天空卫士杨明非:核心数据资产的管理和保护

杨明非

首先,谈到安全离不开有关政策或国家大的趋势,最早1999年,政府就开始建设中央信息化安全领导小组,那时候从国家层面上还只是国家总理级别来挂这个帅,去组织这个小组。小组在后面基本没有做太多在信息安全方面的事情,当然,我们也有等保以及各种各样安全手段在出,但没有提高到国家安全战略角度。2010年开始,胡主席上台以后,提出一个非常响亮的口号,让很多在安全界的人都觉得非常振奋,提出“没有网络安全就没有国家安全”,这一下子就把整个安全提高到了国家级别的高度上,习主席也是亲自挂帅做网信办的组长。从网络安全来说,我们一下子感觉到提高到这么高的角度。

国际形势。

前面邵处提到爱恩斯坦计划(einstein),美国70年代、80年代军队、国防部就开始做这个einstein计划,做了很多东西,前面花了60亿美金做国防、军队安全系统建设上,对人民币来说好几百亿,花费是巨大的。最后得到的效果,在美国也发生过数据窃取事件,最典型的是美国国家政府联邦人事管理局的很多数据被窃取了。我们看到的是公开的,包括这次的WannaCry病毒,起因是美国国家军火库被盗了,里面一个代码拿出来做个小小的东西,这只是他军火库里一个非常小的东西就造成如此轩然大波。可想而知,如果其他东西都放出来的话会造成什么样的影响。因为他花的60亿美金建立的安全系统,发现这个东西不管用。

怎么处理呢?这就涉及到商业操作的问题,美国现在新花了10亿美金重新搭了一个盖子,美国排名前三的军火商雷神(Raytheon),它本来是一家军火商,爱国者导弹和萨德系统里面以雷达著称,其中有很大一块,雷神是个大气团,其中有一块是做和IT信息相关的,原来是以大数据分析平台为主,收购了美国一家公司Websense,收购之后把两块合到一起,大数据分析平台加上DLP技术(内容分析技术,原来Websense做的),把两个数据包在一起,给原来做爱因斯坦计划的,又花了10亿美金做了盖子。这个盖子是什么呢?无论你怎么进来的,我不轨再让你数据出去。他原来花60亿美金大量建设在外部的防护上,现在新的APT攻击手段出现之后,它的防护已经完全失效了,它就重新建了一个盖子,我不让你出去,你进来了,不管你怎么进来的,我不让你出去。国外的形势都是这种发展。

国内形势。

现在从国家立场上,为了加强国家网络安全角度,最近有很多发生在我们身边的各种各样数据泄露,每个人遇到骚扰电话,现在最受欢迎的就是360、腾讯手机管家,一打电话过来我就知道这是骚扰电话,这是一个广告等,这是因为我们个人自己身边的信息被泄露出去了,包括大的刑事案件。《网络安全法》在去年底发布,在今年6月1号开始正式实施,我已经看到有几个根据《网络安全法》判的案。因为《网络安全法》里定义,超过50条,交易金额超过5000元就可以按照犯罪入刑去定义。《网络安全法》定义里有4个地方,6个非常重要的细节都提到了,对于关键基础设施,不管是金融还是政务,国家关键基础设计上必须要保护用户自己数据本身的安全,这已经进入法律的保护。

这种形势下,这些数据是怎么出去的?我们又拿出一份国外的报告,因为中国国内信息泄露还没有权威的报告,Verizon是一家美国的运营商,每年都会发这么一个信息数据泄露的安全报告,已经累计发的10年,2017年发了十周年纪念版。从中可以看到很多数据是怎么出去的,既有以黑客的方式窃取的,还有很大一部分是由于内部人员主动和被动的泄露方式。泄露方式有内部的泄露。使用手段很多都是通过现在新的社交、黑客攻击手段,都会造成数据泄露。行业来说金融是个很大的目标,当然医疗也是很大的目标。今天最多的方式是通过邮件和其他手段,不像以前是通过攻击你的防火墙绕过防火墙,现在绕过防火墙的方法非常多,非常有手腕。还有很多是内部人员去泄露,前段时间在有些网站里抓到的内鬼案,非常得多。

数据泄露情况这么严重,我看到在座有很多做安全的老兵。我个人,刚接触电脑时,所谓讲安全,那时候只要谈安全,在我的镜像KVR版、瑞星杀毒,我装个杀毒软件就叫做安全,因为那时候电脑都没有联网,只是防止从软件拷进来有病毒就叫安全了,后面是防火墙,再往后WAF、IPS各种各样的东西,这个东西越堆越多,安全管理也会越来越复杂,今天APT攻击出现的时候基本就防不胜防了。

