滴滴弓峰敏:安全范式的改变

弓峰敏(滴滴出行信息安全战略副总裁):

下午好!感谢大家来参加这个分享。我主要和大家分享的是不是有一个范式的改变,影响到我们怎么做安全,可能会牵扯到我们每一个人。

我分享几个方面:第一,现在冷酷的现实,我们很多嘉宾提到了我会很快过一下。第二,解释一下新范式是什么样的概念。第三,在此基础上谈一下,为什么我们认为有这样一个新范式需求,给大家一个理解,有了这个理解,我相信下一步就是大家要去实践新的范式,希望使安全保护能够更上一层楼。

这里我简单举几个例子,列举了过去发生的一些事件,主要我想提到的是大家都知道的,今天在美国发生的大选,刚才TK也提到了,这确实是历史上第一个网络空间的威胁和活动真正对一国大选产生了影响,这是蛮重要的一个历史事件。

其他的东西我不一一介绍了,我想强调的是,在这样一些事件发生的时候,一部分我们看到的是直接的受害者,包括一些公司的声誉、CEO丢了乌纱帽等等这些直接受害者,后面会有成千上万,很多很多人是间接的受害者,这些间接受害者里面包括大多数像你、像我这样的人,我们的信息被偷后意味着什么?

即使一些公司说,我帮你去观察一下你的信誉有没有被人偷掉,有没有人在用,但谁又能保证作案的人在这个时间段就会用,而不是在很久以后呢?

我们总结一下发生的事情的影响,这是一个很大的影响,影响到很多人。可悲的是,往往很多事情,本来我们可以做一些事情,很多的状况是可以不发生的,但因为我们的实践它还是发生了,而且影响了很多人。

你去看这些案例,并不是每一个案例里面都用了,比如0-Day攻击,实际上不是的,90%多都是用的很老的代码也成功的造成了很大的损失。

除了刚才我们提到的孟加拉银行的款被转走的状况。更有意思的因为一些个人受到要挟,欺诈行为,导致他们做出自杀等行为,这些状况的发生是很可悲的事情。前面大家提到过讹诈软件,讹诈软件的出现,不光影响到企业,而且影响到个人。

刚刚开始我们知道它用的手段是通过钓鱼的方式把一个恶意的东西(讹诈软件)装到你的机器上,你的机器共享公司的文件,导致了更多的文件被加密。更多的已经出现了它可能会直接攻击公司的服务器,至少它对你的数据的影响就会相当大,已经不是简单的从终端上的影响。

光讹诈这件事在过去短短一两年中所用的技术也在不断的发展,包括他们怎样用一些加密的网络做通讯,使得对它的防御难度提高了很多。

我们去看这样的事情是不是仅仅发生在一些知识认知程度、对安全认知程度不高的企业呢?其实不是。这个是更早之前发生在RSA的,大家都用过RSA,他们这样的公司也变成了直接的受害者,可以想象不是我们一般的人能够逃脱这样安全的威胁攻击。

我们做安全这么多年,难道就没有安全的工具吗?我们在座很多人也是做安全的,但去看以前我们用的安全工具,为什么没有成功的帮助我们防御这些事情?从扫描器一直到各种入侵的检测工具,一直到下一代防火墙,终端上的防毒软件,各种场景下他们每一个都有相当严重的失败的场景。

所以,你去总结的话,某种程度上,可能我们在防御的方法技术上有一个很严重的大的漏洞,这就是我们想和大家探讨的,刨根问底一下到底发生了什么。

你可以不看很多的细节,我想说这个紫色的盒子action。如果一个攻击者要入侵你的网络,可能要偷你的重要的数据,这是他的核心目标。

要达到这个目标,他可能会做N多个步骤,所以这个圆圈代表了他的准备阶段,准备了很多工具,把工具植入你的网络,最终做数据的偷盗。它的最终目标不会变,就是偷你的数据,至于达到偷你的数据的N多个过程,这恰恰是我们出问题的地方。

