为什么做威胁情报?李秋石表示,是得益于之前包括从业务,到产品,再到项目,整个过程中发现情报对于风险控制流程的重要性。它在每一个决策、每一个识别过程中和分析的过程中,起到非常重要的作用。本次分享围绕威胁情报驱动的安全变革、中国网民与在线业务面对的安全威胁、无线安全案例分享三大部分展开。
威胁情报驱动的安全变革
李秋石对于安全的理解有自己独特的看法,在这部分他举了油罐车和外国航班手册两个例子,引出了中外对于安全的态度和重视程度。
油罐车。90年代的油罐车是解放牌绿色车,上面有安全两个字。但这样的做法只是寄托了大家对安全的看法,并没有告知应该采取哪些措施来保证它的安全。发展到现在,油罐车会标注是易爆品,出现问题应该用干粉还是泡沫来应对。这是非常可执行、可操作的方法,比之前的更直观、更实用。
外国航班安全手册。手册细化到非常细的细节,如在水上迫降的时,应急滑梯怎么和飞机脱钩,这在逃生环节是非常重要的。如事先就知道如何去脱钩,就能很快脱离即将沉没的飞机,这样就能保证拥有更多的生存时间。
如从信息安全角度出发,要如何操作才能保证我们数据不被泄漏呢?目前没有一个实在的方法方式能保证你的数据绝对不会泄漏,但还是有一套体系可以参考,这套体系有三步:
一:基础的防御措施,如要有墙,要有足够的工具,要有足够的侦测方法和手段。
二:威胁感知,在第一时间知道和发现威胁,发现有谁在搞你,怎么搞你,为什么搞你,从哪里搞你,谁做了什么,搞了哪些数据。
三:事后,数据即便被搞了,他也没法使用,你要用足够强壮的加密算法来保证你的数据安全。
李秋石表示,能做到综上三步很难,这套非常完整的体系,是要求每一个开发人员和每一个企业的人,在建造这个架构的过程中能够把安全在每一个节点进行控制。这个对我们中国企业挑战很大,因为我们在一开始肯定要先上线,然后再去完善它,这是中国互联网的发展现状。所以这个平衡永远是需要对资源要进行分配。
中国特色情报。所谓“中国特色”主要体现在:第一,其实古时候在《孙子兵法》里面就已经提出了“知己知彼”,我们今天把它叫做“知彼知己”,这是情报最有用而且流传最广的一个概念,其实在我们中国的历史文化当中就已经突出了它的重要性。第二,我们需要有自己的威胁情报处理能力,因为毕竟我们需要有自己自主可控的情报平台,来帮助我们中国的企业去及时的获取和及时的响应。李秋石表示,其实各家企业都在做大数据,数据量很大,但如何把它变成可执行的,这个就需要情报来支持。
中国网民与在线业务面对的安全威胁
如上图,原数据包括了IP、事实、访问时间点等,这些加起来都是原数据。经过情报的处理和分析,通过分析师、自动化和人工处理之后,它会变成情报。这些情报的获取难度和破解难度也是呈金字塔型的。第一层就是Hash Values,这些非常能够容易获取的,而且它变换起来也是非常容易的。逐层递增,到最高层就是TTPS。TTPS就是工具、技术和流程。也就是说攻击者用的是什么战术,用的什么技术和方法。这些东西你获取了之后,它的变换成本非常高。把这些黑客黑了之后,知道他的手段和方法,再去进行一个变换,成本也是非常高的。
检测和响应,是情报所带来的最核心的价值,这是对企业能力的体现。关于这部分,李秋石举了这样一个例子。一名女性车主遭遇跟踪,跟踪车辆驾驶员是蒙着口罩,戴着棒球帽,很奇怪。这名女性环绕朝阳大乐城一圈,这个车还在跟踪。之后她并没有报案,因为被跟踪有很多可能性,可能是马仔队,也可能是你朋友开玩笑,没有办法让警方介入处理。第二天,早高峰时段,在最拥堵的一个路段,女士集结好几辆车集体行动,把跟踪车辆撞停,直接送派出所。之后发现跟踪车上有裹尸袋、铲子、刀具、逃跑路线图,样样俱全。这个案例是一个成功的对可疑行为的溯源和弄清目的。清目后,警方定要上升到重案层面调查。这给同样在这个小区,或者是在年底开豪车的群体,是一个非常可靠的情报,那就是跟踪车辆的攻击手段和技术。
