NSC2014知道创宇研究部副总监练晓谦

一洞观全球

非常荣幸今天跟大家分享我们团队做的事情。我叫练晓谦,来自知道创宇,现在是公司研究部的部门副总监,在团队主要做的事情就是Web方面的安全研究和安全云监测、安全云防御。我今天分享的议题题目叫《一洞观全球》,通过这个大图大家可以看出来,这个洞指的就是4月份的”心脏出血”漏洞。我这个议题会通过”心脏出血”漏洞因为的数据,还有各个国家应对这个漏洞的修复速度来看出各个国家在应对重大安全事件时候的一个反应能力。前面会介绍一下漏洞影响态势和修复态势,做一些数据的解读,最后会简单延伸一下,说一下针对重大安全事件应对的一些思路和方法。

这个漏洞是危害非常大、影响非常广的,所以是历史上第一个上央视的漏洞。当时央视在这个漏洞爆发的第二天的晚上,《新闻1+1》就报道这漏洞,当时也电话连线采访了我们公司的余弦。简单说一下这个漏洞,互联网上大家进行数据传输时,为了确保数据不被别人窃听,就使用了加密技术SSL。很多人都使用了一款叫OpenSSL的开源软件包,这次的漏洞就出现在这个OpenSSL软件包上面。这个软件包存在漏洞,导致可以让攻击者获得服务器上64K内存的数据内容。可能这个漏洞不足以让攻击者获得所有的权限,但是可以让攻击者获取一些本来应该加密的数据,却得到了一些明文,这些数据包含了证书、用户名密码、邮件内容、聊天和很多的商业数据,所以说这个漏洞的危害会非常大。还有就是影响面非常广,因为OpenSSL的应用非常广,下面大家可以看到,有很多的公司都是全球最牛的互联网公司。央视给这个漏洞的定性就是,好像广大用户在互联网上的钥匙被偷窃。从现在来看,再过5年,或者10年的时间看这个漏洞,也许它就是历史上影响最广泛的一次漏洞。它影响了下面这些服务,443端口是HTTPS,是我们常用的Web访问,465、993、995都是邮件加密,这些邮件传输都会加密,非常重要。还有就是1194就是VPN,VPN就更不用说了,都是可以直接进入内网。

下面是一些截图,这是淘宝的截图,当时可以看到淘宝的用户名和密码,都是明文。这还是一张掏包的库,可以得到Cookie,这些截图非常宝贵,因为可能在将来的20年或者30年之内都没有这种截图可以看到淘宝的明文口令。这数支付宝,下面也是用户名,手机号码,还有各种信息。最下面是余额宝的信息,还有余额宝的收益。12306铁道购票系统,这个重要性更是不言而喻了,包括用户名、密码,还有密码回答问题,还有身份证信息。这是163邮箱的一些东西,是网神VPN设备,并不是说这个厂商不好。下面是国外的,这是中华电信的hinet,台湾使用非常广泛的邮箱。这个是BudgetVM,它是一个服务器提供商,做虚拟化的,大家可以看到,可以直接获取的就是用户名和密码的明文,我拿着这个用户名和密码,可以以这个人的帐户登录到这个网站上去。如果这个用户名是某个公司的运维人员,他手里可能有成百上千的服务器,我用这个帐号登录了,就可以拥有成百上千的肉机。我这边只是截了一个,如果愿意获取的话,可以有成千上万的帐户,是非常庞大的肉机群,就是通过这么一个漏洞,不需要控制主机,直接拿到敏感信息,就可以直接做这么多的事情。

我截的这些图并不是说这些公司不好,只是说这些公司这么牛,都会受到这个漏洞的影响,因为这个漏洞是有一个叫OpenSSL的第三方开源组件,很多公司搭建整个信息系统,不可能完全都是由自己来创造所有的软件,包括硬件肯定是购买,很多的软件,还有操作系统,肯定不是自己的,现在有很多在进行国产化,但是也有很多应用,不可能从头开发,必然是用第三方的。这些第三方的软件一旦出现漏洞,那它的范围就非常广。我这边截了很多互联网的,没有截到跟政企有关的,大家可以想一下,肯定有很多。

