深度 | 白帽汇赵武:以安徒生之名打造企业威胁感知神器

本文涉及的产品
云原生大数据计算服务 MaxCompute,5000CU*H 100GB 3个月
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
简介:        从一只不被认可的“丑小鸭”蜕变成为人人艳羡的“白天鹅”,是每个初创型企业的理想。帮这些初创型企业解决安全问题,更好的完成蜕变实现理想,也是白帽汇安徒生平台主要服务目标。赵武说,“以安徒生取名,既契合了创业艰难,但前途美好的寓意,又容易记。
    
   从一只不被认可的“丑小鸭”蜕变成为人人艳羡的“白天鹅”,是每个初创型企业的理想。帮这些初创型企业解决安全问题,更好的完成蜕变实现理想,也是白帽汇安徒生平台主要服务目标。赵武说,“以安徒生取名,既契合了创业艰难,但前途美好的寓意,又容易记。”

安徒生平台的LOGO也用了小鸭子的形象。 

深度 | 白帽汇赵武:以安徒生之名打造企业威胁感知神器赵武,代号zwell

|探索与定位

但在项目构想之初,平台的服务定位并没有这么清晰。平台中的技术架构基本上是为大企业的设计的。

如大数据技术、漏洞监控技术、职场管理流量监控技术在BAT、360等大企业的安全防护中很常见,但并不适合于中小企业。而平台服务的定位是Saas模式,大企业对公有云的服务方式比较敏感,而中小企业一般不会太介意。 

大企业通常会有200人左右的安全团队做支撑,而初创企业因为预算、经验等的不足,导致安全能力较差,但被攻击又是不可避免的。赵武和他的团队最终决定,将大企业的这套安全服务模式,复制到中小企业里去,为中小企业提供一种门槛较低,但在一定方式上有效的安全问题解决方案。

虽然整个项目的规划用了近一年的时间,但从项目启动到完成demo,却只用了三个月。 

安徒生平台的全名为,安徒生·企业威胁感知平台。SANS 研究院对威胁情报的定义是:针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标、所收集的用于评估的应用的数据集。白帽汇将威胁情报简单的定义为:

谁想搞你,谁搞到你了,想怎么搞,但凡可能对企业安全产生威胁的都是威胁情报。 

赵武告诉雷锋网(公众号:雷锋网),通常企业对自己的资产状况并不熟悉,这会导致发现漏洞威胁后,修补效率很低。

曾经有一家巨头企业,打一个补丁用了三天的时间,就是因为对自己的资产状况不够了解。 

为及时准确的发现企业安全威胁情报,安徒生平台会先对企业的资产做一个梳理,并打上指纹标签。

深度 | 白帽汇赵武:以安徒生之名打造企业威胁感知神器安徒生平台资产透视页面

安徒生平台把企业资产分为IT资产与员工资产两部分。

凡是企业中机器化的设备,都叫做IT资产,除了服务器、笔记本、打印机、台式机这些物理资产以外,网站运营也属于企业可以管理的IT资产。

人员资产就是企业员工或者客户的信息。如,有员工会用公司邮箱注册其他的网站的账户,一旦其他网站服务商被入侵,对企业信息的泄露也会造成威胁。

指纹标签就是对资产服务进行标定。

与人的指纹一样,IT资产也有指纹,就像设备编号,企业安全中的部分漏洞来源就是资产开放的一些端口或服务。

|大数据从何而来

做威胁情报离不开大数据。安徒生主要通过Noesec大数据安全协作平台与社交化的威胁情报收集平台两个渠道获取大数据。

在研发安徒生平台之前,白帽汇创立了一个Noesec大数据安全协作平台。平台会把企业对外公开的所有零零散散的企业资产信息自动化抓取,进行积累汇总后,形成了一个庞大的资产体系。 

国内的黑产地下交易中心主要是论坛与QQ群,安徒生会通过发动白帽子用监控QQ群与数据论坛的方式及时获取到服务相关企业的安全威胁信息。赵武介绍道:

