譚校長變身網(wǎng)安“老醫(yī)生”:有病還需“新藥”醫(yī)!
第四屆中國互聯(lián)網(wǎng)安全大會(ISC 2016)于8月16-17日在北京國家會議中心舉行,本屆大會由國家網(wǎng)信辦、工信部以及公安部指導(dǎo),中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會和360互聯(lián)網(wǎng)安全中心共同主辦。來自全球70多家網(wǎng)絡(luò)安全相關(guān)機(jī)構(gòu)和企業(yè)的百余位安全智庫和專家參會,本屆大會提倡的核心理念“協(xié)同聯(lián)動,共建安全+命運(yùn)共同體”。
《安全智庫》作為一家定位于沉淀信息安全行業(yè)全新視角的知識庫的安全媒體,受邀參加ISC2016大會,在大會期間有幸采訪到了重量級嘉賓,奇虎360首席安全官——譚曉生。
譚曉生,奇虎360首席安全官,兼任首席技術(shù)官,ISC2016中國互聯(lián)網(wǎng)安全大會執(zhí)行主席。在互聯(lián)網(wǎng)技術(shù)圈子中,早已流傳著一個更顯其本色的稱號——“譚校長”。
譚校長在本屆中國互聯(lián)網(wǎng)安全精英峰會上一改往日學(xué)者風(fēng)范,變身網(wǎng)絡(luò)安全“老醫(yī)生”,發(fā)表《我有病,你有藥么?》的主題演講,向過于強(qiáng)調(diào)漏洞挖掘而忽略防御保護(hù)的安全產(chǎn)業(yè)現(xiàn)狀拋出一塊巨石,可謂是一石激起千層浪。
其實(shí),相比漏洞挖掘,檢測更難做,漏洞挖掘就是在眾多的系統(tǒng)缺陷中查找,而安全檢測是在大量的正常行為中,捕捉異常,在此過程中,還要時刻關(guān)注操作者本身的行為突然變化。因此,檢測需要掌握的知識,以及對抗的干擾要比漏洞挖掘多得多。
《安全智庫》有幸對這位“新晉”網(wǎng)安“老醫(yī)生”做了《檢測技術(shù)路在何方》的采訪,有著多年網(wǎng)安從業(yè)經(jīng)驗(yàn)的他,對安全檢測技術(shù)進(jìn)行了鞭辟入里的分析。
譚醫(yī)生首先對當(dāng)前安全檢測技術(shù)遇到的挑戰(zhàn)進(jìn)行了病理的分析。
第一,用行話講“攻擊面越來越大”。
現(xiàn)在物聯(lián)網(wǎng)和“互聯(lián)網(wǎng)+”,意味著過去不聯(lián)互聯(lián)網(wǎng)的設(shè)備已經(jīng)聯(lián)了互聯(lián)網(wǎng),過去企業(yè)不聯(lián)互聯(lián)網(wǎng)的內(nèi)部系統(tǒng)現(xiàn)在也在聯(lián),導(dǎo)致別人的攻擊點(diǎn)增多,攻擊的系統(tǒng)增多,這是第一個挑戰(zhàn)。
過去操作系統(tǒng)可以裝360安全測試,裝McAfee,裝殺毒,現(xiàn)在手環(huán)怎么防護(hù),攝象頭怎么防護(hù),或者是汽車怎么防護(hù),根本沒有額外地方裝防護(hù)軟件,新的問題就會冒出來。社會對互聯(lián)網(wǎng)依賴越來越大,各類物品都在聯(lián)網(wǎng),防御形態(tài)必然變了。
第二,產(chǎn)業(yè)形態(tài)在發(fā)生變化。
原來windows時代,大家有清晰的分工,操作系統(tǒng)做操作系統(tǒng),安全做安全,鐵路警察一人守一段,分工合作。但是今天移動互聯(lián)網(wǎng)時代,大家都拿一個手機(jī),一般老百姓對安全的感知沒有windows時代那么強(qiáng)。如果十年前用windows不裝殺毒軟件分分鐘被木馬搞定,瀏覽個網(wǎng)頁木馬就進(jìn)去了,現(xiàn)在手機(jī)哪怕很長時間不裝安全軟件也不會中招,情況已經(jīng)變了。手機(jī)是相對封閉的市場,安全門檻還是比較高。
提供APP Store的廠商為了吸引更多的用戶,非常注重自己的商譽(yù),就做了安全檢查,木馬就不那么容易碰到,不會隨便上網(wǎng)就中木馬。安全的確比原來好了很多,副作用是用戶覺得安全沒那么重要,覺得哪怕不裝安全軟件,或者裝一個不知名的安全軟件,過一段時間也沒出事,安全效果差不多,但這很危險,防御有差別,一旦中招損失就會非常大。手機(jī)與網(wǎng)上銀行關(guān)聯(lián),或者是隱私信息關(guān)聯(lián),造成的損失會很大。只是中招概率沒有那么大,消費(fèi)者意識也就沒有那么強(qiáng),在移動互聯(lián)網(wǎng)時代,我們在安全防御上遇到很大的困境。其一是用戶安全感知不明確,其二是手機(jī)制造商不提供安全軟件管理權(quán)限。
第三,攻擊手段花樣翻新。
在全世界上,中國的黑產(chǎn)非常發(fā)達(dá),已經(jīng)形成了一種地下產(chǎn)業(yè),一種可以掙錢的產(chǎn)業(yè),無論是偷個人信息還是直接偷錢。數(shù)據(jù)顯示,UBER在中國市場40%左右的推廣費(fèi)用被地下黑產(chǎn)用拽羊毛方法拽走,他們通過用“假的”手機(jī)模擬耍單拿補(bǔ)貼,40%的數(shù)據(jù)比例很高。我們有一個龐大的黑產(chǎn),有經(jīng)濟(jì)利益刺激,他們愿意這么做,就會想出各種各樣稀奇古怪的攻擊方法。現(xiàn)在攻擊比以前多,但防守方能力卻沒有比以前強(qiáng),用戶也并沒有意識到要有一個好保鏢,這些都會帶來很大的問題。
以前安全技術(shù)以FW/IPS/AV等基于簽名防御技術(shù)為主,但隨著云計(jì)算與大數(shù)據(jù),以及移動互聯(lián)網(wǎng)等新的技術(shù)浪潮的到來,傳統(tǒng)防御技術(shù)已經(jīng)不再適應(yīng)整個安全趨勢的變化,其實(shí)大家都在嘗試研發(fā)新的安全檢測技術(shù),那么安全檢測技術(shù)未來出路在哪里?
