>>返回主页
知道创宇解决方案中心负责人 陈庆:百万级主动云防御的安全技术思考

2018-08-14 14:30

陈庆.jpg

  陈庆:大家下午好!我是来自知道创宇的陈庆,下面就由我来介绍一下我们在云防御方面的一些安全的实践。

  首先简单的介绍一下知道创宇这个公司,我们是腾讯独家投资的专业安全公司,目前在国内云SAAS防护方面是市场占有率第一。我们从信通院包括第三方机构拿到的一些统计数据,目前国内超过半数业务放在云端的企业已经达到了70%,其中43%是全部放在云上,另外27%以上是放了一半以上。可以说业务上云已经是国内企业包括政府各类业务的主流。在这个业务上云的背景下,实际上网络安全特别是云上安全的形势就会更加复杂化、多元化和新型化。在这个过程中,业务上云中间安全性成为了所有企业上云的一个关注的核心问题,现在主流的推动安全技术发展的核心也是在于像云安全、大数据以及主动防御这样的技术里面。在这样的推动下,目前绝大部分上云的企业还是认可云的安全的,企业认为云值得信任的比例是达到了74%

  在这样一个背景下,我们也可以看到,近年来在国际新时代的威胁上也呈现出了一些变化的趋势。这里面列举了几个典型的例子,首先是勒索病毒和数字加密货币的发展,众所周知在本月3日台积电就爆发了勒索病毒的安全事件,导致了台积电三个工厂生产停产34天,据初步统计台积电损失超过17.6亿人民币这样一个规模。实际上勒索病毒在今年来,它在一些漏洞以及后期的变种情况下肆虐的非常厉害,特别对我国的一些政府包括企业造成了非常大的隐患。

  另外一点,由数字加密货币这个行业所引发的一些网络安全的新问题,直接的问题包括一些像矿机木马等等,实际上它占用了我们企业的机器的资源、人的资源,实际上从事了后台的挖矿计算,消耗了大批算力。种种网络攻击情况下,我们知道创宇今年年初也发布过去年的云安全态势报告,我们也有一些统计瘦子,其中单月Web攻击次数突破20亿等等。在这样一个趋势下,我们也在我们的防护中间总结出了一些规律,大家众所周知的是WAF防火墙,我们可以看到实际上80%的普通攻击可以由很少的策略来防护住的。但是有20%的高级威胁,就需要很大的策略的量。但是剩下这160条策略,拖垮了WAF整体性能,而且这20%高级威胁很难抵御,如果采用传统的刚性的基于WAF策略的方式,很明显不太适应现在这种变化和动态的威胁环境。

  第二个,我们发现被黑数据中间高度同源,实际上只有0.09%的黑页就黑掉了我们现在88.6%的网站,占这样一个比例。在这样的情况下我们可以看到第一规则是有限的,但是攻击是是无穷的,而且我们采用WAF,它的性能又是有限的。第二点在海量攻击背后,实际上攻击源是相对固定的。

  所以我们通过攻击源的筛选,就可以筛选掉大量的攻击,而把一些筛选之后的攻击再通过后台的一些更高级的策略来进行这样的检测和防护。所以我们主动防御理念就是从一个被动的规则响应,变化到主动的攻击源的关注。如何做到主动的攻击源关注?首先我们提供了全平台的群体智慧,这个有点类似于现在的塔防游戏,当某一个单点网站被攻击的时候,我们全部防护的90多万家网站能够共同防护这样的攻击,在这个攻击过程中我们对所有数据进行了数据的捕获和后台的处理,包括自动的攻击识别、自动生成学习防御规则,以及全网的协同防护。在这样的基础上,我们可以做到一点被攻全网可防。

  另外我们通过超过90万家网络安全门户积累了大量攻击数据,在这个平台上我们至今为止发现过上千的0day,每天访问日志超过了100亿,每月防护的规模性Ddos攻击事件超过了1000起,这个过程中我们整理了全球42亿IP信息资产库,实际上收集了大量的海量的攻击数据,这个攻击数据可以说是国内Web攻击方面我们是最大的。这个基础上我们构建了国内市场上占有率第一的云防御平台,2017年知道创宇云防护的占有率超过了42%2017年互联网金融云防护使用率我们是超过了49%,达到了接近50%

      在这样的过程中,实际上我们不单是收集这样的攻击数据,我们会对攻击数据的IP,以IP为元素进行它各种源属性的扩展。在这个过程中,我们可以不断地来收集攻击源,至今为止我们收集了全球超过6000万个经常发动攻击的IP源头。在这个基础上,进行了后台的深度学习,利用的一些算法、AI、机器学习的能力,逐渐总结出了全球超过30万个常见的活跃的黑客的攻击源,包括他的黑客指纹、攻击分析、使用的工具等等多元素的画像,这样我们可以给攻击的源头进行级别或者多维度的级别定义。

