威胁情报(Threatintelligence)_重塑安全边界

ThreatIntelligence已经成为安全业界的最新热词，IDC在今年的企业安全报告中就不止一次的提到了ThreatIntelligence，在赛门铁克的报告里则把它翻译成“互联网疫情”，当作互联网领域流行的病毒。而其实在今天的环境里，我们面对的已不仅是病毒木马，还有各种形式的网络供给，如ATP攻击等。因此我姑且把ThreatIntelligence称为“威胁情报”。我们说安全是强调背景的。当你遭到攻击，首先要搞清楚攻击的背景：谁在攻击，为何攻击，何时攻击，如何攻击，是否成功，攻击造成的损失，是否存在关联攻击，以及除你之外是否还有别的攻击对象。如果你不掌握这些信息，就说明你对威胁的评估还远远不够，您只看到了冰山一角，还有十分之九在水面之下。从这个角度来讲，如果你已经成为了攻击目标，ThreatIntelligence（威胁情报）对防御来说就是非常重要的。不知攻击，一切无从谈起。只有掌握足够的资料才能对攻击进行有效分析、做出准确快速响应并从别人过去的响应和响应效果中来得到有效的应对方案。“攻击情报”可以帮助你掌握全局的状况从而节省成本。如果没有外部情报的获取，所有的东西都要自己做的时候，防御的成本势必会比较高。IDC在讲ThreatIntelligence的时候，讲到2015年的第三平台发展趋势，这个趋势是大数据驱动的ThreatIntelligence，这一点非常重要。目前全世界对于新型的攻击的防卫手段都是基于大数据的。而过去的防火墙则是基于一部分数据，因为过去用户对误报的容忍度非常低，在产品建造过程中要防止出现太多误报，所以报警信息是宁可漏报，而不误报。这样就会造成日志分析系统漏掉大量的攻击信息。而在当今的攻防时代，这是难以接受的。从去年开始，全世界范围内出现的新型防御产品，基本上都是基于大数据全流量的分析，大数据已经变成了现代防御的基础。其他安全公司的安全软件和安全设备都可以作为信息源，360的天眼也是这样的产品，将所有的流量都听下来。但有了大数据，不见得就有了智能。2015年还有一个趋势，就是分析。分析是真正的智能——即攻与防的智能，知道别人用什么样的攻击手段，我们才能知道用什么样的检测手段。所谓的ThreatIntelligence，我的理解就是攻防支持。有这种计算能力，才能从大数据的分析中知道谁在攻击、攻击方法、是否已获取信息，这就回到了ThreatIntelligence。大数据的分析和攻防支持都是基本能力，二者叠加才能产生ThreatIntelligence。“威胁情报”的落地之道ThreatIntelligence对于一个企业或者是一个机构是否能有效运作？很不幸，它不能非常有效的运作，除非你的组织足够大，可以养很多人，并且能获得的信息量也很大，只有这样才能让威胁攻击分析真正有效。我们可以为数千家企业搭建了一个很大的网络，将攻击的结果送到公有的云中心。在用户的边界上采集一些流量，进行初步处理之后，将可疑的信息送到云中心，云中心做集中化处理。当发现一些攻击之后，再把这些攻击的特征共享给这个网络中的其他企业。在主流的防御里面，ThreatIntelligence非常重要的一点就是情报分享。它并不是试图在某一个小企业里做这件事情，而是更大的范围。早在五年前，360年在中国互联网用户中做的云查杀就是这样一种功能。有一个用户被木马攻击，360抓到了这个木马的样本，就会提取特征，在云查杀引擎里标注，全网的所有用户都可以拦截这个目标，这本身就是情报分享。企业市场和个人市场有很大的不同。在个人市场，用户被一个木马攻击了，影响有限，企业如果被攻击了，首先是不希望这件事情被别人知道，如果被知晓就会引起对攻击结果的关注，攻击如果造成了损失就会直接影响到相关负责人的业绩甚至是职业生涯，所以企业的真实情况倾向于不做分享。但如果不做分享，情况就像传染病埃博拉病毒的流行一样不断恶化：封闭交流，这个国家会受影响，隐瞒不报，将使事态愈加危险。