这个漏洞的影响态势,我们团队也是在这个漏洞爆发的第二天,就对全球进行了一个安全评估,评估这个漏洞的影响范围。可能当时大家都没有意识到这个漏洞会有多大的危害,以前没有这种类型的漏洞,也许影响面非常大,但是没有一个量化的数字。我们谈的就是在第二天,包括以后的每一天我们都会实时的评估出这个漏洞在全球的影响范围。漏洞第二天就是243万全球受影响的漏洞主机,还有很多国家的重要信息系统,只有重要信息系统才会用加密程序。

这张图是一个全球地图,刚好跟面板上的图是一样的,这边用颜色标出来的,颜色越深,表示这个国家受漏洞影响的服务器数量越多,大家可以看到,美国是最多的,有的国家没有,在中国边上有一个白色的国家是朝鲜,还有非洲,欧洲比较多一些,很明显,能够看出来这个信息化的程度。朝鲜不说了,大家直接看非洲,就知道比较落后。这是一个三维的图,这个也是通过相当于热感应的感觉,受影响的数量越多,这个地方的颜色会越深。大家可以看到右边是中国,中国的东南沿海非常发达,西北就弱了,左上角是欧洲,下面是非洲,就很贫瘠了。

我们还做了一个全球各个国家受这个漏洞影响的数量和排名,前35名,我们这边叫做可打击对象暴露面。最大的圆圈就是美国,中国在倒数第二行,并不是很多。这个意思是说,受漏洞影响的数量不多,但是并不代表是好事,下面会说到。这是具体的数字,刚才那个图的具体数字,美国是83万,中国在倒数第三行,是第16位。大家可以看到,台湾、日本在我们的上面。我们还特地拿了中国周边和欧美的20个地区进行了一个比较,美国还是很庞大,中国在右上角。这也是一个数字,就是刚才那个排名。

我们该怎么解读这些数据?是不是受漏洞影响越少就越好呢?肯定不是,因为美国那么多,肯定不能说美国信息化程度落后,或者安全不发达。基本上来说,这个漏洞影响的都是重要的信息系统,因为它是加密的。我们认为,基本上现在暴露出来的数量跟这个国家所建设的重要信息系统,信息化建设的能力程度是成正比的。作为中国来说,它是一个大国,肯定是世界强国,但是跟其他国家相比,在网络上并不算一个网络强国,它的信息化建设程度并没有那么的高,这一点前面其实李主任也说了,信息化建设,我们还需要往前推进,或者说步伐还要迈得再大一点,这依赖于各位企业。这个数字还是比较惊人的,美国是34%,中国仅仅是1%,差了很多。而且我前面截的那长图是淘宝、支付宝,包括微信,都是中国最牛的互联网企业,我能截到图,但是我没有截到Google、Facebook、Twitter的,为什么?因为他反应比我们快,当然也有时区的关系。

漏洞修复态势,我们把每个国家第一天受漏洞影响的数量和第三天受漏洞影响的数量拿出来进行一个比较,就知道这个国家的修复比例,就可以看出这个国家在应对一些重大安全事件时候的一些反应能力。前面其实李主任也提到了,叫应急响应机制,是不是这套机制流程是正确的。总体来看,全球的漏洞影响数量肯定在不断的递减的,基本上前三天递减快一些,后面的能修复就修复了,不能修复的大家很少去关注。我拿第一天和第三天的数据来比较,这是一个数字,大家可以看一下,修复率最高的是新加坡,然后是美国,新加坡可能是有它的原因,因为它的国家更小,可能信息化管理更加集中,所以可能更快,只是推测。美国是49%,这个数字非常惊人,就是说到第三天的时候,修复了一半的服务器。大家可以想像,下面可能有很多的企业人,大家的企业在”心脏出血”的第二天,有没有把全集团、全企业存在这个漏洞的服务器找出来,并且修复这个漏洞?大家想一下差距,我们能直面这个数字,很遗憾,差距比较大,中国是18%。这是一个柱状图的比较,全球的平均水平是40%,中国还是差的。中国跟它在世界上大国的地位相比,它的信息化程度,包括信息安全建设都没有那么完善,我们是不如日本的,全球排名是102。

