谷安赵毅:量化信息安全风险

赵毅:大家下午好我是赵毅,首先感谢网络安全大会也感谢主持人。最开始的时候主持人也说了,其实威胁情报这个话题现在这几年行业里比较热,代表着威胁情报说自己做威胁情报的公司也比较多,我是来自于咨询公司的,我们实际上不是作为情报的公司,这两年威胁情报这么火,我们也沾了威胁情报的光,我们主要做的本身就不是聚焦在攻防对抗、黑客攻击这方面,所以今天希望从我们擅长的领域中,在风险管理的领域中给大家带来一些关于威胁情报的不一样的新领域的应用。

3  赵毅

首先跟大家汇报一下,我们之前做了一些调研,大家也知道,现在威胁情报之前对国内外的威胁情报的数据资源做了一个简单的了解,在这里我大概列出来,细数了一下据我们的了解,国内外大大小小搞这一类的至少有100多家的情况,之前威胁情报有各式各样的标准,包括了规范、传输、各方面都有,我们基于威胁情报大环境的数据基础已经具备了,我们不仅能应用在黑客对抗当中去,还可以应用在其他所擅长的领域,我们看一下下边的。我简单总结了一下关于威胁情报外部的数据这方面的产业链的基本的情况,首先,我觉得在几个层面,很多搞威胁情报的厂家都是有数据的,数据是来自于报警、机构以及用户的提供,有各种各样的数据。往上了解我们有很多的处理和交换这方面,通过像大数据的技术或者是一些机器学习的相关的技术,各种各样的领域都有,这些也有很多特别优秀的资源。另外,再往上实际上各个应用场景是不一样的,外部的威胁警报的数据,大家常见的应用的模式,更多是放到一些设备里当成外部输入的一些源,用它来做一些病毒的分析,还有一些用于SOC的接入,各种各样的都有,其实外部数据还能够在一个新的领域来做,就是做风险评估,这也就是说我们把多年擅长的东西跟外部的威胁情报的数据做了结合。接下来跟大家分享一下我们在外部的数据在风险评估和风险管理领域的一些实践。

下面的一些内容主要是这样的思路,给大家提出三个问题,我在三点价值上做介绍,另外跟大家分享三个案例,前一段时间在另一个威胁情报的论坛上,我曾经介绍过我们的方案,当时在座的有一些朋友听过,我也是这样的思路拿出三点来,可是最后我想说我们应用场景还有更多,下次再有机会给大家拿出来更多的应用场景和一些好玩儿的思路,所以说在这儿分享的话比上次再多一些分享的实践经验。

首先还是三个问题,我觉得这几个问题一直是困扰着我,不是特别地清楚。互联网+这个战略就不讲了,这个下面有各种+肯定有不同的风险,和未知的资产,我们经常做的金融的客户中,资产梳理就是一个很大的难事。第二,我们的企业在整个行业中处于什么样的位置,你的安全做了这么长时间,做得好与坏还是怎么样,谁来做这样的评价?为什么这么说?因为我从事这个行业有大概近十年的时间,我觉得其实大部分外部的威胁,例如黑客并不是说我必须要针对某一个点说就你有吸引力,我就想搞你,并不是这样,其实他也算投入产出比的,他也是挑短板的,挑软柿子捏,安全也是一个平衡并不是无限的投入,如果我们能识别行业水平中的位置,位置考后的这些可能会成为外部的威胁关注的焦点。我们希望能够有这样的一个识别包括自己做一个定位。

第三,关于合作伙伴和供应商带来了三方风险怎么管理,在一般的运维,科技部门或者是很多甲方单位的IT部门下面的安全部门并不一定关注,他更多地包括银行或者是一些企业当中的风险管理部,可能会更多地关注三方风险这部分,包括银行最近几年也对外包风险提出了更多的要求。就在这儿我们也把我们的经验分享一下。