  比如说8910级的黑客,当他来访问我们保护的网站的时候,我们就可以进行特别的关注。当他使用了一些比如说是乱码或者无法识别的数据的时候,我们就会对这些数据进行一个深度的分析结合人工。在这个过程中,就可以发现大量的黑客所使用的工具。

  除此之外,这个是大家都比较熟悉的威胁情报的金字塔。我们是从底层的恶意文件的Hash值,一直到高层攻击者画像和习惯,进行了全金字塔的提取,并且进行了总结。从文本特征、访问行为、业务行为、身份特征等等进行了不断的维度的攻击特征的提取。从此我们建立了对攻击者的深刻观察,也就是所谓全球一些攻击的数据,我们进行了自己内部的整理。除了对于攻击者的观察之外,比如说对于像我们可信云上的包括一些政府和一些国有企业的重点的攻击组织,我们也进行了攻击识别和一些定向的防护。对于他们的识别从目标、来源、攻击方式、攻击时间,以及这些组织攻击之后会在一些源头,一些地方进行披露,我们都是进行全方位的数据情报和监测,这是对于一些组织的攻击识别和定向防护。也因此到目前为止知道创宇云防护所保护的每一个Web系统百分之百的成功防护。

  在大量的数据过程中间,实际上这个是大家比较熟悉的一个动态攻击的展示,但是我们会对每一次攻击的整个攻击链的数据,也是进行有意识的捕获和提取。我们也在这个过程中进行了一些深度的分析,也发现了一些所谓的从上帝视角的一些持续性的威胁,这些威胁是超过了现在APP威胁攻击的力度。我们也跟国家的有关单位进行合作,持续的为国家有关单位进行一些国家安全的支持。

  那么在这样的大数据的基础上,实际上我们联合腾讯打造了国内最大的安全大数据库,这里面有一些安全数据实际上在刚才的介绍中已经有所介绍,就包括有腾讯的安全管家所覆盖的终端,以及相应的样本数据。包括国内最大的UIL的信誉数据,并且是精细分类的。第三个,我们有一个国内最好的网络空间的资产侦测引擎,我们进行了对全球42亿IP、国内3.3亿IP的持续性监控。除此之外,我们还积累了前面介绍的超过6000万的恶意IP的信誉数据,是这样一些数据规模。

  在我们云防护的基础上,我们也为一些企业提供了全方位的合作,比方说我们作为中信集团的重要战略合作伙伴,为中信云提供了全方位的云防护合作和战略的合作,成为了首批进入中信云的云安全厂商。另外一个,我们为五矿集团提供了从提醒、防护、情报到响应的全方位合作。第三个,我们为国家的某重要部委网站也提供了从APT攻击、攻击源定位、可视化展现等等的全方位安全防护。

  实际上我们的云防护并不只是简单的防护Ddos或者黑客入侵,我们从业务安全到应用安全,到一些征信的服务,为一个企业从初创期到成长期以及稳定发展期提供了一站式的云安全解决方案。对于大型企业以及政府、部委来说,我们针对这样的一些系统提供了覆盖云管端的基于态势感知的全方位的安全数据的体验,这个由于时间有限如果各位合作伙伴感兴趣,我们可以在底下再进行交流,可以来探讨进一步合作的可能性。总体上来说,我们最后再来展望一下我们未来的趋势,根据第三方媒体,我们实际上把11个具体的安全分类分为了三大类,基础技术安全、安全服务和应用安全。对于未来,新的需求推动了新时代的网络安全观,从技术层面上来说,未来像5G以及区块链等等这些技术,推动了万物互联场景下分布式安全实现。政策层面网络安全法规以及相应的体系推动了国产的自主可控。业务层面,海量构建在云上的业务,推动了多样化的业务落地。在这样的趋势下,我们认为未来的安全观有三个原则,第一,要用整体来取代现在传统的单点安全。第二,用数据感知来驱动我们的安全能力。第三,我们要摆脱现有的刚性的安全架构,来创造一个新型的柔性的安全架构。在这个基础上,我们在这些方向也在做很多新的技术能力的扩展、研发以及新产品的一些探讨,在有些方向上实际上也有很多新产品落地,除此之外包括有其他的一些威胁情报、跨界整合、数据方面的,我们也希望与业界的各位伙伴来一起进行合作,谢谢大家!

0
中国信息通信研究院