网易科技讯11月7日消息,硅谷知名信息安全科学家弓峰敏在加盟滴滴担任信息安全战略副总裁后,近日首次在国内公开场合露面,他受邀于上周五在PingWest品玩HAY!16大会现场举行的活动上进行主题演讲,他表示:“在高级的博弈中,黑产已经形成了相对完整的利用网络的生态系统,除非我们在网络防御、工具也以生态系统的方式去对付他们,否则很难打平手。”
网络安全形势严峻,近年来信息安全事故频发。弓峰敏认为,当前我们面临的网络安全问题已经全局化,它会危及每一个人。“早前是一些有技术实力的人想通过某些行为展现自己的能力,后来演变成了泄密事件,对企业造成了损失,但现在网络安全所危及的对象也包括了每一个人,不只是企业。”
之所以出现这样冷酷的现实,和攻击者变化多端的攻击方式关系密切。“他们会有很多招数,可以利用社会工程跳开对很多软件漏洞的依赖,他可能用很多规避手段,而今天我们用的防毒技术、网络防火墙技术看不到这些规避手段,此外,当前的黑产在很大程度上已经利用了网络共享的资源来做攻击,而我们做网络防御工具开发时往往没有更好地利用。”
弓峰敏说:“对于保卫者而言新的挑战是,攻击一定是不择手段的,防不胜防,你很难建一个别人攻不破的门,但同样,道高一尺魔高一丈,他也有可能不经过门。”“在高级的博弈中,黑产已经形成了相对完整的利用网络的生态系统,除非我们在网络防御、工具也以生态系统的方式去对付他们,否则很难打平手,所以我们一定要以业务为中心去建保护目标,业务为中心可能包括统一业务、数据的安全,用户信息的安全和业务流程的安全等。”
弓峰敏认为,企业安全防御重点应当转向以业务为中心,以不间断、大规模的监测为基础,并利用大数据和人工智能技术去判断是否有威胁和异常的出现。简而言之,这就是分布式的安全检测配合中心化的威胁数据分析。(阿伦)
以下为演讲实录,经网易科技整理:
谢谢主持人,谢谢大家,非常荣幸有机会今天跟大家共享,我想要跟大家共享安全的挑战与实践,大概会分这样几个方面,首先大概说一下例子,也不会走到太细的细节,今天我们面对的是怎样冷酷的现实,我会解释一下我们所说的挑战主要在哪些方面。
然后稍微看一下为什么会出现这种状况,面对这样新的挑战,我们需要什么样新的实践。
大家可能听到过很多例子,包括雅虎,5个亿的用户信息被偷掉了,前一阵子美国的Verizon要买雅虎,事情发生后Verizon还是要买,但就要砍价了,而且不是砍一点。
现在美国大选很热,服务器被黑掉以后很多邮件信息曝露了,基本上大家认为这个事情跟俄罗斯有关。
还有,孟加拉出现的银行系统,由于信息被盗,有人直接在美联储银行要求转钱,当时有8000万已经转走了,如果没有及时发现,可能会有更大损失。
另外一个例子,在美国一个诊所的文件系统被讹诈软件感染,诊所面临花钱继续运营,要不然就无法继续为病人提供服务。
这些都是直接受害者,间接受害者就更多了,比如零售店出现的户头信息被盗,几百几千万用户的信息都被偷了。还有一些色情网站,很多原来在网站上注册的人,可能没有干什么出格的事情,但出事以后他们面临很大的社会压力。
事件发生后,私有信息、信任度都受损,而事件发生后直接受害者和间接受害者能得到的补偿都微不足道,比如在美国,你去一家店,刷卡之后可能信息被盗,店铺会告诉你我帮你关注两年卡的信息,但谁知道两年之内盗信息的人会用这张卡呢?
