序
万物皆变,人是安全的尺度
齐向东
中国互联网安全大会联席主席
2017年,ISC大会已经满5周岁了,5个年头、5次盛会,见证了中国互联网安全领域值得记忆的历程。
每年,确定大会主题都是主办方最重要的任务,我们希望大会聚集起全球专家的共同智慧,能对未来一年的网络安全研究和产业起到风向标的作用。从“万物互联、安全第一”到“数据驱动安全”,再到“协同联动”,每一年,我们大会提出的主题,都成了网络行业安全的发展趋势和主要技术方向。
2017年我们提出“万物皆变,人是安全的尺度”,即人对网络安全起着决定性作用。因为网络空间出现的安全问题,最终是人造成的,我们通过数据驱动,通过协同联动,最终保护的目标和方向也落在人身上。
一、安全离不开人员的担当
回顾2016年的大会,我们提出了“协同联动,共建安全+命运共同体”,希望政府、企业实现协同联动,解决现在越来越严峻的网络安全问题。2017年5月的“永恒之蓝”应急响应事件体现了各大安全厂商与政府主管部门、安全厂商之间以及安全厂商内部的协同联动作用。
“5•12”勒索病毒事件爆发之后,360公司在第一时间启动了应急响应程序,72个小时,共计出动了3000多人,重点支持机构超过50个,包括监管部门、部委、大型央企、大型金融机构,直接支持1700多个单位,远程支持2000多个单位。过程中,员工人均每天睡眠时间少于4小时。公司如果平时不注重人员的专业素质培养,不树立“责任在前、利益在后”的思想观念,不鼓励、不激励技术与管理团队拥有担当意识,很难想象在“用兵之际”如何让全员(作战队伍+个人)接受如此严苛的实战考验。
不管是政府与企业的协同,还是安全企业之间的协作,抑或是企业内部应急响应团队之间、队员之间的配合,最后的执行阶段必须有专业、负责的人员值守操作。即人是安全的尺度,而履行安全职责的人必须具有担当的精神。
二、人构成无形的防御纵深
在过去12个月里,全球爆发了很多著名的网络安全事件。从CIA、NSA网络武器库泄露,美国大选期间希拉里邮件门,乌克兰电网断电,美国断网,到利用“永恒之蓝”漏洞的勒索病毒,这些事件都有一个显著的特点,就是传统的技术方法和产品,已不能防止这些灾难的发生。由传统技术、产品构成的系统,多数采用已知样本、已知攻击、已知漏洞特征等相关技术,来进行扫描、辨识和阻断网络攻击。而前面我说的网络攻击采用的都是0Day、1Day的未知漏洞,或者新的攻击方法,有的是点对点的APT攻击,防止这些网络攻击需要采用“人+系统”的方法,并且人起到关键性作用。
传统的检出率、误报率、漏报率的观点已经过时了。过去我们说能防住99%的攻击,即使漏掉了1%,损失也是可承受的。但是,现在我们面对的是APT攻击,它的目标是毁掉一个基础设施,比如水厂、电厂等,或者盗窃一批关键数据。哪怕只漏防万分之一的入侵,损失都是不可承受的。以前我们对待误报的态度也是随意的,多数情况下它都被忽略掉了,这在今天都是不可以的。所以,对系统无法准确判断的问题,我们必须采用强大的安全运营团队,用人去做出决定,用出色的人的努力,去争取100%的检出率和零漏报率,在此过程中,人再次起到关键性作用。
在安全防护设备的掩护下,人的因素组成了阻断恶意攻击的战略力量,也构成了深一层的基础设施的防御纵深。需要指出的是,一旦内部不可靠、不稳定的人为力量没有得到管控,也将演变成防御纵深的“灯下黑”,因此必须采取一定抑制措施,防患于未然。
在实践中,补天白帽子平台就发挥着协助政企机构、用户单位打造无形防御纵深的重要作用。360的这个开放平台,最大的优势就是人。尽管它现在是“贴钱卖吆喝”,但它的价值已经得到了政府和企业的普遍认可。截止到2017年年中,已注册白帽子的用户有35000多人,注册的企业达4500余家,平台发现漏洞20多万个,白帽子和企业之间沟通和交换技术服务的平台已被初步搭建。目前360公司每年对其投入几千万元。2016年开始,360公司又搭建了白帽子桥接企业的众测平台。其按测试发现的漏洞级别和数量收费,收入由补天平台和众测白帽子分成。公司最近又确定,补天平台未来要保持“零利润”,即把赚的钱都通过项目返给白帽子,让他们有更大的收入,以便他们更专注地为企业提供漏洞防护服务。
三、探究新形势下的防护场景
从被动的静态防御,到利用情报信息、基础数据驱动的动态防御,再到紧密依赖专业安全人员的“人+系统”的防御策略,攻防思路在不断演进发展,这和背后的安全威胁形势、外部的整体安全环境息息相关。在大安全时代,我们面临的网络安全威胁在形式、数量和攻击手段上都发生了巨大变化。
