中国IDC圈1月12日,2015年1月7-9日,第九届中国IDC产业年度大典(IDCC2014)(http://www.idcquan.com/Special/idcc2014/live/)在北京国家会议中心隆重举行。本次大会由工信部通信发展司、中国信息通信研究院(工信部电信研究院)、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,作为国内IDC行业规模大、具权威性和影响力的盛会,此次大会再创辉煌,三天的会议参会人数超过8000人次。
从1月7日到9日连续三天,工信部相关领导、IDC企业、电信运营商、互联网企业、设备厂商等各行业精英齐聚一堂,以"大变革 新生态"为主题煮酒论道。并在1月9日"运维与安全专场"进行了"互联网运维与安全新挑战"的高峰对话。
主持人:
朱磊 京东安全经理
嘉宾:
徐涌 Palo Alto的(大中华区)销售总监
吴建强 搜狐安全经理
刘袁君 赶集网安全经理
赵海峰 新浪基础架构云安全专家
以下为高峰对话实录:
朱磊:很有幸来到第九届IDC会议,今年的主题是"大变革 新生态",首先请在座的几位嘉宾做下自我介绍。
徐涌:大家下午好,我姓徐,我是负责Palo Alto Network在大中华区的业务, Palo Alto是作为下一代防火墙,最早在2008、2009年的时候创新的下一代防火墙的这么一个公司。所以在大陆还是作为技术领先的公司,目前来说在硅谷也是一个游戏公司作为技术创新。它的下一代防火墙概念是什么?大家都知道网络是从固定网络转移动网络,很多的技术也在进行变化,原来的防火墙,十几年以前的防火墙都是固网的,是状态的。在移动的环境里面是远远不能满足对于安全的需求,所以Palo Alto把安全的程度提到应用,所以他这个防火墙对于应用层面是可以有可视和管控的,所以目前来说在全球的占有率是排名第三。在去年的时候Palo Alto提出一个新的概念,也就是如果今天大家离开这个房间,有一个字你们必须要记住的叫AGG,就是"可持续",不是一个简单的软件的攻击或者某一个恶意的植入软件的攻击,它是系统的,综合人、技术、手段、雄厚的资金以及社会工程学这么一个整体的结合,花了大概五六个月的时间完成了这么一个攻击,所以这个将会是在2015年我们所有不管甲方也好、乙方也好所要面临的大的挑战,Palo Alto在这方面也提出了一些很创新的概念。
吴建强:大家好,很高兴也很容幸在这里跟大家随便聊一点安全的事,安全这两年是比较火的话题,我个人在搜狐从事安全的工作,这两年实际上我们也会随着移动互联网的蓬勃发展,我觉得我们所面临到的安全问题也越来越广泛,实际上移动互联网的发展跟我们生活越来越密切相关,所以它会在不停的应用以及产品方面场景方面体现的越来越重要,所以安全成为这几年已经上升到了一个高度,无论是从美国以及中国政府对安全的一个看法。都让我们深深认识到安全已经变得越来越重要,跟我们每个人的关系都比较紧密起来。
朱磊:谢谢搜狐吴建强。
刘袁君:大家好,我是赶集网的刘袁君,主要负责安全相关的事情。刚才建强把最近这几年安全的发展情况刚才也说的比较多了,我这块儿不再补充了。
赵海峰:大家好我是新浪的赵海峰,我现在主要在新浪负责扫描器的开发还有前端系统的开发,大家如果有兴趣接下来可以找我交流,谢谢大家。
朱磊:其实今天把大家聚集过来是想做比较轻松的交流,基本2014年信息安全的变革,每一步每一阶段各位有所经历。其实2014年信息安全事件出现的比较多,这一年无论是电商各种泄密还是各种严重的漏洞。简单聊一聊,在这一年各位专家的印象,这一年比较有代表性的安全事件给大家做一个介绍,算是一个总结。