可悲的是,盗取信息的人往往并不是用高级的手段,孟加拉事件是从钓鱼邮件开始,被一个远程控制的恶意软件感染,感染以后从他们这儿偷到了做银行之间转款的户头访问权限,其它地方也频频发生讹诈软件事件,它的手段也越来越高级,不光光是直接通过邮件感染用户,可能还会利用代码的形式到你的服务器上,你可以想像一个公司的邮件系统如果被破坏,整个影响的就不是一个人PC机的问题了。
发生的种种事情,花了大量的钱,为什么还没有搞定这个事情呢?我们拿安全产品来看,第一个是扫描器,漏洞扫描,它自己本身就不具备规则,还有防御系统,本来布一个防就可以睡大觉,但也可能出现别人使用的加密技术是他不能搞定的,防御系统为什么没有生效,可能软件没有升级,规则没有更新。还有防火墙,作为更高级的产品,它同样有很多方面搞不定。
有一个高级威胁攻击,用的技术往往是杀箱技术,网络异常检测技术,同样也有问题,我们听到过一些案例,当事情发生后大家问为什么没有发现,厂商调查一番回来告诉我们,实际上我们的系统是有预警的,但你们没有看到。从用户的角度来说,为什么你预警了我们没看到,难道跟厂商没关系吗?所以这实际是一种借口。
我们要去刨根问底,到底怎么样,怎样改善我们的技术手段。
我主要是想指出一点,误导的问题,有攻击的人到某一个阶段以后就想做具体动作,要么偷走你的信息,要么对你的业务造成直接威胁,比如转你的钱,做这件事情之前他会做一系列的动作,这个动作需要花时间,而且在空间上也是分布的,包括它想要做什么事情,可能会预先做一些调查,一系列的动作,最后还是要偷你的东西。在Action没有发生之前,很多环节都有补救的办法,但往往以前我们的很多产品重点放在除了Action以外的很多阶段上。
威胁者要做一件事,他的攻击目标是不变的,可能是对着你的业务流程和数据,但在这个过程中他有N多个步骤,不是一定要一步步走下去,而且不是所有步骤都是必须的,这就是我说的误导的原因,他的路径是万变的,以前很多技术和工具看法是被误导的,因为我们总是在看中间的过程而忘掉了最终我们要看到的目标。
总结一下这个概念,攻击者会有很多招数,他可以利用社会工程来跳开对很多软件漏洞的依赖,他可能用很多规避手段,这些规避手段今天我们用的防毒技术、网络防火墙技术是看不到的,如果他们选定了目标,那他们一定是下定决心有耐心搞这个事情,而他们会花很长时间,我们的工具没有耐心放在里面,所以基本上看不到。
你去看所有黑产,他们在很大程度上已经利用了网络共享的资源来做攻击,这一点在我们做网络防御工具开发时往往没有更好地利用。
对于保卫者来说新的挑战是,攻击一定是不择手段的,他看到的目标在那儿,他不在于珠宝放在哪一个皇宫,他是盯着那个去的,所以一定是防不胜防的状况,你很难建一个别人攻不破的门,但同样,道高一尺魔高一丈,他也有可能不经过门。
另外就是打持久战。
最后是高级的博弈,因为黑产已经形成了相对完整的利用网络的生态系统,除非我们在网络防御、工具也以生态系统的方式去对付他们,一开始就很难打平手,所以我们一定要以业务为中心去建保护目标,业务为中心可能包括统一业务的、数据的安全,用户信息的安全和业务流程的安全。
实际上是以前历史上各种安全工具,当然,还不是包罗万象的,它们做下来以后有一个演进过程,从基本的工具开发到恶意软件、到它的发布,甚至有人做僵尸网的运营,其他人可以利用它做攻击,它有生态链产业链的概念。我们谈防护技术,早期我们想的是在主机上部署各种软件,后来有了网络,我们在网络上做防护产品,包括邮件网关、Web安全网关等,现在有很多人用云,在云的状况下是不是又出现了新的安全问题,又有人去做产品,就要解决云的问题,实际上这些着眼点和方法都在一定程度上是相对的,没有很好的生态系统的概念,没有这样的概念,我们去“打仗”就有对我们不利的地方。
