構(gòu)建安全保密新體系

360企業(yè)安全集團董事長兼CEO 齊向東

構(gòu)建安全保密新體系

360企業(yè)安全集團董事長兼CEO 齊向東

0 前言

在今年的美國總統(tǒng)大選中，一度優(yōu)勢明顯的民主黨候選人希拉里，最后驚人地落敗給共和黨特朗普。這是由于國外黑客侵入和竊取民主黨及希拉里競選團隊郵箱系統(tǒng)，大量不利于希拉里的郵件被曝光，給希拉里造成了巨大的負(fù)面影響。

此事是否真的由俄羅斯政府授意黑客所為，目前依然真相難辨，但有一點可以肯定:數(shù)據(jù)泄密的影響已嚴(yán)重影響到國家的政治和安全。

1 泄密已成全球性的安全挑戰(zhàn)

從全球看，竊密泄密事件呈高發(fā)態(tài)勢。據(jù)美國電信運營商Verizon發(fā)布的《2015年Verizon數(shù)據(jù)泄露調(diào)查報告》，2014年有近8萬家企業(yè)被黑，導(dǎo)致數(shù)據(jù)泄漏；2122家公司公開確認(rèn)信息被竊取; 500強企業(yè)超過半數(shù)遭遇過數(shù)據(jù)泄露事件。

根據(jù)2016年的報告，2015年的數(shù)據(jù)泄露事件比上年增長48%，達(dá)3141起; 安全事件的漲幅超過25%，超過10萬次。

美國政府問責(zé)辦公室報告的數(shù)據(jù)同樣驚人:自2006年以來，美國聯(lián)邦政府的網(wǎng)絡(luò)安全事件增長1300%。回顧今年以來美國遭遇的數(shù)據(jù)泄露事件:2016年2月，美國國稅局披露，有超過70萬個人的納稅人個人信息被泄露。同樣是在2016年2月，黑客攻擊了美國聯(lián)邦調(diào)查局、國土安全部，竊取了9，000名國土安全部員工和20000名聯(lián)邦調(diào)查局員工的信息。

對在全球網(wǎng)路安全領(lǐng)域相對領(lǐng)先的美國，數(shù)據(jù)泄露問題依然嚴(yán)重。可以說，數(shù)據(jù)泄密問題已成為全球性的挑戰(zhàn)。

2 中國成為APT攻擊主要受害國

2016年年初，360威脅情報中心發(fā)布的《2015年中國高級持續(xù)性威脅（APT）研究報告》顯示，中國是APT攻擊的主要受害國。國內(nèi)多個省、市受到不同程度的影響。

根據(jù)該報告，截至2015年11月底，360威脅情報中心監(jiān)測到的針對中國境內(nèi)科研教育、政府機構(gòu)等組織單位發(fā)動APT攻擊的境內(nèi)外黑客組織累計29個。

在2015年和2016年，360天眼實驗室發(fā)現(xiàn)和披露了多個針對中國的APT組織。其中包括海蓮花組織、摩訶草組織、索倫之眼組織、DarkHote等。

其中，海蓮花組織的發(fā)布，受到海內(nèi)外的廣泛關(guān)注。該報告被業(yè)界稱為中國“首份”“符合標(biāo)準(zhǔn)”的APT攻擊研究報告，海內(nèi)外媒體紛紛進行了報道。有美國國家“智庫”之稱的美國外交關(guān)系協(xié)會、以及中國外交部都對這份報告進行了回應(yīng)。改變了長期以來我國在網(wǎng)絡(luò)間諜上被西方國家單方面指責(zé)和攻擊的局面。

根據(jù)360安全人員的分析，我國的科研、政府、能源、軍工行業(yè)是海外APT組織的主要攻擊目標(biāo)。這些APT組織對目標(biāo)機構(gòu)中包含2016、2015這些年份的文件或包含軍工、涉密、保密字眼的文檔都極為有興趣，一般都會進行打包外傳。

3 形勢變化令傳統(tǒng)安全手段應(yīng)對乏力

根據(jù)美國運營商Verizon的報告，黑客組織侵入一個機構(gòu)，最短只需要用幾秒、幾分鐘時間，長得也不過幾個小時，數(shù)據(jù)也往往在數(shù)小時內(nèi)被竊取，但我們發(fā)現(xiàn)被入侵、數(shù)據(jù)別泄露，以及采取措施緩解損失，需要多久呢？可能是在幾天、幾周之后，長的可能幾個月之后。或者根本就不知道出現(xiàn)了失竊密事件，直到第三方發(fā)現(xiàn)告知才采取行動。