吴建强:我看到了或者我理解这一年看到比较大的安全事件,在座的都有一个认知,这一年其实上半年的OpenSSL两个事件影响比较大,或多或少的公司受到这个影响,我们所在以往概念中信赖的软件,其实当发现这种漏洞的时候,忽然间发现才有几个人在维护代码,我们平时觉得这是加密软件,应该做的很安全,突然这种事情发生的时候,我们会对以往的认知产生错误的理解。很多时候可能有了解的人知道,这个漏洞存在了很长时间了,Open Stack有一部分漏洞了,有的漏洞存在了很长时间。还包括今年下半年bash的漏洞,所以在我看来以往我们都觉得比较安全的地方往往出现问题,我们都知道SSL是做加密,比较安全的,所以当这种加密的整个的很多开源软件都在用的出现问题的时候,所以我们的基础架构的安全就会受到很大的冲击,包括VPN,Web服务,各种使用加密,使用OpenSSL组件的都受到了影响,在我看来这是今年比较大的重要事件,这个事件提醒我们,其实我们在选择一种基础软件,或者在使用一种基础软件的时候,都要看看他的历史是什么样的?其实OpenSSL出现过很多漏洞,很多公司很难在一个时期跟得上更新的发展,可能我们忽略掉了服务的漏洞,一旦出现比较严重的漏洞的时候,这种影响就是致命的。大家知道你运维比较麻烦升级很困难。还有Bash的漏洞存在十多年了,所以在我看来我们在所有采用基础软件的时候,需要特定的人跟踪补丁的情况,以及发展的情况,所以这个时候我们比较关注的一点,就是不要把以往的认知,大家都认为这个很安全的时候,可能就出现问题了,这是我在2014年觉得比较大的事件。
朱磊:今年一年来说安全事件非常多,对于咱们做产品的厂商来说你们是怎样一种视角?以咱们的角度来讲什么事情特别值得一提?
徐涌:2014年网络的话题叫做上头条,很多人都想上头条,我们在网络安全里面也有网络词语叫上头条,但是上头条的结果是公司股票下去,或者CEO、CFO、CTO被离职。最明显的Gpmogen,所以在2015年所有的大型的企业对于安全的重视,当然是为了公司的客户着想,另外为了他自己着想。刚才吴总讲的这些漏洞,这些新的漏洞,我们现在把它归纳成,就是最重要的问题,假设所有软件都会有漏洞,我们把它叫做零日攻击。当微软刚刚公布一个新的版本,某一个软件公司公布新版本的时候,软件人是有情绪的,所以都会产生漏洞,这个时候攻击就是当原厂没有发现漏洞之前被黑客发现了,黑客是有一个网路的,再往上公布,有的可能是爱好发现了,再往上公布,被APT攻击者拿到了漏洞,所以在全球很多地方产生了很多攻击,我们把它叫零日攻击。
一个企业是不行的,Palo Alto一个企业不行,虽然我们有很大的数据库,有十年的积累,用Palo Alto所有的防火墙都连在大数据里面,一旦我们发现零日攻击我们会把它送到每一个我们的墙上,让他知道把这个漏洞堵住。但是这个不够。去年年底的时候几家比较重要的网络公司改变了以往的观念,现在攻击方交流的比防守方交流的多,我们厂商联合起来,当任何一家发生零日攻击他会通知所有的,所以我们这个联盟在安全行业里面是创新的。
作为Palo Alto来讲,我们参加联盟很重要的手段,叫42连队,我讲两个案例你们可能都知道,发现苹果污染OS跟IOS的,你即便没有越狱的,苹果手机也会被污染,个人信息也会被取走,这是苹果的问题。
第二个Palo Alto发现酷派所有手机上面有后门,如果你是酷派用户很有可能在不知不觉的时候被利用,厂商的目的不是这个目的,但是因为如果被黑客找到了漏洞,他可以做很多坏的事情。
从目前来讲这是我们看见的,目前所有安全攻击的技术没有太大的变化,什么蠕虫、钓鱼,技术手段还是一样,唯一不同的是他的投入资金不同,参与的系统性不同,也就是说因为他把这些信息拿去了以后,偷走了以后会产生巨大的利益给他自己,所以他会投非常大的。GPmogen在2014年整个安全预算是2.4亿美元,一个财务公司,一个金融公司投了2.4亿美元,在2014年的预算里面,但是在2014年下半年还是被攻破,原因是攻击方花了更多的钱攻击他,当你一个企业单独面对整个世界,不管你投多少钱都可能是不够。所以从我们厂商角度来说,我们希望把阵线全部联系起来,联系起来以后给我们用户一个更大范围更完整的安全的防范。
朱磊:谢谢徐总的分享。其实厂商在安全方面的投入,我们互联网做安全的还是蛮羡慕的,因为那个资金量非常有诱惑力,今天来说主办方找的几位嘉宾每家都有自己的特点,对于互联网来说,所面对的安全事情或者安全问题,看起来一样,但是核心有一些区别。赶集网刘袁君,以你的看法今年什么样的事件适合你去做一个回顾?
