譚校長變身網安“老醫生”:有病還需“新藥”醫!
第四屆中國互聯網安全大會(ISC 2016)于8月16-17日在北京國家會議中心舉行,本屆大會由國家網信辦、工信部以及公安部指導,中國互聯網協會、中國網絡空間安全協會和360互聯網安全中心共同主辦。來自全球70多家網絡安全相關機構和企業的百余位安全智庫和專家參會,本屆大會提倡的核心理念“協同聯動,共建安全+命運共同體”。
《安全智庫》作為一家定位于沉淀信息安全行業全新視角的知識庫的安全媒體,受邀參加ISC2016大會,在大會期間有幸采訪到了重量級嘉賓,奇虎360首席安全官——譚曉生。
譚曉生,奇虎360首席安全官,兼任首席技術官,ISC2016中國互聯網安全大會執行主席。在互聯網技術圈子中,早已流傳著一個更顯其本色的稱號——“譚校長”。
譚校長在本屆中國互聯網安全精英峰會上一改往日學者風范,變身網絡安全“老醫生”,發表《我有病,你有藥么?》的主題演講,向過于強調漏洞挖掘而忽略防御保護的安全產業現狀拋出一塊巨石,可謂是一石激起千層浪。
其實,相比漏洞挖掘,檢測更難做,漏洞挖掘就是在眾多的系統缺陷中查找,而安全檢測是在大量的正常行為中,捕捉異常,在此過程中,還要時刻關注操作者本身的行為突然變化。因此,檢測需要掌握的知識,以及對抗的干擾要比漏洞挖掘多得多。
《安全智庫》有幸對這位“新晉”網安“老醫生”做了《檢測技術路在何方》的采訪,有著多年網安從業經驗的他,對安全檢測技術進行了鞭辟入里的分析。
譚醫生首先對當前安全檢測技術遇到的挑戰進行了病理的分析。
第一,用行話講“攻擊面越來越大”。
現在物聯網和“互聯網+”,意味著過去不聯互聯網的設備已經聯了互聯網,過去企業不聯互聯網的內部系統現在也在聯,導致別人的攻擊點增多,攻擊的系統增多,這是第一個挑戰。
過去操作系統可以裝360安全測試,裝McAfee,裝殺毒,現在手環怎么防護,攝象頭怎么防護,或者是汽車怎么防護,根本沒有額外地方裝防護軟件,新的問題就會冒出來。社會對互聯網依賴越來越大,各類物品都在聯網,防御形態必然變了。
第二,產業形態在發生變化。
原來windows時代,大家有清晰的分工,操作系統做操作系統,安全做安全,鐵路警察一人守一段,分工合作。但是今天移動互聯網時代,大家都拿一個手機,一般老百姓對安全的感知沒有windows時代那么強。如果十年前用windows不裝殺毒軟件分分鐘被木馬搞定,瀏覽個網頁木馬就進去了,現在手機哪怕很長時間不裝安全軟件也不會中招,情況已經變了。手機是相對封閉的市場,安全門檻還是比較高。
提供APP Store的廠商為了吸引更多的用戶,非常注重自己的商譽,就做了安全檢查,木馬就不那么容易碰到,不會隨便上網就中木馬。安全的確比原來好了很多,副作用是用戶覺得安全沒那么重要,覺得哪怕不裝安全軟件,或者裝一個不知名的安全軟件,過一段時間也沒出事,安全效果差不多,但這很危險,防御有差別,一旦中招損失就會非常大。手機與網上銀行關聯,或者是隱私信息關聯,造成的損失會很大。只是中招概率沒有那么大,消費者意識也就沒有那么強,在移動互聯網時代,我們在安全防御上遇到很大的困境。其一是用戶安全感知不明確,其二是手機制造商不提供安全軟件管理權限。
第三,攻擊手段花樣翻新。
在全世界上,中國的黑產非常發達,已經形成了一種地下產業,一種可以掙錢的產業,無論是偷個人信息還是直接偷錢。數據顯示,UBER在中國市場40%左右的推廣費用被地下黑產用拽羊毛方法拽走,他們通過用“假的”手機模擬耍單拿補貼,40%的數據比例很高。我們有一個龐大的黑產,有經濟利益刺激,他們愿意這么做,就會想出各種各樣稀奇古怪的攻擊方法。現在攻擊比以前多,但防守方能力卻沒有比以前強,用戶也并沒有意識到要有一個好保鏢,這些都會帶來很大的問題。
以前安全技術以FW/IPS/AV等基于簽名防御技術為主,但隨著云計算與大數據,以及移動互聯網等新的技術浪潮的到來,傳統防御技術已經不再適應整個安全趨勢的變化,其實大家都在嘗試研發新的安全檢測技術,那么安全檢測技術未來出路在哪里?
