12月12日消息 CVW2014產業互聯網大會今日在京召開。奇虎360副總裁石曉紅在下午的“網絡安全@互聯網”論壇上發表了題為《互聯網及數字商業時代的信息安全》的演講。石曉虹稱360曾做過統計,抽查90萬網站有60萬存在漏洞。
以下為演講全文:
石曉虹:很高興有這個機會跟大家交流。從Gartner的研討會開始談起,這里提到數字時代會催生出新的商業模式,各種各樣新的流程。這里他們列出15年十大趨勢,大家可以看到現實世界和虛擬世界的結合,是排在第一位,其中包括IOT,我們看到所謂的物聯網等等。那么第10個是基于風險的安全和自我保護,那么這個某種程度上展示了我們這種產業互聯網可能碰到的問題。總體來說我們看到可以被攻擊的目標,換句話說只要連到互聯網上就可以被攻擊。個人電腦、終端、服務器、云服務平臺、嵌入式設備、物聯網等等,包括網絡設備。之所以會被攻擊,比如我們看到計算機體系結構存在一些天然的缺陷,我的通訊協議也存在缺陷,包括企業內部組織的管理制度,最重要的是人。這種缺陷是不可避免的,談到安全我們傳統的就是防病毒,這是普通老百姓或者廣大企業一個比較熟悉的概念。
但是人類對病毒、木馬這樣的安全威脅,我們以往的手段就是這些,傳統的基于特征木馬的掃描,現在有基于云的查殺,放在云端建立非常大的規格庫。那么HIPS是主機入侵保護,基于主機的一些行為你的電腦的一些行為,進程的行為判定它是否是一個惡意程序。還有沙箱,用這種方式判定一個程序是否是惡意的。我們看到攻擊越來越復雜,攻擊的根源我們的系統。我們看到各種各樣的系統,從操作系統、應用包括移動終端等等各個方面,包括基礎網絡設施都存在漏洞,這種漏洞不可避免。而且可能存在一個令人悲觀的現實,如果你投資更多金錢去挖漏洞,漏洞可能越來越多。比較嚴重的漏洞,今年以來爆發的漏洞,大家比較了解。比如心臟出血,這是大家廣泛采用的開元軟件包含的漏洞,我們企業或者互聯網化,你的IT設施建在網上,要采用大量的系統,它里面包含很多漏洞,很難估計。
那么再看中國的網站,這是我們的統計,這個數字比例差不多,截止到去年這個時候,我們當時檢測過,抽查了90多萬的中國網站,其中存在漏洞將近60萬,存在漏洞的比例非常高,有三分之二。這是主要的漏洞類型,到現在我們看看智能硬件越來越普及,各種各樣的智能家居設備,智能汽車包括車載里面的,基于OBD這樣的智能設備。這樣的智能硬件只要連到物聯網上,它就存在被攻擊可能性,這個已經被證實了。今年的會上演示了黑客45分鐘可以破解,還可以破解特斯拉的汽車,包括對于奧迪、寶馬的車鑰匙,可以復制它的無線信號。如果啟動也能夠偽造,車就可以開走。鑰匙在設計的過程中就沒有考慮,能不能檢測鑰匙真的在車的旁邊,可能設計的缺陷導致這樣一個問題。
面對各種各樣的風險或者漏洞,我們傳統的安全怎么在一些邊界,尤其對于我們企業來說怎么在邊界堵住這些威脅的介入,所以會有IPS這樣的防火墻的產品。但是問題在于,互聯網時代它的本質就是說,打破地域或者是邊界。尤其是云計算出來之后,你的業務系統會搬到云上,會和別的這些用戶的系統共存,這種邊界就會模糊。還有移動,移動終端,智能終端的應用。BYOD,用工帶著自己的手機或者PAD,或者很多企業員工帶著自己的PAD到客戶那里辦公,移動終端使得你的邊界進一步模糊。如果有很多智能硬件、設備進來了,現在互聯網越來越變成網絡化的空間。那么你應該在什么地方加以防范?你會看到一個企業有網站,你對內有業務系統,對外提供網站,網站是不是一個邊界?你企業建立內部Wifi,你企業內部給員工辦公用的Wifi,現在建Wifi很容易,360也推出非常便宜的隨身Wifi。剛才提到了BYOD,自帶著設備,還有供應鏈。你的供應商員工到企業內部,可能會帶來新的問題,包括剛才提到的路由器,那邊界到底在什么地方?所以我們傳統的原來的安全,一些體系已經開始演化。最開始我們的思路就是,這種相應+防護的安全體系,那么我們發現我們先檢測有沒有危險,我們做出響應,希望通過響應這種機制進行保護。
后來我們進到所謂的木桶里面,我們企業就很多防護的點,但是只要存在一個短版,這些威脅就會進來。所以現在更多轉化到這樣的模式,怎么盡可能的構造一個多層次的,多級別的比較立體的防護體系。另外我們對于一個企業或者組織內部的安全,我們有幾個假設。第一個就是你的系統一定有未發現的漏洞,這肯定是一個事實。怎么去發現這些漏洞有沒有被人利用過?第二個,這種已經發現的漏洞,你很可能沒有修補,怎么找出企業內部所有的設備,所有的軟件系統里面沒有修復的漏洞。第三個你的企業內部已經被滲透,你還不知道,還有就是你的員工也不可靠。我們在不太可靠的沙灘上面建立一個安全防護的體系,確實困難。360也進入這樣一個安全領域,我們認為有這樣一個模型從多個方面,從終端到管道,也就是邊界,我們要有多層次的防護體系。終端比較了解,對于企業內部所有PC終端、移動終端如何防護?如何統一管理?對于管道或者說邊界,我們盡可能在一起邊界的入口點,怎么檢測你企業內部所有的網絡通信的流量,等等。有沒有這種威脅?