刘袁君:2014年发生的安全事件,这里面不会说某一个公司发生什么样的事情。可能会说一些其他的我遇到的比较有意思的,或者安全重点的事件。我这里说一个之前发生的事件,通过这个事件我发现目前在网络上去做黑产安全攻击的事件越来越多了,之前遇到过一次,帮一个朋友看他的站点,站点实际上是别人转让给他或者移交给他的一个站点,当时上线的时候很正常,后续突然发现网站会被挂一些黑客,我去帮他看的时候确实网站有后门,我们去检查了一遍,清楚了所有的Web shal.跑了一遍之后发现再次被做黑链的人盯上了,又拿了Web shal,这次比较仔细的看了一下,这个大家都知道只要有利益存在,相关的想获取这部分利益的人会想尽办法换取他们想要的资源,最后我们发现,其实这是比较通用的论坛的Desepas.我们最后从日志里面发现,这个攻击者一次登录后台成功,在移交网站的时候UCP没有改,大家对DSCS关注,登录后台,利用后台的功能去相应获取它的系统的权限,从这块儿越来越攻击者不是获取你的权限,主要是利益为驱动。以后只要是涉及到利益的,比如说像刚才说的去年会发生比较重要的安全事件,越来越多和网民挂钩的比较多,不只是针对甲方的安全公司,去年年底刚刚出的这种大量信息泄露的事件,名字不说了,所以越来越受到大家的重视。
朱磊:谢谢刘袁君的分享。黑产门槛来说越来越低,随便一个数据在网上公布出来,前两天12306的事件,上班的时候刚听到说数据库泄露了,半个小时一个小时之内互联网上很多人有数据库下载。但是现在信息有一些泄露的苗头出来,大家很快会找到资源,也是因为这一点让黑产门槛变的很低,对于互联网公司当每次这种泄露出来的时候有应急事件,泄露前一天或者当天,前一天是早些拿到的,当天以后可能不是那些有组的人给我们造成困扰,其实挺头疼的,很多数据库泄露的事件不是很高深的漏洞,这个对于安全团队来说其实挺头疼的,这是希望可以在座的各位,帮我们解决这个问题。因为危害很大,现在随便报出来严重的漏洞,地下范围里面,流传很长时间了。是这样的。下一位是新浪网。
赵海峰:其实这个只是密网泄露的冰山一角,现在据不完全统计有十亿的已经泄露出来了,黑客随便想盗取密码知道知道手机号去查询一下,有可能把之前用的密码全都查出来,如果密码没有改完全可以登录你的帐号,对个人用户财产造成损害。
朱磊:数据泄露这种事情,随便一些事件或者热点话题的事情,早发现的渠道,要不是微信要不是微博,新浪在这方面比较早的知道这些信息吧?你们有这种监控的渠道吗。其实在座的各位有厂商一线、互联网团队一线,每天应对很多攻击事件,无论是针对于自己单位具价值,数据的被攻击。几位专家回忆一下,在我们一年当中你们觉得最记忆犹新的安全事件是什么样子的?
