第三代浪潮的攻防战

李昊原

2017年6月27日，不少乌克兰的企业感染了新的勒索病毒，攻击源头是乌克兰知名的财务软件M.E.Doc，黑客在源代码中植入了切取数据的后门，随着软件更新，廣泛使用该软件的企业纷纷中招。360企业安全集团副总裁左英男说，虽然源代码安全检测类产品可以检测到这类缺陷，但类似这样的软件供应链攻击方式让人防不胜防。

360企业安全集团董事长齐向东日前在贵阳数博会网络安全高端论坛演讲中，将网络攻击的发展分为了三个阶段，最初是“小球病毒”“救护车病毒”等，更像是恶作剧;“熊猫烧香”等以窃取隐私、钱财为目的的是第二次;从2015年开始网络攻击的复杂性和多样性提升，尤其是针对大中型企业和政府部门。有目标、精确、持久隐藏的ATP攻击（高级持续性威胁），攻击入侵的路径也并不局限于互联网，还可通过移动介质、内部网络横向传播，并和社会工程学等手段相结合。

网络攻击的破坏性也在增大。据称几乎每个在线游戏在公测的一个月内，都会受到攻击，除了层出不穷的外挂与黑产，竞争对手的攻击也不在少数：电商、在线教育也是网络攻击的重灾区，业务活动时常收到DDoS攻击（分布式拒绝服务攻击，消耗对方的系统资源使之难以提供服务）的影响。网络攻击甚至被应用于国际政治活动，“震网”史无前例地破坏了伊朗的核研究设施，而希拉里“邮件门”则一举扭转了美国大选的走向。

唯快不破

齐向东说，数据正成为企业核心的资产，数据安全也上升成为企业安全乃至国家安全的重要组成部分。即使如Facebook这样的巨头，面对数据泄露事件依旧焦头烂额，而《网络安全法》和今年5月实施的GDPR等法规，也让数据安全的重要性从违规提升到违法，乃至巨额罚款的程度。在左英男看来，企业上马云计算和大数据等项目，提升了业务效率和数据价值，但也带来更高风险。今年4月，他的十几名同事在某省的儿童医院，花了三天三夜时间帮助医院处理安全问题。这家医院的业务系统遭受了勒索病毒的大面积攻击，病人的病例数据被加密，医院不得不停止接待病人。正如科技进步不可阻挡，网络攻击也正变得“无坚不摧”。以前通过病毒库进行“黑名单”查杀就是有效的解决方法，后来指数级增长的病毒让安全技术开始力不从心，而此时已经防不胜防了。

360企业安全对此有四个假设。系统一定有未被发现的漏洞，在过去一年360就给微软、苹果、谷歌、Adobe、VMware等5家巨头提交了519个漏洞：一定有已发现但仍未修补的漏洞，存在时间差;系统已经被渗透;内部人员不可靠，尤其是业务外包人员，更容易成为攻击的目标。

“网络安全攻防是一个不对称的战场，防守方要多点全面防御，而攻击者只要突破最薄弱的一点，稍不注意别人就能突破进你的IT系统。”左英男介绍，一个组织的安全能力可以分为五个阶段：架构安全、被动防御、主动防御、威胁情报、进攻反制，每一个阶段的安全能力都在前者基础上叠加演进。当人们普遍接受系统很可能会被渗透进来的客观现实之后，如何保护数据不泄露，成了新的问题。

做英男安全的本质是人与人的对抗，人是诸多安全问题的根源，也是解决安全问题的关键

“即使攻击者进了你的网络或系统，在系统中找到你的关键数据资产也需要时间。如果我们能够通过快速的检测和响应，在攻击者偷走你的数据或造成破坏之前及时发现攻击者，并迅速响应处理，那么你的数据资产还是安全的。”如果说进攻方打的是发现漏洞和企业修补漏洞的时间差，防御方则是打被渗透和对方窃取数据的时间差——攻防双方的战术恰如一句台词：天下武功，无坚不摧，唯快不破。

快速检测和快速响应属于主动防御，在损失发生之前解决问题。再进一步，威胁情报可以帮助企业了解进攻方，在情报有效及时的情况下，甚至可以通过合法的手段反制。

“大数据+”安全

主动防御的重点在于威胁的持续检测和应急响应，攻击者无论如何隐藏自己，都会在网络和系统中留下蛛丝马迹，只是往往这些痕迹无法被传统的基于特征的检测技术识别为攻击。2015年，360企业安全就提出了“数据驱动安全”的理念，依托大数据技术获取的长期行为数据，建立行为基线，然后通过采用威胁情报、机器学习、人工智能的方法进行行为分析，及时发现偏离行为基线的异常行为，实现快速的威胁检测以方便安全分析和响应人员及时采取措施。

而支撑上述主动防御高效快速的重要基础，是360积累10多年的安全大数据。目前360在全球有6亿PC端和8亿移动端用户，收集的恶意样本总数超过150亿、每天新增恶意样本900万。“把恶意样本放到沙箱中运行，然后收集这些样本的行为数据，比如调用了哪些函数、访问了哪些网络、启动了哪些进程、打开了哪些文件等，在这些行为数据的基础之上，在大数据平台中利用机器学习算法，进行威胁建模和关联分析，然后或许你就会发现，几万个恶意样本来自同一个攻击组织。”威胁情报是提高高级威胁检测效率，缩短检测时间的利器，360利用安全大数据、机器学习和人工智能的行为分析技术生产的威胁情报，通过在线或离线方式推送到客户侧的产品、服务、平台。

“大数据+”的安全能力，不仅可以检测威胁，还可以对威胁进行溯源。企业的数据能力可分为高中低三个档位，低位数据能力建立在架构安全和被动防御的基础上，核心是数据的采集能力，企业将终端、网络安全设备、系统和应用等的数据进行充分的采集，这是构建“大数据+”安全能力的基础。中位数据能力属于主动防御的范畴，企业需要建设基于大数据的安全运营平台，这个平台起到了“大脑”的作用，对采集的数据进行建模分析和检测，并指挥被动防御阶段建立的安全设备协同联动，完成响应处置的动作。高位的数据能力，即360企业安全基于安全大数据构建的威胁情报，可以提供给企业用于检测分析。

在企业建立完整的大数据安全运营体系，首先要判断企业所处的安全能力阶段，然后根据现有的安全投资状况，补足低位的数据采集能力后，才能逐步建设中高位的数据能力。左英男重申了“人是安全的尺度”，安全的本质是人与人的对抗，人是诸多安全问题的根源，也是解决安全问题的关键。“我们帮助企业有效地解决安全问题，完整地构建安全能力，核心是帮他们把安全队伍给带起来。”在前期360的安全服务人员会入驻企业并协助企业提升安全运营人员的能力，只有让客户的安全运营团队掌握安全运营体系的检测、分析和响应能力，大数据安全能力才能在企业真正落地。