中国IDC圈1月7日报道,1月5-7日,第十届中国IDC产业年度大典(IDCC2015)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模最大、最具影响力的标志性盛会,之前已成功举办过九届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

百度云安全资深安全专家郝轶出席IDCC2015大会并在大数据应用与安全技术论坛发表主题为《全息安全:互联网空间中的导弹防御系统》的精彩演讲。

郝轶

百度云安全资深安全专家郝轶

以下为郝轶演讲实录:

我今天的议题分几个部分,是我们在信息安全方面有关大数据的思考以及百度的时间和我个人的态度。

五年前经常说的一个事,我们信息安全风险管理有三个要素,这边是我们的资产,外面是威胁,资产有脆弱性,所以我们需要控制措施,需要这些豌豆、坚果做防护。信息安全在以往的思路上大家讲纵深防御,如果一道防线防不住的话,后面还有别的防线。那个时候我主要做内网安全,又过了五年,我觉得这个事有别的思路,我们站在攻击者的角度和防护者的角度是不同的,我们希望我们能够形成纵深防御,假设攻击者的路线比较曲折,要一步一步来,假设我们是攻击者,为什么要按照防御者规定好的路线和方向来攻击呢?二是传统的内网里面的结构里一定的复杂度,互联网上中小网站结构比较简单,买一个云主机就结束了,没有这么大的空间让你部署这些防护系统,很难形成纵深防御,就这个想法我做了一些展开。

比如在伊拉克战争的时候,站在防护者的视角,就是萨达姆这一端,他们想说我们有很多军队,如果一旦发生战斗我们要把敌人引到我们的巷子里面去,引到复杂的胡同、楼宇里进行巷战,做纵深防御是他们当时的想法。站在旁观者的角度,这个靠谱,纵深防御有很多人,我们在陆地上做防护,一个萨达姆需要一二十个国家非常难。有另外一个问题,如果站在攻击者的角度,美国叫斩首行动,由于陆地上攻击、推进的话需要耗费大量的人力财力,而且有死亡的危险,他更希望派飞机和无人机直接斩首掉对方的领袖,比如本拉登,这是攻击者的想法。实际上攻击者没有必要按照防护者的思路去走他的攻击路线和攻击路径。我后来找到了一个图,战争五环,这也是国外关于防护的理论,战争中有几层,最核心的是领导、关联系统要素、基础设施、民众和军队,从攻击者的角度来讲,他并不想直接和防御者的军队进行直接接触,他希望直接灭了对方的领导,就是斩首行动。

防护一个系统之前做很多建设,我们试图把我们的防御机制,把我们要保护的对象比如我们的网站做得更安全,我们要不停地上防护的设备,增加安全的控制措施,这就像是我们设一座堡垒,我们有资产。昨天还是前天据说我们的邻居朝鲜造出来一个武器氢弹,看报道它发射得不准,这导致一个问题,很难把中小的网站每一个都防护得足够承受攻击,如果有人发射导弹,一种防护方法是把堡垒修得足够结实,能扛得住导弹,还有一种是中小网站的成本不适合做这么高强度的控制措施,一般的国家怎么防护,监控这种攻击从预谋到开始、到途中、到快打到你这儿,争取在空间中把你拦掉,这就是我今天要讲的我们在互联网空间中对中小网站的防护思路。我们一方面给予网站一个基本的防护,同时我们在整个空间中形成周密的监测和系统,争取在攻击尚未打到你这儿时把它打掉。

我们做的过程中还有一些困扰。内网APP威胁,很多针对互联网中小网站的攻击是程咬金的方法,属于三斧子买卖或者一锤子买卖,打一下就好,像威客这种,一个中小的网站不需要你长期持续性的攻击把它拿下,有这么多白帽子,对中小网站来讲拍你一下就闪了,半小时就把你数据导走了,这种方法我们怎么做到。一个立方体,我们能不能看得更全面,站在甲方的业务的角度,你是做什么的,你能付出多少成本,你有多大财务上的影响,你安全人员的考虑,站在攻击者的角度考虑怎么考虑你,安全行业对这件事情怎么考虑,你是处于什么行业,同行业对安全这件事情的看法。多个角度在视角上对目标进行分析。同时我们考虑到距离和范围,原来关注更多的是你的外部,你的外部应用防火墙,现在同时考虑到你的链路,比如百度自身的CDN监测里面有没有恶意的数据,监控攻击源,从不同的角度看这个事。比如我站得越来越远,我看的范围会越来越大,从资产、行为、时间、身份多个维度进行分析,这就是我们全息安全要做的事。

还有一个比较脑洞的事情,原来我们说信息安全这么多年来没有高科技,我的同事说我给你出一个高科技的东西,叫穿越分析,如果我遇到了攻击,能穿越到被攻击之前把攻击者灭掉那么我们就实现了防御,但实际上这件事不靠谱。我们唯一能做到的是,人们在宇宙中找跟地球相似的星星,去观察这个星星怎么产生怎么消亡的给地球作为参考,关于这一点我说这个方式有可能实现,假设存在平行空间。我们认为一个网站有DNA,这么多网站之间有什么区别,先说共同点,可能用到共同的底层中间系统,相同的中间件、相同的业务,不同点是里面的文字不同、模板不同、logo不一样。

如果关注数百万的网站的话,就可能在数百万的网站中发现100个和你极其相似的网站,我认为是你的影子或者是你的兄弟,你们DNA很接近,你们只是内容文字不一样,技术上是不一样的,但内容上有区别,没关系。如果