绿盟科技资深安全顾问杨斌：安全威胁情报在军工行业的典型应用场景分析_大数据资讯

为了贯彻落实习近平总书记关于推进军民融合深度发展的国家战略，加快形成全要素、多领域、高效益的军民融合深度发展格局，促进军民融合技术创新和产业可持续发展，助力国家军民融合、跨界协同、万众创新。北京时间7月7日，在南京顺利召开2016中国军民大数据产业高峰论坛，在此次论坛上就大数据分析在军队信息化建设中的重要作用、如何做好军工领域的大数据建设工作以及大数据在军工领域的价值和实践意义等内容进行了谈论。

绿盟科技资深安全顾问杨斌

绿盟科技资深安全顾问杨斌在论坛上为参会者带来《安全威胁情报在军工行业的典型应用场景分析》的主题演讲，以下是演讲实录。

杨斌：刚刚听各位老师和同仁拿了很多干货出来，听了之后受益匪浅。我也感觉得了两个收益。一个是今天享受了真正的大数据，其实我们在讲这个主题的时候就是个大数据，里面好多情报和知识，我自己回去要好好消化一下。今天这个日期其实特别敏感，是7月7号，是不是要强化一下大家对这个日期的记忆，然后对国防做一些贡献，看来这个日期还是有想法的。我看大家讲的PPT内容非常充实，其实我的PPT有一个原则，就是简单粗暴一些。

因为我的主题里边对大数据提到的不是特别多，但是我感觉大数据就像咱们的Gartner的技术成熟曲线图一样。其实里边好多在最后表现出很多的形势，其实大数据做的比较好的，应该就是他在几个点上应该是做的比较好，比方说在数据的挖掘，挖掘是有价值的数据，这大数据体现他自己的价值，还是咱们把这些大数据做好一个关联，怎么把这些关联出来的数据用到我们的应用当中，我们的产品当中，其实我们追求的是一个目标。然后我们做信息安全行业追求的是什么，其实跟我们相关的，我们的专业就是从这些海量数据里面能挖掘出安全威胁情报或者叫威胁情报。

现在这也是各个信息安全厂家在做的事情，都想把这个事情做大做强。我今天讲的主题就是把我们得到的安全威胁情报，在军工行业这个场景里边是怎么应用的做一点点分析。因为我是来自绿盟的，所以我不知道在座的各位对绿盟了解多少，所以前面花一点点时间对绿盟做一个简单的介绍。绿盟也不知道是一个机缘巧合还是一个历史的必然。在下面册子上也有一些描述，就是绿盟是从2000年成立的，到现在也走过了十六个年头，也见证了信息安全的是是非非，或者是各种风雨。这么一个过程很巧合。然后我们绿盟科技也取得了一点点成绩，就是在国防建设方面我们也做了一点点贡献。我们在十一大军工集团，可能现在变成十二大。在军队，其实在这相关的军工单位会经常看到我们绿盟的身影，我们产品的身影。

我们在一些主流的信息安全产品上，除了这些第一，其实还有好多第二第三，然后我们做的也是不错的。在了解我们的时候可以看一下。我们在漏洞扫描，在这种网站的一些防护产品还有这种抗拒绝服务攻击的产品，我们的市场占有率还是不错的。我们绿盟科技在习大大在建党95周年的时候的关健词，叫不忘初心，其实绿盟公司也是一个特别注重研发和产品创新的一个企业，虽然说我们的市场营销做的不是特别好，但是我们的产品这一块还是想把他做成拳头，做成我们的敲门砖。除了我们刚才说到的那些传统产品，其实我们在信息危险这块今年投入了更多的财力、物力、人力，比如这种实验室环境的投入很大，每年绿盟光研发这块就投入一个多亿。其实在相关产业圈里面，其实我们的投入还是比较大的。我们为什么投入这么大的一个精力和财力，其实最主要是现在信息安全的环境变化太快，变的太复杂了。我们从上面这些案例就看到了，2010年伊朗遭到了政网病毒的攻击，还有2014年金正恩这个电影造成朝鲜的断网事件，还有就是持续的海莲花，还有逆盟者这是黑客组织对我国的这种，通过这种APT的持续长期的和深入的攻击，这些攻击并不是一个历史事件，其实他一直在持续，到现在我们的一些相关单位可能还深受其害，只是我们没有发现而已，所以我们绿盟在做这种工作。

