哪个颜色的糖果只有用户才知道,所以我们的想法很简单,在用户侧才能知道哪种情报更适合组织的自身,我们怎么来做呢?首先,如果我们看看旧模式的话,实际上这个链条非常简单,首先我先去做数据的采集和分析,然后我怀疑可疑的了,可能跟url相关的组织,把这个组织跟url相关的木马的散列值下载下来,不管是webshell还是其他的,我再做threat hunting,这是传统的大家比较流行的做法,这个做法问题就是我们刚才讲的,如果这个第三方的威胁情报都扔下来,一天几十万条我怎么做threat hunting,没有机器没有带宽,我们把1万条木马样本的webshell传到终端上去,这个组织有10万终端根本传不下去这是非常现实的问题。我们想把用户侧做威胁情报再生产的链条加进去就变成更有针对性的新模式。我们等于是需要在用户侧放一些设备放一些引擎,他们能够生产这个威胁情报,其实很简单,如果你能够在用用户侧发现一些自己发现的DGA域名,再拿到第三方的威胁情报平台上去查,再拿出来的结果再用threat hunting在企业里大规模地捕猎,这个效率非常地高,肯定更有针对性。当然在用户侧做威胁情报的生产有一个很大的挑战,就是用户没有大规模的分析师团队,这怎么来解决?其实也是用了webshell的聚类、分类,木马的聚类、分类,像各种各样的机器学习的引擎,他们自动地筛选。

所以它其实有一个先决的条件,想做这件事在用户侧做情报再生产,变成闭环的链条,第一必须得有外部的情报平台,不要想着说作为一个用户不可能生产所有的威胁情报,这是不现实的,因为拿到的数据只是很小的一部分,只有威胁情报平台才有更大的数据。第二是必须要做自动化,因为没有人也不可能说发现了一个可疑的域名就到所有的威胁情报平台上查一下,一个分析员查这么一下半天就过去了,所以自动化的平台和过程也是非常重要的。之前还有一个先决条件是要有机器学习的能力,因为在企业里,去虫之后的域名解析就有上百万,如果靠人工去查,显然是不现实的,需要有一些自动化的引擎和能力,自动把可疑的东西帮助你挑出来,在自动化威胁平台上去查,在自动化地下载相关的威胁情报,再自动化地做threat hunting。

我就讲这么多。谢谢大家!

主持人金湘宇:说到威胁情报大家一定很关心威胁情报在真正场景中的应用,尤其是在APT高级威胁检测里的应用,后边的议题是由天际友盟的杨大路,还有神州网云的都柯一起完成的议题。

杨大路:大家好!下边由我还有我们的伙伴都柯和我一块儿来介绍下面一个议题。

前面的伙伴都讲了,现在我们需要一个威胁情报要构建情报的平台或者是情报云,我们需要构建怎样的威胁情报云,我们认为应该具备这些能力,威胁在什么时间发生,攻击者的手法是什么,攻击从哪儿来,组织和个人使用了哪些工具,攻击的目标是什么?我们更想知道攻击者的身份是什么,他是一个国家还是一个组织还是一个个人?是针对企业的黑色产业的团体还是说针对更有真伪性的组织,可能在我们对攻击者画像的角度来说比较关键。

使用威胁情报云来检测的目的是什么?其实我们认为使用威胁情报的目的和真正的效益在于缩短攻击者的自由攻击时间,也可以说是增加了攻击者使用成本,所以使用威胁情报的产品的原因是第一是生产威胁产品的速度提升了,我们发现威胁事件对安全产品规则上进行了更新,速度会以月计,使用了威胁情报之后有可能就在小时甚至是分钟级来实现规则的相应。第二个方面是使用威胁情报还可以解决产品间的差异问题,因为不同的厂商、不同的设备对同一个事情的描述千差万别,一个问题可能有多种问题的描述的方法。一个漏洞CVE对事件的描述在不同的时间都可以出现很多很多,描述的差异性在威胁情报里可以用标准化的方法来描述。最后是两个特性,一个是以行动为核心,我们在互联网的任意一点发生了一件事证明了它的存在和分析清楚它的手法和价值以后,我们以这个证据链知识的传递给更多的用户,更多的地方更好地来检测事情、漏洞和脆弱性。最后是以有效性为目标,已经把证据以知识的方法传递给了更多的地方、更多的设备、更多的人,一旦发现关键路径上的有效信息,它一定是一次和确定的安全事件,就不是说我们的疑似报警、疑似信息了,这是威胁情报使用的价值。

我们认为威胁情报云应该有一个中心,我们认为首先构建威胁情报云的第一步是需要做以溯源为中心的分析平台,当然这个平台可以是在企业侧也可以使用互联网上的云服务,溯源平台是经过了把所有的互联网上多元的威胁情报的数据进行了整合,以可视化的方法,以可用性的数据特征、关联方法进行了关联,可以便于快速地在界面上进行搜索,甚至可以使用API的方式进行有效的调用,目的就是告诉我们一个事件发生了以后,他是谁?什么时间发生?为什么发生?并且可以通过这个平台最大程度地进行事件的溯源,来辅助我们做一些决策甚至做一些法律上的行动。

