一年一度的阿里安全峰会创立于 2014 年,今年已是第三届,于7月13-14日在北京国家会议中心举办。峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织、信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践、热点议题、信息安全人才培养、新 兴技术与发展趋势等。2016 阿里安全峰会设立12个分论坛,数十家领军企业参与、国内外顶级安全专家演讲,在电商金融安全,移动安全,威胁情报,人才培养,电子取证等热门安全行业问题进行深入探讨与交流,除此之外大会前一天还进行了顶级电商安全移动安全等方向的专业安全技术培训。
7月13日2016阿里安全峰会上,安恒信息安全专家刘志乐进行了《复杂网络环境下的大数据安全态势感知》的主题分享,他通过举例来说明我们面临的安全威胁形势越来越严峻,通过大数据的安全态势感知的平台,可以对威胁进行预测。大数据的分析成功与否,主要有三个因素,数据、算法和有效的方法。
安恒信息安全专家刘志乐
以下为演讲实录:
各位领导,各位嘉宾,下午好。2016年ISA大会上大家认识到了我们的防护手段,在当前这么复杂的安全形势下已经越来越显得力不从心,在这么严峻的形势下,怎样利用一些新技术来实现对我们传统的安全防护能力的升级就显得分外重要。
现在我们所面临的威胁,从传统的小黑客到大的玩家,地下黑客产业链,现在甚至已经上升到了国与国的网络战的严峻形式,我们也有一个大数据的安全能力中心,2015年我们也做了一个自己的2015年互联网网站的安全报告,网站安全报告里面可以看到一些非常重要的数据,比如,去年我们给第二届世界互联网大会做网络安保工作的时候,对大会官网的群,整个的会议期间遭受了一亿两千多万次的攻击,像新浪网就遭受了33万次的攻击,而且攻击主要来源来自于国外的英美、法德这些国家,攻击的来源显示主要是境外的托管主机和远程的受控僵尸等等。我们参与了第二次世界互联网大会的安保,也参加了第一次互联网大会的安保,两天的安保工作做完后也做了一些对比,从攻击规模上来看,第一次世界互联网大会大概收到了27万次这样的攻击,第二次已经上升到了一千多万次,整个防护系统所有的加起来3.8亿次,而且整个防御手段和防御的对象也产生了很大的区别。第一次主要是会议系统,第二次已经涵盖了核心的会议系统,整个会议的所有的酒店、Wifi和直播系统,包括了路边的警亭、信息亭等等。
有了这些数据,我们也可以解读整个世界互联网大会期间,到底谁在攻击我们,从最后的统计可以看出来,以美国为首的,包括用了什么样的攻击手段,整个攻击的最高峰在什么地方,我们当时也都对互联网进行推送。
这些现象都是构筑在我们自己的大数据的安全态势感知的平台之上,我们主要针对比如互联网的对外的网站,可以把它整个网站上所有的一些系统的日志,访问的日志,所有的网络设备的日志,安全设备的日志,输送到我们的云端,再大数据的存储进行大数据的处理,然后最后进行整个安全的方法,进行算法,最后实现可视化来应对整个的一些威胁的预测。
这些大数据,我们拿它到底要做些什么?首先我们要通过它去进行在分析平台上进行核实的方法,用一些比较适用的算法,最后实现对客户的价值,整个的维度的分析服务,包括现在比较时髦的情报的共享。基于这些数据能力,我们就可以应对现在复杂的安全攻击,比如25万个中国政府的所有网站,受到什么样的攻击,攻击类型是什么,来自于哪里,我们都会第一时间捕获到,第一时间报送给国家的相关职能部门,包括网信办,公安部,工信部等等。我们的整个平台建筑在全国的32个省市的有节点,现在我们有一亿两千多万个设备的数据,有六千八百多万个设备的漏洞,我们存储了465TB的数据,而且整个数据是大数据的集群,比较快速的部署。这些分布式的结点,把各种流量的日志和各种主动发现的漏洞的信息,包括了各种数据的可用性的数据、防御的数据进行处理和归类分析,然后进行存储到各种基础库、IT库、指纹库和域名库,到上面进行可视化的展现漏洞和事件以及可用性。还有攻击行为、访问行为等等,最终我们可以通过我们的一些邮件,传统的手段,也有最新的,通过一些专用的APP,以加密的方式输送到我们的客户手上,包括有一些输送到监管部门的手上。那么,有了这些数据以后,我们可以形成安全的大数据中心,我们现在有完整的政府整体的IP库,这些数据对政府的职能部门的信息不断的更新,还有对域名的库,对网站的所有的相关的漏洞等等,现在我们有超过一亿六千万的域名,我们收录了25万个政府的域名,我们不停的在分布式的进行实时监测,累计发现了1203个政府网站部署在境外,可能被地下黑客产业链劫持到境外了,或者是相似的域名,然后去钓鱼,这些我们都有大量的样本。
基于这种分布式的扫描,或者是监测引擎,我们可以做很多的有意义的事情。比如,我们最早是公安部做全国政府网站大检查的单位。2009年我们做这件事,当时给我们六千多个站点,我们需要投入五六个人去工作一个月以后,单机版扫描器,人非常的辛苦。但是在我们有了这样一个大的分布式大数据平台以后,现在无论是九三阅兵,还是G20的安保,政府部门给我们的上万个站点,在我们的平台里边,会自动把这些数据拿出来,很快的完成监管部门的工作需要。
网络除了外网之外,内网更复杂,但是内网我们更多的不是关心整个的知识产权的安全漏洞,我们更多的关心内部的人员,所以我们就要在内网里面通过一些数据的采集,包括一些密匙,把各种数据语言送到我们的中心里面,再去通过不同的数据的维度去定义什么样的是异常的行为。比如省份、时间、位置,包括对资源的操作模式等等。通过这些我们进入行为建模,通过建模以后,我们以人的行为为核心的异常来分析一些人的方面的关键问题。
整体上来说,大数据的分析成功与否,实际上主要有三个因素。从我自己的经验来看,一是数据,以大数据,大数据的平台,如果没有数据,无从谈起。二是算法,有了数据,再有算法,那么就应该可以产生比较有意义有价值的能力。但是实际上从我们很多的工作的工程实践上来看,光有这两点还不行,还缺一个比较有效的方法,而且这个方法实际上要更多的和客户来商量,最终是跟客户的业务贴合上的方法。有了这三个因素就可以有有用的能力,最终交付给我们的客户,客户就会有一个更安全的应对复杂的攻击形式的能力。谢谢大家。
