網(wǎng)絡(luò)安全的三個新“藥方”
近日,在第十七屆中國互聯(lián)網(wǎng)大會上,360企業(yè)安全集團(tuán)董事長齊向東以三個“新”作答,給出了應(yīng)對當(dāng)前網(wǎng)絡(luò)安全形勢的三個“藥方”——新技術(shù)、新系統(tǒng)和新機(jī)制,即第三代網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全防護(hù)的“三位能力”系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的三方制衡機(jī)制。
新技術(shù):第三代網(wǎng)絡(luò)安全技術(shù)
通過盤點(diǎn)計(jì)算機(jī)網(wǎng)絡(luò)病毒的發(fā)展歷史,齊向東把它分為三個階段:第一個階段是1987年-2000年,對應(yīng)第一代網(wǎng)絡(luò)安全技術(shù);第二個階段是2001年-2015年,對應(yīng)第二代網(wǎng)絡(luò)安全技術(shù);第三個階段是2015年之后,對應(yīng)第三代網(wǎng)絡(luò)安全技術(shù)。
第一代網(wǎng)絡(luò)安全技術(shù)核心是“查黑”,黑名單機(jī)制,策略是“非黑即白”。齊向東介紹說,當(dāng)時病毒樣本數(shù)量很少,即便到了2000年,每年病毒數(shù)量才1萬種,這種增長速度很緩慢,平均到每天高峰時也就幾百個,而且多數(shù)電腦感染之后不是立刻發(fā)作,而是滯后幾天、幾周甚至幾個月,這為查殺病毒贏得了寶貴時間。因此,當(dāng)時的應(yīng)對方式是人工分析病毒的特征碼,在電腦里通過掃描文件進(jìn)行匹配、查殺。
2001年以后,互聯(lián)網(wǎng)開始普及,出現(xiàn)了能自我復(fù)制、自我傳播的蠕蟲病毒。蠕蟲病毒與一般病毒最大區(qū)別在于自動掃描并利用系統(tǒng)漏洞和服務(wù)端口,借助互聯(lián)網(wǎng)、企業(yè)內(nèi)網(wǎng)、電子郵件、網(wǎng)站掛馬等方式進(jìn)行傳播,數(shù)十分鐘就能蔓延至全球網(wǎng)絡(luò)。與此同時,流氓軟件爆發(fā),把木馬數(shù)量進(jìn)一步推高到每日峰值時期的近1000萬個,導(dǎo)致病毒庫無法及時更新;另外,網(wǎng)絡(luò)病毒的傳播速度極快,傳統(tǒng)殺毒軟件滯后幾天、幾周才能查殺的弊端凸顯,“黑名單機(jī)制”宣告失效。
齊向東介紹說,為了解決網(wǎng)民安全上網(wǎng)難題,在2006年,360創(chuàng)新發(fā)明了第二代網(wǎng)絡(luò)安全技術(shù)“查白”,白名單機(jī)制,策略是“非白即黑”。360發(fā)揮自身是互聯(lián)網(wǎng)公司的優(yōu)勢,把擅長的搜索引擎、云技術(shù)、人工智能等互聯(lián)網(wǎng)技術(shù)應(yīng)用于安全領(lǐng)域,建立了全球最大的白名單文件數(shù)據(jù)庫。只要不在白名單中,就可能是新的木馬病毒,進(jìn)而限制其敏感操作,這個方法攻克了當(dāng)時黑名單瞬息萬變不可捕捉的難題。
網(wǎng)絡(luò)攻防的對抗性,決定了沒有攻不破的盾。隨著產(chǎn)業(yè)互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)和萬物互聯(lián)網(wǎng)快速發(fā)展,以及漏洞挖掘利用產(chǎn)業(yè)化,2015年前后,APT攻擊成為主流,出現(xiàn)了大量“白利用”攻擊手段。黑客利用已知或未知的系統(tǒng)漏洞,把惡意程序注入到系統(tǒng)白文件中,操縱系統(tǒng)文件對系統(tǒng)進(jìn)行攻擊,讓安全軟件看上去是一個系統(tǒng)文件的正常操作,以躲避“查殺”。
“白名單機(jī)制也不再是靈丹妙藥,好比我們守著安檢門,但黑客跟隨有免檢證的人走了VIP通道。”齊向東介紹說,360的創(chuàng)新基因開始發(fā)揮作用,提出了“查行為”的第三代網(wǎng)絡(luò)安全技術(shù),用數(shù)據(jù)驅(qū)動安全,不再無原則地信任白名單,而是從關(guān)注樣本黑與白上升到關(guān)注網(wǎng)絡(luò)行為。第三代技術(shù)突破了終端和邊界的限制,通過盡可能全地收集大數(shù)據(jù),對每個樣本、ID、IP、流量進(jìn)行計(jì)算,判斷行為是否合法,把可疑行為找出來告警,人工智能的大數(shù)據(jù)行為分析上升成為核心技術(shù)。
