第三代浪潮的攻防戰

李昊原

2017年6月27日，不少烏克蘭的企業感染了新的勒索病毒，攻擊源頭是烏克蘭知名的財務軟件M.E.Doc，黑客在源代碼中植入了切取數據的后門，隨著軟件更新，廣泛使用該軟件的企業紛紛中招。360企業安全集團副總裁左英男說，雖然源代碼安全檢測類產品可以檢測到這類缺陷，但類似這樣的軟件供應鏈攻擊方式讓人防不勝防。

360企業安全集團董事長齊向東日前在貴陽數博會網絡安全高端論壇演講中，將網絡攻擊的發展分為了三個階段，最初是“小球病毒”“救護車病毒”等，更像是惡作劇;“熊貓燒香”等以竊取隱私、錢財為目的的是第二次;從2015年開始網絡攻擊的復雜性和多樣性提升，尤其是針對大中型企業和政府部門。有目標、精確、持久隱藏的ATP攻擊（高級持續性威脅），攻擊入侵的路徑也并不局限于互聯網，還可通過移動介質、內部網絡橫向傳播，并和社會工程學等手段相結合。

網絡攻擊的破壞性也在增大。據稱幾乎每個在線游戲在公測的一個月內，都會受到攻擊，除了層出不窮的外掛與黑產，競爭對手的攻擊也不在少數：電商、在線教育也是網絡攻擊的重災區，業務活動時常收到DDoS攻擊（分布式拒絕服務攻擊，消耗對方的系統資源使之難以提供服務）的影響。網絡攻擊甚至被應用于國際政治活動，“震網”史無前例地破壞了伊朗的核研究設施，而希拉里“郵件門”則一舉扭轉了美國大選的走向。

唯快不破

齊向東說，數據正成為企業核心的資產，數據安全也上升成為企業安全乃至國家安全的重要組成部分。即使如Facebook這樣的巨頭，面對數據泄露事件依舊焦頭爛額，而《網絡安全法》和今年5月實施的GDPR等法規，也讓數據安全的重要性從違規提升到違法，乃至巨額罰款的程度。在左英男看來，企業上馬云計算和大數據等項目，提升了業務效率和數據價值，但也帶來更高風險。今年4月，他的十幾名同事在某省的兒童醫院，花了三天三夜時間幫助醫院處理安全問題。這家醫院的業務系統遭受了勒索病毒的大面積攻擊，病人的病例數據被加密，醫院不得不停止接待病人。正如科技進步不可阻擋，網絡攻擊也正變得“無堅不摧”。以前通過病毒庫進行“黑名單”查殺就是有效的解決方法，后來指數級增長的病毒讓安全技術開始力不從心，而此時已經防不勝防了。

360企業安全對此有四個假設。系統一定有未被發現的漏洞，在過去一年360就給微軟、蘋果、谷歌、Adobe、VMware等5家巨頭提交了519個漏洞：一定有已發現但仍未修補的漏洞，存在時間差;系統已經被滲透;內部人員不可靠，尤其是業務外包人員，更容易成為攻擊的目標。

“網絡安全攻防是一個不對稱的戰場，防守方要多點全面防御，而攻擊者只要突破最薄弱的一點，稍不注意別人就能突破進你的IT系統。”左英男介紹，一個組織的安全能力可以分為五個階段：架構安全、被動防御、主動防御、威脅情報、進攻反制，每一個階段的安全能力都在前者基礎上疊加演進。當人們普遍接受系統很可能會被滲透進來的客觀現實之后，如何保護數據不泄露，成了新的問題。

做英男安全的本質是人與人的對抗，人是諸多安全問題的根源，也是解決安全問題的關鍵

“即使攻擊者進了你的網絡或系統，在系統中找到你的關鍵數據資產也需要時間。如果我們能夠通過快速的檢測和響應，在攻擊者偷走你的數據或造成破壞之前及時發現攻擊者，并迅速響應處理，那么你的數據資產還是安全的。”如果說進攻方打的是發現漏洞和企業修補漏洞的時間差，防御方則是打被滲透和對方竊取數據的時間差——攻防雙方的戰術恰如一句臺詞：天下武功，無堅不摧，唯快不破。

快速檢測和快速響應屬于主動防御，在損失發生之前解決問題。再進一步，威脅情報可以幫助企業了解進攻方，在情報有效及時的情況下，甚至可以通過合法的手段反制。

“大數據+”安全

主動防御的重點在于威脅的持續檢測和應急響應，攻擊者無論如何隱藏自己，都會在網絡和系統中留下蛛絲馬跡，只是往往這些痕跡無法被傳統的基于特征的檢測技術識別為攻擊。2015年，360企業安全就提出了“數據驅動安全”的理念，依托大數據技術獲取的長期行為數據，建立行為基線，然后通過采用威脅情報、機器學習、人工智能的方法進行行為分析，及時發現偏離行為基線的異常行為，實現快速的威脅檢測以方便安全分析和響應人員及時采取措施。

而支撐上述主動防御高效快速的重要基礎，是360積累10多年的安全大數據。目前360在全球有6億PC端和8億移動端用戶，收集的惡意樣本總數超過150億、每天新增惡意樣本900萬。“把惡意樣本放到沙箱中運行，然后收集這些樣本的行為數據，比如調用了哪些函數、訪問了哪些網絡、啟動了哪些進程、打開了哪些文件等，在這些行為數據的基礎之上，在大數據平臺中利用機器學習算法，進行威脅建模和關聯分析，然后或許你就會發現，幾萬個惡意樣本來自同一個攻擊組織。”威脅情報是提高高級威脅檢測效率，縮短檢測時間的利器，360利用安全大數據、機器學習和人工智能的行為分析技術生產的威脅情報，通過在線或離線方式推送到客戶側的產品、服務、平臺。

“大數據+”的安全能力，不僅可以檢測威脅，還可以對威脅進行溯源。企業的數據能力可分為高中低三個檔位，低位數據能力建立在架構安全和被動防御的基礎上，核心是數據的采集能力，企業將終端、網絡安全設備、系統和應用等的數據進行充分的采集，這是構建“大數據+”安全能力的基礎。中位數據能力屬于主動防御的范疇，企業需要建設基于大數據的安全運營平臺，這個平臺起到了“大腦”的作用，對采集的數據進行建模分析和檢測，并指揮被動防御階段建立的安全設備協同聯動，完成響應處置的動作。高位的數據能力，即360企業安全基于安全大數據構建的威脅情報，可以提供給企業用于檢測分析。

在企業建立完整的大數據安全運營體系，首先要判斷企業所處的安全能力階段，然后根據現有的安全投資狀況，補足低位的數據采集能力后，才能逐步建設中高位的數據能力。左英男重申了“人是安全的尺度”，安全的本質是人與人的對抗，人是諸多安全問題的根源，也是解決安全問題的關鍵。“我們幫助企業有效地解決安全問題，完整地構建安全能力，核心是幫他們把安全隊伍給帶起來。”在前期360的安全服務人員會入駐企業并協助企業提升安全運營人員的能力，只有讓客戶的安全運營團隊掌握安全運營體系的檢測、分析和響應能力，大數據安全能力才能在企業真正落地。