中国IDC圈1月7日报道,1月5-7日,第十届中国IDC产业年度大典(IDCC2015)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,并受到诸多媒体的大力支持。
中国IDC产业年度大典作为国内云计算和数据中心领域规模大、具影响力的标志性盛会,之前已成功举办过九届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。
数梦工场云安全专家谭雯出席IDCC2015大会并在大数据应用与安全技术论坛发表主题为《互联网安全从IT到DT的转变》的精彩演讲。
数梦工场云安全专家 谭雯
以下为谭雯演讲实录:
谭雯:大家好,我是数梦工场的谭雯,紧跟跟大家交流的是互联网安全从IT到DT的转变,最近这段时间一直在做安全产品的规划。在规划的这段时间里,我有一些不成熟的想法,今天的议题是我个人的观点,欢迎大家拍砖。大家都知道DT是一个数据技术,习大大说我们做大数据是有道理的,我们现在已经步入了数据时代,大数据潮流下网络安全是不是能顺应时代与时俱进。看到这些名词其实没什么感觉,至少我个人认为这些名词后面可能是血淋淋的案例,但是我跟客户讲胶片的时候客户总说你们就像当医生,总是把病夸大,不然药怎么卖。我很坚持把这些无感的名词列在这儿。
我曾经遇到一个客户,也是我的朋友,我把这些名词列到他面前跟他讲,心脏滴血漏洞,每一次攻击会造成多少KB的数据泄露,什么事件出了什么事,他很淡定,觉得这个东西跟我有什么关系,但是当我再打开这些网站的时候,社工库,现在价格便宜量又足,百度搜一下哪儿哪儿都是。乌云,每天数十个高危漏洞在发布,很多企业都中招了,尤其前段时间某网站据说泄露了好几亿用户,他们为这个事情下了很大的工夫去公关,把这个事平了,我那个兄弟开始觉得这个挺危险的,但还是觉得他很侥幸,至少他维护的网站没有泄露。最后我给他打开这个,是一个开行信息,这兄弟开始坐不住了。这说明网络威胁就潜伏在我们的身边,并不是跟我们没关系。当一段时间内网络安全事件频频发生的时候,在座的每一个人包括黑客自己,冰血作为一个社会人,当这种网络事件频频发生的时候,黑客也是个受害者。
现有的安全防御的不足遭受了很多的诟病,尤其是前段时间以互联网公司和传统安全厂商之间的争议,有人说他们争夺利益抢地盘,但我个人认为其实不是,这是对待同一个事件的不同看法之间的差异。我们刚才看到冰血这么厉害的人作为黑客,作为防御者的我们感觉到压力山大,他们的工具武器已经变得很先进了,可我们还是老三样地在那里做安全防御,这就是观点上的冲突。我是从传统安全厂商出来的,规划一个产品的时候更多的是从自己的角度去规划,比如产品的功能、产品的竞争力,我用什么样的能力去对标,我需要优化多少性能或者接口数能把竞争对手屏蔽掉,这个无可厚非,毕竟是商业,但是从用户的角度去看,你是为了卖你的药,作为医生你以卖药为目的,但我的痛谁知道。这样的话问题就来了,现在出了BAT这样的互联网公司,他们也是作为安全产品的使用者,作为甲方,他们其实是受过很多安全之痛的人,像阿里遭受过400多G的DDOS流量攻击,他们会认为当BAT这样的互联网公司有能力输出自己的安全能力的时候,他就会认为我甲方做的安全、我现在输出的能力更有说服力,这是我认为的不同立场上的观点的冲突。
