安徒生平台的LOGO也用了小鸭子的形象。
赵武,代号zwell
|探索与定位
但在项目构想之初,平台的服务定位并没有这么清晰。平台中的技术架构基本上是为大企业的设计的。
如大数据技术、漏洞监控技术、职场管理流量监控技术在BAT、360等大企业的安全防护中很常见,但并不适合于中小企业。而平台服务的定位是Saas模式,大企业对公有云的服务方式比较敏感,而中小企业一般不会太介意。
大企业通常会有200人左右的安全团队做支撑,而初创企业因为预算、经验等的不足,导致安全能力较差,但被攻击又是不可避免的。赵武和他的团队最终决定,将大企业的这套安全服务模式,复制到中小企业里去,为中小企业提供一种门槛较低,但在一定方式上有效的安全问题解决方案。
虽然整个项目的规划用了近一年的时间,但从项目启动到完成demo,却只用了三个月。
安徒生平台的全名为,安徒生·企业威胁感知平台。SANS 研究院对威胁情报的定义是:针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标、所收集的用于评估的应用的数据集。白帽汇将威胁情报简单的定义为:
谁想搞你,谁搞到你了,想怎么搞,但凡可能对企业安全产生威胁的都是威胁情报。
赵武告诉雷锋网(公众号:雷锋网),通常企业对自己的资产状况并不熟悉,这会导致发现漏洞威胁后,修补效率很低。
曾经有一家巨头企业,打一个补丁用了三天的时间,就是因为对自己的资产状况不够了解。
为及时准确的发现企业安全威胁情报,安徒生平台会先对企业的资产做一个梳理,并打上指纹标签。
安徒生平台资产透视页面
安徒生平台把企业资产分为IT资产与员工资产两部分。
凡是企业中机器化的设备,都叫做IT资产,除了服务器、笔记本、打印机、台式机这些物理资产以外,网站运营也属于企业可以管理的IT资产。
人员资产就是企业员工或者客户的信息。如,有员工会用公司邮箱注册其他的网站的账户,一旦其他网站服务商被入侵,对企业信息的泄露也会造成威胁。
指纹标签就是对资产服务进行标定。
与人的指纹一样,IT资产也有指纹,就像设备编号,企业安全中的部分漏洞来源就是资产开放的一些端口或服务。
|大数据从何而来
做威胁情报离不开大数据。安徒生主要通过Noesec大数据安全协作平台与社交化的威胁情报收集平台两个渠道获取大数据。
在研发安徒生平台之前,白帽汇创立了一个Noesec大数据安全协作平台。平台会把企业对外公开的所有零零散散的企业资产信息自动化抓取,进行积累汇总后,形成了一个庞大的资产体系。
国内的黑产地下交易中心主要是论坛与QQ群,安徒生会通过发动白帽子用监控QQ群与数据论坛的方式及时获取到服务相关企业的安全威胁信息。赵武介绍道:
我们会从白帽子那里第一时间获取到正在被贩卖的企业数据情报,具体泄漏了哪些数据我们不知道,但我们对获取到的情报也有一个评判标准,我们会拿着这个数据去跟企业做一个沟通,让企业自己去辨别。
白帽汇还做了一个只针对Http协议、Web 应用层的“全球网站检索”。通过收集全球web服务指纹,可以很容易标识出一个网站在哪个端口,使用哪种 Web Server,哪种编程语言,以及哪种开源框架(如:CMS等)。也可以找到全球有哪些在线的 Squid 代理服务器,有哪些网站使用了 Jquery,有哪些在线H3C路由器,哪些网站使用了GeoTrust证书,哪些网站挂了某一种木马,哪些网站使用了CloudFlare的 CDN 等。
安徒生平台威胁分析页面
通过大数据获取到企业的威胁情报信息后,安徒生平台会对情报进行分析,对漏洞的影响程度以及利用难度进行划分为高危、中危、低危四个等级,并为企业提供修复意见。
|童话中的现实
目前安徒生平台的demo已通过网站的形式上线,并在一些熟识的企业中进行试推与打磨,然后根据接受试推的企业与业内人士的意见再进行调整与改进。但赵武认为,
目前白帽汇的产品研发进度仍然过慢,虽然技术团队已经扩充到了20人,之前也积累了一些产品经验,但坑只能一个一个去填,急不得。
而云服务的模式,需要强大的服务器与带宽来支持,这也是一笔很大的成本。
至于安徒生平台什么时候开始向外推广,赵武表示还不着急。
一方面,现在产品还没有达到一个很好的状态。现阶段企业只要提供域名,就可以自动化监控威胁情报。但这只是外部威胁情报,要布置一些流量性的企业性到内部去,这可能是一个很大的坎。企业会不会接受,以什么样的形式接受,都需要再去讨论。日志分析的功能也还没有添加进去,机器学习的功能还在积累。
另一方面,对于安徒生平台的推广方式以及盈利模式也还在探索中。只获得认可,并不代表愿意为你的产品消费。虽然盈利不是最终目标,但愿意消费是对产品价值认同的表现。
在安全圈打拼了许多年,对做产品赵武也有着自己的心得,跑的越快有可能死的越早,小步慢跑,稳扎稳打就好。