今天,我们进入了云和大数据时代。前两天,我在贵阳参加数博会时,和做大数据那边一聊天,聊的很嗨的是,我们能拿到越来越多的数据,才能做大数据,数据量小了都不能叫大数据,数据量小的都是假的大数据。后面有个问题,当数据量越来越多时,我们需要有个方式和手段去保护数据不被泄露出去,数据给的越来越多时,价值就会越来越提高。

传统的数据安全技术,我们常用的,不管是做加密的,有做管控的,各种各样安全手段,实际上在真正运行过程中,这些所谓的内鬼或内部人员泄露信息时发现都没有用,我们发现很多审批是由新毕业的学生去做审批的事情,他做审批基本形同虚设,相信在很多单位里有这种现象,就是解密之后往外发,一定是新毕业的学生干。因为真正很有技术背景的,很有能力的人一定不会去做这种事情。

他们的共通点是,在这种技术安全手段里的共通点。

一是无法感知内容。所有的技术里没有一个技术告诉你,今天你的word文档里嵌入了一个图片,包含身份证号和信用卡号,没有技术能达到这个功能,他无法感知这个内容,因为它们都不具有内容的识别能力。

二是APT攻击带来的泄露很谈做防护,尤其是以防火墙为代表的,基本过就过了。很多的单位,现在的很多建设是防外不防内,银行的话来说,内网里是开着敞篷车去运现钞,就是内网的很多弱口令,没有补丁,直接把SEC(音)一级直接写在页面里,非常常见。

三是也无法防止内部人员泄露,现在很多大的单位里还在使用,说我把U盘关闭,这样就有数据防泄露手段了。

有了这些手段我们有什么办法呢?这是我们天空卫士在做的事情。

UCS系统(统一内容安全防护),通过对内容安全识别处理,对所存在的整个数据生命周期,数据的创立、数据的使用、数据的传输、数据备份一直到数据销毁,对整个数据生命周期的设计,通过统一的方式,以内容分析手段来做数据方面的安全保护。我们有三大部分引擎,一是针对云的,二是针对数据本身分析的,三是针对安全平台,如何把数据更快、更有效地、更高速地输入进来进行分析。这是我们三大引擎重点。三个核心引擎下面可以延伸出来一系列产品,有专门针对代理方式去工作的,可以以数据方式工作的,以防护DLP方式工作的,以云、移动终端的方式去工作的。最核心的是我们针对DLP数据防泄露,就是数据保护部分。

DLP的概念。

很多时候会被误导,因为在很多场合下,上次我参加RSA大会时发现一个很有意思的事情,参会的大概500多家厂商,300多家厂商都提到自己的产品,自己做的东西是和数据防泄露相关的。确实本身对数据的保护是现在所有人关心的重点,在谈到DLP时,通用的标准是以内容分析手段对使用中的数据,传输中的、存储中的数据进行分析和保护。

传统DLP的技术构成。

1、对数据的发现,今天对网络管理里,特别是谈到数据治理时,大部分安全管理人员都有很痛苦的事情,不知道自己的敏感数据在哪里,这是我们调研中或者接触客户时发现最多的事情,不知道自己的敏感数据在哪里,一是不知道什么内容是敏感的,二是不知道敏感的内容究竟在哪里,这是发现DLP,它会做这个事情,对存储数据进行分析。

2、网络DLP,网络所有纯属的内容做分析,这个用途很广,有时候对于邮件,对于上网的公司,上网的带宽,包括上次提到政务云,有三张网,政务外网里,军队里也碰到同样的问题,非涉密,公开的网络上面,我发现上面是不是有密切的文件做传输,秘密的内容在传输。这也是一种分析,DLP对数据的发现和保护。

3、终端DLP,刚才邵处提到5个,终端云、数据,终端也是很重要的管控接口,数据传输通道越来越多。比如今天USB,其实USB是很好的东西,做大容量传输时非常得方便,不用走网络,但如果只是把它简单地关闭和禁掉的话,这也会带来其他的问题。今天我们谈到的重点,对云上的DLP、数据保护,大部分企业上云时都有一个痛苦点,担心我把数据放到云上之后,我的数据被泄露了怎么办?这里面包含了对云数据防泄露的保护。整个DLP的机制和运行,我通过监测和控制两个手段,首先发现敏感数据在传输;第二我要知道我发现之后要做什么样的处理。