其实威胁情报是一个生态,威胁情报数量很多,来源很广,而且它从生产到使用环节很长、流程很长,一家公司很难把它从头到尾从原始数据搜集到分析到分发、到落地使用到响应、应急响应都做完,所以我们认为构建一个情报的生态,可能是打造一个安全威胁情报云服务的关键点,所以我们可以看到一方面自己搜集一些原始的数据,利用机器学习和专家集中在一块的方法,更好地生产自己发现或者是独立发现的独有的威胁情报。另一方面,我们也要和更多的具有威胁情报或者是广泛的厂商进行互补。比如说IBM X-force这些数据,我们在情报云平台上进行了整合,用户直接使用了情报就避免了分析人员挨个云,不同的厂商的数据都去检查一遍,这样做的尽量多的数据整合的工作以后,这个情报工作的价值就会更高。当然,整合完以后,因为威胁情报是一种知识,知识怎么来发挥作用呢?不能说知识告诉你了就有作用,知识一定要有措施和手段去落地,这个措施和手段我认为无外乎还是传统的,比如说SOC平台、WAF平台、扫描器和防火设备等等,还是要把威胁情报落地这样才能发挥威胁情报更多的价值,所以我们也在威胁情报和产品做打通的基础上,我认为这也是好的威胁情报云服务需要具备的,要和更多的产品、厂家的产品或者是更多的类型的产品去打通,这样也解决的上一个议题讲到的,用户侧什么样的情报更有用,用户自己知道,用户侧的设备需要什么样的威胁情报,可以针对不同设备的特性进行订阅和分发。

刚才说了我是如何来构建一个威胁情报云的,接下来看看我们是这么使用威胁情报云的。现在主要有三种形态,一个是Feed,我们会提供在线的、常规的线索库,我们的情报里不把Feed当成是信息库,因为信息库是传统的说法,我更喜欢把它作为一个线索库,我们把Feed作为发现事件、发现威胁的源头来做调查的线索的入口。第二,威胁情报的平台不能只靠人工实现查询匹配,需要有更自动化的方法来使用它,所以需要平台用API或者是SDK的方法让机器自动化地查询、推送和订阅。威胁情报需要有用户侧的导入,用户需要什么情报我们去给他匹配,所以在威胁情报导入之前,利用威胁情报云服务之前,需要一些现场的风险评估或者是安全服务的一些前置,把企业方面对威胁情报的需求梳理清楚,然后做定制化的订阅,这样的话效果会更好。传统的设施一定是威胁情报落地的手段,威胁情报要落地一定要靠传统的安全设施,所以一个好的威胁情报云的使用方法是我们一定要通过API、SDK的方法把它集成在企业已经建设或者正在建设的安全措施中。当然,不同的安全措施使用威胁情报的方法不一样,比如说我们建了一个SOC平台需要更多的线索库,我们把线索库定时地导入进去之后跟日志和资产做更多的离线碰撞,碰撞后的结果再返回到情报云上进行扩展。还有网关类的下一代的防火墙WAF,需要精确的可以进行实时告警和警报的信息,因为需要高并发的支持,可能用SDK把高威胁度的确定程度很高的情报信息做预先的或者是定时的导入来做检测。最后,对APT的检测一些常规的ICO和关键路径的特征是关键,还有组合特征和流量还原的特征也会需要用到情报分发的体系,具体由后面的都柯给大家做一些讲解,如何利用威胁情报云用APT检测的案例的介绍。

当然,这是我们主流的威胁情报云能提供的基础信息服务,包括域名的WHOIS、域名新于、IP WHOIS反向解析,开放的端口数,这里面比较独特的是一个AS域信息,每个IP都是属于每一个网络中的IS域,这会有很多有意思的黑客或者是一些使用方法,所以标注一个IP的AS域发现一些很特殊的黑客手段,还有常规的恶意样本、url样本等等。因为信息量很大,我们查询的时候需要一些模糊匹配,所以对一些字符串的查询也可能是情报云的比较好的方法,当然这只是一个威胁情报云需要具备的一些基础的信息,这并不是全部,需要更多。

天际友盟是国内威胁情报的先行者,我们现在成立了国内首个安全威胁情报联盟,我们的目标是以聚合、分析、交换、溯源为目标的情报云,并且我们是IBM X -force的联盟伙伴,烽火台安全威胁联盟是9家公司,我们把数据引擎进行了共享,并且在各自领域进行了互补,都有不同的技术方向,我们也支持了国际上主流的威胁情报的交换协议,并且我们现在也在协助工信部进行国内的威胁情报格式的国家标准的建设。

下面由都柯介绍一下怎么用威胁情报云进行具体案例的分析。

都柯:大家下午好,非常高兴今天能有机会和大家一起分享我们在APT检测核威胁情报云使用的经验,我叫都柯来自于神州网云信息有限公司。为什么这个报告我们分成两个人来组合?刚才大路也讲了,我们的安全威胁情报是一个生态,既然是生态我们就要输出也要使用,我们输出我们的情报和共享的技术,从中在我们的业务应用过程中获利或者是达到我们的目的。之前还有朋友在讲,包括投资方面的和风险控制方面的,说我们的威胁情报的数据可以做很多的事情,甚至可以做风险控制,我们08年开始一直做高级恶意攻击的检测,我们服务的对象是国家的特殊部门,他们因为对高级恶意攻击尤其是窃密、泄密类的攻击是比较重视的,我们结合实际业务的工作产生了很多实际的效果我举几个实际的案例跟大家分析在高级恶意攻击检测的过程中如何利用威胁情报云产生我们的价值。