我们会从白帽子那里第一时间获取到正在被贩卖的企业数据情报,具体泄漏了哪些数据我们不知道,但我们对获取到的情报也有一个评判标准,我们会拿着这个数据去跟企业做一个沟通,让企业自己去辨别。

白帽汇还做了一个只针对Http协议、Web 应用层的“全球网站检索”。通过收集全球web服务指纹,可以很容易标识出一个网站在哪个端口,使用哪种 Web Server,哪种编程语言,以及哪种开源框架(如:CMS等)。也可以找到全球有哪些在线的 Squid 代理服务器,有哪些网站使用了 Jquery,有哪些在线H3C路由器,哪些网站使用了GeoTrust证书,哪些网站挂了某一种木马,哪些网站使用了CloudFlare的 CDN 等。

深度 | 白帽汇赵武:以安徒生之名打造企业威胁感知神器安徒生平台威胁分析页面

通过大数据获取到企业的威胁情报信息后,安徒生平台会对情报进行分析,对漏洞的影响程度以及利用难度进行划分为高危、中危、低危四个等级,并为企业提供修复意见。

|童话中的现实

目前安徒生平台的demo已通过网站的形式上线,并在一些熟识的企业中进行试推与打磨,然后根据接受试推的企业与业内人士的意见再进行调整与改进。但赵武认为,

目前白帽汇的产品研发进度仍然过慢,虽然技术团队已经扩充到了20人,之前也积累了一些产品经验,但坑只能一个一个去填,急不得。

而云服务的模式,需要强大的服务器与带宽来支持,这也是一笔很大的成本。

至于安徒生平台什么时候开始向外推广,赵武表示还不着急。

一方面,现在产品还没有达到一个很好的状态。现阶段企业只要提供域名,就可以自动化监控威胁情报。但这只是外部威胁情报,要布置一些流量性的企业性到内部去,这可能是一个很大的坎。企业会不会接受,以什么样的形式接受,都需要再去讨论。日志分析的功能也还没有添加进去,机器学习的功能还在积累。