对于传统的DLP部分具体产品不再单独聊。

今天我们谈到的都是UCS。UCS叫统一的内容安全保护,涵盖了整个今天大部分企业生态环境,在这个生态环境里有自己的数据中心,有自己的办公,在一些大型企业里还有很多分支机构,很多企业现在开使用SaaS,Office365,有很多移动终端,不管今天的政务云、行业云、私有云,各种各样的云,这是今天IT组成大的环境,我们谈到UCS时,这是我们很传统的部分,网络DLP,部署所有的网络接口,对所有的流量进行检查。

对应用的安全有两个模式,反向DLP模式,原来是上网的,反过来去用,对应用进行保护,我们和很多大的企业,和一些科技公司做这个事情,反向DLP对网站返回内容的检查具有独一无二的功能;我们也参加了近期国家大的项目里,高密集项目里,给他做这个事情。

对应用的检查,我们现在独家提供Web Service Inspector云服务,部署在云里,针对整个云环境提供SaaS服务。对于很多的公有云,我们也和一些运营商、行业私有云做合作,通过运营商网络提供更多的SaaS服务给中小企业,以前SaaS服务很多企业不知道,还有就是太贵,将来我们会以云的方式,和运营商进行合作,把它推到更多几十人的小型企业提供更多的DLP服务。

我们还另外关注数据治理有一系列支撑工具,会加速DLP部署。

下一代数据防泄露模式。

DLP走到下一代会变成什么样子。现在我们已经在做开发,把下一代模式做完,我们的目标是瞄准美军最后加的盖子,这里面有大数据行为分析技术。这里面有两点,现在谈到安全大数据时,都有一个缺憾,我和Detex(音),美国做UEBA的厂商聊过,他们有个缺憾点,可以用各种手段收集各种行为,比如对文件的增删改,在终端上看他做了什么样的事情,网络上分析他有多少个连接行为,这个缺憾是什么呢?他们不知道传输的数据是什么,传输的内容是什么,真正要做用户行为分析,只有把用户在传输了什么数据,再加上用户的行为,今天往外发一个文档,只是网络管理信息,我只是发了一个内容,你不知道我发的这个内容行为是好还是坏。所以谈到UEBA,对内容和行为两条一定要一起去做,这也是我们下一步要做的未来方向。

大数据分析案例。

大数据行为分析时,它是解决掉传统安全行为里都是以策略为驱动的,就和防火墙一样,没命中策略,就是说如果我命中这个策略就过了,叫策略分析,以前我们做的DLP里,这也都是以策略为驱动的,命中了敏感文件就认为你是犯法的,新的策略分析和APT攻击很难去,因为APT供给是3M,面向很多目标,很长的时间,很多的资产可能都被涉及到里面。3M一下去,面向防护的策略很难做防护。下一代安全做到一定是行为加上内容的方式。

2013年,RSA、EMC和美国东北大学一起做的案例分析,他抓了EMC公司自己两周的数据,通过这个数据(非监督行为学习),用聚类算法把所有相关因素全部都抓到一起,对中间网络行为传输数据出现的峰值和问题点它抓出来,当时它得到一个非常好的效果,发现了484个事件,只有8个事件当时在他安全设备上,WAF、防火墙上发现。通过SOC核实之后其中25%是真实的恶性事件,得逞没得逞另外一说,里面还有39%是属于违规事件,当然还有未能识别的原因,不知道它为什么会出现这么一个东西。这代表着将来网络安全发展的趋势,通过行为加上前面所谈到的内容,这是我们将来会再去做的一个主要方向。

今年底我们会推出一整套,DLP超越传统安全的,除了很大的覆盖之外,我覆盖了云,覆盖的应用,覆盖了网络,覆盖了终端,在这之外会加上整个内部行为分析,通过这个内部行为分析之后,达到整体的目的是防范内部的威胁。有25%的数据泄露实际是来自于内网,内部人员,这个比例在真实世界里会更高,我们看到实际是50%以上内部人员造成的泄密。DLP今天做的是什么呢?所有的攻击加上最后一层盖子,不管是SQL注入还是Webshell方式,我们会防止真正的数据泄露出去。

上一篇:邵国安:政务云安全要求及安全态势感知平台建设

下一篇:安普诺张涛:再谈webshell检测