我主要从五个方面来向大家分享一下,首先是高级恶意攻击检测在不同领域的需求,以及现在面临的问题,这些问题如何利用威胁情报平台去解决。

第一,在高级恶意攻击检测的不同领域所面临的问题,我们知道高级威胁供给APT的概念,相信大家都很了解了,在这儿我不过多地阐述了,APT攻击我们检测APT的过程虽说都是高级恶意攻击可是目的是不同的,针对的对象是不同的。比如说,我们现在电信部门可能更关心的是吸费类的恶意类的攻击,银行更关心盗窃类的,企业和国家更关心的是自身的商业情报或者是国家的机密数据是否被窃密。针对不同的领域恶意人员攻击所使用的手法和工具,最终造成的后果可能都是不同的,在不同的领域我们怎么样去区分攻击的线索怎么样明确是针对我的攻击呢?在业务工作中就产生了三个主要的问题,第一个问题是,怎么从海量的报警线索中发现我们所需要的攻击的线索。任何的单位都会在网络中部署安全的检测设备,像防火墙、IDS等安全检测设备,这些设备每天会产生大量的告警,不同的领域比如说政府部门,并不关心键盘记录的木马合乎是盗取游戏账号的木马,可是这些告警也是混杂在一起的,我们如何通过这个找出我们关心的关键的线索。第二个问题,怎么从单一的攻击线索这个线索背后隐藏的信息是什么?比如说是谁?什么时间做了什么使用了什么工具,又拿到了什么内容,这是后续要扩展出来的更多的线索。第三,我们怎样去发现不同攻击线索之间的关联关系,在一个地方发现了一个攻击线索,可是还有其他的单位或者其他的部门产生了另一些攻击,这些攻击使用的手法、技术都不同,可是我们怎么样发现他们中间是否有联系,最后明确所谓的APT攻击。

依托威胁情报的云平台提出了几个想法,第一是多角度的检测,解决的是第一个问题,首先我要找出关键攻击线索,我要解决的是有没有海量的攻击信息,这从哪儿获取,就是攻击检测的各个角度,比如说后门的利用,拒绝服务的攻击,第一个要做的是要把它检测出来,再从检测出来的数据内部再筛选我们所关心的类型,我们通过网络的攻击检测模型对已知的攻击行为进行报警,我们从多角度拿到了海量的攻击的数据,我们进行攻击的数据维护和线索的扩展,最后进行横向的攻击关联关系的分析,到最后我们才能实现APT攻击行为的明确。这张表上可以看到分了三个主要的阶段,第一是线索的筛选,我们把前端或者说告警设备产生的告警信息会聚在云平台,一定要结合人工分析,从海量的信息中筛选出面向关键业务的攻击,再从威胁情报的云平台里扩展,比如说某一个黑域名产生的告警,这个黑域名是由哪个邮箱注册的,这个是否注册了其他的域名,是否有黑域名?他关注的木马的样本和注册的时间是什么?谁注册的?这一系列线索的扩展,可以依托这个云平台来进行线索的扩展,最后我们依托于关联的关系,比如说我的监控的单位如果面积范围足够广的话,我会发现同样的一起攻击可能来自于某一个单位,也可能监控了100个单位,我可能发现同样的攻击,同样类型的来自于同一组织的攻击涵盖了100个单位中的20个或者是15个单位,我们就可以把这个态势从多维度的角度,用安全的态势感知出来,并做一些适当的预警。

刚才我们看到的是一个结构的概念,我们要通过具体落地的方法来实现这些概念,这张表上可以看到首先是前面分布式的终端行为的模型分析,这些分析是我们实际部署的一些安全流量安全监测的设备,他们依托的是我们可疑行为的规则库来筛选出我们所关心的恶意行为。最关键的是溯源和APT攻击的线索扩展明确,主要依托的是威胁情报的云的支撑平台来做这种扩线和分析的依托。另外可以基于数据包的时间轴的回溯的系统来展示出这起攻击或者是这次安全事件的来龙去脉。这是我们实际落地的一个产品部署的架构图,我们可以看到前端有前端的告警检测的设备,配合着沙箱的系统,配合着告警数据的获取和集中,集中到后台的处理平台,依托多维的情报库做扩线和分析,同时提供依托大屏幕智慧中心的直观的展示,或者说建设一个指挥中心统一地调度和发布指令。这是多维威胁情报库中包含的数据的实例,比如说中国菜刀的规则,还有很多APT的攻击事件的报告,远程木马扫描webshell规则的数据,包括一些社工库、木马样本库、报告库,供我们在这里关联和查询。

举两个实际的案例把我们的思维展现一下。首先我们发现了一条重要的线索,要以这个线索为突破点再进行线索的扩展,最后是背景的明确,这是我们实际工作中针对政府部门使用的一个品牌的邮件服务器的软件系统进行的线索扩展,前端告警的过程我不再赘述了,这是我们发现了这个线索在扩展的过程中,其中从数据线索的日至里可以发现一条重要的线索,就是说其中有一个IP解析的域名不停地连接内网的服务器并且它执行了一个代码,它使用了这个域名,我们明确了这个域名是攻击的过程,对应的域名还可以共享给其他的网络安全检测的设备来识别,这是一个共享的过程。另外第二步我们要做线索的扩展的取证,就可以发现这个IP66.175的结尾是41的攻击者使用的是自动化扫描漏洞的服务器另外还有两个IP是真实的IP,我们通过线索的扩展,会发现来自同一个地不同的IP在使用webshell,我们可以判断它是属于同一个组织。

