奇虎360副总裁石晓虹
CVW2014产业互联网大会今日在京召开。奇虎360副总裁石晓虹在下午的“网络安全@互联网”论坛上发表了题为《互联网及数字商业时代的信息安全》的演讲。石晓虹称360曾做过统计,抽查90万网站有60万存在漏洞。
以下为演讲全文:
石晓虹:很高兴有这个机会跟大家交流。从Gartner的研讨会开始谈起,这里提到数字时代会催生出新的商业模式,各种各样新的流程。这里他们列出15年十大趋势,大家可以看到现实世界和虚拟世界的结合,是排在第一位,其中包括IOT,我们看到所谓的物联网等等。那么第10个是基于风险的安全和自我保护,那么这个某种程度上展示了我们这种产业互联网可能碰到的问题。总体来说我们看到可以被攻击的目标,换句话说只要连到互联网上就可以被攻击。个人电脑、终端、服务器、云服务平台、嵌入式设备、物联网等等,包括网络设备。之所以会被攻击,比如我们看到计算机体系结构存在一些天然的缺陷,我的通讯协议也存在缺陷,包括企业内部组织的管理制度,最重要的是人。这种缺陷是不可避免的,谈到安全我们传统的就是防病毒,这是普通老百姓或者广大企业一个比较熟悉的概念。
但是人类对病毒、木马这样的安全威胁,我们以往的手段就是这些,传统的基于特征木马的扫描,现在有基于云的查杀,放在云端建立非常大的规格库。那么HIPS是主机入侵保护,基于主机的一些行为你的电脑的一些行为,进程的行为判定它是否是一个恶意程序。还有沙箱,用这种方式判定一个程序是否是恶意的。我们看到攻击越来越复杂,攻击的根源我们的系统。我们看到各种各样的系统,从操作系统、应用包括移动终端等等各个方面,包括基础网络设施都存在漏洞,这种漏洞不可避免。而且可能存在一个令人悲观的现实,如果你投资更多金钱去挖漏洞,漏洞可能越来越多。比较严重的漏洞,今年以来爆发的漏洞,大家比较了解。比如心脏出血,这是大家广泛采用的开元软件包含的漏洞,我们企业或者互联网化,你的IT设施建在网上,要采用大量的系统,它里面包含很多漏洞,很难估计。
那么再看中国的网站,这是我们的统计,这个数字比例差不多,截止到去年这个时候,我们当时检测过,抽查了90多万的中国网站,其中存在漏洞将近60万,存在漏洞的比例非常高,有三分之二。这是主要的漏洞类型,到现在我们看看智能硬件越来越普及,各种各样的智能家居设备,智能汽车包括车载里面的,基于OBD这样的智能设备。这样的智能硬件只要连到物联网上,它就存在被攻击可能性,这个已经被证实了。今年的会上演示了黑客45分钟可以破解,还可以破解特斯拉的汽车,包括对于奥迪、宝马的车钥匙,可以复制它的无线信号。如果启动也能够伪造,车就可以开走。钥匙在设计的过程中就没有考虑,能不能检测钥匙真的在车的旁边,可能设计的缺陷导致这样一个问题。
面对各种各样的风险或者漏洞,我们传统的安全怎么在一些边界,尤其对于我们企业来说怎么在边界堵住这些威胁的介入,所以会有IPS这样的防火墙的产品。但是问题在于,互联网时代它的本质就是说,打破地域或者是边界。尤其是云计算出来之后,你的业务系统会搬到云上,会和别的这些用户的系统共存,这种边界就会模糊。还有移动,移动终端,智能终端的应用。BYOD,用工带着自己的手机或者PAD,或者很多企业员工带着自己的PAD到客户那里办公,移动终端使得你的边界进一步模糊。如果有很多智能硬件、设备进来了,现在互联网越来越变成网络化的空间。那么你应该在什么地方加以防范?你会看到一个企业有网站,你对内有业务系统,对外提供网站,网站是不是一个边界?你企业建立内部Wifi,你企业内部给员工办公用的Wifi,现在建Wifi很容易,360也推出非常便宜的随身Wifi。刚才提到了BYOD,自带着设备,还有供应链。你的供应商员工到企业内部,可能会带来新的问题,包括刚才提到的路由器,那边界到底在什么地方?所以我们传统的原来的安全,一些体系已经开始演化。最开始我们的思路就是,这种相应+防护的安全体系,那么我们发现我们先检测有没有危险,我们做出响应,希望通过响应这种机制进行保护。
后来我们进到所谓的木桶里面,我们企业就很多防护的点,但是只要存在一个短版,这些威胁就会进来。所以现在更多转化到这样的模式,怎么尽可能的构造一个多层次的,多级别的比较立体的防护体系。另外我们对于一个企业或者组织内部的安全,我们有几个假设。第一个就是你的系统一定有未发现的漏洞,这肯定是一个事实。怎么去发现这些漏洞有没有被人利用过?第二个,这种已经发现的漏洞,你很可能没有修补,怎么找出企业内部所有的设备,所有的软件系统里面没有修复的漏洞。第三个你的企业内部已经被渗透,你还不知道,还有就是你的员工也不可靠。我们在不太可靠的沙滩上面建立一个安全防护的体系,确实困难。360也进入这样一个安全领域,我们认为有这样一个模型从多个方面,从终端到管道,也就是边界,我们要有多层次的防护体系。终端比较了解,对于企业内部所有PC终端、移动终端如何防护?如何统一管理?对于管道或者说边界,我们尽可能在一起边界的入口点,怎么检测你企业内部所有的网络通信的流量,等等。有没有这种威胁?