那么在云端,一方面你的企業內部業務系統或者外部網站如何找到他們的漏洞,如何防護各種各樣的入侵和攻擊。你對于目前的攻擊,越來越復雜越來越隱蔽的情況下,你可能需要不斷收集企業內部的終端,網絡各種各樣的信息,可能形成一個比較大的數據規模,然后集中到你內部云端,在體系內建立一個威脅情報部的分析,這樣一個機制,然后中間發現一些蛛絲馬跡。這是從云+管+端這三個方面去做,可能才能起到一定的效果。與這個配合360也有一定的產品包括我們的天晴,還有天機,還有天眼,我們基于大數據的分析發現是否有未知威脅,APT攻擊的產品,針對云端我們有防護的產品。新的安全邊界到底在哪兒?企業如果用到公有云服務,內部可能還有私有云服務。你企業內部的終端,包括你的無線網絡,很多地方這樣的邊界都要進行考慮,或者加以防護。
這里可以看到新的,比如端有PC、網絡有交換機、各種網絡設備,現在基于這樣一個安全威脅越來越復雜,這樣一個背景我們怎么做一個更加智能的威脅發現?一般中文翻譯叫威脅情報,試圖通過各種各樣信息發現誰在攻擊你?你的企業有什么資產?沿著什么樣的路徑攻擊?你內部有價值的信息是不是已經被偷走了?有沒有其他的關聯?這個實際是需要依賴一個大數據的收集和分析能力。也就是說你可能需要采集企業內部里面每臺終端,包括手機上面各種各樣的行為的數據。你企業內部所有的服務器、網絡設備以及這些節點之間的通訊,以及跟外部通訊流量信息,可以匯集在大數據上面,對它進行分析挖掘之后,可能才會發現一些異常的通信或者異常的文件傳輸,以及它的回溯過程。除了分析基本技術,你對安全方面對于攻防對于漏洞方面,是你必須依賴的技術。
談到大數據,有幾個不同點,這個大數據時代里面也提到過,比如說不是隨機樣本,而是盡可能采集全體的數據。對于大數據來說你收集的信息或者數據越全越好,第二不是精準性而是混雜性。你可能不能很精準的找到一個原因,你不知其所以然,但是你找到一個關系,包括因果關系、關聯關系。未來我們很多企業我們可能需要這樣的威脅情報的分析服務,包括你使用公有云,遷移到公有云之后可能面臨的威脅,包括企業或者政府,大型企業在自己的私有云系統,或者跟公有云混合的情況下,怎么建立威脅報的服務中心,包括涉密單位。這些單位在某些行業,或者大的企業內部,我們能不能建立一個基于大數據分析下的,各種平臺能夠通過這樣的分析發現威脅的情況,這是一個典型的安全即服務的例子。
這里有一些比較好的案例,但是可能不完全,不是一個完整的威脅情報的分析。它是其中一個部分,比如說我們有些國家的漏洞庫,民間像烏云和360我們有一個庫帶計劃,幫助企業收集的系統有什么漏洞,最近我們還做了一件事兒,我們在庫帶計劃以外我們發布一個補天平臺,庫帶計劃是我們付錢給一些研究者花錢買他們手里的漏洞,現在我們希望聯合更多廠商,大家一起出錢給這些人更多的回饋。能夠把這些針對自己的漏洞,能夠更好的更容易的收集到,包括我們廠商能夠快速的修復漏洞。我們可以看到,我們以前做了很多檢測的服務,我們發現各種各樣的建站系統的漏洞,但是往往他們修復的響應速度比較慢,我們希望通過這樣的方式,有一些軟件的系統開發商能夠意識到自己,所謂的SRC這種概念,就是安全響應中心,能夠盡可能的發現你自己做的東西有哪些安全問題,能夠快速的修復它。
談到這里,安全問題根源于你的缺陷,但是這種東西不可避免,所以這里有一些實踐。比如說微軟提倡的SDL,在企業做互聯網化或者IT化的過程中是必須考慮的。還有,就是針對未來智能硬件,智能家居這種東西,那么我們很難在PC或者手機上面裝一個軟件,保護它的安全性。在智能硬件上面很難這么做,所以很大程度上依賴于這些軟件或者這些系統你自己開發的過程中,怎么提升自己的安全性?怎么實現自我保護來避免被入侵或者是破解的風險。
