态势感知&“裸奔”的中国人 | 专访 360 张翀斌
网络世界里的态势感知,听上去有些玄幻。有人觉得这是一种俯视世界的上帝视角;有人觉得这是一种禅定参悟的境界。 而在真正的网络安全从业者眼里,态势感知远不是这么浪漫。甚至它可以被概括为:谁特么在搞我,他究竟怎么搞了我。不过正是因为这种务实的态度,让中国的态势感知技术正在一步一个脚印地进步。 那么,究竟态势感知系统怎样发挥作用?雷锋网宅客频道专访了360企业安全副总裁张翀斌。常年指挥一线作战的他,经历过很多血雨腥风的故事。 【360企业安全副总裁张翀斌】 不知道你是否玩过那个坑爹的游戏:一个飞机场上空有无数架飞机等待降落,你的任务就是在有限的时间内,合理调度众多飞机的飞行路线,让他们不至于相撞。 这需要游戏者保持一种对于全局的警醒状态,一旦局部出现危险,就要马上感知并且处理。 这就是态势感知。 公认的态势感知概念是:在特定时空下,对动态环境中各元素或对象的觉察、理解以及对未来状态的预测。“态势感知”这个词最早源于军事。美国研发的各类导弹预警系统,就是这个概念最初的应用。被我们抵制的美国萨德导弹系统,配备了高功率的探测雷达,可以对中国北部大部分地区进行监控,这正属于态势感知系统。 张翀斌说,感知是采取下一步行动的基础。从防御者的角度看,要想防得住,首先要感受到。 这种认识在各国都在竞争的网络空间表现得更为明显。那么在赛博世界里,我们中国的感知能力又如何呢? 先来说说伊朗的故事,历史上一个著名的态势感知战例就是“震网病毒”。 2010年,美国利用一个U盘中的病毒,层层突破伊朗核设施相关的专家电脑、办公网络、管理网络,最后直达核设施离心机控制设备。美国黑客利用巧妙的技术层层突破,这个过程持续了一年以上。伊朗方面对美国黑客的态势感知就是:没有任何感知。 一张时任伊朗总统内贾德参观核设施的照片上,清晰地显示出了当时在“震网病毒”的作用下,两个离心机发生未知故障,而这张照片里的所有人,当时都被蒙在鼓里。 【时任伊朗总统内贾德视察核电站,红圈内的红点表示有两台离心机已经无故损坏,后证实为震网病毒所为】 。 。 。 别急着笑话内贾德。在中国,我们的情况并没有好太多。 我们刚刚知道自己裸奔对我们来说,在斯诺登揭露美国入侵手法之前,我们对美国攻击入侵的手法知之甚少。个人观点,我们和美国在网络空间安全方面有十到十五年的技术差距。 张翀斌说。 他为雷锋网宅客频道列举了一个实际发生的案例。 去年在为某个部委服务的时候,我们发现了一个线索。 这个线索只是日常巡检分析的时候出现的小小告警——提示我们有一个漏洞被利用。我们根据这个线索进行查询,发现通过这一个漏洞,有人做了一件“大案”。 黑客通过这个通道,下载了一个压缩文件。经过部委同事检查,这是一个非常敏感的文件。其中包括了应用系统的源代码,还有下属单位三年的财务数据。 我们继续追查,找到了之前四年的日志数据,发现在这段时间内,这个文件已经被下载了四次。 经过相关部门授权,张翀斌和团队对嫌疑人进行了追查,详细描述了黑客的“画像”,交给相关部门处理。 像这样的案例,张翀斌经历了无数个。 这些黑客组织有的来自境内,有的来自境外,所盗取的信息都非常核心。实际上,基于我们整体的网络安全水平,我知道一定还存在我们没有发现的入侵。 作为一个资深的网络安全专家,他并没有粉饰,而是描述了自己眼中的事实。正是因为落后,才让张翀斌有了奋起直追的斗志。 真实世界里,究竟谁在搞我们?