陆立新:美国威胁情报发展及实践

陆立新:我本来是做病毒分析的,从99年开始创建自己第一个公司做终端的病毒的行为分析,叫做behavior  locking,又做的沙箱,在Intel做APT的检测,对威胁情报也有一些接触。

2   陆立新

我觉得你们讲得都很不错了,很前沿,可是从反病毒的历史来看,可以看到每个新的技术出来的时候投了很大的人力物力,看技术的抵抗病毒的能力在上升,但上升到很短的一段时间,比如说两三年以后,马上就会下降,为什么会产生这种现象呢?就是说在反病毒的生态系统中,反病毒的这方面在做努力,攻击的那方面也在努力。他在不断地研究你,你每次产生的新技术、新产品,你的竞争对手在研究,在学习,在捕捉你的弱点,再出现新的办法,所以你的检测力马上下降了,所以这个在国外叫做不对称的问题,不对称的问题现在是一个很大的挑战,不管你做什么,我做沙箱做到现在,我发现沙箱是每个公司都有的,可是沙箱很快就会被淘汰,因为反沙箱的病毒开始出现了,它可以监测沙箱,检测以后不在沙箱里面运行,这就没有办法了就没有用了,像威胁情报,我觉得第一个问题就是威胁情报的前端处理的人,因为每天他们上班的时候就看到几千条这样的情报,到底是哪一条重要,什么是重要的是应该处理的,只有8个小时、10个小时,每天这么做就疲劳了就叫情报疲劳证,实在是没有办法处理什么,所以这是一个面对现实的问题。再一个就是,不管用大数据处理还是机器学习机,你要知道你的对手总有办法让你的学习没有办法实现,因为你学习的东西一定是要重复的,我要重复昨天的历史,就会形成一种模式,学习过去如果还是按照模式去攻击的话,肯定有用,但我们的攻击对手不是那么听我们的话的,他发现你在用他的学习机来攻击的话,他明天就改变了方法,收集的模式,花了几年都没有办法,这怎么办。这不是一两天能搞得清楚的问题,在国内外都有这样的问题,有一天我跟一个数据科学家开了一个玩笑,他们是专门做数据挪移的,你给他一大堆的数据,他能从中找出一点东西来,进行移除,一般的模式都是这样做的,我说你如果真正能这样做出来,不如用你的模式做一个股票的测试,股票预测为什么?因为做股票预测,那个股票不会有意地反对你,最起码是这样的,但要做一个安全的方面,对手有意地摧毁你,产生一个假的或者是不重复的partten那怎么办?所以大型数据和机器学习还是早期的,挑战还是很大的。在国外我们也经常讨论这个问题,不是那么容易解决的,但并不是我们不去尝试和努力,或许我们能找出比较好的方法。

我觉得有一种方法是要的,除了我刚才说的不管用什么技术,在设计技术的时候人家有什么办法可以把技术打掉,这是迟早的问题,只要你推广了你的技术和产品的话,对手很快就会把你打下去所以在设计的时候,你会想到如果对手把我打掉怎么办,回到情报搜集也是一样的,能不能在设计这种机器学习的过程中地能不能搞一个很快可以学习反馈调节你的机制的这个方法,如果能找到这一点投资的努力就会更有效果。不然的话那位专家说,那个模式改变的话,十年八年收集的数据都没有用,因为那个IP地址用的privide的方法打掉了,不知道在哪个地方,跟踪的技术就没有用了。所以,adoctive很重要。再一个我记得有人提这样的在中国讲一个人要是办事情就学老子,要学做人就学孔子,养心就学老子,如果真正从孙子兵法的角度来考虑,我倒是觉得很有借鉴意义,孙子兵法翻译了很多语言的版本,是仅次于圣经的一本著作,我觉得在中国我们有这种优势。孙子兵法有一条讲得很清楚,就是说要立于不败之地就要知道对方,你要知己知彼才能百战不殆,如果只知道对方不知道自己,那可能一胜一负,反病毒的历史来说,大家集中的焦点都是在黑客、那个病毒的本身,但没有注重自己的弱点在什么地方。我说的自己就包括了设计的产品、我们的技术和我们的用户,他们的弱点在什么地方比如说很多病毒公司来了一个新的病毒一检测知道这个是病毒了马上就停止在那个地方,大家一收集,值一算就挡住了那个病毒,实际上那是做得不够的。为什么?那个病毒应该是值得研究的,看他用了什么新的方法,看他用了什么新的工具,然后用新的技术方法和工具反复检测用户的环境中,客户的环境中到底有没有这种抵抗能力,包括用户里安装的所有的安全的软件,是不是有办法打上,才能及时地反馈回来,你自己的弱点在什么地方。包括你自己的产品在什么地方。有一些实验室检测你的产品发现弱点,检测你的邀请第三个公司到公司来检测,发现你的弱点,可是那个不是哪边都能做,也不是及时就能做的,就跟一个人是一样的。也不能每天都让医生帮助你检查身体,每天都有一点点弱点,一年五年以后这个弱点才会成一个比较大的毛病。可是如果找到了一个病毒,我能够把病毒认真地分析,看到他的发展方向包括用的方法和工具是往哪个方向发展,我用那个东西解释了以后可以马上进行实地的测试,我觉得这个方法是值得借鉴的。

还有数据的处理,很大的挑战是目前来说这些产品提供的数据包括SIM、包括IPS,或者是防火墙,提供的数据,提供给你的时候这些产品在设计的时候没有想到今天的数据要归总到这个地方来运用,刚才很多专家讲了要建立一个平台,要建立一个云端,要进行数据的处理。但要想数据从外面收过来,没有想到这个数据要给你用,所以数据的可靠性、数据的质量很有问题,我们在国外也碰到了这样的问题,一大堆的数据来,真正有用的很少,所以我们跟他说叫做垃圾进来、垃圾出去,所以你要用一个好的质量的数据输入的话,会省掉很多计算的时间,也会提供很好的结果。这不是一天两天就能够做到的,因为数据提供的地方,比如说防火墙、终端,提供给你们的人根本没有考虑今天要用,所以这个东西要反馈回去要修改,之后才能达到高质量的数据源,我觉得这也是一个挑战。我知道。这是我知道的关于情报搜集的问题。

谢谢!

上一篇:阿里云叶敏:阿里云的威胁情报实践

下一篇:对话腾讯马斌 解读互联网+安全战略