设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 安全 > 正文

态势感知&“裸奔”的中国人 | 专访 360 张翀斌(2)

发布时间:2017-04-22 17:07 所属栏目:53 来源:雷锋网
导读:一旦确定了某个黑客组织,在相关部门的授权下,张翀斌的团队会对黑客进行溯源和“画像”,包括攻击者常用的工具,平时喜欢登陆那些论坛,他的攻击技能有什么,喜欢攻击什么目标。这种情况下就可以把黑客的信息作为

一旦确定了某个黑客组织,在相关部门的授权下,张翀斌的团队会对黑客进行溯源和“画像”,包括攻击者常用的工具,平时喜欢登陆那些论坛,他的攻击技能有什么,喜欢攻击什么目标。这种情况下就可以把黑客的信息作为威胁情报,如果同类企业再次探测到同一批人的访问请求,就可以直接根据情报把这个特征的访问拒之门外。

正如伊朗核设施被美国攻击一样,黑客进攻往往是从外围的薄弱系统进入,一步步渗透到核心系统。在黑客步步为营的过程中,越早感知到黑客的存在,就越能把损失降到最小。张翀斌举了几个真实的态势感知案例:

某能源企业,被变种蠕虫入侵,进而所有电脑终端的用户名和密码都被黑客获得,最终连无人值守站的密码都被黑客获得。如果黑客的目的是破坏生产的话,他几乎已经成功了。幸亏发现及时,才在破坏的最后一环力挽狂澜。

某国有银行,使用了态势感知服务。安全研究员很快就发现某分行存在一个口令爆破攻击行为。可怕的是,从这个线索追查发现,全国十几家分行都存在这个问题。黑客利用漏洞,正在快速感染更多的银行系统。安全研究员紧急制定了修复策略,才使得损失没有进一步扩大。

在这个银行的例子中,如果提前部署态势感知系统,在黑客刚刚感染一个分行的时候就可以被感知,其产生的影响会比现在更小。

【态势感知内部界面示意】

很不幸,这是一场永无止境的战争

我们的做法是,根据人的经验,每次发现新的攻击方试,就可以固化到平台里,在以后的检测中平台就能够降低对人的依赖。

但攻击者也在升级,如果他们知道我们已经掌握了攻击手段,他们就会换一个。

张翀斌列举了几个态势感知的坑。

1、未知攻击

在很多高端的攻击中,对方使用了未知的攻击手段,那么作为防守方,检测出来的可能性会大大降低。面对这种情况他们会采用行为分析的方法来检测。他为雷锋网宅客频道举了一个例子:

正常互联网世界里的一个IP,会访问很多不特定的IP,但如果一个IP只持续访问两个IP,那么这种行为就是很可疑的。

从服务器角度来看,普通的访问数据是有规律的,如果突然某个电脑的DNS突然变化异常,也是一个有问题的细节。

一般系统的研发人员都是死宅,如果系统检测到了它的 ID 连续几天都在异地登录,那么这也是明显的问题。

当然这只是一些简单的例子。我们会利用机器学习和人工智能的方法对诸多行为之间的关联进行计算,利用这些结果往往可以探查到黑客的蛛丝马迹。针对这些蛛丝马迹进行研究,就会大大提高“破案”的成功率。

他说。

2、大隐隐于世

虽然针对每一次攻击,态势感知系统都要做响应。但是如果安全研究员不能认识到这次进攻背后的真实意图,就往往会低估对手。

一些通用系统有时会爆出全球性的漏洞,就在各家企业修复自身漏洞的时间差里,全世界的黑客都会利用这个漏洞对系统进行扫描和入侵。但是大多黑客都是脚本小子,他们可能仅仅利用这个漏洞收集一些信息,或者进行简单的攻击。但是在他们中间,有一些真正的高手,混在大量的攻击中,用很 low 的方法进攻,一旦初步得手就会迅速转移和隐蔽自身,让安全研究员低估了处理的难度。

张翀斌说。

这就像一个绝世高手隐藏在市井之中,避人耳目,伺机而动。

面对这种情况,张翀斌保持了谨慎的态度。他觉得和顶尖黑客的对抗,一定是人与人的对抗,在这种情况下,依靠的一定是安全研究员的经验。同样是处理同样的进攻,经验丰富的安全人员就会更大几率揪出藏身的高手。

3、数据的断舍离

数据,是安全人员判断系统是否被进攻的唯一凭证。

张翀斌主张对流量数据进行“全数据存储”。只有数据充分的情况下,才能更准确地还原攻击的细节。但是他所谓的全数据存储并不是全包存储,而是把流量数据进行归纳之后,把各个维度的关键信息全部存下来。对于其他内容,例如一些附件,会有选择性地留存。这种方式的最大优点是能够对海量数据支持快速检索,从而进行威胁统计分析,从中发现攻击行为的蛛丝马迹。

这些全流量数据,加上系统的日志,还有外部导入的威胁情报,就成为了黑客入侵的铁证。

后记

对于门将来说,球门被攻破或多或少是他的宿命。

这正像我们的安全研究员,他们负责感知这个国家重要关隘的态势动向,虽然御敌无数,却也一定会犯错。

对于这种宿命,张翀斌说他并不感觉失落:

这些年来,我们从裸奔到现在已经有粗布麻衣。每一次我们发现了顶尖黑客的新的进攻手段,都是非常兴奋的。我们用技术不断完善自己的系统,把以前忽略的证据和数据一点点串联起来,让更多的真相一个个浮出水面。

作为中国的安全人员,我们感觉很兴奋。

凭心而论,一个国家的安全水平正如它的国防能力,这种能力是无法乞求别人的怜悯而获得。终有一天我们会从态势感知,到拥有网络空间的反制能力,到对威胁的预判和防御。

张翀斌和他的团队所做的一切,都是为了迎接这一天的到来。

雷锋网原创文章,未经授权禁止转载。

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读