日志的分析过程中可以看到首先是黑域名的产生,另外是线索的扩展,我们要发现其他的域名,其他的IP是不是在使用,是不是对这个域名进行攻击。这是完整的事件的回溯,从什么时间段哪一个IP我们完整地回溯出来,某一个IP在利用漏洞下载webshell到本地,什么时候又直接地访问了webshell,他是不是还使用了另一个webshell同时在做攻击,我们通过案例的分析可以把这起攻击案件的来龙去脉,什么时间、谁、使用了什么工具、做了一些什么能拿到一个完整的结果。结合分析的过程,能体现什么价值呢?这也是一个案例,我们从邮件从前端的数据还原中发现了一个邮件附件是包括了可执行程序,通过沙箱的分析就可以发现它的代码层有一个关键层就是以endof结尾的,我们在威胁威胁情报云里就可以做数据的关联关系和溯源的分析,我们以这种红圈的endof字节在我们库里做可视化关联分析的时候,就可以得到有关这个关键特征的MD5、使用的域名、使用的IP、URL、木马样本以及这个木马样本的分析报告。

这是我们威胁情报云平台的完整的可视化的分析界面,我们可以拿到之间的关联关系,另外是木马报告的MD5值、详细的分析报告,我们可以扩展出非常详细的有价值的分析线索。可以总结一下,一个完整的对高级分析事件进行多维分析的流程,我们要以重要的事件为切入点,发现重要线索,我们要发现重要线索针对的方式、使用的漏洞还要继续监测是否有第二次的攻击,通过第二次攻击又可以发现更多的线索,比如说使用的IP的域名、MD5、URL等,我们可以针对样本进行分析,利用我们的威胁情报对它同一个样本进行扩线的多维分析,最后可以发现完整的安全事件的来龙去脉。下面有一个反制的过程,甚至于我们采取一些反向攻击的方法来获取到更多攻击者的个人信息,甚至于组织的背景,包括它的目的以及它窃取到的实际的数据的证据。

这就是威胁情报与高级恶意攻击检测之间的协同,在我们的业务工作中,在我们帮助用户对高级恶意攻击事件的分析过程中,可以使用威胁情报云平台的外部的数据平台来进行深度的溯源分析达到我们的目的,并且这种平台还可以提供标准化的接口,我们可以在我们的前端设备里和后台地数据进行联动。最终我们的目的肯定是希望能创建一个威胁情报的关于APT攻击的新一代的联动的体系,既反馈数据又使用数据,增强检测和发现的能力。

我的报告就结束了。谢谢大家!

主持人金湘宇:下面有请阿里云的安全专家叶敏为大家介绍一下阿里云的威胁情报实践。

叶敏:大家好我是阿里巴巴的叶敏,我负责云盾的安全攻防,今天我给大家汇报一下我们在阿里云威胁情报的实践以及取得的成果。我今天主要以案例的方式跟大家讲一下我们做的工作。现在我们公认的观点是做威胁情报一定是基于数据去做的。

首先我给大家看几组数字,第一是30%,现在整个中国已经备案的网站有30%是在阿里云的,而且这个数字还在高速地增长,我们相信很快这个数字将突破50%。30%是什么样的概念?你现在拿起扫描器在全国做随即的批量扫描的话,一定会扫描到阿里云来,除非你有意避开阿里云。 我们每天节接受的请求有4千亿次,我们每天用于安全运算的日志量有300T,这是压缩后的,实际上这应该再乘以9倍左右。这是云盾产生的攻防的数据,第一我们每天阻挡了100次的DDos的攻击,3000万的web而攻击和2亿暴力破解攻击。现在阿里云有自主研发的分布式数据计算平台,这是我们去年创造的一个记录,我们以377秒的成绩打破了100T数据的排序记录,前两年分别是由Hadoop等创造的记录。

我首先介绍一下我们威胁情报的来源,最大的来源是云盾的攻防数据,像WAP每天能产生大量的攻击,我们对肉鸡和控制端做了深入的分析,还有我们覆盖了很多服务器上的端,能够收集到大量的恶意样本,这个恶意样本和其他的安全厂商很不一样的地方是,我们是集中在服务器端而不是PC端的。还有一点是我们云盾感知授权了我们分析全流量,流量中我们也可以抓取到很多有价值的信息。另外是流量的信息,从单个事件中不能看出事件的威胁,可是多维度进行关联的分析,往往可以发现这些事件背后更加深层次的威胁。

第二个数据是从外部公开的信息所获取的向外部公开的漏洞和各种安全事件,有一些流向上没有的或者说我们的产品上没法儿产出的东西,必须得靠主动扫描的方式获取,外部的代理的分析和全网的各种漏洞。下一个是大家熟悉的漏洞应急响应中心,我们阿里巴巴也有自己的ASRC,专门为阿里巴巴收集漏洞和信息,最后一个是云吨的先知计划,这是我们为客户提供的漏洞和情报收集平台,我们帮客户搭建了一个跟白帽子之间的桥梁,帮企业做应急响应中心。

我主要会集中在IP信誉和漏洞方面的情报来讲一些案例。第一是IP信誉库,也叫IP画像,我们每天遭受到的来自全球的各种攻击,而且量是巨大的,通过这些流量进行分析,我们能够准确地知道这个IP是不是一个恶意的,历史上有没有什么恶意行为,它的攻击偏好是怎样的,我们都有记录在案,我们能识别出一个IP是好的还是坏的。我们也能识别出来这个IP是一个真人在用还是说背后是一个扫描爬虫。第三是出口IP很多时候我们需要判断这个IP是很多人共用的或者是某一个人或者是一个家庭在用,这个我们也能准确地识别出来。还有爬虫和扫描器的IP,包括搜索引擎的爬虫,各种安全厂商的扫描器的IP,下一个是全网代理服务器的IP地最后我们每天阻挡这么多次的DDos的攻击,我们对肉鸡和僵尸网络也做了非常深刻的研究。