不管他们争夺什么,最近这些年来入侵方式有什么不一样,我们作为建设者、防御者该做哪些转变。早些年的一些渗透以轻量化工具为主,能够下注入、扫描的小工具,无非扫描一些网站的端口、域名、地址,攻击目标也是以网络、设备和机器本身为主,以设备为主,做一些DDOS工具,篡改一下网页,彰显一下能力。现在不一样了,现在有公开的分布式扫描系统,不知道大家有没有用过知道创宇的产品,有漏洞的版本零点几秒就能列出来,这对黑客来说提供了利器,一把刀放在一个警察手里能保卫安全,落到罪犯手里就是一把凶器。还有大量数据库的泄露,以前攻击者获取用户的信息是比较难的,途径非常有限,现在大量泄露的数据库和社工库,他们要获取用户的数据就非常容易了。现在他攻击的方式开始从机器慢慢地转换成对人员的攻击,当我们还在尝试给黑客进行画像的时候,实际上黑客已经拿到了你足够多的信息给你进行人性弱点的分析,能够精准地猜出你的个人密码,但是我们的防御工具还是老三样。嘴里说要安全联动,但实际这些年来真正做到了吗,底下都是在干一些貌合神离的事情,其实谁动了谁知道。对于日志的记录很多也是维持在对于合规的满足度的要求上设计的,使用的效果怎么样,其实用户不知道,用户不投诉厂家也不关心,是这样一个现状。
可以说这样老式的传统的IT架构下,它已经到了非改不可的地步,我们应该要有一个什么样的防御体系呢?总的来说四点,漏洞要提前发现,攻击要事先预测,攻击发生的时候要能够及时地阻断,攻击结束后能够追根溯源。说得很好,但怎么样能做到?这是我画的一个简单的框架,我认为需要记录一个全量的数据,至少要包括流量数据,比如流量大小、攻击日志、Web日志等等,对于异常登陆要详细到什么程度,详细到登陆的时间、目标的服务器、使用什么样的用户名、什么样的密码,这些全量的数据汇聚到一个安全中心,结合威胁情报中心进行大数据的分析,这个威胁情报中心包含病毒库、漏洞库、同行业的事件库、黑客库、被泄露人员的信息库,被泄露人员是高危的弱势群体,很容易成为防御的短板。这些数据汇聚拉通后将解决信息孤岛的问题,有了这些基础就能展示以下这些安全能力,给黑客的画像、攻击的预测,做到对攻击的预测、对攻击的阻断、对事后的溯源,反过来能指导防御的改进。
刚才讲了DT安全框架,里面有两个关键点,一个是大数据分析平台,另外一个是全量的数据。常规的安全防御大多是基于一个规则和特征的匹配,单设备发现了攻击发送到日志主机,日志主机主要是做存储展示审计的作用,这对已知威胁是有用的,但是对于未知的威胁,像比较复杂的APT攻击他就没办法做到。怎么识别这样的攻击,这是整个问题的关键,要做到收集海量数据。一个有经验的警察能够很快地判断出一个人是不是小偷,他能够做出鬼鬼祟祟的定性判断的词语,这样的词语是根据规则和特征库,类似于监视器、检测仪这样的东西是检测不出来的,必须要根据后面警察的经验,他的经验实际就是一个数据分析。
举个例子说,警察刚从警校出来就得到了一个已知的特征库,他开始接道不同的案子,接到各种报案,他开始去分析,这就是一个分析的过程,他的经验越来越多,他就有了一些预判的能力,他和其他的警察进行交流实际是数据的共享和交换,最后他成为一个非常有经验的老警察,他把他的经验写成教材输出给新的警察在警校里使用,这样他完成了数据安全能力的转化,其实这就是大数据分析能力的转化输出。警察如果不这样去自我更新的话,他就会抓不到贼,同样一个安全人员,一个安全的防御体系,如果不具备自我完善的能力的话,他也是防不住黑客的。
低级安全能力的转化基于对大数据的分析,可以输出一个新的安全能力,能够对特征库和行为库进行总结。现在各个厂家都有自己的特征库的维护团队,他们维护的时候是作为产品的辅助销售或者增值的业务在销售,但实际上他们在整理特征库的时候经常会发生整理、收集、发布非常滞后,用户没有办法得到及时的更新,这样不仅是资源的浪费,对用户来说是潜在的安全风险。应该把这样的自我完善能力,这种转换能力进行常态化、标准化,这将重新定义DT的能力极限。