刚才说了数量,咱们现在再来看一下修复的行业分类,这是美国在第三天之前修复的一些行业,包括石油、电力还有一些运营商。美国政府,还有金融、银行等等。下面是台湾,包括教育,还有中华电信也是第三天修复的,还有一些教育的VPN系统。日本在第三天修复的也是政府、金融、石油那些比较重要的行业,还有教育。我并不能截中国的,大家自己想想,在第三天的时候到底自己企业,包括很多的信息主任在这边,大家是不是能够做到,是不是能排查到自己存在的漏洞和服务器,然后再来修补它。

这个数据的解读其实就比较明显了,中国在这种非常大的网络安全事件应对的时候,速度肯定是落后的。不要说跟美国相比,跟其他的国家相比,它现在是低于全球的水平。可能不光是企业,在国家层面也是,应该更好的去推动这件事,因为毕竟是很多重要的信息系统都是企业的,也是属于国家的,整个国家应该怎么去应对这种局面?

我提大概两个现状和建议。通过漏洞影响态势数据来判断,我们的重要信息系统还是欠发达的,一开始李主任讲的,跟我这边的解读基本上比较贴近。重要信息系统欠发达,信息化建设还是亟待加强的,从图片我们就可以看出来,东南沿海和西北地区差距太大了。网络安全防御能力很弱,目前来说应该说是全国从上到下都非常重视,但是重视了之后机制是不是能跟上?在国家的法律上面是不是能健全?然后再来推动这件事情。包括每个企业内部在推行这些信息化安全建设的时候,是不是会有些阻力,是不是能够真正的配合到一起,都是有很大的工作需要做的。

在面对重大安全事件时候的一些应急响应能力,该怎么做,一些思考。不光是”心脏出血”,以前也会有,今年可能会有一些比较大的”心脏出血”。在9月份有一个”破壳”漏洞,这个漏洞是针对命令行的漏洞,可以直接控制主机,这个漏洞的影响很广,而且这个漏洞目前来看,将来遗留的问题会非常多,很多厂家,包括安全厂家出厂的安全设备可能都会存在这个漏洞,大家可以想像,包括网关设备,都会存在,就直接作为一个进入内网的入口。10月份还有一个Drupal漏洞,在国内用得比较少,Drupal是在国外用得非常广泛的,也是可以直接拿后门的。

针对这些,包括刚才翰海源的老总说的那个漏洞也非常广,但是跟我这边不太一样,他的那个漏洞利用,包括漏洞出现的原因都不一样,他那个需要人点击一下,我这边列出来的漏洞都是黑客攻击者只要想,就可以主动的,不需要受害人参与点击什么链接,就可以直接拿到权限。针对这种漏洞危害大,影响范围广的局面,我们应该怎么样去接受这种挑战?包括出现这些漏洞,作为我们公司来说,基本上可能就是一个星期,包括前两天,可能都没有睡觉在熬夜,我们也叫安全响应,就是针对这个漏洞,我们也会做一些安全响应,研究这个漏洞,然后检测,因为我们是做云检测的,检测出全球,或者全国一些重要企业存在这个漏洞点,再然后我们还有一个产品叫云防御平台,在得到这个漏洞消息的同时,在几个小时内我们就会上最新的防御漏洞。

武侠当中有一句话叫天下武功唯快不破。快的意思是什么?首先一般刚出来,流传开了就变成第二手漏洞了,这个时候大家会补漏洞。对于黑客攻击者来说,我们以前经常说有限的攻击时间窗口,可能就是几天,他需要攻下你想要的目标。但是作为信息化人来说,作为信息安全人员来说也一样的,他有极短的应急时间窗口,他在这个应急时间窗口要做的是搞清楚这个漏洞是做什么的,能影响哪些设备,在我的负责辖区里面有多少服务器受这个漏洞的影响,这些漏洞的服务器在哪里,IP地址是多少,都需要知道,知道之后才是批量的上补丁更新。

