建立網(wǎng)絡安全新生態(tài)，網(wǎng)絡態(tài)勢感知至關重要

建立網(wǎng)絡安全新生態(tài)，網(wǎng)絡態(tài)勢感知至關重要

杭州安恒CSO劉志樂

從大數(shù)據(jù)安全風控中心的報告可以發(fā)現(xiàn)，對25萬個中國網(wǎng)站進行監(jiān)測，去年發(fā)現(xiàn)有840萬個漏洞，平均每一個網(wǎng)站就有32.4個漏洞，其中高危漏洞將近57萬個，充分說明這些系統(tǒng)安全問題的嚴重性。

目前有組織的網(wǎng)絡犯罪，就是將公民的隱私信息在互聯(lián)網(wǎng)上泄露出來。從安恒信息去年的報告里面可以發(fā)現(xiàn)，在去年某一周之內(nèi)，就有很多安全的事件發(fā)生。比如3月30日山東省人社廳涉及到上百萬人的身份信息泄露事件；3月20日愛奇藝、3月30日海爾集團某網(wǎng)站的售后服務漏洞造成了300萬的帳戶泄露；3月29日福建住宿的采集系統(tǒng)涉及到幾百萬的住宿信息泄露； 3月28日中國聯(lián)通的53萬個固話寬帶的工作信息遭到泄露。在整個2015年期間，因公民的信息泄露造成的詐騙金額達到了805億。

近年來，黑客利用外面公開的被入侵泄露的個人數(shù)據(jù)，最終形成一個多庫融合的庫，包括每個人的身份證號碼、常用密碼等等，這個庫為黑客攻擊提供了方便。

現(xiàn)在APT高級可持續(xù)性攻擊的影響比較深遠。去年有一個病毒的APT樣本，對它做了完整分析后發(fā)現(xiàn)它實際上會釋放一個ER然后加載執(zhí)行，但是前臺偽裝成EOS，就是一個Word文件。一旦打開這個文件就顯示損害而無法正常啟動，很容易迷惑一般的用戶，這實際上病毒就直接植入到了計算機的系統(tǒng)里面。這個病毒功能非常強大，它支持HTB中間人、E磁盤的讀寫等等。

移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的未來安全越來越嚴峻，可能跟每個人都息息相關。如果行駛在高速公路上的智能汽車突然撞車，在目前公眾會理解為交通肇事，但在未來物聯(lián)網(wǎng)時代，他人可以買通地下黑客來遠程入侵造成汽車故障，實現(xiàn)惡意謀殺案件的產(chǎn)生。甚至在未來家庭里有越來越多的智能設備，黑客可以通過遠程控制，讓微波爐溫度突然升高而造成爆炸，使你的家庭受損，這樣的例子還有很多。未來，公眾在享受物聯(lián)網(wǎng)便利的同時，可能也將對整個社會法律，以及生活的其他方方面面都會帶來一些挑戰(zhàn)。

安恒信息有幸承擔了一些重大的網(wǎng)絡安保工作，比如第一屆、第二屆世界互聯(lián)網(wǎng)大會的網(wǎng)絡安保工作。當時大會的官網(wǎng)和注冊網(wǎng)都是在阿里云上，我們通過部署云的審計和云的堡壘來確保虛擬內(nèi)網(wǎng)的安全。然后再通過安恒信息集中云防御和云的審計（非編系統(tǒng)），最后實時在烏鎮(zhèn)網(wǎng)絡安全保衛(wèi)指揮中心通過大屏幕顯示出來。

在去年的世界互聯(lián)網(wǎng)大會期間，針對官網(wǎng)群的整個攻擊達到了1200多萬次，攻擊的源頭顯示主要是集中在美國、新加坡、德國，也可能不是這些國家，因為黑客可能利用他們作為跳板。

針對兩次世界互聯(lián)網(wǎng)大會的網(wǎng)絡安保經(jīng)驗進行比較可以發(fā)現(xiàn)，在網(wǎng)絡攻擊的規(guī)模上，第一次世界互聯(lián)網(wǎng)大會期間受到的攻擊量只有27萬次，而在第二次世界互聯(lián)網(wǎng)大會期間，針對核心系統(tǒng)的攻擊就達到了1000萬次以上，防護系統(tǒng)最終統(tǒng)計出來的攻擊是3.8億次。兩次大會攻擊的手段也不同，第一次世界互聯(lián)網(wǎng)大會期間主要是一些常見的自動化的攻擊。但是在第二次世界互聯(lián)網(wǎng)大會期間就發(fā)現(xiàn)有非常多的攻擊方式出現(xiàn)，包括新型的0Day攻擊、DDOS攻擊、WIFI攻擊等等。防御手段也從只是針對核心的信息系統(tǒng)的防護，升級為整個對核心的信息系統(tǒng)以及整個大會周邊所有的重要信息系統(tǒng)的防護。因為第二屆世界互聯(lián)網(wǎng)大會是在云平臺上，所有的數(shù)據(jù)返回到風控中心，完成大數(shù)據(jù)的分析，進行的是人工7×24小時的值守。