政府等機構(gòu)每年都投入巨資，為何沒有解決數(shù)據(jù)泄密的問題？這是因為在現(xiàn)在的環(huán)境下，傳統(tǒng)的壘長城式的防護思路已經(jīng)不再奏效。

在互聯(lián)網(wǎng)+時代，萬物互聯(lián)，安全形態(tài)已完全不同:首先，網(wǎng)絡(luò)安全的范疇被擴展，安全設(shè)備要防護的不再僅僅是PC，還有打印機、復(fù)印機等各種終端，還有聯(lián)網(wǎng)的核電、核工業(yè)，以及正在出現(xiàn)的各種新型系統(tǒng)。其次，傳統(tǒng)安全邊界下在在失效，移動、云計算的部署改變了IT形態(tài)，數(shù)據(jù)已突破了傳統(tǒng)的安全邊界。第三，具有針對性的高級威脅增加，這主要包括APT、零日漏洞、針對性攻擊，而攻擊者對相關(guān)行業(yè)很熟悉，攻擊持續(xù)時間會很長，且用了很多精力來進行偽裝。

現(xiàn)在很多基礎(chǔ)設(shè)施安全的對手并不是一般意義上的黑客，而是國家級的黑客組織，技術(shù)環(huán)境的變化和黑客組織的更高級攻擊手段，使得傳統(tǒng)的安全防守手段已經(jīng)無法奏效。

4 用大數(shù)據(jù)手段解決數(shù)據(jù)泄露挑戰(zhàn)

對于這種新形勢，我們應(yīng)該如何防范數(shù)據(jù)泄露呢？我們認(rèn)為，大數(shù)據(jù)的手段可能是我們應(yīng)對當(dāng)前安全挑戰(zhàn)的有效手段。

這里面有個安全理念的轉(zhuǎn)變:那就是從安全防護轉(zhuǎn)向檢測與響應(yīng)。

面對新型、頻發(fā)的高級威脅，沒有任何機構(gòu)是絕對安全的，指望通過安全防護將黑客組織阻止在系統(tǒng)之外，已經(jīng)是不太現(xiàn)實。因此，國際上一直都在倡導(dǎo)將重點轉(zhuǎn)向安全檢測與響應(yīng):在最短時間內(nèi)檢測到攻擊，并進行及時處置和響應(yīng)，將數(shù)據(jù)泄露的損失降到最低。在攻防失衡的情況下，這是網(wǎng)絡(luò)安全的務(wù)實選擇。

要實現(xiàn)快速的檢測與響應(yīng)，掌握豐富的數(shù)據(jù)非常重要。在現(xiàn)在背景下，從單點上很難看出攻擊者的真實目的，只有把所有的點連在一起，才能看到真實的問題。一次安全事件所利用的漏洞或者樣本，可能在互聯(lián)網(wǎng)上已出現(xiàn)過。利用互聯(lián)網(wǎng)上的海量安全數(shù)據(jù)，可以更快發(fā)現(xiàn)甚至預(yù)防安全事件，避免或減少數(shù)據(jù)泄露。

我們提出了“數(shù)據(jù)驅(qū)動安全”的創(chuàng)新安全理念，其思路就是用大數(shù)據(jù)的方式來解決當(dāng)前的安全挑戰(zhàn)。一方面是通過海量的互聯(lián)網(wǎng)安全數(shù)據(jù)，形成豐富的威脅情報，然后推送給用戶的安全設(shè)備。另一方面是幫助用戶在本地進行全量的數(shù)據(jù)采集。這樣，針對本地網(wǎng)絡(luò)或者終端出現(xiàn)異常狀況，可以通過與威脅情報的關(guān)聯(lián)比對，進行識別和發(fā)現(xiàn)。在政府和企業(yè)內(nèi)網(wǎng)與終端，出現(xiàn)的任何安全漏洞、數(shù)據(jù)泄露問題，就可以被及時發(fā)現(xiàn)和處置。

基于“數(shù)據(jù)驅(qū)動安全”的理念，我們打造了多款創(chuàng)新性的產(chǎn)品，其中包括新一代威脅感知系統(tǒng)——天眼，可以實現(xiàn)未知威脅的發(fā)現(xiàn)、溯源、分析等功能。2015年，360天眼實驗室發(fā)現(xiàn)29個海外APT組織，就是這套系統(tǒng)的所建立的奇功。