大數據、云計算、物聯網、人工智能等新一代信息技術的應用,給我們帶來便利的同時,也帶來了新的網絡威脅。今年,影響全球的網絡安全事件此起彼伏,這些事件告訴我們,感知安全威脅變得越來越困難,我們必須回到安全的本源和原點思考,讓安全從零開始,重新審視網絡安全的思想、方法、技術和體系。我從三個層面談談對網絡安全的思考:行業危機、產業巨變和創新爆炸。
一、行業危機
近年來,全球網絡攻擊事件不斷,每次事件被攻擊的機構用的都是安全公司提供的產品和技術。這說明我們的安全市場出了問題。
2017年5月12日,“永恒之藍”勒索病毒席卷全球,波及到了150多個國家。短短一天內,英國醫療系統、美國快遞公司、俄羅斯內政部、西班牙電信公司,以及中國的部分政府部門和加油站等公共服務機構都被攻陷,超過10萬家企業和公共組織被感染。但令人欣慰的是,全球數十億個人電腦卻躲過了這場災難,很少有中招被勒索的。
企業和政府機構的防護能力比個人用戶更強大,但卻大規模中招,這說明我們的防護技術失靈了。
今年8月,同樣的勒索蠕蟲的變種入侵了臺積電,幾小時內三大基地的生產線全數停產。受病毒攻擊影響,臺積電三季度可能損失1.7億美元營收。
臺積電的內部生產線采用的是隔離網,很多人認為只要網絡不與互聯網連接就能避免攻擊,但事實證明隔離網也不再是避風港。
前兩年的烏克蘭斷電事件也是典型例證,電力系統是高度隔離的網絡,但在2015年12月和2016年12月,烏克蘭電力系統兩次遭到攻擊,都導致烏克蘭包括首都地區大規模停電。
這一系列攻擊事件告訴我們,隔離網也失靈了。
現在普遍認為,“永恒之藍”勒索病毒來源于美國國家安全局(NSA)被泄漏的網絡武器庫。2016年8月,黑客組織“影子經紀人”聲稱攻破了NSA的系統,獲取了他們的網絡武器庫,勒索病毒“永恒之藍”就在公布的第四批黑客工具中。
不只是NSA遭到過黑客攻擊,美國中央情報局(CIA)也未幸免。2017年3月,維基解密發布了近9000份美國CIA的機密文件。這些機密文件顯示,CIA網絡情報中心擁有超過5000名員工,設計了超過1000個黑客工具。利用這些工具可秘密侵入手機、電腦、智能電視等眾多智能設備。
這兩起事件告訴我們,最強安全部門的防護也失靈了。
企業防護系統、隔離網、最強安全部門的防護都失靈了,安全行業面臨空前危機。防不住的原因一般有兩個:要么是技術退步失傳,要么是技術陳舊落伍,答案顯然是后者。
為什么技術會落伍?我認為,是信息化系統架構的巨變,導致了技術落伍。
從20世紀80年代個人電腦發明和普及,到20世紀90年代互聯網技術成熟,再到2000年互聯網應用普及,再到2015年大數據和云計算的技術成熟普及,企業網絡從專網,到專網與互聯網并行,再到今天專網與互聯網融合,網絡安全問題已經從傳統IT時代的網絡安全過渡到互聯網時代的網絡安全問題,網絡安全企業沒有跟上這個時代發展的步伐。
在這樣的形勢下,網絡被徹底打開,傳統邊界屬性改變,傳統的IT安全架構已經跟不上時代發展,我們需要探索全新的安全解決方案。
二、產業巨變
新時代,安全產業將成為風口行業,這是我根據風口行業的特征做出的判斷。風口行業有四個顯著特征:高動能、強風力、長周期和巨頭誕生。
以互聯網行業為例,用戶數量連年增長、需求爆炸。根據中國互聯網絡信息中心(CNNIC)最新發布的報告,截至今年6月,中國網民從2000年的2250萬增長到8億,18年間增長36倍,互聯網普及率從1.78%增長到了57.7%,增長32倍,它是互聯網風口的高動能;互聯網也一直是資本熱捧的行業,中國互聯網協會、工信部信息中心聯合發布的2017年中國互聯網企業100強中,55%為上市公司,其中4家企業位列全球互聯網公司市值前10強,每個人都能感受到互聯網風口強大的風力。