在第二屆世界互聯(lián)網(wǎng)大會之后，安恒信息統(tǒng)計了一些比較有趣的數(shù)據(jù)。比如看誰在關注第二屆世界互聯(lián)網(wǎng)大會，結(jié)果發(fā)現(xiàn)有來自191個國家的10億次訪問。國內(nèi)有32個省市自治區(qū)進行了8.7億次的訪問。大家喜歡用什么樣的設備？72%是PC……安恒信息對所有的數(shù)據(jù)都有這樣的統(tǒng)計，這就是大數(shù)據(jù)的技術(shù)。

今年美國CSA發(fā)布了十二大云上安全威脅，從數(shù)據(jù)泄露到共享技術(shù)，共享危險。針對這些威脅，安恒信息積極的做著準備工作。首先安恒信息結(jié)合云平臺的提供商，跟阿里云聯(lián)合國家產(chǎn)品保護、產(chǎn)品中心一起完成云上合規(guī)的工作。過去主要是針對傳統(tǒng)的網(wǎng)絡和硬件設備，但是現(xiàn)在到云平臺上，它已經(jīng)發(fā)生了很大的變異，網(wǎng)絡已經(jīng)不是過去傳統(tǒng)的物理網(wǎng)絡，它的主機也變成了虛擬機。

在云計算廣泛使用以后，企業(yè)面臨諸多安全問題。整體上來講，就是一個云平臺支撐安全問題。怎樣讓云的提供商做好內(nèi)部安全，以及外部防御工作？一些系統(tǒng)上云以后遇到了一些新的安全問題，比如部署模式，邊界防護等問題。整個云計算的這種環(huán)境的風險，已經(jīng)成為制約用戶跟企業(yè)擁抱云計算和大數(shù)據(jù)的重大障礙。

在實踐當中經(jīng)常會遇到很多單位在遷上云與不上云之間猶豫，因為他不知道在云上以后的安全怎么做？過去在非云情況下可以買防火墻和一些安全設備，但云平臺上這些設備都變得無處安放。在這種情況下，要想保障云上的系統(tǒng)安全，對他們來說，確實是一個挑戰(zhàn)。

面向這種云租戶的安全，安恒信息提出了一整套的思路。首先幫云租戶在各個層面部署虛擬化，在云平臺上部署各種防火墻、檢測設備、審計設備，讓用戶能自主掌握自己的安全動態(tài)。安恒信息還有一體化的云上安全平臺實踐，通過遠程云監(jiān)測對用戶所有系統(tǒng)進行7×24小時的服務，從漏洞到入侵事件，從可用性到云集中防御，從網(wǎng)絡層到主機層、應用層針對防御，然后到云端運維審計等等，最終將所有數(shù)據(jù)匯總到整個大數(shù)據(jù)的安全中心，通過可視化，人工的值守給客戶提供安全能力的交付。

安恒信息的云上防御產(chǎn)品——玄武盾，它是一種集中防御模式，只要將用戶域名或者IP指向玄武盾，玄武盾就可以抵擋住從網(wǎng)絡層到應用層的攻擊，免除了過去把一個防護設備到網(wǎng)絡里面去部署這樣的問題，它擁有高達300G以上的防護能力，可以實時地迅速完成全面的防護。

安恒信息基于大數(shù)據(jù)的日志分析，可以發(fā)現(xiàn)一些威脅的情報。從用戶域名到IP庫再到網(wǎng)站，從用戶所有數(shù)據(jù)、日志到離線文件，都可以存儲在大數(shù)據(jù)存儲和計算中心，然后通過實時的處理、計算、存儲，通過分析平臺出來查詢的界面。

最后，為什么有那么多的安全的事件要去預備。

第一，近年來，很多信息系統(tǒng)的規(guī)劃、編碼、上線之前沒有做好安全的防范措施，導致上線后出現(xiàn)大量安全問題再修修補補。因此建議整個系統(tǒng)在規(guī)劃、編碼和上線之前就要把安全工作做好，這樣就有比較強壯的安全系統(tǒng)，不會出現(xiàn)太多的安全問題。

第二，推行一體化攻防相結(jié)合的網(wǎng)絡安全體系化建設。

第三，把過去的產(chǎn)品迭代變成產(chǎn)品+服務+運營這樣的轉(zhuǎn)變?nèi)诤?，這是國際上不可阻擋的潮流。

第四，要充分借力云計算和大數(shù)據(jù)來實現(xiàn)最佳網(wǎng)絡安全保障。