这是我们监测到的恶意IP的类型的分布,我们一共支持20多种恶意IP的类型,这里列出了主要的几种,可以看到暴力破解类型加起来已经超过了一半了,这个模型上线到现在一共积累了110多万个恶意IP,因为很多的IP可能因为动态变化,和平用一段时间之后得分配给别的人了,所以有一些长期没有恶意行为的IP我们把它剔除掉了,日活跃的IP有10万。这是全球的地理位置的分布,左边是国外的分布,可以看到俄罗斯、美国、土耳其、乌克兰这样黑客比较活跃的地区都出现在榜单上面。右边这个是过么的分布,主要是集中在一些沿海的发达的省份,像广东、浙江、江苏这些省份,我们对这些恶意IP也做了非常深入的研究,为什么会出现在这些省份,因为这些省份都有大的IDC的机房,黑客通常是通过租用这里的服务器进行7×24小时不间断的黑客攻击扫描。因为黑客通常在抓机的时候拿到了一个执行命令的权限之后,通常会下载一个恶意文件,之后把恶意文件执行起来,所以我们监测所有攻击的流量从里面抽取恶意文件URL,这就形成了恶意文件的传播源,这是日报的截图,可以统计到恶意文件的传播源有多少的IP访问了它,这些IP很可能是中马了。

这是webshell的连接源很多的web在攻击成功了以后植入一个webshell,用webshell长期地控制这台机器,我们对所有的webshell机器也做了深入的分析,从流量里面,能够分析出来一个IP它常用的webshell的名称是什么,常用的一句话木马连接的参数是什么,通常我们也叫密码,这就是黑客的一些行为的习惯。这也是我们日报里面的一张截图,只是某一天的数据。我们在很多时候需要判断一个IP背后是不是一个真人,因为我们在做很多安全决策的时候这个IP背后是一个人还是一个机器对我们做决策是有很大的影响的,所以我们做了一个这样的真人IP的判断模型,真人在访问的时候很多情况下会用浏览网站,所以你的Http会包括CSS、图片的请求,通常情况下这种请求占的比例是超过了一半,大部分是这种请求。另外是浏览器会有自己的一些特性,浏览器会访问一些favico.ico的文件,浏览器也会支持cookie,正常的浏览器不会支持这些东西,通常一个真人使用的IP,在白天和黑夜的流量是不一样的。另外我们借用了阿里的应用,当你使用这些应用的时候就会访问阿里的IP,你不一定每天都会访问淘宝,但是你的APP像手机、安卓手机的APP会在后台自动地访问,所以通过这些我们也能知道这背后是不是有一个真人。还有就是APP的行为,因为阿里云客户有很多是做游戏的做一些APP的,我们能够把某个客户的一些属性给识别出来,假如说我们认定它他是一个游戏客户,如果某一些IP访问游戏客户的话,很有可能背后是一个游戏玩家,这也判断出来背后是不是真人。通过各种维度,上面列的我们进行综合的判断能够知道这个IP背后是一个人还是一个机器。另外一个场景就是识别CDN和WAF的IPCDN和WAF都是使用反向代理的方式,用户在访问这个网站的时候并不是访问真正的webServer,而是访问了CDN,CDN再访问WebServer,一个CDN可能就覆盖了一篇区域,一个省份甚至是好几个省份,所以从webServer来看,它的访问源就那么几个CDN和IP,最多是几十个、几百个,所以这些来源都来自于少数的几个IP,这样对我们做安全决策的时候是有风险的。假如说我们有一个IP有攻击行为,如果把这个IP作掉的话很有可能会损伤一大片的用户,所以我们有必要把这个IP识别出来。

当然有比较明显的特征,从WebServer看来,如果是一个网站的话,所有的流量都是由或者说大部分流量都是由少数的IP贡献的,也就是说少数的那几个WAF的IP,不会超过几百个,我们通过这个全网IP和各家WAF厂商的IP。我们还可以发现网上的批量扫描,基本上凌晨的都是扫描器产生的基本上没有正常人的流量行为,这个扫描器都有这样的特点,做批量扫描的话,扫描的网站一定是非常非常多,他扫描的一般是扫描特定的几个漏洞,所以它的URL也非常集中,通过这两个特征,简单的模型就可以把扫描器识别出来,左边这个是实现的功能是把那些日志通过原IP和URL进行聚类,然后根据它访问的网站数量做倒叙排序,得到了右边的结果,可以看到第一个IP访问的都是同一个。第二,我们看了一下他分析了一下发现是在探测Dlink某个路由器的漏洞。第3、4、5分析我们了以后发现是在探测一个帝国备份的漏洞,基本上前面所有都是在做批量的漏洞扫描。当然真实的模型会比这个要复杂一些,因为我们要去除掉一些噪音和干扰。

这是一个比较简单的模型,我们看一些比较复杂一点的,我们能够识别出全网的搜索引擎爬虫IP和全网各厂商的扫描器IP,安全厂商的扫描器IP。因为这个模型我们能够看到背后别人看不到的东西,像一些漏洞爆发了之后,各大安全厂商就全网扫一把,再发一个PR说我们发现全网有多少受影响的IP,他们的分布是怎样的,其实他们的扫描行为都是在我们的眼皮下的,去年在双十一的前一天,爆发了一个未授权访问漏洞,如果要管制会把所有的cookies去掉,所以这个扫描是有副作用的,可是我们监测到国内好几个大的安全厂商,做全网的批量扫描的时候没有考虑到后果,没有考虑到用户可能带来的损失。还有我们能够收集到全网的搜索引擎,爬虫的IP,有一些安全扫描器或者是安全产品,冒充了搜索引擎爬虫,做一些安全攻击的事情,这些我们都能监测到。