通过整个的这一张片子，我们也看出其实这里边有一个共同点，我认为他是网络站和信息站一个很好的实践，其实信息站、网络站已经开始了。为什么美国轻易就把朝鲜的网络断掉，这里面隐藏着什么样的危机，我们的军工设备还有就是我们的武器设备，我们的信息化系统，一直到系统没有完全实现这种自主可控，我们潜藏着多大的隐患。一旦战争爆发，我们的长城是不是能抵抗敌人的进攻，说句实在的我心里还是没谱的。这里面的原因，一个是我们传统的防御战线和体系，对这种新型的威胁可能力不从心，确实里边有一些缺陷。还有一个就是现在的这些黑客组织也在不断的壮大，他不是以前的单兵作战了，他一些集团化和组织化的工作，然后从上面这张脸，这是比网红脸还要红的一张脸，这个棱镜门事件暴光以来，我们看到里边其实有美国国家安全局的一个背影。其实现在这种黑客组织都有国家的一些影子在里面。像伊朗的（合实施）被攻击，其实都是有美国中央情报局或者是以色列摩挲达的背影，这是一个深层次的原因。另一个就是我们今天讲的这个主题。我们军工行业面临什么样的风险，其实这里边有一个最主要的原因有两个，一个是我国正处在新军事变革的时期，大家都看到我们的这些舰船每天跟下饺子一样，每年都走很多的军舰。我们的航母也在造，下边辽宁号已经伏击好几年，我们的新航母也在造，因为我们的敌人也比较多，所以我们肯定会成为这些敌对势力关注的对象。另一个就是因为现在一些产业的情况，咱们的李克强总理也大力推广互联网+，还有在咱们军工行业也响应这个国家的号召进行商秘网的建设。因为这两条网的建设，毕竟跟互联网可能多多少少关联的紧密度会更强一些，所以他对我们的信息安全其实带来更多的挑战。因为联网之后可能威胁更多，虽然说增进我们业务的一个互联，我们数据的共享，但是他的风险会增加。

在这里边最主要的一个表象，就是在我们军工行业，我们关心的哪几个点，就是我们关心我们的数据是不是会泄露，我们泄露数据会有什么样的风险，另一个就是我们在不泄露的情况下，像政网病毒似的，他就搞破坏。我直接把我们的数据删除，甚至把我们的物理设备进行摧毁，那我们多年的一些科研成果是不是毁于一旦，这是我们非常关注的一个点。合乎还有一个就是我们怎么应对这些呢，我们绿盟科技在做些什么呢，我们也是考虑，无论是多么高深的一些黑客组织，或者一些病毒或者一些恶意程序在入侵我们的时候，他一定会寻找这个路口。我们抓住这几个路口，或者说一个跳板做什么样的防御。现在在信息安全界，黑客在入侵的时候有几种方式，大家不是听说过这种鱼叉式攻击和这种水坑式攻击，一个是基于这种网页上挂码，一个是通过发送这种恶意的邮件传播这种恶意代码，去做进一步的渗透，做攻击去窃取。

所以我们就抓住了这几点，一个是通过我们这种入侵防御系统，这个入侵防御系统不是说传统的防御系统，我们是跟这种信誉库威胁情报做紧密集合。他是新的东西，防这种水坑式攻击。另一个就是我们在邮件这一块，像原来大家可能认为垃圾邮件可能只是一个比较单一的产品，现在我们怎么做呢。其实这个厂家并不是说我们在推广我们绿盟的一个产品，其实这个产品各家都在做，但是我们怎么把他做好，怎么把他防止住这种鱼叉式的攻击。因为我们每个单位人员的素质不太一样，对信息安全的关注度不一样。一旦我给你群发这种邮件，有些人可能能抵御这种诱惑，但是有些人会点开他的附件，这样极其容易被感染。我们通过这种安全邮件网关怎么去做这种过滤，这是几个门槛，把住这个门槛就有效的消灭这些危险。另一个就是最上面这一个，因为我们原来的体系基于这种特征码或规则库的方式，确实对这种位置威胁或者是APT这种新型的威胁其实已经很力不从心，那我们就集合了之前产品的一些优势和想法，我们把这些东西整合到一个系统或者一个平台里边来。

我们做这种行为级的分析，除了做传统的分析我们做这种行为级的分析。就是我们要了解你这些东西，这些软件这些程序在做些什么事，我们根据你做的这些事去判断你是否有恶意行为，其实这一点也是各个厂商，像360都在做这种事，大家都在朝着这个方向努力。

这是我们的一个产品化，一个平台化的思路。另一个就是我们讲的一个关键点，就是今天的一个主题就是威胁情报，我们也在搭建自己的一个威胁情报平台，当然各个其他厂家也在做这个事，这些威胁情报来源也是海量数据，这里边有我们的合作伙伴，还有自己收到的样本，还有其他的一些渠道获得各种各样的数据。