我总结了几个主要的方面,一是我们今天看到的“移动万物互联”,它给我们带来的挑战更大,已经不仅仅是我们的手机了,还可能是各种等各种东西;
“工资消费一键”,我觉得这是很好的发展,相比美国可能更先进,但它之后面临的安全隐患是什么,大家不见得想得清楚。
从技术发展来看这个闹剧,确实是“古今虚实穿越”,但进入到互联网,考虑到安全,它本身带来了很多现实和网络空间的安全威胁,它有一个互动的关系。
另外一点,提出“安全欲见云烟”的概念主要是想说,在基本的安全问题没有解决时,大家又被云……不说是误导,起码精力会分散到云,大家认为云是新的问题,但显然我们要解决的基本问题仍然存在,我们解决了那些问题,云的问题也会迎刃而解。
如果你去看今天,我们已经到了安全问题全局化的状况,它会危及每一个人,显然它会跨越空间,我们已经知道,从互联网各种威胁事件的发生来看,很多人是跨界的。另外一个会影响到后面日常生活怎样做的理念,网络空间的安全问题和威胁,实际上和物理空间走到一起了,最早确实是影响到一些企业,它最早只是一些有技术的人想展现他的能力,想看看你的网站,后来变成了一些泄密事件,有一些生意损失,影响到的还是企业。
走到中间,过去几年我们看到了很多,比如Post机的问题,不但有了直接受害者,公司,还有大批间接受害者,这些受害者个人身份被盗,这个身份又拿来做欺诈活动。
再往下走到最右边,历史上有过这样的事情,国家之间因为相对敌对的关系,他们利用了网络空间和物理空间的互动,来做攻击动作。我们看到英国有个案例,一个年轻人被讹诈,这个讹诈信息说你做了什么犯罪的事情,我们是警察,这个年轻人想不通,抵受不住这种压力,最后自杀了。这个事情就是网络空间和物理空间的结合,不是直接的攻击,但却造成了人身的损害。
我要强调的是,物理空间和网络空间安全威胁的问题需要一起考虑,因为它会影响到我们每一个人,不光光是企业级的安全问题。
我观察了一下,企业确实被网络犯罪彻底震醒了,很多网民被网络团伙的黑产欺诈震醒目,国家在某种程度上被斯诺登的一些状况震醒了,那我们如何做?
这张照片我不需要过多强调,最重要的一点,做安全时我们往往考虑到IT的发展、考虑到威胁的发展、考虑到业务的发展,但大家往往忽视我们每个人对安全的认知和实践,这恰恰是我今天要强调的,人还是一个决定性因素。
回到安全实践的时候,一定要有一个现实目标,定下这个目标,再利用比较好的安全实践去做。
从最佳安全的角度,一定要用不间断的监控排查和及时处理,比如你希望产品能够支持情报的共享和基于API的设计,公司一定要有好的流程,再最大限度地利用自动化,一个闭环系统,这当然是一个抽象的东西,下面我用两个胶片很快过一下。
回到公司和个人的实践。
从个人角度来说,以前我们很多系统自己不用打开都会自动更新,这个习惯一定要改变,让它自动打补丁;第二,我们用移动网络时,装的软件很多时候都是不知道底细的,而且装软件时软件向我要权限,能不能给它,是可以说不的;最后,如果有技术手段你一定要看一看,晚上手机放到身边,你什么都没做,但你一定要知道你的手机在跟谁交谈,如果你有技术手段,希望你去看一看。
从企业的角度,刚才我提到的全新方法论的概念,一定要聚焦到核心业务的保护,当有了明确目标以后,一定要在公司里选一个你认为现在最好的流程,按照统一的流程实践,在实践过程中一定要有一个闭环,一定要看到底做了什么,有没有效果,再做不断更新。
非常感谢大家的时间。
本文来源:网易科技报道
责任编辑:
白鑫_NT4464