另外一个是识别撞库,最近几年密码泄漏事件非常严重,撞库也是黑客非常喜欢的手法,撞库登录的频率非常高,第二所有的请求是占比非常高的,通过这两个我们可以识别出来这是不是一个撞库行为,大家肯定有疑问,这个不需要社工库吗?怎么跟暴力破解区分开来?当时我们也遇到了这样的问题也考虑了很多,后来我们发现暴力破解很多情况下是账号密码是1对多或者是多对多的,也就是暴力破解行为的账号数一定会小于登录次数,而且这个数据相差是非常大的,或者说密码数小于登录次数,威胁情报账号密码是一对一呈现的,总体来说账号数和密码数和次数是接近的,使用相同的密码,总体上会接近。另外一个是云与垃圾注册小号登录的区别,撞库一定是使用了真实的账号和真实有人用的那些密码去撞的,所以真实的密码通常来讲都不是完全随机的会带有一些英文单词或者是你的名字的拼音,或者是生日之类的,不是纯随机的,而通常那些搞垃圾注册或者是搞这种小号的一般来讲要么是用完全一样的密码,要么用随机的密码,所以密码的随机性我们在数学里叫商,这是不一样的我们通过这个也能区分出来。

这是我们统计的威胁情报的受害行业的分布,金融行业社区论坛和游戏排在前三,其实黑客的目的已经非常明显了,就是瞄准了那些有高价值的账号来撞。这是互联网上邮箱泄漏的案件,去年乌云上爆出来某邮箱的账号密码泄漏,当时互联网上各种说法有人说真的,有人说假的,谁也分辨不清。这个事情当时是在19号乌云上爆出来的,然后再往前几天也就是在11号的时候,我们就监测到了这个邮箱的账号在撞库事件中的次数开始明显地提升,相比11号增长了足足有4倍,而且邮箱的账号在所有撞库中的占比也是在稳步地上升,最后这个事情到底是不是泄漏大家应该懂了。

下面是关于DDoS的情况,阿里云在全国有很多的数据中心和机房,其外也有很多的数据中心,全网大流量的DDoS攻击,肉鸡数量如果非常非常多,有很大的概率一定有肉鸡在阿里云的,我们通过分析肉鸡的行为和流量可以分析出DDoS的控制端在哪儿。同时我们也分析了很多僵尸网络用的木马的控制端,其实很多控制端写的并不是特别地健壮,往那里发一些畸形的数据包可能会崩溃及我们可以讲疑似DDoS攻击停下来,因为每天超过1000次的DDoS攻击,我们对攻击源做了非常深入的研究,我们捕捉到了全网8万多台的肉鸡,另外反射攻击是伪造的IP的攻击,我们发现由于最近一两年随着智能家居的普及,SSDP反射攻击最近一两年呈上涨的趋势,而且已经超过了DNS和NTP的反射攻击,因为一些漏洞会不断地被消掉,这些反射源是在不断地减少的,SSDP是在持续地上涨,这是我们统计的全网僵尸网络控制端的分布,还是分布在沿海的几个省份,也是跟IDC机房有很大的关系的。这是一个肉鸡的分布,跟上一个图差不多。这是我们对DDoS木马种类的分析,其中一个比较大的叫Nitol的木马占了超过一半,网上有传言说它的源码泄漏了,有人修改就变种了,数量量非常大。

有了这些威胁情报,我们一定不是说把这些数据放在这里自己看看,自己查一查我们一个很大的目标是将这些威胁情报数据规模化自动化地应用到产品里。我给大家介绍几个案例,这是一个发现安全威胁的案例,如果我们认定了一个IP就在恶意IP库中就是恶意的,如果某听这个恶意IP登录的一台服务器,很有可能这就是高危的安全事件,这是需要重点关注的,这个功能我们已经做成了,已经产品化,已经做再云盾上了,这是真实的网站的截图。这是一个服务器连接恶意IP的事件,如果这台服务器连接了一个我们恶意IP库中的僵尸网络的IP,你很有可能中马了,很有可能成为了僵尸网络中的一员这是我们已经做成了产品化的了。还有一个能够发现PAM,我们的安全人员发现了很多的报警,很多客户都产生了这样的报警,内容是客户的服务器连接了韩国的恶意IP,并且从恶意IP上下载了一个恶意文件,就是恶意文件传播源,因为数量非常非常大,有上千台机器同时产出了报警,所以我们安全人员立即进去分析了,发现黑客通过批量地破解PGSQL的弱口令,植入恶意程序,通过控制下载恶意文件。

下一部分我会讲一下漏洞的东西,每天接受的攻击非常大,我们做了异常流量的模型,这只能区分是正常还是异常的,我们会根据参数来判断,仅仅能区分出来是正常还是不正常,并不知道这是不是一个攻击,是一个已知还是一个未知攻击,我们后续做了一个把已知的攻击的规则放到库里面,匹配一下,看看是不是已知攻击,如果不是就继续往下走,很有可能是未知的攻击,很有可能是未公开的漏洞,通过这个我们每周可以捕获两个未公开的漏洞,其中有一些是安全厂商漏洞平台收集到的只不过没有公开被我们捕捉到了,有一些白帽子在挖漏洞的时候也会被我们捕捉到。这是去年的一个案例,通过异常流量分析捕捉到的一个Lumanager的漏洞,我们的模型产生的日志就是针对Lumanager有一个SQL注入的Oday,我们匹配了这个公开的漏洞,发现这没有相关的漏洞,我们认定它一个未公开的漏洞,经过了深入的分析,这个东西我们是第一次看到,我们基于这个漏洞还发布了一篇分析文章。