首先先给大家介绍一个案例,这是我们之前的一些项目中的实际情况,我们配合金融机构做风险处理,在过程中信息里的数据中心在国内,由于是国际的业务,所以说经常跟国外的数据中心做数据和有接口的交换,出现了中断和异常的情况,首先肯定是排查一些漏洞或者是看是否有黑客,APT等。包括网络通讯也没有问题。后来棒查询到了数据中心的IP都别人拉黑,大家也知道很多外部的三方有机构,在黑名单列表里就被扔到防火墙阻断的黑名单里面去,其实它本身并没有太大的问题,但往往这种第三方外部的评价,评价上黑名单对他的网络确实是造成了影响,于是其实就认识到在这种环境下,我们可能用传统的通过自身的内部的视角来看,可能不是一个全貌,我们还需要换一个视角,从外部的角度看一下,这是我们带来的通过数据带来全新的视角来审视这个企业包括各单位的信息单位的状况。我一直不知道这个更深入的话应该是怎么样地描述,其实我也发现了像这个图形一样,这不是什么新鲜的东西,你两个维度来看,一个是比较沮丧的脸,一个是比较微笑的脸,这个图倒过来看就是这样子的,这说明有很多的事物从单方面的一个视角只是片面的,我们必须通过多维度和多视角来看待一个事物才是比较真实的。一旦动作多个视角多个维度看一个事物可能会看得更清楚。

下面我有一些具体的从外面能看到的数据,我们通过外部的互联网数据有什么威胁,像钓鱼数据不是从内部可以看到的,这也是我们要解决的信息安全问题,必须得通过互联网、通过数据的方式才能够让我们发现这个,这块我们跟合作伙伴那边取了一些数据做了一些简单的统计,也看了一下现在集中在包括银行证券的金融机构的调研的数据还是很多的,我们跟最终的用户也进行了沟通,确实这方面的风险,无论是监管的角度还是自身的角度也确实是要关注的,但是并没有一种方法说我一下就可以根除这种问题,因为外部有很多的钓鱼服务、数据服务,谁也不可能我的信息就是全的,就是完整的。所以必须要整合外部的资源来对这些风险或者是威胁做识别,这是有必要的。刚才我给大家举了一个例子,这个截图是我的邮箱截的,我经常收到一些邮件,用了一些订阅的软件和工具,我也没有处理,因为我们用的腾讯的企业邮箱,自动地就把一些邮件拦截下来了,很简单,他们大量发垃圾邮件,被四大国外组织拦截下来之后,直接把它拉黑扔到了垃圾箱里面,这样企业邮件的业务就会受到阻断,人家认为你是恶意的,这类的黑名单也是造成了外部的威胁。

所以,外部其实有很多数据,今天借着威胁情报论坛,严格意义来说是基于外部数据然后实现量化的风险管理,而威胁情报是我们引用的主要的数据之一,我们也通过借助自身咨询公司在行业里的定位,整合了100多个厂商包括威胁情报源的资源,再加上数据还加上运营商级别的通信数据,DNS的数据,以及互联网公开的数据,这些数据类似于我们公开可查的很多的信息,把这么多的数据隐藏整合变成一个应用,提供这样的风险评估的能力。这是基于外部的数据进行风险评估的思路。

花点时间简单讲一下我们的思路是如何实现的,首先,这比较简单没有过深的技术,我们通过外部进行了数据分析识别了企业的主体,我们通过通信的数据就能够对这些企业的互联网的虚拟的资产做识别,比较简单其实就是我们能够有的域名,能够有的主机服务,包括各种各样的子域名服务,还有包括公网的IP地址,可想而知这些信息都能拿到,我可以把这些对称到每一个企业自身。这样做有什么好处呢?我们通过这种方式服务了300多个企业,包括金融、企业、政府类,这些数据是客观存在的,客观存在树立出来的互联网虚拟的资产,在实际中跟管理的资产清单是有差异性的,尤其很多上线频繁的情况,对比外部识别出来和内部清单的差异性就可以暴露出管理流程的差异性,具体的情况我们帮助排查了差异性,也确实识别了跟多的非法上线很多研发部门的私接上线,这是外部和内部看到的差异性。