作为信息安全防卫企业,我们需要在两大“失效定律”和“四个假设”的前提下,建立全新的网络空间安全防护体系。
(一)两大“失效定律”被无数案例验证
1. 一切不考虑人本性的管理手段都会失效
360公司对国内上百家政企机构进行抽样调研发现,“永恒之蓝”病毒渗透内网的首要原因是员工私自搭建了网络,导致只要有一台设备被攻击,内网系统中的其他设备也被感染。
在我们处理的一起事件里,执行任务的人员因为保密需要,被要求24小时内不得离开酒店房间,但是他们实际工作的时间只有8个小时,有人便将内网机器连了外网,导致参与此次任务的所有电脑全部被感染。
后来我们在排查中,发现了多起私自用网线把内网机和互联网插口连到一起,或用手机创建Wi-Fi热点,然后将内网设备连接到Wi-Fi热点的上网行为,这给内网带来了极大的安全风险。
2016年年初,某大型能源企业的地质勘探部门发现,某些同行小公司手中居然拥有他们内部使用的地质地理数据库,而且信息非常全面。经调查确认,这些数据库信息是从该企业勘探部门下属的一家子公司泄露出去的。
这些事件说明,即使有严格的规定,也无法保证每个人都会严格遵守规定,尤其是不考虑人本性的管理手段,在信息安全保密的实际工作中,一定会失效。
2. 一切没有技术手段作为保障的管理措施都会失效
很多机构的保密规定要求内网机器不得连接外网,不得私自使用移动存储设备。但在实际工作中,连接外网、私自存储的事情经常发生。如果应用有效的技术手段,让内网机器连接不了外网,或者使其无法识别私用的移动存储设备,这样就可以有效保障保密规定的实施。所以,没有强有力的技术手段保障,管理措施就会如同虚设。
(二)“四个假设”倒逼全新防护体系
第一个假设:系统一定有未被发现的漏洞。
这些年,360公司都在给微软、苹果、谷歌、Adobe、VMware这些知名的、用户覆盖全球的、使用率居行业第一的软件公司提交漏洞。2015年,有关这5家公司的漏洞,360公司就提交了408个,由此获得致谢的次数居各安全厂商之首,创了世界纪录。
所以我们说,系统一定有漏洞,只是没有被发现而已。我们的研究人员统计,程序员每写1000行代码,就会出现一个缺陷式漏洞。因此,及时发现漏洞利用行为,及时检测被攻击情况非常重要。
传统的安全的设备和产品(如IDS、IPS及审计类产品)主要采用经典的CIDF检测模型,这个模型最核心的思想就是依靠特征库匹配的方式,完成对攻击行为的检测。但APT采用的攻击方法和技术都是未知行为,我们依靠已知特征、已知行为模式进行检测,理论上是无法检测到APT攻击的。系统需要使用新方法,比如使用临检设备,对网络进行漏洞检查;使用实网攻击方法,寻找系统漏洞;建立日志审计的大数据分析系统等。
第二个假设:一定有已发现但仍未修补的漏洞。
“永恒之蓝”勒索病毒这个肆虐全球的病毒,利用的是NSA黑客组织泄漏的漏洞武器“永恒之蓝”。它主要利用了Windows系统的一个漏洞传播病毒。虽然微软早就发布了针对Win7及以上版本操作系统的安全漏洞补丁,但很多单位都没有及时安装更新,因此,这些单位都成了病毒“重灾区”。对WinXP、Win2003等老旧操作系统,微软已不再提供安全更新,而国内大量的教育机构、政务办公系统、业务应用终端仍旧在使用这些系统,这也是造成本次“蠕虫”爆发的重要原因,以致许多机构即使搭建了隔离网也没有幸免。
第三个假设:系统已经被渗透。
通常来说,重要的政府部门、涉密单位、各类生产网等,都采用了物理隔离的方式。由于这种方式隔离了恶意代码的部分入侵途径,因此隔离网在恶意代码防护方面具有天然的优势,也一度被认为是安全的。
但是随着攻击手段的发展,在短短的几年内,恶意威胁的复杂性和多样性有了显著变化和提升,从过去的直接、随机、粗暴的恶意攻击手段,转变为有目标、精确、持久隐藏的恶意攻击。攻击入侵的路径也并不局限于互联网,它可以通过移动介质、内部网络横向传播,还可以和社会工程学等手段相结合来传播。
发生在2011年的“震网”病毒,是一个很典型的案例。伊朗的核设施是一个物理隔离、高度防护的网络,但是在APT攻击下,发生了核设施参数被修改的事件。攻击者用USB移动介质作为跳板,植入了木马文件,成功绕过安全产品的检测,再利用Windows和西门子系统的漏洞,成功入侵了离心机的控制系统,修改了离心机参数,干扰系统正常运行,但控制系统却显示一切正常。
相比直接暴露在互联网上的终端,隔离网内的终端面临的恶意代码入侵途径相对少一些,但依然存在一些突出的安全问题。