新系統(tǒng):低位、中位、高位的“三位能力”系統(tǒng)
網(wǎng)絡(luò)安全領(lǐng)域有一個很著名的“五段滑動標(biāo)尺模型”,包含架構(gòu)安全、被動防御、積極防御、威脅情報(bào)和進(jìn)攻反制五個階段。齊向東根據(jù)這個模型,給出了應(yīng)對當(dāng)前網(wǎng)絡(luò)安全形勢的第二個“藥方”——構(gòu)建低位、中位、高位的“三位能力”系統(tǒng)。
他舉例說,假設(shè)4萬個網(wǎng)絡(luò)安全防護(hù)人員守衛(wèi)1萬個關(guān)鍵基礎(chǔ)設(shè)施,平均到某個關(guān)鍵基礎(chǔ)設(shè)施的防守力量是4個人。如果敵方軍力也是4萬人,他們只需要攻擊一個關(guān)鍵基礎(chǔ)設(shè)施就可以達(dá)到目的,也就變成了4萬人攻與4個人防的對抗,力量如此不對等的戰(zhàn)斗,結(jié)果可想而知。
齊向東給出的解決方案是,把分散在1萬個目標(biāo)上的人員的能力數(shù)字化,集中到一個態(tài)勢感知和安全運(yùn)營中心里,實(shí)時感知威脅并調(diào)度其他點(diǎn)的人力來應(yīng)對敵方的網(wǎng)絡(luò)攻擊,這樣就從一盤散沙變成了一支能被靈活調(diào)配的集團(tuán)軍,將不對等轉(zhuǎn)變成了勢均力敵。
“4萬人分散開來守衛(wèi)1萬個目標(biāo),就是架構(gòu)安全和被動防御階段要做的事,也是三位能力系統(tǒng)里的低位能力;把分散能力數(shù)字化,集中起來形成能力中心,相當(dāng)于傳統(tǒng)作戰(zhàn)時的參謀部和前線指揮部,是中位能力;威脅情報(bào)和進(jìn)攻反制是高位能力。”齊向東說。
他打了個比喻,低位能力好比一個人的“五官和四肢”,負(fù)責(zé)聽、看、聞、嘗、取,以及在大腦指揮下采取動作行動,是傳統(tǒng)的安全防御能力;中位能力是對海量數(shù)據(jù)的建模與分析能力,就像人的“心臟”,不斷輸送血液,為人體供應(yīng)氧和各種營養(yǎng)物質(zhì);高位能力是云端威脅情報(bào)與分析能力,能對中位和低位提供支撐和決策,就像人的“大腦”,負(fù)責(zé)復(fù)雜的思考和下達(dá)行為指令。“三位能力”是一個系統(tǒng),相輔相成。
新機(jī)制:“建設(shè)、運(yùn)營和安全服務(wù)”的三方制衡機(jī)制
齊向東給出的第三個“藥方”是建立“建設(shè)、運(yùn)營和安全服務(wù)”的三方制衡機(jī)制。他認(rèn)為這和建筑工程需要建設(shè)方、施工方和監(jiān)理方三方制衡是一個道理。
他以云和大數(shù)據(jù)平臺舉例說,平臺存儲的都是數(shù)字化信息,對甲方來說像“黑洞”,“看不見”數(shù)據(jù)是否被偷、被篡改。甲方獲知的途徑只有兩種:一是數(shù)據(jù)泄露的危害顯現(xiàn)出來,從而推導(dǎo)出數(shù)據(jù)被竊;二是依賴于云廠商的良心,讓他主動報(bào)告。
“如果云廠商發(fā)現(xiàn)了事故就報(bào)告,一定會受到甲方的處罰;而他不報(bào)告,甲方又很難發(fā)現(xiàn)核查,就可以免受甲方的處罰。這個‘二選一’的抉擇中,如果沒有任何監(jiān)督手段,完全憑廠商的良心,其實(shí)是對事業(yè)的不負(fù)責(zé)任。”齊向東說。
齊向東表示,云廠商的產(chǎn)品,無論水平多高都會有漏洞。比如,微軟、谷歌、蘋果、Adobe這樣的大公司,每個月都會有幾十個漏洞被發(fā)現(xiàn)被提交。此外,供應(yīng)鏈安全問題、內(nèi)部人員可靠性問題等因素,都是可能造成安全事故的巨大隱患。
“現(xiàn)在我國各地都在大力建設(shè)云平臺、大數(shù)據(jù)中心,安全是政務(wù)云的生命線,需要明晰各方的分工和責(zé)任,甲方是建設(shè)方,要嚴(yán)格要求;乙方是云廠商,要提高標(biāo)準(zhǔn);還需要第三方安全服務(wù)查漏補(bǔ)缺保障安全。有了這個‘三方制衡’機(jī)制,才能從最大程度上杜絕漏洞,長治久安。”齊向東說。
責(zé)任編輯:葉著