在互聯網持續高增長15年之后,在大眾創業、萬眾創新的驅動下,互聯網+創新不斷,資本還在源源不斷地涌入,表現了互聯網風口的長周期;當然,誕生了阿里、騰訊這樣幾萬億市值的行業巨頭更是有目共睹。
同樣的邏輯,安全行業也具備高動能、強風力,可預計一定會是長周期和巨頭誕生。
先談高動能。首先是國家安全的推動,沒有網絡安全,就沒有國家安全,網絡空間已經成為了大國角力的新戰場;其次是在第四次工業革命的推動下,工業生產的個性化定制、網絡化協同、產品與服務的網聯智能,都把網絡安全推到風口浪尖,以往買東西只衡量性價比,以后買東西要安全第一;還有產業強制性法規的推動,比如歐盟的《通用數據保護法案》(GDPR),我國的《網絡安全法》等法律法規的實施。
更重要的是,我們正處于從消費互聯網向產業互聯網和萬物互聯時代轉變的時期,終端從PC和手機變成了萬事萬物,數量從幾十億變成幾千億。更多的連接點意味著攻擊面擴大,安全風險加劇,安全防護需求爆炸。
再看下強風力。Gartner的一份最新預測報告顯示,2017年全球網絡安全產業規模達到989.86億美元,較2016年增長7.9%。
安全牛統計了排名前200家獨立的安全公司和大型IT企業的安全業務部。結果顯示,2017年網絡安全市場的增速是30%。他們預測,到2022年中國網絡安全市場規模將超過1000億元人民幣。
企業不斷提高網絡安全在IT支出中的占比是市場擴大的推手:全球平均為3.7%,美國是4.8%,中國是1.1%,我們和美國相差4倍。其實,我國重要的企業、國家關鍵基礎設施的網絡安全投資占比遠遠高于這個比例,達到10%以上。
如果未來網絡安全在IT支出中的占比進一步提升,年增長率保持在30%左右,每三年市場就會翻一番,那么十五年后就是32倍,按照現在350億的基數,未來就是近萬億的市場。
這是第四次工業革命帶給我們的機遇。每一次工業革命爆發之后,都帶來了長周期的高速增長。第一次工業革命是蒸汽機的發明,機器替代了手工,風力持續了80年;第二次工業革命是電力的發明,小型自動化的機器替代了大型機器,風口同樣持續了80年;第三次工業革命是計算機的發明,自動化代替了電氣化,風力持續了60年。現在第四次工業革命剛剛起步,可以判斷風口行業至少將保持幾十年的高速增長。
在這個萬億級市場里,一定會出現巨頭公司。現在我們和全球排名前列的網絡安全公司差距并不大,誰能抓住第四次工業革命的機會,誰就能成為行業巨頭。
三、創新爆炸
抓住第四次工業革命的機會,我們需要用創新的方法。我總結了安全大腦+“四新”,用安全大腦打造新戰力、新戰具、新戰法和新戰術。
第一,提升新戰力,用數據驅動安全大腦,用安全大腦驅動安全構建多級網絡安全監測平臺,形成新體系。早在2015年,我們就創新推出了“數據驅動安全”的技術理念,以攻防技術研究為基礎,利用大數據技術和威脅情報構建以檢測和響應為核心的積極防御能力。
現在用安全大腦驅動安全會更準確。雜亂無章的數據,并不能自動地識別安全事件,我在前幾年嘗試使用規則引擎來進行計算。比如2014年導致CEO辭職的塔吉特百貨網絡被入侵事件,攻擊者先是通過控制塔吉特合作廠商的機器,竊取證書訪問塔吉特的Web應用,利用其漏洞控制了Web應用服務器,再以此服務器為立足點,訪問網絡內的活動目錄,收集機器信息,在服務器內存中得到了管理賬號的訪問令牌,從而控制了活動目錄的服務器。