我们怎么从这个海量数据里边得到这个，其实用户在这个海量数据里面，他是很难有作为的，也很难去搭建这种大数据平台。其实我们给用户呈现的，就是我们最后通过各种各样的技术，或大数据的分析技术，还有一些我们绿盟后台的专家的分析能力，获取的就是最下面的这些东西。威胁情报里边有好多种，就是有这种UIL的信誉库、文件信誉库、IP的信誉库这几大库组成，其实对用户最有价值，或者最接地气的，最能直接使用的就是这些威胁情报。然后我们这些威胁情报因为每年或者每天这种数据在不断的变化，很大的量级在发生变化，然后我就讲一下，有两张片子非常简单，我们归纳了两个场景，因为在军工行业主要有两个场景。一个就是刚才说的，就是互联网和商秘网环境，因为这两个网和互联网的关联度可能更大一些，这是我们关注的一个场景。
在这里边我们就要考虑，我们享受这个在线式的威胁情报，我们在这个图里边可以看到，我们有两个刚才说的关键点。就是边界上一个是新一代的入侵防御系统，还有一个就是我们的邮件网关系统。我们从这两个维度上去进行第一道的过滤，当然这两个第一道过滤可能还有一定问题会有漏网之鱼。比如说这是互联网，这些所有的数据来了之后，进入这两个边界的东西去过滤，然后到了里边之后有漏网之鱼怎么办，我们有我们本地的一个，刚才说的威胁分析的系统或者叫平台，我们做这些数据还原根据他的行为去判断他是否有害是否有恶意行为，我们生成一个本地化的威胁情报，然后另一个就是我们在线的威胁情报，我们搭建的这种云，通过云上可以在线的更新。一个是我们云端的威胁情报，还有一个是本地化生成的这些情报，因为我们这些设备进行这种共享，这样最主要的一个目的就是使我们这些系统，本地化的系统变的非常聪明，他能更精准的识别这些威胁。从这里边我们也可以看到，我们现在做的跟别人有一点点不同。

现在有些厂家他只是注重在检测，其实检测确实是一个非常重要的话题，但是根据咱们现实的情况，我们在防御这一块其实也不能放松，检测出来其实还是我们要把他非常快速的去拦截去消灭，把这些恶意的行为消灭的扼杀在摇篮之中。我们要把这些情报回投给我们的设备，然后进行下一步的拦截，你再来之后我就做相关的过滤，其实这个是我们的一个思路。然后还说了，我们军工行业全是设密码，那这个怎么办，我们跟互联网根本就没有连接，那我们的情报怎么共享呢，那我们就分析第二个场景，第二个场景就是我们分析我们军工单位隔离网的环境，刚才说过我们有几种模式，一个是通过这种下一代的入侵防御系统本身的拦截，另一个就是本地化的情报，我们这个平台其实是可以离线的，他本身有一些特征的行为分析能力，分析完了本地的情况涂给我这些防御设备，另一个就是我们可以通过这种安全的，离线的下载方式把这些情报以我们可接受的平度，导到我们的防御系统上面去。因为是隔离网，可能我们通过一些光盘的方式，把这些情报比如说每天，每个工作日的方式或者是每周的方式去导入，然后我们去享受这个情况的一些能力。这是我们的两个场景。以目前咱们军工行业的使用场景基本上不脱离这两个应用环境。

我这个比较简单，我就最后再说一点点希望，其实今天大家在讲的时候其实也多多少少点到了这一点。第一个就是，为什么讲这个希望呢，我感觉我们现在在大数据这块做的还远远不够。刚才哪位同仁也说到，两头热中间冷的情况，这里面我感觉有几点，主要是我们的报网还只是所有威胁的冰山一角，其实我们自己针对我们信息安全厂商来说，我们认为我们发现的情报只是冰山一角，因为我们的能力太有限，因为原来有些数据也统计过，就是我们把威胁情报跟其他厂家的威胁情报做比对的时候，我们的交集非常小，或者就没有交集。就证明我们有很大的盲区，所以希望大家合作。为什么这些威胁情报厂商的合作力度不够，这里面有各种各样的原因，有利益原因，还有就是我的知识是不是被人无偿的共享，还有就是大家如果能放开这个威胁情报我们如何收费，这个是很难衡量的。市场也没有个指导价，这卖多少钱，到底怎么卖，卖便宜了是不是以后可能会出现亏损，卖贵了是不是没人要。还有就是我个人这个想法不知道成熟不成熟，现在我们这些行业的一些威胁情报还是比较缺少，就是我们军工行业有什么样的威胁情报，他跟我们的外网，或互联网跟网站有什么样的关联的情报非常少。这是我对大数据和威胁情报的一点点不足看法。还有就是我们希望以后能做成什么样子，我是希望第一个做成这种大情报系统，类似于公关的那个大情报系统。就希望大家人人参与全面共享。这个事好是由国家决策层做总体协调，由习大大层面的人协调好。

第二就是行业的一个细分，刚才我们也说了，就是因为我们在行业这块做的还不够，我们能否在这个行业里边梳理出来这个，在军工行业，当然还有其他很多很多的行业做这种细分做这种梳理。还有就是我们能有这种关注与海外结点，因为海外有很多的威胁服务器，我们去把数据被动的传给他们，我们怎么做这种敏感系通讯的关联分析。还有就是威胁情报有很多，其实他是一个广义的，什么情报，比如说这种文件的白名单，我们是不是建了这种文件的白名单，哪些应用层是可信的，哪些应用层是不可信的，黑白名单那种机制，还有就是我们企业内部能不能做这种行为白名单，本身这个行为是可靠的，每天我就是固定的访问这个系统，但是出现了访问其他系统的时候，应该算是一个黑名单的东西，我们怎么快速的发现，所以这里边有一些情景感知的东西是不是能做出来。这个里面有一些我个人的想法也有我们企业的一些想法，大概就是这些情况，感谢大家。