最后一部分是云端的先知计划我们为阿里云上的客户收集漏洞和情报的平台,其实就是帮客户和白帽子之间搭建的桥梁,充分地利用了生态化的安全资源,社会化的方式包括白帽子和安全公司都会做我们这边注册,帮助客户提供漏洞和情报,我们与其他的安全漏洞收集平台不一样的是我们充分考虑到企业的感受,我们不会将这个漏洞公开出去的,所以企业也不会因为这个漏洞受到名誉上的损失。这是一个先知计划的运作流程,白帽子和安全厂商的流程可以来我们的先知平台注册,厂商也可以来我们这里注册,并且把他的奖金放在我们先知平台。当白帽子和安全公司挖到漏洞以后,我们有专人审核,如果审核的漏洞是通过的,我们会把奖金颁发给白帽子。这个漏洞其实只有白帽子和先知平台以及厂商知道,我们有协议地约束白帽子不能将漏洞公开。

我就讲到这里,谢谢大家!

主持人金湘宇:圆桌对话请英特尔的首席科学家陆立新介绍一下美国对威胁情报的看法以及对它的发展和实践的情况。

陆立新:我本来是做病毒分析的,从99年开始创建自己第一个公司做终端的病毒的行为分析,叫做behavier locking,又做的沙箱,在Intel做APT的检测,对威胁情报也有一些接触。我觉得你们讲得都很不错了,很前沿,可是从反病毒的历史来看,可以看到每个新的技术出来的时候投了很大的人力物力,看技术的抵抗病毒的能力在上升,但上升到很短的一段时间,比如说两三年以后,马上就会下降,为什么会产生这种现象呢?就是说在反病毒的生态系统中,反病毒的这方面在做努力,攻击的那方面也在努力。他在不断地研究你,你每次产生的新技术、新产品,你的竞争对手在研究,在学习,在捕捉你的弱点,再出现新的办法,所以你的检测力马上下降了,所以这个在国外叫做不对称的问题,不对称的问题现在是一个很大的挑战,不管你做什么,我做沙箱做到现在,我发现沙箱是每个公司都有的,可是沙箱很快就会被淘汰,因为反沙箱的病毒开始出现了,它可以监测沙箱,检测以后不在沙箱里面运行,这就没有办法了就没有用了,像威胁情报,我觉得第一个问题就是威胁情报的前端处理的人,因为每天他们上班的时候就看到几千条这样的情报,到底是哪一条重要,什么是重要的是应该处理的,只有8个小时、10个小时,每天这么做就疲劳了就叫情报疲劳证,实在是没有办法处理什么,所以这是一个面对现实的问题。再一个就是,不管用大数据处理还是机器学习机,你要知道你的对手总有办法让你的学习没有办法实现,因为你学习的东西一定是要重复的,我要重复昨天的历史,就会形成一种模式,学习过去如果还是按照模式去攻击的话,肯定有用,但我们的攻击对手不是那么听我们的话的,他发现你在用他的学习机来攻击的话,他明天就改变了方法,收集的模式,花了几年都没有办法,这怎么办。这不是一两天能搞得清楚的问题,在国内外都有这样的问题,有一天我跟一个数据科学家开了一个玩笑,他们是专门做数据挪移的,你给他一大堆的数据,他能从中找出一点东西来,进行移除,一般的模式都是这样做的,我说你如果真正能这样做出来,不如用你的模式做一个股票的测试,股票预测为什么?因为做股票预测,那个股票不会有意地反对你,最起码是这样的,但要做一个安全的方面,对手有意地摧毁你,产生一个假的或者是不重复的partten那怎么办?所以大型数据和机器学习还是早期的,挑战还是很大的。在国外我们也经常讨论这个问题,不是那么容易解决的,但并不是我们不去尝试和努力,或许我们能找出比较好的方法。

我觉得有一种方法是要的,除了我刚才说的不管用什么技术,在设计技术的时候人家有什么办法可以把技术打掉,这是迟早的问题,只要你推广了你的技术和产品的话,对手很快就会把你打下去所以在设计的时候,你会想到如果对手把我打掉怎么办,回到情报搜集也是一样的,能不能在设计这种机器学习的过程中地能不能搞一个很快可以学习反馈调节你的机制的这个方法,如果能找到这一点投资的努力就会更有效果。不然的话那位专家说,那个模式改变的话,十年八年收集的数据都没有用,因为那个IP地址用的privide的方法打掉了,不知道在哪个地方,跟踪的技术就没有用了。所以,adoctive很重要。再一个我记得有人提这样的在中国讲一个人要是办事情就学老子,要学做人就学孔子,养心就学老子,如果真正从孙子兵法的角度来考虑,我倒是觉得很有借鉴意义,孙子兵法翻译了很多语言的版本,是仅次于圣经的一本著作,我觉得在中国我们有这种优势。孙子兵法有一条讲得很清楚,就是说要立于不败之地就要知道对方,你要知己知彼才能百战不殆,如果只知道对方不知道自己,那可能一胜一负,反病毒的历史来说,大家集中的焦点都是在黑客、那个病毒的本身,但没有注重自己的弱点在什么地方。我说的自己就包括了设计的产品、我们的技术和我们的用户,他们的弱点在什么地方比如说很多病毒公司来了一个新的病毒一检测知道这个是病毒了马上就停止在那个地方,大家一收集,值一算就挡住了那个病毒,实际上那是做得不够的。为什么?那个病毒应该是值得研究的,看他用了什么新的方法,看他用了什么新的工具,然后用新的技术方法和工具反复检测用户的环境中,客户的环境中到底有没有这种抵抗能力,包括用户里安装的所有的安全的软件,是不是有办法打上,才能及时地反馈回来,你自己的弱点在什么地方。包括你自己的产品在什么地方。有一些实验室检测你的产品发现弱点,检测你的邀请第三个公司到公司来检测,发现你的弱点,可是那个不是每便都蒙做,也不是及时就能做的,就跟一个人是一样的。也不能每天都让医生帮助你检查身体,每天都有一点点弱点,一年五年以后这个弱点才会成一个比较大的毛病。可是如果找到了一个病毒,我能够把病毒认真地分析,看到他的发展方向包括用的方法和工具是往哪个方向发展,我用那个东西解释了以后可以马上进行实地的测试,我觉得这个方法是值得借鉴的。