所以情报分析要解决的问题，关键的一点是“匿名化分享”，这是解决方案之一。当你发现了一个情报，知道被攻击以后，如何进行应对，这也是安全领域非常热门的话题。在今年年初的RSA大会上，我曾见到一个公司的创业产品告诉你应该做什么，但它没有辅助你自动化或者是半自动化的进行应对。而在ThreatIntelligence这个领域之内，还包含了可以帮助用户快速的、自动化的或半自动化的进行反应。相信未来这个领域一定会有产品脱颖而出，这也是一个新的商业机会。美国的FireEye公司已经在ThreatIntelligence方面进行了尝试，他们已有三个级别的产品。第一个级别的产品就是检测和拦截攻击。在匿名的情况下会交换Web攻击、邮件、文件数据攻击的数据。这是最便宜的一级服务。第二级服务是进一步的，比如攻击者的信息，这个恶意软件到底是怎么回事，是谁做的，这个家族还有什么东西，以及可能的动机。第三级加入了一些综合的档案，包括趋势、跟事件相关的信息、与攻击目标有关的信息，而且可以进入它的用户社区，可以在这个社区中进行更多信息的分享。ThreatIntelligence是分级服务，越高级的服务，人的智能越多，针对攻击的分析越多，信息也就越多。在中国，我们要突破的障碍是管理上的，尤其是针对于政府和大国企。其中，主要的麻烦是在于过去的管理制度、出于保密和安全考评的要求，还有信任的问题。在中国，问题的解决需要假以时日，需要不断推动。假如我们还停留在以每家每户解决问题的低水平重复阶段，防御的有效性会大大下降。在过去这些年我们已经看得非常清楚：如果没有“云查杀”技术的快速封堵，今天的安全形势肯定糟糕很多。去年，微软发了一个报告，说中国的恶意软件感染率是全世界最低。原因何在？一是全民安装防毒软件；二是反应快，30秒可以快速查杀。以此看来，通过社区众筹解决问题应该是正确的思路。多样化新边界的防御之术第二个关键词是边界。过去我们所理解的企业边界好似有一个建筑，这个建筑里有企业的内网，互联网出口有一个网关，这是企业的边界，可以放各种东西。今天，边界的概念已经有了非常大的变化。我8月份去硅谷，曾对创业公司的“软件定义边界”产生疑问，后来讲起来，又觉得颇有道理。当我们看到应用软件一级，应用软件在进行通信的时候有明确的特征。除了传统的个人防火墙和应用防火墙之外，应用层面完全可以有自己的定义。在操作系统里，这个应用程序和什么地方可以产生什么样的通讯，用多少关口可以发什么样的指令，有一张白名单。这种思路就已经将防卫的边界拉到了应用的级别。回过头来看今天的企业网络。第一，我们可能会有网站，网站是设在IDC的，这就是一个攻击界面。攻击者通过攻击网站，就可以跟企业内网有所连接，哪怕是单向连接。即便是管理员在维护这个网站的时候，攻击者也同样可以通过挂马的方式进入内网。第二，现在的企业大多设有WiFi网络。WiFi网络破解起来很容易。我们曾经给一些客户做渗透测试，结果半天时间就可以搞定他们的WiFi。WiFi给企业带来了办公的方便，但给企业安全管理带来了巨大的挑战。此外，现在有多少企业可以允许员工用手机收邮件、处理工作流，用pad办公？航空公司的空服人员都已经开始用个人的Pad。当你拿着Pad在咖啡厅里收邮件的时候，企业的网络边界就延伸到了这个咖啡厅，你甚至不知道这个咖啡厅的WiFi是不是可靠的。在北京，我曾经问很多人，如果你去星巴克咖啡，你看到一个AP，你会不会连接？所有人都告诉我他们都会连。但这些AP真的可信的、可靠的吗？再者，现在企业里面有多少智能设备？你的摄像头是不是无线网络连接的？将来还会有越来越多、各种各样的智能设备，它们会不会变成可以被攻破的目标？还有苹果新发的iWatch，这一切都使企业的边界变得交错和模糊了。面对这种多样化的企业边界，过去基于边界的安全防护产品还能起作用吗？在你能够控制的边界上，它或许还有用，但显然已经被大大的削弱。那么，我们该怎么办？下面这张图给出了典型企业应该划定的边界。