张翀斌说,360的态势感知产品,主要服务于党政军和大型企事业单位,所以他看到的是一片血雨腥风的攻防场面。 业内按照攻击能力把威胁分为四级。 第一级是国家安全层面的入侵。 这类黑客的能力最强。美国、日本、欧盟都在重金投入发展自己的网络安全能力,连我们的友好邻邦朝鲜的网军,实力都不容小觑。 在之前被维基解密曝光的 CIA(美国中央情报局)黑客工具,可谓无坚不摧。这些工具可以用25种方法入侵 Android,用14种方法入侵 iOS,还可以把三星电视变成窃听器,攻击智能汽车,什么路由器、智能硬件都不在话下。而最近著名的黑客组织 Shadow broker 更是爆出来 NSA(美国国家安全局)可以用多种方法入侵几乎所有版本的 Windows。 【NSA 掌握着几乎所有 Windows 版本的致命漏洞,随时可以无感知地攻击网络上的任意电脑】 对于中国来说,斯诺登曝光的棱镜计划显示,美国曾经在中国的骨干网路由器节点截获流量进行分析。2016年,360曾经发布了一份报告,曝光了36个针对中国的黑客组织,它们攻击的主要目标,是我们的政府、基础设施、教育科研机构和大型企业。 第二级是恐怖组织。 这类黑客的水平次之,但是有很强的组织性。 一旦成功,会造成巨大的损失。传统的恐怖袭击可能是在地铁中放置毒气弹,但未来的恐怖袭击很可能通过网络攻击让地铁撞车。在恐怖分子眼里,一根网线就能做到的事情,比携带炸弹看上去牛多了。 第三级是有组织的犯罪。 例如通过黑入银行系统,获得用户的存款账户信息和转账记录,然后进行有针对性的诈骗和进一步黑客攻击。例如得知某人为大企业负责人,黑客就可能会利用掌握的银行账户信息对他的企业进行进一步的渗透。 第四级是独立的黑客和个人。 这些黑客往往目的不十分明确,技术能力也参差不齐。 张翀斌说,最近几年第一级第二级这类高级别的黑客攻击在大幅增加,“黑产+公司”的有组织进攻也在增加,而以前流行的个人英雄主义的黑客活动反倒减少了。 中国安全研究员的使命,就是尽力发现各种姿势的入侵,也就是“态势感知”。你可能会好奇,安全研究员是如何感知到系统被入侵呢? 和黑客的战争,态势怎么被感知?由于经常领导一线的黑客攻防战争,张翀斌非常熟悉态势感知的全流程。 他告诉雷锋网,一般情况下,为一个机构做态势感知服务,需要五个岗位。分别是: 安全监控(这位童鞋需要每天在现场,实时监控系统有没有报警) 漏洞验证(对发现的漏洞利用线索进行追查,确定背后是否有黑客的蛛丝马迹) 数据分析(需要在大量的流量和日志数据中发现攻击线索并进行分析,如果碰到病毒样本,现场一般没有条件分析,需要扔给云端环境来做,最后才能综合做出判断) 信息通报(把威胁态势汇总成为制式文件,向相关部门通报) 事件处置(对于系统漏洞进行打补丁,升级 WAF防火墙,根据情况对黑客进行追踪等等) 这其中,最核心技术的就是数据分析。简单来说就是找到是谁,怎么搞了我。 【态势感知的岗位分工】 为了搞清楚这个问题,需要几个重要的东西:人和数据和平台。 例如在文章开始举的例子,通过系统过去四年的日志,才推测出了敏感文件被下载的次数和去向。这就是历史数据的重要性。 而仅仅有这些数据,还是不够的。要从浩如烟海的数据里,快速检索出可能有问题的操作,需要一个态势感知专用的计算平台,通过安全研究员设置的规则和条件,智能筛选出可疑的数据供研究员查看。 而所有的一切,背后都是安全研究员的智慧。在整个态势感知的过程中,安全研究员的经验和判断起到了重要的作用。 (编辑:ASP站长网) |