针对这个案例,如上如画的黑色的设备是被一个塑料袋缠着的,这个就是一个GPS定位设备,是绑在车底下面。换在互联网网络安全领域就是一个Wapshell,这个Wapshell已经在你的服务器驻留很久,但是可能没有办法第一时间发现,没有对汽车的检测手段。这个手段暴露出来之后,大家会有各种各样的方法避免这种事态的发生。
无线安全案例分享:XcodeGhost事件和戴尔eDellRoot证书事件
XcodeGhost事件
XcodeGhost事件。 微步在线刚成立不久针对非常流行的XcodeGhost事件做了一个溯源分析。是由我们的分析师,包括西雅图和北京的一起来合作,完成了这次分析溯源。
Virusbook
Virusbook。之后,衍生了我们第一个产品叫Virusbook,是为大家分析爱好者免费提供的一个工具,可以对无线的态势感知。也就是感知整个无线应用的使用情况和访问状态。
戴尔eDellRoot证书。李秋石表示,戴尔eDellRoot的私钥是可以被读取、被破解的。其有一个很简单的密码,用很简单的方法把KPI解掉。病毒开发者利用这些私钥已经签署了好几个,我们第一时间接获了两个木马,并把它做成了LC,去向各个订阅者发布。这就是情报的作用,发现事件时第一时间发现它所产生的攻击行为。所以做深入的分析和溯源的跟踪后,才能处理解决每一个威胁,这就是威胁情报溯源的作用。
Virubook的安全分析云
Virubook的安全分析云。在这个案例中,我们之所以能做到是因为有Virubook的安全分析云,它主要集成了国内外主要的反攻击分析引擎,包括了静态和动态的差强分析。李秋石表示,这个技术可能不算是最新和最流行的,但是它仍然是非常非常有效的。它的这些信息和线索对于情报,对有很有经验的情报分析师来讲是非常非常重要的。
沙箱跑出来的信息
Virubook的安全分析云还提供自动化的分析报告,对于多引擎,对于每一个文件和一个样本的分析报告,动态的分析结果,上图就是沙箱能够跑出来的信息和截图,以及它的有关的网络信息,和威胁有关的网络信息,这个对每一个分析师和分析爱好者来说是非常有用的。
最后,李秋石表示,情报落地一定要和业务关联,希望情报和真正的信息安全能够合业务安全进行关联和结合,形成一套体系。还有分析师是关键,在整个体系当中真正懂业务,懂情报,懂怎么来调用手头工具的分析师是难求的。在泛滥的大数据的海洋当中,如何准确精准的发现情报,也是后续应该持续看到和合作的点。
本文整理自【WOT2015”互联网+”时代大数据技术峰会】期间,微步在线 (Threatbook)合伙人李秋石主题为《中国特色的安全威胁情报》的演讲。
讲师简介:
微步在线 (Threatbook)合伙人,市场与业务发展负责任人。微步在线是中国首家安全威胁情报公司,创立于2015年6月。在此之前,李秋石曾任亚马逊中国信息部安全资深项目经理,负责亚马逊支付安全与跨境业务安全。加入亚马逊之前,李秋石曾任阿里巴巴集团安全部资深安全经理,负责安全生态体系建设和生物识别项目。李秋石在2007年加入支付宝风险管理部,并作为支付宝安全第一批成员在支付安全领域工作7年。负责支付宝安全产品策略,安全生态数据体系建设。建立了支付宝应急响应体系,并推动成立国内首个安全支付联盟。