第二,识别了虚拟的资产之后,利用了威胁情报的数据,我们也是借助数据基础牢固的情况,把各个情报进行了整合,通过刚才提到的这些资产去查询有的威胁情报,当然是多维度的,关键的是通过各式各样的威胁情报或者说报警,基于这些数据可以查到多维度的,我们发现在外部数据中能实现的能力,包括业务方面的、隐私方面的、应用方面的、网络及环境方面都可以,这里面的数据比较小,接的数据是多种多样的,包括大家也知道像讲师网络的报警,被泄漏的数据,甚至我们都知道乌云补贴漏洞盒子,把这些汇总起来,我们在六个维度上做一个打分的评价。中间我们建立的风险的评估的模型目的其实并不是解决单个技术识别多与少的问题,是在这一组数据下结合了频率、影响、持续时间等等一系列的指标的因素,建立可评价测量的风险指标,参与进的计算。目的是我们希望通过这种方式找到这些维度中的短板,从而捉到自己要进行加强安全投入的点。同样,我们通过这类数据不仅能做到这样子,在实际应用中还发现了比较有趣的事,我们通过外部的报警,同时对比了内部的信息,比如说外部的防火墙有报经,这里面也有外部攻击,实际应用有几种情况。第一,如果内部也有同样的安全措施,可以进行联合解决这种问题。第二,内部和外部报警和展示的现状是不一样的,不一样是因为策略本身就不足,暴露出一些管理上的缺陷,另外对成熟度比较低的行业中,通过外部威胁的揭示能够促进他重视安全工作,加强安全措施的改进。这是外部视角和内部视角的关系。

后面我们也建立了可量化的,这是基于外部的可测量,所以量化是比较容易的,最终我们对每个企业会有一个分数的评价,这是具体的千分制的情况,这是动态的过程。因为搞外部的数据还有一个很重要的是它的实时性,底层数据我们实时从接口里面做一些查询,这样保证我们给出的情报数据是最及时的。之后我们通过这种防止从一个新的视角上对这种风险做了揭示,这实际上是跟传统已知的内部方法,比如说漏洞扫描、渗透测试、日志分析、人工检查等,为这些工作提供了更新的方法,共同完成风险评估,从内外两个维度来审视这个问题,因为原来在整个的外部的数据,大部分大家都有了,我们做的这件事本身也不产生数据,我们主要是借助外部比较好的威胁情报的数据资源。这些数据资源把他从一个全局分析的角度,原来是无法对传到企业或者是行业的,把全球的数据对称到单个的企业,为他们输送威胁感知的能力,现在有很多来做风险评估,用这种方式基于外部数据每天都可以做,原来一般每年做、每季度做就不错了,这种东西没有办法变成日常的常态化的管理,这是一个价值。

作为一个风险管理来说,跟安全管理还是有差异性的,所以说我给大家带来的不是攻防对抗也不是准技术的,第二我给大家带来了第二个价值的分享,我们建立了量化评价的体系,不仅对一个企业能进行量化的评价,对一个行业也可以做这样的事。现在我国的部委单位或者是政府单位这些有近百个,每个单位包括行业监管都是也垂直管理职能的,从今年开始配合部委单位也是进行了外部量化评价对网络安全绩效考核的应用。通过这种方式可以利用外部客观的数据对下级单位进行竞价和对比,关键在于很多行业数据中要建立统一可测量的评价标准,再次强调,它只要在同一个计算方式下同一个标准模式下就可以打分,评价出这是高与低的差异性。这点是很重要的。在这儿我们也做了一些数据采集,现在我们会持续对各行业进行数据的分析和采集调研,目前面对金融、证券、保险、卫生、教育互联网各方面,我们行业中都去做行业调研,包括银行采了200多家,识别了金融机构,证券包括了券商、基金,后面像教育、高校、医院都会去做,目前我们对企业单位实现了4000家单位的识别,并且我们持续地对行业进行分析。