另一方面,对于安徒生平台的推广方式以及盈利模式也还在探索中。只获得认可,并不代表愿意为你的产品消费。虽然盈利不是最终目标,但愿意消费是对产品价值认同的表现。

在安全圈打拼了许多年,对做产品赵武也有着自己的心得,跑的越快有可能死的越早,小步慢跑,稳扎稳打就好。

 
  本文作者 张丹

本文转自雷锋网禁止二次转载, 原文链接
相关实践学习
基于MaxCompute的热门话题分析
本实验围绕社交用户发布的文章做了详尽的分析,通过分析能得到用户群体年龄分布,性别分布,地理位置分布,以及热门话题的热度。
SaaS 模式云数据仓库必修课
本课程由阿里云开发者社区和阿里云大数据团队共同出品,是SaaS模式云原生数据仓库领导者MaxCompute核心课程。本课程由阿里云资深产品和技术专家们从概念到方法,从场景到实践,体系化的将阿里巴巴飞天大数据平台10多年的经过验证的方法与实践深入浅出的讲给开发者们。帮助大数据开发者快速了解并掌握SaaS模式的云原生的数据仓库,助力开发者学习了解先进的技术栈,并能在实际业务中敏捷的进行大数据分析,赋能企业业务。 通过本课程可以了解SaaS模式云原生数据仓库领导者MaxCompute核心功能及典型适用场景,可应用MaxCompute实现数仓搭建,快速进行大数据分析。适合大数据工程师、大数据分析师 大量数据需要处理、存储和管理,需要搭建数据仓库?学它! 没有足够人员和经验来运维大数据平台,不想自建IDC买机器,需要免运维的大数据平台?会SQL就等于会大数据?学它! 想知道大数据用得对不对,想用更少的钱得到持续演进的数仓能力?获得极致弹性的计算资源和更好的性能,以及持续保护数据安全的生产环境?学它! 想要获得灵活的分析能力,快速洞察数据规律特征?想要兼得数据湖的灵活性与数据仓库的成长性?学它! 出品人:阿里云大数据产品及研发团队专家 产品 MaxCompute 官网 https://www.aliyun.com/product/odps 
目录
相关文章
|
1月前
|
机器学习/深度学习 数据采集 人工智能
未来的守护神:AI驱动的网络安全之盾,如何用智慧的光芒驱散网络黑暗势力?揭秘高科技防御系统背后的惊天秘密!
【10月更文挑战第3天】随着网络技术的发展,网络安全问题日益严峻,传统防御手段已显不足。本文探讨了构建AI驱动的自适应网络安全防御系统的必要性及其关键环节:数据采集、行为分析、威胁识别、响应决策和执行。通过Python库(如scapy、scikit-learn和TensorFlow)的应用实例,展示了如何利用AI技术提升网络安全防护水平。这种系统能够实时监控、智能分析并自动化响应,显著提高防护效率与准确性,为数字世界提供更强大的安全保障。
61 2
|
Kubernetes Cloud Native 架构师
阿里研究员谷朴:警惕软件复杂度困局
对于大型的软件系统如互联网分布式应用或企业级软件,为何我们常常会陷入复杂度陷阱?如何识别复杂度增长的因素?在代码开发以及演进的过程中需要遵循哪些原则?本文将分享阿里研究员谷朴关于软件复杂度的思考:什么是复杂度、复杂度是如何产生的以及解决的思路。较长,同学们可收藏后再看。
阿里研究员谷朴:警惕软件复杂度困局
|
1月前
|
存储 人工智能 安全
AI时代的惊天危机!揭秘如何守护你的数据宝藏免受黑客魔爪侵袭!
【10月更文挑战第12天】在数字化时代,AI产品已深入生活的方方面面,但数据安全问题日益凸显。本文探讨了如何妥善处理AI产品的数据安全,包括建立数据保护机制、加强监管与审计、提升公众意识及关注新技术发展,确保数据的完整性、机密性和可用性。
57 1
|
3月前
|
SQL 安全 网络安全
【惊心动魄】揭秘网络暗黑势力!全面解析网站安全攻击手段及防御秘籍,助你构筑坚不可摧的数字堡垒!
【8月更文挑战第13天】随着互联网发展,网站成为信息和服务的关键渠道,但也面临黑客攻击的风险。本文介绍几种常见攻击及其防御方法:SQL注入可通过参数化查询预防;XSS攻击需对数据严格过滤和编码;CSRF攻击则需使用唯一令牌验证;文件上传漏洞应限制文件类型并验证;DDoS攻击可借助CDN和防火墙缓解。维护网站安全需持续监控和更新防护策略。
90 11
|
3月前
|
安全 应用服务中间件 Linux
|
5月前
|
SQL 安全 网络安全
网络安全攻防实战:黑客与白帽子的较量
【6月更文挑战第29天】网络安全战场,黑客与白帽子的博弈日益激烈。黑客利用漏洞扫描、DDoS、SQL注入等手段发起攻击,而白帽子则通过防火墙、入侵检测、数据加密等技术防守。双方在技术与智慧的较量中,未来将更多融入AI、区块链等先进技术,提升攻防效率与安全性。面对网络威胁,提升技能与意识至关重要。
|
Kubernetes 架构师 Dubbo
阿里研究员:警惕软件复杂度困局
对于大型的软件系统如互联网分布式应用或企业级软件,为何我们常常会陷入复杂度陷阱?如何识别复杂度增长的因素?在代码开发以及演进的过程中需要遵循哪些原则?本文将分享阿里研究员谷朴关于软件复杂度的思考:什么是复杂度、复杂度是如何产生的以及解决的思路。较长,同学们可收藏后再看。
2798 0
阿里研究员:警惕软件复杂度困局
|
云安全 安全 网络安全
“威胁管理”引爆2009新看点
本文讲的是“威胁管理”引爆2009新看点,当前,随着网络安全的复杂度越发提高,信息安全、数据泄露等问题层出不穷。对此,记者曾在本报31期的《云安全2.0之三大看点》专门撰文指出,威胁发现与管理将会成为2009年的强势看点,而安全全新的市场机会也存在于此。
1278 0
下一篇
无影云桌面