到這一步,攻擊者已經基本控制了塔吉特的網絡,他們通過訪問網絡中的數據庫服務器,竊取了7000萬用戶數據,還在所連接的POS機器上植入惡意代碼,收集到4000萬銀行卡信息。在整個攻擊活動的環節中,對于異常的活動目錄和用戶數據庫訪問,我們通常有基于統計和日常基線的規則來發現可能的攻擊。
規則就像單位的制度、國家的法律,不管多復雜,都是可枚舉的、有限的,所以經常有人鉆制度和法律的空子。在傳統社會被鉆空子,有危害但可以承受,補救方法就是完善制度和法律。歐美國家還用陪審團制度來彌補規則不足,用人的大腦主觀判斷有罪與否。
安全大腦就像陪審團的法律大腦,它是通過常識知識訓練過的思維來判斷合理、不合理,合法、不合法。安全大腦第一個功能是收集大數據,包括主動采集和傳感器自動上傳,并把它存儲在安全大數據中心;安全大腦的第二個功能是學習,通過以往曾出現的漏洞和網絡攻擊實例,用機器學習的方法,訓練出數學模型,用于大數據中心的深度分析;安全大腦的第三個功能是發號施令,把感知到的異常流量和捕獲的攻擊威脅,變成快速響應的指令,能更有效應對未來不斷變化、日益增長的安全威脅。
第二,研究新戰具,以數據安全為主要場景,依托安全大腦,發展第三代“查行為”的網絡安全新技術。在社會信息化三十多年的發展過程中,出現了網絡攻擊的三次浪潮,也隨之誕生了三代網絡安全核心技術。
1985年-2000年,網絡攻擊主要以磁盤介質感染的計算機病毒為主,木馬病毒數量有限,傳播緩慢。當時應對這些病毒的方式,是通過查殺引擎逐一掃描電腦硬盤上的文件,實時與特征庫比對,與病毒特征匹配上了就殺掉,否則就放過。這就是俗稱的“黑名單”機制,我稱其為“查黑”的第一代網絡安全技術。這類技術只能管已知的病毒,并且查殺是滯后的。
2001年以后,隨著互聯網的快速發展,開始大規模出現蠕蟲病毒。蠕蟲病毒破壞性比普通病毒要高得多,短短時間內就能蔓延至整個網絡。2006年,流氓軟件爆發,更把木馬數量進一步推高,每天新增樣本數量從1萬個上漲到峰值時期的近1000萬個。
傳統安全公司再也無力及時分析每日上千萬個樣本,導致病毒庫無法及時更新;另外,病毒的傳播速度變得極快,傳統殺毒軟件滯后幾天甚至幾周才能殺掉病毒,變得毫無作用了。在這樣的背景下,360創新發明了第二代“查白”的網絡安全技術,首次把搜索引擎、云技術、人工智能等互聯網技術應用于安全領域,建立了全球最大的白名單文件數據庫,只要這個文件不在白名單中,它就很可能是新的木馬病毒。從“非黑即白”變成“非白即黑”,效果是很顯著的。
2015年前后,APT攻擊成為主流,出現了大量“白利用”攻擊手段,利用已知或未知的系統漏洞,把惡意程序注入到系統白文件中,操縱系統文件對系統進行攻擊,讓安全軟件看上去是一個系統文件的正常操作,好比我們守著安檢門,但黑客跟隨有免檢證的人走了VIP通道,安全技術再次進入顛覆期。
所以,我們又創新提出了用依托安全大腦“查行為”的第三代網絡安全技術,白名單只能作為參考依據,而不再是無原則的信任清單。通過盡可能全地收集大數據,安全大腦對每個樣本ID、IP、流量進行計算,判斷行為是否合法,把可疑行為找出來告警,行為分析至關重要。
第三,錘煉新戰法,圍繞“人是安全的尺度”,形成人+安全大腦協同運營的新方法。首先,網絡安全的最主要來源是人,FBI和CSI等機構聯合做的一項安全調查報告顯示,超過85%的網絡安全威脅來自于內部。