我们的思路是,安全意识和应急机制,安全意识现在大家都有了,然后就是应急响应的机制,因为这种事情可能平时不会发生,但是一发生的时候,大家是不是能扛得住?包括企业内部有很多部门,你在应急的时候需要协调其他部门的资源,本身安全跟业务的正常运转是有冲突的,怎么去推进这些事情?查找自身的脆弱点,可能对于一些小公司来说还好,但是对于大公司来说,你自己有几百万台服务器,或者是几百万的IP地址空间,你还需要去自己想漏洞检测工具,想去修补的话很难,几百万你怎么在第一时间,或者第一天、第二天就能知道哪些服务器存在漏洞?手工是做不了的。稍微延伸一下,作为政企人员来说,安全运维人员自己查很难,即使你信息化工作做得再好,你的登记做得再全面,你可能都无法掌控那么上百万的规模。作为厂商来说,不是安全厂商,就是服务器的硬件厂商,你卖给企业的网关设备,防火墙设备,VPN设备,这些厂商它有没有安全售后?我不知道有没有,可能即使有,也不会很好。还有就是软件,比如OpenSSL是一个软件,大家在用,现在OpenSSL刚好是免费的,当然也会有很多收费的软件,它出现漏洞以后,是不是售后很到位?出现安全漏洞之后,他会不会第一时间把补丁推送给你还是怎么样?这应该都算售后工作。像OpenSSL是开源的,但是它的漏洞出来之后,响应能力会很快,因为毕竟是一种自发组织。安全公司层面,做一些专业的安全应急服务,像我刚才说的,我可以知道全球,主要是对于国内,国内的哪些服务器受这个漏洞影响,我能定位到这些威胁的服务器位置在哪里。我写了一个字叫”知”,就是先知的”知”,我可以在黑客攻击之前就告诉你,你企业内部有哪些服务器存在这个漏洞。

及时防护,因为你已经知道了脆弱点在哪里,受威胁的服务器在哪里,该怎么防护是很重要的。展开一下就是,在政企方面运维人员需要做的就是修复漏洞,更新版本,打补丁。作为设备厂商和软件厂商来说就是升级自己的产品,这是责无旁贷的事情,但是很少人能够做到这些。安全公司在这边可以做的事情就比较多了,传统的防御设备,你把设备卖给企业了,出来一个新的东西,你怎么能及时的把东西推给别人?把库升级了等等,你能不能做到这些?这是安全公司一个非常重要的核心竞争力。现在跟传统不太一样的就是云防御平台,并不是说直接把硬件放在服务器的前面,而是说接入到我们的云平台上,这样的话,所有的数据,所有的攻击请求都会经过云平台,这样的话会更加方便,我直接在云平台上打虚拟不定,压根不需要在服务器上打补丁,防御了几十万网站,瞬间可以打上补丁,哪些人在攻击都能看出来。据说像9月份的”破壳”漏洞,9月25日、26日在夜里报出来的,第二天我们就把这个漏洞的补丁上传到云安全平台上,所有的攻击我们都可以捕获到。在下午的时候发现利用这个漏洞攻击的数量飙升,黑客攻击的反应还是很快的,半天之内。这边还写了一个字,叫做”道”,对于安全的公司来说,你知道这些存在漏洞的地方,包括前面截了很多图,可能你要做的事情并不是偷数据或者怎么样,而是及时通知厂商。

前面是”知”,后面是”道”,刚好是我们公司名称,知道创宇的”知道”两个字,知是先知,在黑客之前知道哪些策略点,定位危险,道就是道眼。

最后允许我再花两分钟时间讲一下我们这个平台,叫”钟馗之眼”,是很酷的名字,英文名叫ZoomEye,都是从这个平台来的。”钟馗之眼”平台,大家有兴趣的话可以去了解一下,这个平台是做什么的?是对全球网络空间IP地址或者是网站、域名等等进行扫描,就是可以识别你这个设备是什么设备,你这个设备是哪家厂商,这个设备使用了什么组件,这个组件的类型是什么,使用了什么服务,这个IP地址所处的地理位置是什么,包括网站域名也是这样,就是各种组件都可以识别到,相当于一个网络设备的指纹识别。同时存在于库里面,相当于这个平台就是为安全和大数据服务的,是安全和大数据一个很好的结合点。当有重大安全事件来临的时候,我可以利用这个平台迅速的定位危险点所在,帮国家或者帮各个企业来做到这件事。这是我的QQ号,35248466,也可以到我的微信,谢谢大家,我的分享结束了!

上一篇:NSC2014网康科技创始人CEO袁沈钢

下一篇:沈逸:沉着应对美国网络安全新攻势