吴建强:不说去年了,我举个有意思的例子给大家听,我觉得安全工作意见刚毕业的时候我在安全公司工作,客户需要你的时候你要出现在现场,并且能够把问题搞定,这是客户评价你工作是否成功的唯一标准。我们做了渗透测试,客户提了一堆扫描报告,做多少分析,不如给客户一个我发现某个漏洞,获得系统权限,做应急响应的时候,客户看来是你能够帮我把攻击解决掉,我把谁攻击了发现出来这是评价标准。我觉得安全工作长期来看是压力挺大的工作,我举一个自己印象比较深刻的例子,是去年还是前年,每到礼拜五下班的六点开始攻击我们的网站,连着三个星期,后来一开始找了半天没发现什么原因,我们在我们评价体系当中觉得这个网站好像涉及到没什么被DDOS攻击的价值,后来发现因为它是一个投诉平台,不知道怎么设计的,每到周五的时候有一两条投诉信息,类似于315投诉平台的信息,网友投诉某个医院,最后发现那个医院的信息一出现在平台上的时候我们这个平台就被DDOS,所以在每个周五下午六点的时候,这是比较搞笑的事,有可能回到家饭也不吃了开始搞这个问题。通过去把一些傀儡主机拿下来,去看控制端的分析,发现在国内来看,现在我们看国内的网络好像目前来讲还不大,可能在韩国或者在马来西亚、印度这方面还存在很多这种主机,可能全世界范围内都在做一些控制,比如说DRPF防止原欺骗,所以现在绝大部分的DDOS的攻击都是针对真实IP的,我们在发行过程中通过一些方式,劫持DNS流量,这些网络每天在不停的攻击中国各个公司的网站或者DNS服务器。长期来看网络攻击你不知道他是为什么?往往某一点原因他花一点小钱攻击你,在我们来讲你处理成本比他攻击成本高,在我看来安全也是挺有意思的一件事。
朱磊:我也做安全有一些年头。之前说的是早些年所遇到的事情,面对攻击、黑客还是团队都是在很晚的时候,现在在变。其实现在很多团队,包括攻击者,我们现在经过变革之后不用说熬夜去应对攻击事件,也不用说影响自己的休息日,对于厂商来说其实做应急这种事情非常突出,下面请徐总谈一下,厂商你们应对的经验,哪一种类型或者哪一些事件,我们从长期的应急事件里面大概的统计,咱们经常有多少产品来应对这些挑战。
徐涌:其实15年、20年以前路由器交换机辉煌的时候,很多人转到网络,认为那是一个非常有前途的行业,现在大家意识到这个行业已经趋于平稳了,在安全行业里面人才奇缺,市场很大,年轻人如果寻找新的突破口,这是整个安全,网络安全、信息安全,安全分很多类,整个市场是2550亿美元的市场,网络安全是150亿。目前来说我们接触下来以后,觉得安全人才极缺,现在在很多企业里面设了一个新的岗位CSO,所以安全已经被提到了和CIO一样的地位,CSO主要的是不要让CIO上头条。
刚才简单讲了我们用Tack,它给了我们几个启示,安全不是一家企业,第一个攻破点是找到了第三方合作伙伴帮他做空调管理、能源管理的这么一家公司,二十几个人的公司,帮他做一千多个店面环境的管理,突破点是在第三方,我相信在座很多企业你们回去想想。因为这些公司大小规模不一样,所以对安全的防护也不一样,所以Tack第一找到这个突破口,他写了一个软件,找了一个漏洞植到Pos机上面,接下来做的是因为刷一次卡把信息拦截下来了,信息拦截下来内容并没有发出去,他在Tack的虚机里面建立了自己的虚机,把所有的信息送到Tack自己内部的虚机上面。等到有一天他觉得信息足够了一次性把信息送出去。这是非常完美的,你所面临的一个安全体系已经远远超过了你自己企业的一个问题,这是一个。整个攻击的时间从哪里开始?2013年9月份到2014年1月份完成,整整花了五个月时间,参与人的水平相对比较高。
回过头来讲,如果我们在这个里面是起了一个保护的作用,在这样的环境里面我们会做什么事情?怎么防止这种事情发生,有没有解决方案阻挡这么完美的ATP.因为故事比较长,我讲几个结论。首先第一点所有企业不要假设你的内网是安全的,中国很多企业在互联网口用了七层防火墙,在互联网内用了四层墙,他认为我企业内网是安全的,估计百分之八九十内网用了四层墙。Tack这个案例很明确,如果是用了ATP防火墙是可以撤掉,首先有很多概念比较要改变,首先这个内部是不行,防护的范围要扩大到全部供应链,而不只是你自己的网络,这是非常明确的。我们不能讲我们有非常强的全球五百强大公司,他自己投入给所有他的生产的厂,给所有他写应用的厂、写APP的厂全部统一买了七层防火墙,他认为我要扩大到,我的整个防御战线必须扩大到每一个可能性。你说等到发生这个事情去补当然是可以的,但是事情已经发生了。所以从另外一个角度来说,作为我们企业,有很多的假设需要改变,否则成本是非常贵的。
朱磊:谢谢。面对安全事件厂商现在直接去做新的变化,投入很大精力做ATP的攻击,通过设备升级、新技术的应用。互联网本身,数据监控量,实施监控,包括互联网很多事件,其实这个实践非常快,新浪在这块儿有比较好的优势,有什么样的安全事件给大家分享一下。
赵海峰:我说一下我这边发生的。其他部门的同事安全意识薄弱,或者运维派什么服务不加密码之类的,企业做安全不能说安全人员一个团队去努力,还要带动其他部门把安全做好,我们天天扫描他们可能会不经意间又去犯一个错误,又导致发生一些安全事件。
朱磊:内网的安全实践确实是经历过一些公司,处理过公司自己的事情,但是在内网环境来说,这些东西在互联网公司里面不只是局限于互联网,对内网不是特别看重的,疏忽于围墙之内的公司来说确实是这么一个问题存在,赶集网你们是不是有一些什么新的东西?