DT安全架构下传统的安全分析平台已经遇到了一个瓶颈,第一是数据越来越大,有多元化的数据,有结构化的非结构化的,有日志有业务信息,甚至还有一些外部的情报信息,但是我们常规的安全设备没办法存储这样的海量数据,它的计算能力也没办法具备大数据分析的计算能力。曾经有一个搞运维的朋友跟我说他以前做日志维护的时候,有80%的精力都在收集、整理和处理日志格式的工作,只有20%的精力考虑分析审计这些日志数据。以金融为例,常规的IT架构下制成的银行每分钟的交易峰值在30万笔,数据存储在TB级,但是DT支撑下的金融每分钟是270万笔,而且它的数据存储量是EB级。由此可以看出常规的安全是以设备为单位的能力极限,每一台设备的计算和存储能力都是非常有限的,根本没法满足这样的大容量,DT下面的安全能力,它只能解决局部的条条块块的问题。
我们说DT安全需要进行大数据的分析,这个大平台里全量数据要进行采集,泄露的人员数据库要通过网络爬虫去采集,采集完了之后还要清洗,剔除重复数据冗余数据,进行语义一致的分析,加工、数据分析挖掘、算法选择、模型选择等等大数据的操作过程,这一系列的要求决定了DT安全的基本能力,那就是必须要具备云计算的能力和海量存储的能力。DT的安全是以平台为单位的架构,把成千上万的云计算能力结合在一起,汇集起来的云计算,去解决贯穿全局的问题,用大数据技术去整合挖掘和分析。这样的一个能力极限将会是DT安全最基本的能力要求。我一直认为我们原来常规的安全其实是最基础的保障,它就像围墙、摄像头、监控器、门禁这样的设备,没有它是不行的,区域隔离、访问控制和会话检测这样的老三样是不能丢的,它是最基础的,但是现在黑客实际上已经升级了,升级成黄金圣斗士,但我们还在原地踏步。
有个客户说你讲的挺好,天花乱坠,要花多少钱,没有钱怎么做。有个朋友曾经抱怨过,如果我有10万块钱的预算,我不会把它花在搞安全上,肯定会投在生产发展上、产品研发上,他认为这个东西还是不太重要的,因为太花钱了。安全在很长时间里都要灌输这种思想,一般不出问题,出了问题就很大,很多公司并没有安全管理的能力。其实不用再买很多设备,云计算就是在解决资源和成本的问题,这样的话我们又会遇到另外一个问题,客户说我的安全数据交给云端我不相信你说的大数据云安全中心,这就提到DT安全另外的转变,我们必须把一个个的孤岛防御连接起来形成一个长城,事实也证明单打独斗的结果就是被各个击破。据我所知很多用户没有专门的安全人员,在没有安全人员的情况下怎么办,我们无法回归到云计算的本质,云计算本质是一种服务的模式,没有必要住宾馆的时候自己在门口装个摄像头,装个门禁,雇个保安,这种事情可以交给第三方的人全权负责你的安全。实际上在AWS上也是这么做的,但传统安全建设往往是卖防盗门的在给你解决你全家的安全问题,时不时地帮你检查你家的墙壁、水管、窗户、水电,你打电话他就过来,这样是很没有效率的模式。DT时代的安全运维必将会融合传统的IT架构,会出现一个新的角色,第三方的安全管家,这是我个人的观点,他将帮你代管你的安全运维,为你的安全结果负责,这将是比较有效的安全的解决方式,解决了性能的问题。
刚才讲了DT安全下的架构改变、能力的转换和机械的升级、运营方式的改变,实际还有很多,避暑标准和规范,我们现在正在做的大数据的标准,大数据的国家标准在制定,大数据的安全,要保护大数据的交易交换合法化合规化,甚至销售是也是需要改变的,比如威客安全,他们的口号是让天下没有难做的安全,其实这也是一种非常好的销售模式的创新和改变。不知道在座有没有卖安全产品的,做一个安全项目卖个安全产品真的挺难的,吃饭喝酒不算,要非常拼。希望在DT安全架构下,销售模式的改变能够让我们这些从业者身心越来越健康,做网络安全的攻击者和防御者永远是对抗对立的立场。黑客的工具越来越先进,他们的水平其实都很高,据我所知他们经常通宵达旦地在那干活,在这里讲DT安全的转变无非是想引起大家的重视,人最痛苦的事情是比我们厉害的人比我们更勤奋,我们有什么理由拒绝这样的变化,拒绝这样的转变?大家后面可以再探讨,还有其他的转变,IT到DT的变化,欢迎大家跟我一起探讨,谢谢大家!