还有数据的处理,很大的挑战是目前来说这些产品提供的数据包括SIM、包括IPS,或者是防火墙,提供的数据,提供给你的时候这些产品在设计的时候没有想到今天的数据要归总到这个地方来运用,刚才很多专家讲了要建立一个平台,要建立一个云端,要进行数据的处理。但要想数据从外面收过来,没有想到这个数据要给你用,所以数据的可靠性、数据的质量很有问题,我们在国外也碰到了这样的问题,一大堆的数据来,真正有用的很少,所以我们跟他说叫做垃圾进来、垃圾出去,所以你要用一个好的质量的数据输入的话,会省掉很多计算的时间,也会提供很好的结果。这不是一天两天就能够做到的,因为数据提供的地方,比如说防火墙、终端,提供给你们的人根本没有考虑今天要用,所以这个东西要反馈回去要修改,之后才能达到高质量的数据源,我觉得这也是一个挑战。我知道。这是我知道的关于情报搜集的问题。

谢谢!

主持人金湘宇:好的东西总是坚持给最后的人,后面我们直接抽奖了。

感谢大家,今天的分论坛就到这里。谢谢大家!

本文标签:会议报道

本文所有内容来自互联网,如有侵权/不实内容请联系我们删除,联系邮箱postusb@foxmail.com

发布者:泰缘,转转请注明出处:https://www.bjxdyg.com/life/14291.html

(0)
泰缘泰缘
上一篇 2022年 8月 20日
下一篇 2022年 8月 20日

相关推荐

  • 魔兽世界吃cpu还是显卡(魔兽世界吃cpu吗)

    大家好,近期很多朋友对于魔兽世界吃cpu还是显卡产不是很理解。然后还有一些网友想弄清楚魔兽世界吃cpu吗,泰缘号(www.bjxdyg.com)已经为你找到了相关问题的答案,接下来和我们一起看看吧,希望对大家有所帮助! IT之家 7 月 16 日消息,暴雪已经宣布,大型多人在线角色扮演游戏《魔兽世界》的下一个资料片“巨龙时代” 现已开放预购以及封闭 Alph…

    趣味生活 2023年 1月 4日
    23700
  • 花岗岩是由哪三种矿物组成的(花岗岩是由哪三种矿物组成的,硬度最小的是)

    花岗岩是大陆的标志性岩石。更重要的是,花岗岩是地球本身的标志性岩石。其他岩石行星 水星,金星和火星则是被玄武岩覆盖,包括地球的海底也是如此。但只有地球拥有丰富的这种美丽而有趣的岩石类型。 花岗岩基础知识 首先,花岗岩由大型矿物颗粒紧密贴合而成。它是显性的,意味着它的单个颗粒足够大,可以用人眼区分开来。 其次,花岗岩一般是由矿物石英和长石组成,有或没有各种其他…

    2023年 5月 30日
    23900
  • 苹果莫名其妙关机开不起来(苹果13莫名其妙关机开不起来)

    苹果手机不开机,一般情况都是由于系统或者硬件有问题才会导致手机不开机,软件问题我们可以先尝试强制重启手机去解决,硬件问题需要送到专业的苹果手机维修店检测维修,硬件问题损坏一般是由于手机进水或者重摔才会导致手机不能正常开机,具体情况我们往下看: 1、正常使用不开机 如果我们的苹果手机是正常使用的情况下突然不开机,那么很有可能是苹果手机系统死机了,解决的办法就是…

    2023年 3月 28日
    22300
  • pacm00是oppo什么型号(pdcm00是oppo什么型号)

    或许每个人想象中的“完美手机”不尽相同,但聚集这些想象可以帮助厂商打造出更符合用户特征需求的“完美手机”。源于对“美”的不懈追求,OPPO今天下午在上海举办了主题为“想象,更近一点”的Reno新品发布会,致力于为消费者提供前所未有的使用体验。 视频直播地址:OPPO官网|爱奇艺|腾讯视频 OPPO Reno的无刘海的全面屏面积更是来到了6.6寸,下巴仅有3.…

    2023年 3月 3日
    23700
  • 华为赛力斯是哪个汽车品牌(赛力斯是什么汽车品牌)

    “抠标”这个行为大家应该都不陌生,最让人熟知的就是不少人买华晨宝马之后,把“华晨”两个字抠掉,而这个的主要原因是不想让人知道买的车是国产车。 但最近的抠标事件却不寻常,不少车主提了“问界M5”后,把“赛力斯”车标抠下来换成“华为”、“HUAWIEI”、“华为智选”等等; 甚至还有弄个明显的贴纸的,仿佛是在向众人宣告这个是华为主要参与设计的车,生怕别人不知道这…

    2023年 3月 29日
    13500

联系邮箱

postusb@foxmail.com

邮箱咨询: QQ交谈

邮箱:postusb@foxmail.com

工作时间:周一至周五,9:30-18:30,节假日休息