这是我们上个月做的互联网金融做的报告,在这儿首先是采样的336家互联网金融公司,包括了众筹、做P2P的。基于外部数据的方式进行逐个单位的量化评价之后,汇总综合水平进行整体的评价,我们认为在这个尺度下有一个打分制,评价是857分。根据这个也会筛选出来,整体情况下,54恩%都是900分之下,整体看较好。下面的图比较小,这就是每一个的分布情况。同样,区别开进行分类,包括众筹、P2P,分别是什么,还有外部资产,我们发现在这里面像外部的资产是数量最多的,确实三方支付业务是相比其他分类比较多。我们不仅能看到这些,还可以有风险指标,外部识别的劫持,有漏洞的情况,外部的攻击、僵尸网络,我们建立了12项风险指标,基于这个指标对各个单位进行量化。并且我们针对详细数据,还有一个很重要的意义是,我们通过这种方式揭示出一些具体的风险项,通过它另外可以关联揭示出一些行业共性的风险,在行业共性的风险中可以及时地对称到行业内的企业,这是非常有意的事情。

以上是我在企业和在行业中的应用,当然在行业中除了我们做了各个金融的行业、医疗的行业、教育行业,另外还可以把它纳入到上级对下级监管职能的落地。实际上我们的经验也是在这其中,这个角度上可以促进整个下级单位开展信息安全工作,并且提高重视程度,另外现在也推动了国家等级保护,也可以用第三方评价作为抓手来促进体系完善和工作的开展。这是我们在行业和企业中的经验。

第三是给大家带来另一个角度的应用,是为第三方风险的管理的经验,合作企业供应商第三方带来的直接风险是比较多比较大的。之前我看乌云的数据上有一个数据,去哪儿的合作伙伴间接的泄漏的问题,还有一些行业的科技公司直接在邮件里爆出来跟国家大型企业管理层邮件往来的信息,这意味着企业除了保障自身的安全的防护,对第三方合作伙伴和供应商的风险也是非常重要的,后面有一些调研和调查的数据给大家展示一下。去年普华永道做了一个调研在网络报告里专门调研了第三方安全风险,里面的数据表示只有16%的企业用户在关注三方风险,而且积极地做三第三方安全风险的风险管理和控制,23%左右为三方风险都不是特别地关心,都忽略了这样的风险带来的影响,我们再配合看现在的银监会对金融机构的外包风险的监管指引中也提到了,必须要求下面的金融机构对供应商或者是外包商实施第三方评估,并且不能依赖自评估的结果,必须采用第三方公正的结果进行评价。我们一直没有找到非常好的方法来管理第三方风险,现在有了外部这么多的数据,有了这样的基础,我们可不可以做一些事呢?我们发现,用这种风险管理方式不光对行业进行评价也可以对供应商和第三方合作伙伴做评价,还要强调一点,关键是在同一标准同一尺度下进行量化评价这样就可以把供应商和合作伙伴进行前期的,有的在国外做一些净值调查或者是定期持续性地做风险和安全的评价,以完成第三方安全风险的评估这样的工作。通过外部数据就完全可以实现,这也是一个好的思路,这不是我提的,用外部数据分析评价第三方供应商或者是合作伙伴,这个其实在国外已经有这样的开展了,有这样的一些经验了,也是一个比较好的思路。

以上就是我们作为一个在风险管理领域中的公司的经验,把我们所擅长的东西跟外部的数据项结合,在风险管理和风险评估的领域的一些经验给大家做一些分享。严格来说我们也是借助了行业发展比较好的趋势,外部有很多同行,所以说我们也希望在这儿积极和大家合作,其实我们在各个领域都发挥了自己的优势和擅长的东西,也一起可以创造更大的价值。我们这个已经可以在线做体验和应用了,如果感兴趣的话,其实可以发邮件到我们的邮箱,可以帮助大家提供这样一个邀请码,让大家免费体验。

谢谢大家!

上一篇:IBM李承达:IBM X-Force如何抵御未知威胁

下一篇:对话腾讯马斌 解读互联网+安全战略