刘袁君:针对内网的监控我们还是有的,包括从员工级别的OA网络、IDC网络安全的监控,这块儿相对做的比较全。我这边儿想到一个有意思的安全事件,我们有一个第三方类的小的网站,这个网站可能用一些开源的代码搭建非常小的服务,这个服务就被人盯上了,几乎就是每一个新版本每一个logo包,每次都是一个IP过来,我们每次去修护完安全漏洞的时候有去尝试攻击日志的痕迹。有一次我们一个比较好玩的方法,攻击之前我们相当于留下一个陷阱在页面,让他进行访问。很凑巧的又来进行攻击,通过这次攻击抓取到他相关的信息,包括最后定位到他绝大多数的信息,QQ号、手机号。这是一件比较有意思的事。
朱磊:我之前待的游戏公司现在待的电商,处理攻击事件的时候可以发现老朋友,一般团队如果盯着你。他大概知道你的特点在什么地方?同一个时间段,留下的指纹能看得出来是同一个团队盯着你找你的弱点,找到他们想要的价值。互联网公司什么时候出现一个事件就扑到前面去了。我们谈谈各家做的一些东西,对自己2014年的总结。
刘袁君:针对安全,我这块儿按照几个层次来说,不说具体的项目了,我们大概从三个层次来做的。第一个网络层,说的比较大,网络层就指网络内的不同网络区域的划分,包括区域之间的安全策略、安全等级,还有一些做相应安全隔离类的工作。第二系统层面,使用操作系统做安全器件制定,标准化的东西。我们会做我们使用的操作系统,他所使用标准化的工具。第三类对于业务类的工作,业务类或者是应用类的工作,我们会做类似于监控类的,监控类指监控的一些服务器状态,之前PPT演讲提到过我们做状态监控,后门的监控,操作系统的异常行为的监控,大致按照这三个方面,覆盖面目前来看还是相对比较全的。
朱磊:新浪安全团队好多年了,也是非常有能力,在安全体系方向,包括系统、监控,你们那边是怎么做的?
赵海峰:我只说说我自己的事情。我现在在做的是一套自动化访问系统,现在新浪的服务器只有几万台,系统的运维有几万个,常规我们做的安全是做扫描和编码,如果工程师去做工作量非常大,同时过来好多项目,我们把黑客扫描集中到一个系统里面,我们上线的时候有一套流程,从一个点,中间可能是网络安全,他们那个东西过来之后会有一个系统让他们输入一些代码的安全路径,或者是运营,其他网络技术包括我们扫描器对他进行扫描,人员确认一下,觉得是否有问题,直接可以运维上线了,这个是节省了大家人力的。
朱磊:互联网团队每家都有自己的扫描器。我们也知道今天厂商在,厂商这边针对与安全的东西有没有一些新的东西,让我们学习了解一下?