我们有了很多防御工具,但很多工具显然没有防住,可能它连看都没有看到,为什么?最终的原因,从刚才显示的表中,它不是一定按照线性的过程走的,而且每一步它都有N多个变数,所以,过去我们都集中在看它走的每一个步骤,把它的步骤当成我们防御和检测的目标。恰恰在这块它的变数太多,而且不是所有的步骤它都会走,这是我们走入误区的最大的问题。

你要帮它总结一下,你可以想他们为了他们的目的,他们的目的一旦清楚以后手段是可以变的,它要去找最重要的珠宝,这个珠宝你放在哪个房间、怎样进入这个房间,通过门还是通过其他渠道这就成为了变数的出现。

所以,这是防不胜防的场景。另外一点,他们会打持久战,持久战的概念,因为它要达到这个目的,它有足够的时间,还有一定的资源的话,我们以前的工具在拿到一个数据,它会把你的数据存多久再去做关联,这是很简单的概念,但在这个时候,因为我们没有预计到它打持久战的场景,所以我们很难看到两者的关联信息,因为我们很早就把它丢掉了。

对于是整个产业链的问题,攻击者某种意义上对网络技术的利用形成了一个产业链,今天我们听到过,讲的很多数据黑产的状况,他们形成了一个工业化的产业链,这是他们走在我们做防御攻击的人的前面的,这是我们值得学习的另外一个教训。

回到这里,这是刚才那个表的一个细的划分。如果我们看这四个主要的步骤的话,有一点欲速不达的概念。如果我们想在中间步骤把它搞定,我们的集中力全放那个时候,它有很多变数很多情况下看不到。

如果我们有耐心愿意等的话,因为它最后一个环节是最重要的环节,这个时候我们在最后一个环节等它,我们看到的信息是最多的,而且能够检测到它的可能性是最多的,这是另外一个维度去看怎样做防御的问题。

再看第二个领悟,从左边一直往下看,从黄色到橘色到红色,它掩饰了很多传统的知道的过程,从最初文件里的病毒到网络蠕虫,它是演进的过程,到了中间这个部分它已经到了一个时代,充分利用了网络空间对他们的好处,形成了他们自己的产业链,这时候它的力量变得巨大无比。

我们做防御的人,最早在终端上做的是防毒,当我们用网络用得很多的时候,如果我们在网络上做防御是有网络效应的,对于我集中管理很有效,如果一个地方能把你搞定,就省了很多事。

今天有很多的终端,我们用了很多基于网络的工具,大家今天听到我们关于云的讨论,云的出现确实很多方面,从支持现代的IT技术和商业需求上,它有很多的优点,但云技术没有从根本上带来一个全新的安全问题,它可能只是应用场景和部署的问题。

但做工具的人往往犯了一个错误,看到大家当今最敏感的问题,我们就冲上去解决这个问题,我们往往做一个单一的全新的产品解决这个问题。所以,这时候你看蓝色的盒子,还在很大程度上处在相对孤立、各自为战的状况。

如果我们从安全工具开发的防御模式上,不能去考虑基于生态的防御,那么我们的仗没有打的时候可能就输了一半。

这就引入了安全保卫的范式的改变。从旧实践里,我们总是盯着漏洞,它是一个中间环节,我们知道漏洞也不知道它下面要干什么。我们就冲动了去解决漏洞的问题,后面还有一个概念,什么东西我可以把你防御掉,所以我不需要后面担心了。

从方法上,从我们的部署上都可能是一个单一化单点的状态。在新范式下,我们得到了教训后,我们一定要以业务为目标,它的最终目标要么是和你的数据、要么是业务流程造成破坏。这时候我们再追求的不仅仅是盲目防御,我要不间断的做监控,能够尽早在第一时间感知到,然后能够做出反应。

按照这样的思路走下去,我们一定要相信威胁情报共享的概念,一定在威胁情报共享的基础上,我们才能够去抗衡今天的威胁很多基于网络和它自己的生产链的手段。

这个图我给大家一个简单的概念,我们传统做网络安全,尤其是企业安全产品的时候,显然我们意识到IT发展的过程,还有威胁它的发展,还有整个业务的发展,这三个的发展会产生新的对安全需求的场景和安全的工具,影响到安全工具怎么去部署。

