构建安全保密新体系

360企业安全集团董事长兼CEO 齐向东

构建安全保密新体系

360企业安全集团董事长兼CEO 齐向东

0 前言

在今年的美国总统大选中，一度优势明显的民主党候选人希拉里，最后惊人地落败给共和党特朗普。这是由于国外黑客侵入和窃取民主党及希拉里竞选团队邮箱系统，大量不利于希拉里的邮件被曝光，给希拉里造成了巨大的负面影响。

此事是否真的由俄罗斯政府授意黑客所为，目前依然真相难辨，但有一点可以肯定:数据泄密的影响已严重影响到国家的政治和安全。

1 泄密已成全球性的安全挑战

从全球看，窃密泄密事件呈高发态势。据美国电信运营商Verizon发布的《2015年Verizon数据泄露调查报告》，2014年有近8万家企业被黑，导致数据泄漏；2122家公司公开确认信息被窃取; 500强企业超过半数遭遇过数据泄露事件。

根据2016年的报告，2015年的数据泄露事件比上年增长48%，达3141起; 安全事件的涨幅超过25%，超过10万次。

美国政府问责办公室报告的数据同样惊人:自2006年以来，美国联邦政府的网络安全事件增长1300%。回顾今年以来美国遭遇的数据泄露事件:2016年2月，美国国税局披露，有超过70万个人的纳税人个人信息被泄露。同样是在2016年2月，黑客攻击了美国联邦调查局、国土安全部，窃取了9，000名国土安全部员工和20000名联邦调查局员工的信息。

对在全球网路安全领域相对领先的美国，数据泄露问题依然严重。可以说，数据泄密问题已成为全球性的挑战。

2 中国成为APT攻击主要受害国

2016年年初，360威胁情报中心发布的《2015年中国高级持续性威胁（APT）研究报告》显示，中国是APT攻击的主要受害国。国内多个省、市受到不同程度的影响。

根据该报告，截至2015年11月底，360威胁情报中心监测到的针对中国境内科研教育、政府机构等组织单位发动APT攻击的境内外黑客组织累计29个。

在2015年和2016年，360天眼实验室发现和披露了多个针对中国的APT组织。其中包括海莲花组织、摩诃草组织、索伦之眼组织、DarkHote等。

其中，海莲花组织的发布，受到海内外的广泛关注。该报告被业界称为中国“首份”“符合标准”的APT攻击研究报告，海内外媒体纷纷进行了报道。有美国国家“智库”之称的美国外交关系协会、以及中国外交部都对这份报告进行了回应。改变了长期以来我国在网络间谍上被西方国家单方面指责和攻击的局面。

根据360安全人员的分析，我国的科研、政府、能源、军工行业是海外APT组织的主要攻击目标。这些APT组织对目标机构中包含2016、2015这些年份的文件或包含军工、涉密、保密字眼的文档都极为有兴趣，一般都会进行打包外传。

3 形势变化令传统安全手段应对乏力

根据美国运营商Verizon的报告，黑客组织侵入一个机构，最短只需要用几秒、几分钟时间，长得也不过几个小时，数据也往往在数小时内被窃取，但我们发现被入侵、数据别泄露，以及采取措施缓解损失，需要多久呢？可能是在几天、几周之后，长的可能几个月之后。或者根本就不知道出现了失窃密事件，直到第三方发现告知才采取行动。

政府等机构每年都投入巨资，为何没有解决数据泄密的问题？这是因为在现在的环境下，传统的垒长城式的防护思路已经不再奏效。

在互联网+时代，万物互联，安全形态已完全不同:首先，网络安全的范畴被扩展，安全设备要防护的不再仅仅是PC，还有打印机、复印机等各种终端，还有联网的核电、核工业，以及正在出现的各种新型系统。其次，传统安全边界下在在失效，移动、云计算的部署改变了IT形态，数据已突破了传统的安全边界。第三，具有针对性的高级威胁增加，这主要包括APT、零日漏洞、针对性攻击，而攻击者对相关行业很熟悉，攻击持续时间会很长，且用了很多精力来进行伪装。

现在很多基础设施安全的对手并不是一般意义上的黑客，而是国家级的黑客组织，技术环境的变化和黑客组织的更高级攻击手段，使得传统的安全防守手段已经无法奏效。

4 用大数据手段解决数据泄露挑战

对于这种新形势，我们应该如何防范数据泄露呢？我们认为，大数据的手段可能是我们应对当前安全挑战的有效手段。

这里面有个安全理念的转变:那就是从安全防护转向检测与响应。

面对新型、频发的高级威胁，没有任何机构是绝对安全的，指望通过安全防护将黑客组织阻止在系统之外，已经是不太现实。因此，国际上一直都在倡导将重点转向安全检测与响应:在最短时间内检测到攻击，并进行及时处置和响应，将数据泄露的损失降到最低。在攻防失衡的情况下，这是网络安全的务实选择。

要实现快速的检测与响应，掌握丰富的数据非常重要。在现在背景下，从单点上很难看出攻击者的真实目的，只有把所有的点连在一起，才能看到真实的问题。一次安全事件所利用的漏洞或者样本，可能在互联网上已出现过。利用互联网上的海量安全数据，可以更快发现甚至预防安全事件，避免或减少数据泄露。

我们提出了“数据驱动安全”的创新安全理念，其思路就是用大数据的方式来解决当前的安全挑战。一方面是通过海量的互联网安全数据，形成丰富的威胁情报，然后推送给用户的安全设备。另一方面是帮助用户在本地进行全量的数据采集。这样，针对本地网络或者终端出现异常状况，可以通过与威胁情报的关联比对，进行识别和发现。在政府和企业内网与终端，出现的任何安全漏洞、数据泄露问题，就可以被及时发现和处置。

基于“数据驱动安全”的理念，我们打造了多款创新性的产品，其中包括新一代威胁感知系统——天眼，可以实现未知威胁的发现、溯源、分析等功能。2015年，360天眼实验室发现29个海外APT组织，就是这套系统的所建立的奇功。