这并不是说企业应该有一个完整的边界对外，而是说企业的各个系统都有自己的边界，我对边界的管理就应该是管到某一个子系的分系统。比如，企业里的WiFi和企业的有线内网应该是隔离的。对于WiFi的边界要进行管理，对AP热点要进行管理，对于假冒的AP也要进行识别、干扰和查处。邮件，也是一个界面。现在使用加密邮件的人非常少，不管是不是通过HTTPS协议收发邮件，存在邮件服务器上的都是明文。我们前段时间受邀对政府部门进行邮件安全测试，最后有两个省长的邮件被拿下了，而且是整个邮件服务器。这个时候要怎么做？除了对邮件的进出进行更严格的审批，如果邮件系统容易被突破，那么邮件系统肯定就是要考虑加密的。端，也是一个界面。前几年当HTML5很火的时候，很多人都觉得端的作用会逐渐降低。其实，端的作用依然非常之重要。因为攻击者要拿走情报，还是要试图渗透进一个服务器，渗透进某个员工的客户机或者是手机。因此，除了在网络层的防御之外，还需要在应用层，直接把防线由过去边界的网络设备拉到应用终端，把过去边界防御的思想推到端上来。传统的有线网络的边界依然是要做的。但现在，随着私有云和公有云的组合，企业也会租用公有云的服务。而公有云是在某个数据中心上运行的，您并不知道这台虚拟机在哪台实体机上运行的，也不知道它是否还在为其他企业的服务。如果同一台服务器上某个企业的网站被入侵，就可能造成旁路攻击，也会攻击这台实体机上其他的虚拟机，这个时候传统的防御是无效的。基于云的安全防御也变了，你的边界可能跟你的邻居是共享的。即使没有用公有云，我用了私有云，那么私有云和共有云之间的业务也需要进行隔离？云给你带来的好处是在进行资源调度的时候，你甚至不知道它在哪里，但这些也是新的挑战。我们今天的观念是：一、新的安全边界会延展到端上；二、传统的网络边界，包括出口的路由器、核心交换机、各种网络安全设备等等；还有云计算的技术架构本身，边界防御思想也要推到云计算的架构内部，在它的防御思想上加入边界防御的思维。新安全之境ThreatIntelligence和边界防御有什么样的关系？前面说的所有内容都是威胁情报的采集点。过去的采集点是远远不够的，今天的采集点要延伸到上述的各个界面。在端上，各个应用程序的通讯特征是不是要进行采集？甚至一个应用程序内部的核心调用、程序的执行逻辑之间的关系是不是可以记录下来以便进行大数据分析？这些已经扩展了ThreatIntelligence的来源。过去的防御思想，哪怕是FireEye这样的防御思想，都是在企业的互联网出口拦一层，将企业的文件拿出来扔到“沙箱”里面去跑，但谁能保证这个沙箱的运行环境和客户的机理是一样的？所以在用户的运行环境中进行检测将是更加有效的方法。这也是为什么我们需要把这两个概念融合在一起：一是重塑边界，边界的概念已经超出过去传统的边界；二是这个边界要和ThreatIntelligence这个智能的信息搜集和分析系统融合起来；最后ThreatIntelligence靠的是人。情报的分析最终是靠人的分析，安全最终是一种服务。在中国，有能力做这种分析的人有多少？业界答案是只有几千个人。而面对的要防御的企业有多少？不包括中小企业恐怕也有几十万的量级。那么这个问题的解决出路就是进行信息共享，不仅是情报信息的共享，还包括背后的人力资源的共享。现在最有效的方法就是云。那么对于企业的信息安全保密的问题怎么解决？那就是建私有云，建立可信范围之内的私有云。如国家信息中心本身就在建政府内网、政府外网，可以在部委的体系里建立私有云中心，在几十个部委中共享这些信息，这个体系中的若干家单位是互相信任的，共享这些支持，这可能会有效的防御攻击。更大量的用户可以享受公有云服务，尤其是中小企业的信息保密要求远远没有那么高，最好的性能价格比的服务是最有吸引力的。另外，即便是私有云系统，也可能跟公有云系统连接。比如用户遇到一种木马，360这样的安全公司就可以提供更高级别的分析，找到它的流行渠道以及跟它相近的木马。所有这些都只有在拿到更大量信息的基础上，才能做出更有效的分析和防御。在部门的信息保密和安全之间，最终要