神農(nóng)嘗百草,日遇七十二毒,得茶而解之。
譚醫(yī)生笑談,安全檢測技術(shù)的“茶”,有的已經(jīng)看到,有的仍在嘗試。
第一,對于各種各樣的攻擊,當(dāng)你沒有辦法第一時間進(jìn)行有效攔截時,就要退而求其次。看看可以用什么樣的方法能發(fā)現(xiàn)正在進(jìn)行的攻擊,而不是預(yù)警,預(yù)警是攻擊沒發(fā)生之前拉警報,而我們是在有人攻擊的時候,怎么能知道別人正在攻擊我,或者是被別人攻陷的時候,怎么能盡快知道被攻擊了。是否被攻擊5秒鐘時就知道有人攻擊我,或者是設(shè)備被攻陷,1分鐘后有人把該設(shè)備下架。2014年有數(shù)據(jù)統(tǒng)計(jì),系統(tǒng)被攻破,最大比例知道這件事是6個月以后,而處置需要2-7天,這是一般比較好的處置單位。
未來的防御思想變成怎么檢測正在進(jìn)行的攻擊,怎么檢測成功的攻擊,以及加快自己響應(yīng)的路子,這是思路。思路怎么實(shí)現(xiàn)?用大數(shù)據(jù)方法實(shí)現(xiàn)。通過收集網(wǎng)絡(luò)數(shù)據(jù),以及應(yīng)用程序運(yùn)行的行為數(shù)據(jù),把這些數(shù)據(jù)收集,然后進(jìn)行分析。比如說網(wǎng)絡(luò)流量,一個人平時12點(diǎn)睡覺,怎么今天半夜3點(diǎn)還在忙,這個人平時都在北京,他過去也很少出國,怎么今天突然出現(xiàn)在紐約。
基于大數(shù)據(jù)行為異常的判定,這是大家覺察的方向。當(dāng)然,這個方向雖然聽起來很美好,但是實(shí)際做起來非常難。因?yàn)檫@個人真可能是突然別人送他一張美國旅行票,今天可能真有什么事半夜爬起來玩手機(jī)。其實(shí)異常混在用戶正常使用中,如果拉報警拉多了,用戶最后也就不信了。真正的攻擊隱藏在一大堆正常的異常行為里面。這是產(chǎn)業(yè)界和學(xué)術(shù)界努力的方向。
第二,最近這些年很多人認(rèn)為終端作用越來越小,不僅大家都有防火墻以及網(wǎng)絡(luò)設(shè)備,而且終端設(shè)備殺毒也沒那么多毒可殺,但現(xiàn)在情況發(fā)生了變化,終端作用有所提升。上面提到檢測異常行為,希望通過收集盡可能多的行為數(shù)據(jù),終端變成手機(jī)行為數(shù)據(jù)的地方。當(dāng)有攻擊的時候可以最終拿下哪一端,拿下一臺PC或者服務(wù)器,在端里一旦發(fā)現(xiàn)自己被搞定,還有一定概率把對方踢出去。
如果在云上,做大數(shù)據(jù)異常分析,檢測到這臺機(jī)器中招,那有沒有能力下發(fā)一條指令,因?yàn)閯e人攻進(jìn)來并不代表可以完全破譯軟件,有一段時間是并存,所以如果下發(fā)一個指令把它除掉,或者采取其他動作,那就有可能會起作用。
在終端檢測和響應(yīng)這件事情得到了重新的重視,這是一個方向。
第三個方向,美國舉辦的網(wǎng)絡(luò)超級挑戰(zhàn)賽,CGC。它是程序的自動攻防,在隔離的環(huán)境里聯(lián)網(wǎng),一個戰(zhàn)隊(duì)一臺超級計(jì)算機(jī),把程序提交,光盤吸進(jìn)去,然后讀,讀完上去。在封閉網(wǎng)絡(luò)中間比賽,要做到的是機(jī)器自動挖掘漏洞,機(jī)器自動對漏洞生成攻擊代碼,機(jī)器自動對系統(tǒng)加固,然后代打。
主辦方安排了很多攻擊,參加比賽的隊(duì)伍可以對打,最后誰得分最高誰就贏,這也是一個進(jìn)步,這是向攻防自動化方面的研究。但這不是人工智能起作用,而是自動化,是脆弱性挖掘的自動化,攻擊代碼生成的自動化,攻擊的自動化,甚至評估都是自動化。如果安全全靠人,實(shí)際上又沒那么多人可用,我們應(yīng)該想辦法讓機(jī)器盡量代替人,把事情做了。
對于網(wǎng)絡(luò)安全的“病癥”,譚醫(yī)生感慨:“安全總體來說,沒有一招制敵的東西。相比之前,防御者面臨更加困難的處境,大家都在絞盡腦汁想新的防御方法,但是目前為止,攻防還是處于不平衡的狀態(tài)。”
