ITValue社区

奥运开幕,信息安全如何反守为攻?历史大数据里有真章!

作者:吴宁川 / 日期:2016-08-09

里约奥运会没开幕之前,安全问题就已经成为令奥运村和各国运动员管理机构头疼的问题。在另一条隐形的战线上,信息安全的奥运之战已经在悄然展开。360企业安全近期发出了里约奥运期间信息安全指南,比如提防假票务网络诈骗,攻击者可利用网站轻松地收集用户银行登录凭证以清空受害者的银行账户。

在今年的IT价值峰会上,360企业安全集团交付事业部总经理张龙指出,很多信息安全攻击看似新鲜却其实已经在历史上发生过,有的信息安全攻击或威胁甚至是某个历史性信息安全威胁行为的延续或新进展。中国有句古语叫“知史而明今”,还有一句古话叫做“温故而知新”。从历史大数据中挖掘“金矿”,是信息安全反守为攻的最新策略。

1一个真实的案例

张龙介绍了一个真实的案例。2015年底的时候,360企业安全的一个客户发现了交易系统数据库有一个异常,当时就联系了360企业安全的工程团队。工程团队从现场取样了一个恶意的程序,在随后的数据同源性分析中,发现这个恶意程序样本已经存在很长时间了。

360企业安全团队发现,该恶意程序样本第一次出现在2006年以前,2011年后曾大批出现,被曝光后就销声匿迹了一段,但到了2014年又达到了一个新的高峰。2016年春节,360企业安全团队把该恶意程序上报给了主管监管机构,然而上报后依然可以听到企业不断被干扰的消息。

从互联网大数据挖掘和分析的结果看,可以发现恶意样本背后的组织非常严密,而且有非常高水平的工程师可以设计出“免杀”或可“逃逸”终端防病毒软件的查杀。此外,该事情还原之后报给公安部门,抓获的犯罪份子既出人意料又在预料之中,原来这个组织有一半人都曾是做软件外包开发的资深工程师。

基于上述案例,可以得出四个环环相扣的漏洞:系统有未知的漏洞、系统有未修复的已知漏洞、员工与合作伙伴有时候不那么可靠、信息系统无法不被渗透。如果企业同时遭遇上述漏洞,那么该如何制定自己的信息安全策略?

2从防守到响应

传统信息安全的思路是黑客攻击、信息安全团队防守,但在企业漏洞频发,黑客攻击手段日益复杂的情况下,企业信息安全很难彻底防住或不能完全防住网络攻击,这时加强威胁的检测和及时响应能力就成为不得已的选择。

这一方面是在入侵或威胁从企业外围向内部进攻的时候,尽量缩短检测时间;第二是要加强响应和调查,仅有应急预案和应急处置还不够,在临时清除掉入侵或威胁的时候,还要把背后的组织挖出来。因此响应之后的深挖、溯源、调查和取证就变得非常非常重要,甚至要更多地与执法部门合作。

张龙认为,下一阶段企业信息安全的思路或策略,在以往防御为基石的前提下,要加强检测与响应两个方面的投入。检测调查通常来说,就是发现信息安全的入侵事件或者渗透事件的一个线索,从一个线索拓展成一个事件,从一个事件扩展到全貌,这个全貌则要把信息安全事件的前世今生挖掘出来,包括恶意样本背后的组织、目的、危害、相应的整改等。

如何去还原和发现信息安全事件的前世今生?除了企业内网的数据外,还有整个互联网上的数据。

从360整个攻防体系来看,互联网上的数据对于企业来说非常有价值。比如企业信息系统初步被渗透了之后总要与外界通信,通信的时候就一定要求访问外部域名,甚至出现不太正常的主机行为,这些行为都可以从互联网获取相关数据。

3安全大数据分析可能是解决问题的银弹

对于各种手段日益先进和复杂的黑客攻击,能够及时检测和响应,这背后需要强大的“大脑”。这种会思考的大脑来自哪里?近两年业界比较追捧的基于海量安全大数据的大数据分析可能是解决之道。

今天,在整个互联网上,恶意代码可被信息安全软件检测出的概率约为50%。恶意软件为了实现免杀或免发现,就必须要用信息安全软件先进行自我检测,检测的时候必然会在各大信息安全软件公司的云端留下原始样本记录,这样的记录被称为灰度文件。

张龙介绍说,目前互联网上有约100亿可执行文件,百分之百确认的白文件数量约为一个亿、百分之百确认的黑文件数量为20亿,其余80亿左右的文件无法辨别。如果集互联网全网之力,对这大数据文件进行分析,结果必然比只依靠本地数据完善得多。

基于这些互联网海量安全大数据形成的威胁情报,可以大大提升企业发现各类攻击的能力。这就像已经留下案底的窃贼,无论如何乔装,只要他们行动,就可能在第一时间被捕获:他们过去留下的行为特征,他们与常人不同的异常举动,都有可能在“安全大数据里”得到验证。

“在已经不可能完全防住的前提下,利用数据分析的方法、理论和逻辑可能是一条更好的出路。”张龙强调,“一次安全事件所利用的漏洞或者样本,可能在互联网上已经出现过。利用互联网上的海量攻防数据,可以更快发现甚至预防安全事故。”

显然,在新的时期,掌握海量安全大数据的企业将会拥有更强大的发现能力。

360企业安全大数据库包括:全球文件样本库,总样本数达95亿+,其中有20亿+黑名单和1亿+白名单,每天新增900万样本;最大中文漏洞库,总漏洞数超过47万,每天新增约400个;文件行为库(主防),总日志数189000亿条,每天新增380亿条;最大的存活网址库,每天查询300亿条、每天处理100亿条、每天拦截用户访问钓鱼数超过1.4亿URL;互联网域名信息库,含90亿DNS解析记录、每天约新增100万条,13年+的Whois信息存储,约占中国DNS解析与查询记录的25%。

目前360企业安全团队通过360浏览器、搜索终端应用等累积来自全球5.09亿PC安全客户端、7.44亿移动端安全客户端、互联网基础设施DNS、猎网、补天等各类举报与响应平台以及 100+第三方数据源。

4安全大数据项目要有清晰目标

张龙表示,目前业界对大数据在信息安全领域的应用并不十分认同。原因在于大数据分析是一个万能平台,大数据分析应用的空间非常大,不能天马行空的想象,而必须在具体实施信息安全大数据项目之前有一个清晰的项目目标。

真正做好的项目需要目标很明确,例如具体做一个银行调研系统或者内网系统,就可以配套360企业安全的大数据资源、平台、技术和人。

现在每个传统企业产品都附加了大数据接口,用于上收防火墙、杀毒软件、交换机、路由器等来源的数据,把收上来的数据对接互联网云端信息进行分析,实现安全风险态势感知、高危外联行为感知、安全告警监控、Web安全态势感知、威胁行为的还原等应用。

360企业安全团队的大数据服务器规模超过60000台,总存储数据量接近1.3EB、每天新增超过1.5PB、每天各种数据计算任务10万个、每天处理数据量10PB。通过与外部信息安全大数据对比,可以发现与木马外联的恶意服务器或暗链,帮助企业与外网进行对接。360企业安全还可以做到两三千亿条企业IT日志的检索,对企业内部进行信息安全大数据分析。

在信息安全攻防双方的博弈中,攻方往往手段多样且会从想象不到的角度渗透系统。传统政企网络里面虽然设置了隔离网,然而越是隔离的系统,企业的信息安全团队就越放松,只要一放松实际上渗透的概率就越高。

本文标签: 2016IT价值峰会

推荐阅读