神農嘗百草,日遇七十二毒,得茶而解之。
譚醫生笑談,安全檢測技術的“茶”,有的已經看到,有的仍在嘗試。
第一,對于各種各樣的攻擊,當你沒有辦法第一時間進行有效攔截時,就要退而求其次。看看可以用什么樣的方法能發現正在進行的攻擊,而不是預警,預警是攻擊沒發生之前拉警報,而我們是在有人攻擊的時候,怎么能知道別人正在攻擊我,或者是被別人攻陷的時候,怎么能盡快知道被攻擊了。是否被攻擊5秒鐘時就知道有人攻擊我,或者是設備被攻陷,1分鐘后有人把該設備下架。2014年有數據統計,系統被攻破,最大比例知道這件事是6個月以后,而處置需要2-7天,這是一般比較好的處置單位。
未來的防御思想變成怎么檢測正在進行的攻擊,怎么檢測成功的攻擊,以及加快自己響應的路子,這是思路。思路怎么實現?用大數據方法實現。通過收集網絡數據,以及應用程序運行的行為數據,把這些數據收集,然后進行分析。比如說網絡流量,一個人平時12點睡覺,怎么今天半夜3點還在忙,這個人平時都在北京,他過去也很少出國,怎么今天突然出現在紐約。
基于大數據行為異常的判定,這是大家覺察的方向。當然,這個方向雖然聽起來很美好,但是實際做起來非常難。因為這個人真可能是突然別人送他一張美國旅行票,今天可能真有什么事半夜爬起來玩手機。其實異常混在用戶正常使用中,如果拉報警拉多了,用戶最后也就不信了。真正的攻擊隱藏在一大堆正常的異常行為里面。這是產業界和學術界努力的方向。
第二,最近這些年很多人認為終端作用越來越小,不僅大家都有防火墻以及網絡設備,而且終端設備殺毒也沒那么多毒可殺,但現在情況發生了變化,終端作用有所提升。上面提到檢測異常行為,希望通過收集盡可能多的行為數據,終端變成手機行為數據的地方。當有攻擊的時候可以最終拿下哪一端,拿下一臺PC或者服務器,在端里一旦發現自己被搞定,還有一定概率把對方踢出去。
如果在云上,做大數據異常分析,檢測到這臺機器中招,那有沒有能力下發一條指令,因為別人攻進來并不代表可以完全破譯軟件,有一段時間是并存,所以如果下發一個指令把它除掉,或者采取其他動作,那就有可能會起作用。
在終端檢測和響應這件事情得到了重新的重視,這是一個方向。
第三個方向,美國舉辦的網絡超級挑戰賽,CGC。它是程序的自動攻防,在隔離的環境里聯網,一個戰隊一臺超級計算機,把程序提交,光盤吸進去,然后讀,讀完上去。在封閉網絡中間比賽,要做到的是機器自動挖掘漏洞,機器自動對漏洞生成攻擊代碼,機器自動對系統加固,然后代打。
主辦方安排了很多攻擊,參加比賽的隊伍可以對打,最后誰得分最高誰就贏,這也是一個進步,這是向攻防自動化方面的研究。但這不是人工智能起作用,而是自動化,是脆弱性挖掘的自動化,攻擊代碼生成的自動化,攻擊的自動化,甚至評估都是自動化。如果安全全靠人,實際上又沒那么多人可用,我們應該想辦法讓機器盡量代替人,把事情做了。
對于網絡安全的“病癥”,譚醫生感慨:“安全總體來說,沒有一招制敵的東西。相比之前,防御者面臨更加困難的處境,大家都在絞盡腦汁想新的防御方法,但是目前為止,攻防還是處于不平衡的狀態。”