徐涌:肯定。否则公司发展就到达瓶颈,在2015年从市场分析,我们叫终端的安全的技术创新的一年,大家可能都会问终端安全已经搞了很多年了,360装一个软件在上面扫描,特征码的这些全部找出来。各位一定要记住今天植入有危险的软件是没有特征码的,只要他在做非法动作的时候才会产生不好的事情。所以最近我们技术创新,我们已经摆脱了传统的对特征网扫描的方式,我们叫Mpoint,可能是电脑、PC,因为所有的攻击都是从Mpoint开始的。所有这些Mpoint还有操作系统都有可能被作为发起攻击的点。传统特征网扫描Mpoint是扫描不了的,你怎么样对于你不知道的未知的软件进行防御。
所以我们最近收购了一个技术,他分析了所有的黑客,归纳到最后在操作系统的底层,可能有几百万种、几千万种的Awarice,但是他真正做的东西归到操作系统可能二、三十个。所以他们开放了一个Aruzen,当你做这几个动作加上一些逻辑分析,基本上可以把这个坏的动作阻挡掉。因为他是在操作底层的,所以他只要在你Mpoint上植入一个非常轻的软件,大家都知道如果你要找扫描软件,一你要更新二还要维护。他对于你平时日常工作是不影响的。最重要的一点,以前的Mpoint就是独立的,他就是做Mpoint扫描、PC笔记本扫描,你扫出来给你一个框说你要不要删除,这个太落后了。现在都是和Cloud连接起来,当Mpoint找到动作我们会送到Sunbox,在模拟环境里面去确认,这是恶意攻击的软件,在15分钟之内通知所有的墙,这个墙虽然在你终端上面发生的,但是全球的只要是我们公司和我们联盟里面的我们都通知到,我们找到未知的贴上标签变成已知。这样才能找到APT的攻击,一般发起攻击反馈是很大,Mpoint是今年非常重要的解决方案帮助我们解决APT的攻击。
朱磊:谢谢徐总的分享。在安全方向我们作为互联网接触这些东西比较及时一些,方向性的东西由厂商去带领的。想借着今天的机会了解一下您所做的非常好的东西。
吴建强:我个人实际上对技术比较感兴趣的,我现在在管理团队。我之前在安全公司的时候做过几年的安全咨询和安全服务,在这个过程中我们会给客户出一些方案,管理上的建议、基础架构上的建议但实际上我们在做这个的时候有一些收获,来互联网公司之后在这边做的时间长了会慢慢的体验,你在这儿多待一谈对他的业务越来越了解。什么业务对公司来说是重要的?在这个过程中我们慢慢的做分级,把有限的精力投入到比较重要当中,所以我们基本上对我们所有业务系统做一个评级,这个评级影响到了以后我会对他做什么防护的级别,跟我们国家推行的等级保护比较类似的概念,我们就是想追求比较高的ROI.
第二个我们做了几年管理策略或者技术解决方案之后,它不能很好的贯穿到我们实际工作当中,你做很多东西但是没有发挥到大的用处,怎么把安全,你的能力整合到其他的业务流程或者其他业务系统中。我的CDN系统,我所有CDN系统中默认为你提供一个安全WAF的功能,我们逐渐把WAF的功能把传统的CDN系统慢慢做整合,整合的过程中面临到一个问题,系统是不是可靠?提供的功能是不是可靠?功能达到什么程度?给用户提供什么可自定义程度。我们现在在做的一个上线的流程,机器、应用、服务的上线,每个上线当中我们把安全控制加入进去,上线一个域名,上线一个应用。这个过程从主机到应用层面的工作全部做完,这是自动化的方式,我们以API接口模式跟其他打通,把我们自己产品的能力和功能集成的整合进来,这是我们一个探索。
第二个探索跟前面讲的做好多安全产品或者安全系统,业务线或者产品线它感受不到你的存在,但是互联网有一些问题,有些产品或者有些技术是安全人员比较擅长的,一个加减密系统,我现在有身份证、银行卡,我需要做加解密,这个对工作人员来讲不是擅长的,我接触到的各个公司的人来讲让他选择加密算法他可能不是很清楚,我们提供加减密的服务,把你做的系统,还包括扫描器,这个扫描器平时我们也是在每天每时,可能每周对业务系统做扫描。有时候需要对第三方提供安全服务,我自己希望自动化的使用你的扫描,我们提供一个理念安全即服务,我们把安全能力开放出来的给大家开放出来,慢慢的大家也会觉得既然你的服务稳定性独特,大家觉得你提供了一个服务,慢慢公司来讲,或者从业务线角度来讲慢慢会体现到你的服务,我们慢慢已经把安全当做了他各个工作环节中打通,尤其是技术员工的安全意识得到了比较好的提升。
朱磊:谢谢小强的解答。现在2014年一年我们所聊到的话题有所谓的各种厂商的联盟,最近出现的破壳漏洞,黑产,数据泄密,这在2014年谈得到的话题的关键字,2014年对于信息安全来说比较热闹的一年。但是对于2015年来说我们做了一些总结,也是非常有比较开心,希望通过四位嘉宾给大家说一说,按照2014年的咱们做了这么多事情,有哪些事情可以说一下。
吴建强:从去年年初的时候开始在做一些事情,这个事情我们跟公司其他部门在做,做大数据分析,很多新技术的出现,很多时候对我们安全的技术和安全能力提供一个比较好的途径。06、07年的时候出现一个概念SOC,事件关联一个技术,当时我看到绝大部分产品处理性能相当有限,大数据技术出现以后为我们安全工作提供了一个比较好的解决方案,我们能不能用这种解决方案去解决以前我们解决不了的问题,或者我们用技术方案去把我们的问题解决的更好。以前我们碰到很多误报的问题,我们在主机层面、数据库、网络层面都有很多的监控,那这些监控如果你以往的报警策略设置的很高,所以在去年在做,有些大数据分析技术跟其他团队,数据分析部门一起合作做这件事更好,我们对业务了解,他们对数据了解,我们想用大数据技术一是解决报警的关联,报警的误报,第二看能不能通过大数据技术去发现一些安全趋势的预测,这是我觉得在这两年之内用得越来越多的。因为我觉得业务的问题除了传统报警问题,可能还会像一些电商,以及各种不同业务应用有它的特点,这些特点是你能不能从庞大的数据中得到数据,这些有意义的数据占的比例是非常小的,这会是未来发展的趋势,如何用大数据技术提升我们安全预判能力和分析能力,这是我的一个看法。
朱磊:谢谢建强。徐总您是圈子里面的老专家了,在2015年您有什么意见?