第一个问题是本地恶意代码防御能力比较弱。因为大多数的终端杀毒软件,受本地存储资源的限制,特征库的数量与恶意样本总量相比少之又少,而传统的恶意样本的检测方式基本依赖于这种本地特征库。目前业内比较先进的云查杀技术是建立在云端庞大的黑白名单数据库基础上的,它具有病毒检出率高、系统资源占用低等特点,能大大提升终端的查杀能力。但是在隔离网环境下,终端无法直接与云端通信,云端的大数据资源不能有效发挥作用。因此需要解决新型查杀技术在隔离网环境下的适配问题。
第二个问题是病毒库更新的问题。由于恶意代码演变的速度很快,传统的防病毒软件必须保证病毒特征库的及时更新,才能保证防护效果。而在隔离网环境下,由于病毒库的更新需要人工导入,更新的频率一般都不高。所以,其一方面需要更先进的隔离网病毒库更新工具,另一方面需要采用不依赖于特征库的智能杀毒技术。
假设我经过层层防护的系统已经被病毒渗透了,那我们就应该快速地定位问题,减少损失。但是,很多单位受人员和资金的限制,安全人员的技术、经验和工具都比较匮乏。他们缺乏对安全事件的分析能力以及事件发生后的应急响应能力,在关键时刻没有采取措施,导致损失发生和扩大。
所以,360公司研发了一套基于隔离网络或涉密网的网络安全态势感知系统。360公司首先建立涉密网本地的安全大数据中心,通过智能关联计算模型,挖掘漏洞线索;然后将网络中的原始流量、设备运行日志、设备告警日志及终端日志等各种信息经过归一化处理,存储到涉密网本地搭建的大数据中心,利用收集到的数据,基于多维度数据的智能分析模型,发现可疑流量;再经过攻防人员的进一步分析,提升对未知漏洞攻击的发现、阻断、取证、回溯、研判和拓展的能力。
第四个假设:存在员工不可靠。
2016年4月,世界通信技术行业巨头威瑞森公司(Verizon)发布《2017年数据泄露调查报告》称,近四分之一的数据泄露是由企业内部人员造成的,内部威胁逐渐成为数据泄露的主要原因之一。
此外,由于外包业务的不断发展,外包服务商逐渐成为企业另一种形式的“内部人员”。在为企业提供专业服务的同时,外包服务商也成了新的安全威胁。尤其是在IT领域,负责开发和维护企业应用系统的外包合作人员通常都掌握合法账户,可以顺利通过认证进入到组织内部的核心网络区域,一旦外包人员出现问题,很容易导致企业数据泄露。
在大多数单位,有可能接触数据、使用数据的内部人员大致可被分为三类:业务部门员工、网络与系统运维人员、网络与系统安全保障人员。我们从威胁成因的角度对其进行动机分类,一般分为无泄密动机威胁和有泄密动机威胁。
在以往发生的数据安全案例中,在无泄密动机的情况下,由于相关人员安全意识淡薄和安全知识不足而泄密的不在少数,他们可能把核心资料存在云盘,或者拷贝到U盘,使用后没有将资料及时销毁,导致数据无意识泄露或者流失;或者可能被钓鱼邮件、恶意软件利用,从而导致内部威胁的发生。
而有泄密动机威胁的这部分人员,会有意识、有计划地破坏、盗取内部数据,他们会主动利用内部管理漏洞或技术漏洞,有计划、有步骤地完成踩点、试探、入侵、窃取等一系列过程。
根据一项安全调查数据,超过85%的网络安全威胁来自企业内部。这种危害程度远远超过黑客攻击和病毒带来的损害。这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。
企业要从内部消除数据安全的威胁,首先要做的是在安全体系设计中考虑人的因素,要能及时发现员工的异常行为,并及时检测和阻断来自内部的攻击。一种方法叫业务安全网关(SSG),另一种方法叫用户行为分析(UBA)。
2015年,360公司帮助查处了一起政府单位信息泄露事件。嫌疑人张某利用测试账号进入系统,批量查询了10000条客户信息,并进行了多次查询操作。SSG通过抽取用户和业务操作等数据,比对了操作特征、数据特征、行为特征和本地安全策略,发现这是一次恶意操作后,及时阻断了这名员工的权限。UBA是利用大数据分析发现内部安全威胁的。它通过机器学习来发现高级威胁,在发现用户异常方面具备非常高的“命中率”。
四、寄语新时代网络安全建设
在新时代国家建设时期,如何做好新时代的网络信息安全保护、保卫、保障工作,需要每一个从事网络安全的人员、企业、机构,甚至全社会去思考,未雨绸缪、防患于未然。
20年前我们重视机构内部单点的布防,之后我们逐渐认识到边界式的管控非常必要,如今倚重纵深式防御,依托软硬件防护设施、应急人员团队、安全管理制度,我们提出了比较体系化的安全理念,但网络空间安全体系建设的实践依然还在路上。
未来,面对国家层面、各行业层面日益严峻的威胁,政企机构或单位需要练就平衡技术、管理、人力三个要素的基本功。我们希望在“人是安全的尺度”的启发下,打造更具示范意义的网络空间安全防护体系,进而引领国内国际安全领域的创新。