那么在云端,一方面你的企业内部业务系统或者外部网站如何找到他们的漏洞,如何防护各种各样的入侵和攻击。你对于目前的攻击,越来越复杂越来越隐蔽的情况下,你可能需要不断收集企业内部的终端,网络各种各样的信息,可能形成一个比较大的数据规模,然后集中到你内部云端,在体系内建立一个威胁情报部的分析,这样一个机制,然后中间发现一些蛛丝马迹。这是从云+管+端这三个方面去做,可能才能起到一定的效果。与这个配合360也有一定的产品包括我们的天晴,还有天机,还有天眼,我们基于大数据的分析发现是否有未知威胁,APT攻击的产品,针对云端我们有防护的产品。新的安全边界到底在哪儿?企业如果用到公有云服务,内部可能还有私有云服务。你企业内部的终端,包括你的无线网络,很多地方这样的边界都要进行考虑,或者加以防护。
这里可以看到新的,比如端有PC、网络有交换机、各种网络设备,现在基于这样一个安全威胁越来越复杂,这样一个背景我们怎么做一个更加智能的威胁发现?一般中文翻译叫威胁情报,试图通过各种各样信息发现谁在攻击你?你的企业有什么资产?沿着什么样的路径攻击?你内部有价值的信息是不是已经被偷走了?有没有其他的关联?这个实际是需要依赖一个大数据的收集和分析能力。也就是说你可能需要采集企业内部里面每台终端,包括手机上面各种各样的行为的数据。你企业内部所有的服务器、网络设备以及这些节点之间的通讯,以及跟外部通讯流量信息,可以汇集在大数据上面,对它进行分析挖掘之后,可能才会发现一些异常的通信或者异常的文件传输,以及它的回溯过程。除了分析基本技术,你对安全方面对于攻防对于漏洞方面,是你必须依赖的技术。
谈到大数据,有几个不同点,这个大数据时代里面也提到过,比如说不是随机样本,而是尽可能采集全体的数据。对于大数据来说你收集的信息或者数据越全越好,第二不是精准性而是混杂性。你可能不能很精准的找到一个原因,你不知其所以然,但是你找到一个关系,包括因果关系、关联关系。未来我们很多企业我们可能需要这样的威胁情报的分析服务,包括你使用公有云,迁移到公有云之后可能面临的威胁,包括企业或者政府,大型企业在自己的私有云系统,或者跟公有云混合的情况下,怎么建立威胁报的服务中心,包括涉密单位。这些单位在某些行业,或者大的企业内部,我们能不能建立一个基于大数据分析下的,各种平台能够通过这样的分析发现威胁的情况,这是一个典型的安全即服务的例子。
这里有一些比较好的案例,但是可能不完全,不是一个完整的威胁情报的分析。它是其中一个部分,比如说我们有些国家的漏洞库,民间像乌云和360我们有一个库带计划,帮助企业收集的系统有什么漏洞,最近我们还做了一件事儿,我们在库带计划以外我们发布一个补天平台,库带计划是我们付钱给一些研究者花钱买他们手里的漏洞,现在我们希望联合更多厂商,大家一起出钱给这些人更多的回馈。能够把这些针对自己的漏洞,能够更好的更容易的收集到,包括我们厂商能够快速的修复漏洞。我们可以看到,我们以前做了很多检测的服务,我们发现各种各样的建站系统的漏洞,但是往往他们修复的响应速度比较慢,我们希望通过这样的方式,有一些软件的系统开发商能够意识到自己,所谓的SRC这种概念,就是安全响应中心,能够尽可能的发现你自己做的东西有哪些安全问题,能够快速的修复它。
谈到这里,安全问题根源于你的缺陷,但是这种东西不可避免,所以这里有一些实践。比如说微软提倡的SDL,在企业做互联网化或者IT化的过程中是必须考虑的。还有,就是针对未来智能硬件,智能家居这种东西,那么我们很难在PC或者手机上面装一个软件,保护它的安全性。在智能硬件上面很难这么做,所以很大程度上依赖于这些软件或者这些系统你自己开发的过程中,怎么提升自己的安全性?怎么实现自我保护来避免被入侵或者是破解的风险。
编辑:李楠