徐涌:刚才讲到大数据,我用大数据说话,在三十天以内我们观察了我们采集的两万家公司的安全事故,在两万家厂商的安全里面被攻击的次数是两百多万,企业大概是受到两千多个,高的行业是高校,这是很奇怪,我们一直以为金融会高,但是统计数据里面说的是高校,国家是82个国家。这里面有一个大数据,也是我们一直强调APT的,两百万个攻击里面有16%将近是APT的攻击,三万六千个攻击是可疑的未知的软件攻击。
APT攻击不是我们一个软件和设备可以解决的,它是一个联盟。从Palo Alto角度来说,做到终端,还有数据中心里面的环境,大家都知道数据中心有很多都是用虚机的,虚机的情况是你不能够用物理上隔断,你没有办法让防火墙隔断。所以它必须用虚拟的安全的技术来,尤其在软件定义的环境里面。这个方面叫做东西向南北向的安全,南北向都可以进出数据中心,但是在数据中心里面有很多不同的应用,有第三方软件,所有企业里面肯定有很多地方是第三方软件,我们公司有二、三十个,还有自己在这些软件上面开发的应用,你说因为你是开发的软件你就安全,不能相信,你把企业的命运交给了未知的人,就是刚才讲的供应链的问题,在这个环节里面我们也是跟做虚机的公司密切合作的,来开发虚拟的安全架构,来解决你东西向的问题,所以从Palo Alto角度要解决APT,除了提供墙运营可视性还有终端到虚拟环境,另外一个技术比较突破的,当你知道可疑的软件你没有办法确定扔到一个沙盒里面,所以你怎么样把沙盒的技术去面对反沙盒子的软件,验证它到底可不可以。
从网络角度我们尽量做到从每一条战线,一定要建设,你的内网不可靠,应用不可靠,这样基础上面。然后再把安全防线布置到最远端。
朱磊:接下来是新浪网。
赵海峰:之后会是平台化、大数据化的方向,会把常用服务做成常用平台,提供出来给其他公司服务。另外一个我预测一下未来的安全方向,有可能国内的PC端发展到移动端,攻击可能会针对智能设备多一些,还有一点用户的数据现在不像传统的会直接发到服务器端,有可能服务器端一泄露,用户的秘密泄露了。
刘袁君:我也大概说一下大数据,大家可能都知道黑客的手里面有很多的库,被他们形象称为大数据,很多公司会遭到库的攻击,明年攻击还会增加,对企业还是有影响,同时对网民来说也会有一些影响,所以说作为网民来说好还是可以提高自己安全的意识,自己的密码等级的管理,周期性的修改这块儿,还是提高一些比较好,甲方还我觉得应该还是做一些标准化、自动化的工作,主要可以避免人为操作的失误去犯的一些错误,导致一些安全事件的产生,包括去年的时候日志的泄露,我想是因为人为的失误导致的。
朱磊:谢谢刘袁君的分享。今年所定的话题叫大变革,其实很少能像今年在现在这个点还可以有这么多人待在这个会场听安全的意见,其实2014年虽然经历了很多事情,我们也流过很多汗加过很多班,所以对于2015年来说在场的各位的状态,大家拿出来的热情我们可以感觉出来,2015年我们做好了准备。感谢今天在场的四位专家,谢谢。
热门专题