其次,網絡安全的本質是人與人之間的攻防對抗,再聰明的機器、再強大的安全大腦也不能取代人。我們幾年之前就組建了機器智能攻防團隊,目前在國際比賽上已經處于領先水平,但還是不能與高手專家比。因為網絡安全是逆向思維,而機器智能是“經驗主義”。
再次,及時告警、快速響應是網絡安全核心問題,需采用“人+安全大腦”的方法,人起到關鍵性作用。現在我們面對的是APT等高級攻擊,攻擊的目標可能是毀掉一個基礎設施,哪怕是只漏掉萬分之一,損失都是不可承受的。爭取100%的檢出率和零漏報率,單純靠手工作業是辦不到的,只能借助人工智能,借助安全大腦。
第四,磨煉新戰術,我們把安全能力分為三種:高位能力、中位能力和低位能力。安全大腦是高位能力,安全管理中心是中位能力,軟硬件安全設備是低位能力。“三位能力”立體聯動是網絡攻擊的克星。今年大會的主題是“安全從0開始”,0意味著“零信任”策略,就是默認不相信任何人、任何設備,哪怕曾經有過授權。回顧以往的安全事件,被攻擊、被滲透的設備幾乎無一例外都是我們授權的可信設備,我們需要建立新的安全體系。
“三位能力”的劃分源于著名的滑動標尺模型,包含架構安全、被動防御、積極防御、威脅情報和進攻反制五個階段,我喜歡叫它“五段論”。
架構安全是在系統規劃、建設和維護的過程中應該充分考慮安全要素,從而構建一個安全要素齊全的基礎架構。
被動防御是建立在架構安全基礎上的,目的是假設攻擊者存在的前提下,保護系統的安全。添加到架構安全上的系統,可以起到阻止或限制已知安全漏洞被利用等作用。
積極防御是分析人員對防御網絡內的威脅進行監控、響應、獲取經驗和應用行動的過程。在這個階段,人的參與是重點。
情報是幫助防御者了解攻擊者的行動、能力及戰術等信息,以便更好地識別威脅和做出響應。
進攻反制指的是以自衛為目的,對攻擊者采取的合法反制措施和反擊行動。
我們從這個演進過程中的能力維度,構建了一個低、中、高“三位能力”系統,這是安全從0開始的最佳實踐。
低位能力相當于人的“五官和四肢”。它位于架構安全和被動防御階段,通過部署終端、邊界等安全產品,實現數據的生產和采集,負責聽、看、聞、嘗、取,以及在大腦指揮下采取動作行動。
中位能力相當于人的“心臟”,以及肝、膽、脾、肺、胃。它位于主動防御階段,包含態勢感知、安全運營、應急響應等,是對海量數據的匯集與分析能力,就像人的“心臟”,不斷輸送血液,為人體供應氧氣和各種營養物質。
高位能力是安全大腦。它位于情報和進攻反制階段,能對中位和低位提供支撐和決策,就像人的“大腦”,負責復雜的思考和下達行為指令。
為了讓大家更好地理解這三位能力,我打個比方。假設4萬個網絡安全防護人員分布在1萬個關鍵基礎設施,平均每個設施上是4個人。如果進攻的敵方也是4萬人,他們不會對1萬個基礎設施同時發起攻擊,而是選擇重點個個擊破,那就是4個人與4萬人的對抗,顯然是守不住的。所以,網絡攻防對抗是不對等的。
怎么解決這種不對等呢?如果把這1萬個基礎設施、4萬個人的能力數字化,集中到一個中心里來,有任何一個點被攻擊,都能實時感知并調度其他點的人力來應對,就是4萬人對4萬人,一盤散沙變成了一支能被靈活調配的集團軍,不對等就變成了勢均力敵。
4萬人分散開來守衛1萬個目標,就是架構安全和被動防御階段要做的事,也是“三位能力”系統里的低位能力;這種把分散能力數字化,集中起來形成能力中心,相當于傳統作戰時的參謀部和前線指揮部,是中位能力;應急響應需要安全大腦,需要威脅情報和進攻反制,是高位能力。
我們正處在新的時代。新一代信息技術應用給我們帶來了新的安全危機,但也讓網絡安全產業迎來了爆發式增長的發展機遇。
來源: 經濟參考報