但往往我们有一个错误,相对来说用户对安全的认知和实践是某种意义上忽略掉的,我们把最重要的在安全保卫环节的人的因素没有充分考虑到,恰恰今天我们要认识到这一点,要把人重新拉到这一保卫的环节中来。

我们去看看,从另外一个角度进一步解释一下新范式和旧的实践是怎样的对比关系?传统的时候,我们讲VPN的概念,但是在以前把VPN变成了很简单的对信任边界划分的东西。

今天大家认识到以后,有一个信任区的概念,一个区要么是信任,要么是全不信任。

还有一个Segmentation,过去是分段,也是在网络防火墙做配置的时候的简单的区域的管理方法,今天我们把这个分段的概念仍然很重要,但分段重要的目的是能够做细度的不同部门之间的流量监控,同时在发生事件的时候能够很高效的做隔离,同样的概念但今天应用场景有所改变。

在新理念下我们做基于生态系统的安全防护的要点:一是对目标的认知,一定是以业务为中心,你要知道你需要的是什么东西,要第一时间对一个生态做以感知,在这个基础上再做应急的处理。因为大多的场景你有足够的时间把它搞定,并不是没有一个预防的概念就搞不定它。

怎样做一个最佳的安全事件,显然这个时候我们提到的用的工具和部署流程都去支持一个概念,就是我要做不间断的监控、排查和及时处理的概念。

这里面对产品工具有具体的要求,比如我希望我所用的工具一定能够支持威胁情报共享的模式,里面重要的就是API的概念,任何环境中我对工具的应用,有了API的概念让这个工具集成到我的应用过程中就可能有最大的灵活性。一定在一开始就选择一个流程,按照这个流程做,再不断的做闭环的更新。

今天我谈得会比较快。在这个地方我最后希望给大家带出的概念,我知道今天其他嘉宾也提到的,今天已经到了一个时代,我们不再说网络安全或物理空间安全,因为这个时代网络安全和物理空间安全对每个人来说已经紧紧连在一起了,所以为什么说每个人应该有一个安全的意识,进入到生态系统的安全的防护和自我保护的活动中来。

为什么这么说呢?如果你去看这个图,你可以从最上面看,它可能反映的是我们在早期随着安全问题的出现,对安全问题怎么去处理,你看到往往都是一些基于漏洞、网络的漏洞加固、扫描、木马注入、拒服务攻击,整个影响是什么?

在早期可能有一些人,他们一开始也是玩玩,但后来影响到很多人不能访问企业的网站,再往下走,随着整个安全威胁的发展和IT技术的发展,你会发现更多的东西越来越多的和我们有些接近了,很显然Poss机的状况,一下子从电商、银行、酒店把所有它的用户带入其中,他们的信息直接被盗了,他们就直接变成了受害者。

再往下看讹诈软件这样的东西,有很多攻击通过脱库的形式,做各种欺诈的东西。这些时候你已经看到每个人个人和一个企业,和一个业务已经连在一起了,都变成了受害者,也可能是直接的,也可能是间接的。

再往下看变成了什么状况呢?如果你去看今天已经看到的很多的例子,确实直接把物理空间和网络空间拉在了一起。

我们有不少的例子,包括一些普通的国家相对作为一些网络的攻击,我们从整个欧洲和中东都听到过很多实际发生的例子,当然这些东西都是直接对抗的工具,有很多例子是间接的,比如出现在我刚才提到的一些状况,比如出现在英国,一个年轻人收到相当于诈骗的邮件,号称是从当地警察局来的,你在网上做了什么事情,我们查到有证据,你必须要交罚款,而且我们会给你建党公布。这些年轻人也说可能他本身精神上有一些脆弱的地方,他根本搞不懂到什么地方找到帮助,所以导致他自己自杀了。

所以,尽管它不是直接的,但间接危害在行骗人是没有预计到的。但我们从安全的角度看,这确实是安全的问题,它是物理空间和网络空间结合在一起影响到一个普通老百姓的安全的问题。

我的分享就到这里,非常感谢大家的时间。

上一篇:IBM'Chenta Lee:Artificial Intelligence and Network Security

下一篇:高林:《关于加强国家网络安全标准化工作的若干意见》解读