第四届中国互联网安全大会(ISC 2016)于8月16-17日在北京国家会议中心举行,本届大会由国家网信办、工信部以及公安部指导,中国互联网协会、中国网络空间安全协会和360互联网安全中心共同主办。来自全球70多家网络安全相关机构和企业的百余位安全智库和专家参会,本届大会提倡的核心理念“协同联动,共建安全+命运共同体”。
《安全智库》作为一家定位于沉淀信息安全行业全新视角的知识库的安全媒体,受邀参加ISC2016大会,在大会期间有幸采访到了重量级嘉宾,奇虎360首席安全官——谭晓生。
谭晓生,奇虎360首席安全官,兼任首席技术官,ISC2016中国互联网安全大会执行主席。在互联网技术圈子中,早已流传着一个更显其本色的称号——“谭校长”。
谭校长在本届中国互联网安全精英峰会上一改往日学者风范,变身网络安全“老医生”,发表《我有病,你有药么?》的主题演讲,向过于强调漏洞挖掘而忽略防御保护的安全产业现状抛出一块巨石,可谓是一石激起千层浪。
其实,相比漏洞挖掘,检测更难做,漏洞挖掘就是在众多的系统缺陷中查找,而安全检测是在大量的正常行为中,捕捉异常,在此过程中,还要时刻关注操作者本身的行为突然变化。因此,检测需要掌握的知识,以及对抗的干扰要比漏洞挖掘多得多。
《安全智库》有幸对这位“新晋”网安“老医生”做了《检测技术路在何方》的采访,有着多年网安从业经验的他,对安全检测技术进行了鞭辟入里的分析。
谭医生首先对当前安全检测技术遇到的挑战进行了病理的分析。
第一,用行话讲“攻击面越来越大”。
现在物联网和“互联网+”,意味着过去不联互联网的设备已经联了互联网,过去企业不联互联网的内部系统现在也在联,导致别人的攻击点增多,攻击的系统增多,这是第一个挑战。
过去操作系统可以装360安全测试,装McAfee,装杀毒,现在手环怎么防护,摄象头怎么防护,或者是汽车怎么防护,根本没有额外地方装防护软件,新的问题就会冒出来。社会对互联网依赖越来越大,各类物品都在联网,防御形态必然变了。
第二,产业形态在发生变化。
原来windows时代,大家有清晰的分工,操作系统做操作系统,安全做安全,铁路警察一人守一段,分工合作。但是今天移动互联网时代,大家都拿一个手机,一般老百姓对安全的感知没有windows时代那么强。如果十年前用windows不装杀毒软件分分钟被木马搞定,浏览个网页木马就进去了,现在手机哪怕很长时间不装安全软件也不会中招,情况已经变了。手机是相对封闭的市场,安全门槛还是比较高。
提供APP Store的厂商为了吸引更多的用户,非常注重自己的商誉,就做了安全检查,木马就不那么容易碰到,不会随便上网就中木马。安全的确比原来好了很多,副作用是用户觉得安全没那么重要,觉得哪怕不装安全软件,或者装一个不知名的安全软件,过一段时间也没出事,安全效果差不多,但这很危险,防御有差别,一旦中招损失就会非常大。手机与网上银行关联,或者是隐私信息关联,造成的损失会很大。只是中招概率没有那么大,消费者意识也就没有那么强,在移动互联网时代,我们在安全防御上遇到很大的困境。其一是用户安全感知不明确,其二是手机制造商不提供安全软件管理权限。
第三,攻击手段花样翻新。
在全世界上,中国的黑产非常发达,已经形成了一种地下产业,一种可以挣钱的产业,无论是偷个人信息还是直接偷钱。数据显示,UBER在中国市场40%左右的推广费用被地下黑产用拽羊毛方法拽走,他们通过用“假的”手机模拟耍单拿补贴,40%的数据比例很高。我们有一个庞大的黑产,有经济利益刺激,他们愿意这么做,就会想出各种各样稀奇古怪的攻击方法。现在攻击比以前多,但防守方能力却没有比以前强,用户也并没有意识到要有一个好保镖,这些都会带来很大的问题。
以前安全技术以FW/IPS/AV等基于签名防御技术为主,但随着云计算与大数据,以及移动互联网等新的技术浪潮的到来,传统防御技术已经不再适应整个安全趋势的变化,其实大家都在尝试研发新的安全检测技术,那么安全检测技术未来出路在哪里?
神农尝百草,日遇七十二毒,得茶而解之。
谭医生笑谈,安全检测技术的“茶”,有的已经看到,有的仍在尝试。
第一,对于各种各样的攻击,当你没有办法第一时间进行有效拦截时,就要退而求其次。看看可以用什么样的方法能发现正在进行的攻击,而不是预警,预警是攻击没发生之前拉警报,而我们是在有人攻击的时候,怎么能知道别人正在攻击我,或者是被别人攻陷的时候,怎么能尽快知道被攻击了。是否被攻击5秒钟时就知道有人攻击我,或者是设备被攻陷,1分钟后有人把该设备下架。2014年有数据统计,系统被攻破,最大比例知道这件事是6个月以后,而处置需要2-7天,这是一般比较好的处置单位。
未来的防御思想变成怎么检测正在进行的攻击,怎么检测成功的攻击,以及加快自己响应的路子,这是思路。思路怎么实现?用大数据方法实现。通过收集网络数据,以及应用程序运行的行为数据,把这些数据收集,然后进行分析。比如说网络流量,一个人平时12点睡觉,怎么今天半夜3点还在忙,这个人平时都在北京,他过去也很少出国,怎么今天突然出现在纽约。
基于大数据行为异常的判定,这是大家觉察的方向。当然,这个方向虽然听起来很美好,但是实际做起来非常难。因为这个人真可能是突然别人送他一张美国旅行票,今天可能真有什么事半夜爬起来玩手机。其实异常混在用户正常使用中,如果拉报警拉多了,用户最后也就不信了。真正的攻击隐藏在一大堆正常的异常行为里面。这是产业界和学术界努力的方向。
第二,最近这些年很多人认为终端作用越来越小,不仅大家都有防火墙以及网络设备,而且终端设备杀毒也没那么多毒可杀,但现在情况发生了变化,终端作用有所提升。上面提到检测异常行为,希望通过收集尽可能多的行为数据,终端变成手机行为数据的地方。当有攻击的时候可以最终拿下哪一端,拿下一台PC或者服务器,在端里一旦发现自己被搞定,还有一定概率把对方踢出去。
如果在云上,做大数据异常分析,检测到这台机器中招,那有没有能力下发一条指令,因为别人攻进来并不代表可以完全破译软件,有一段时间是并存,所以如果下发一个指令把它除掉,或者采取其他动作,那就有可能会起作用。
在终端检测和响应这件事情得到了重新的重视,这是一个方向。
第三个方向,美国举办的网络超级挑战赛,CGC。它是程序的自动攻防,在隔离的环境里联网,一个战队一台超级计算机,把程序提交,光盘吸进去,然后读,读完上去。在封闭网络中间比赛,要做到的是机器自动挖掘漏洞,机器自动对漏洞生成攻击代码,机器自动对系统加固,然后代打。
主办方安排了很多攻击,参加比赛的队伍可以对打,最后谁得分最高谁就赢,这也是一个进步,这是向攻防自动化方面的研究。但这不是人工智能起作用,而是自动化,是脆弱性挖掘的自动化,攻击代码生成的自动化,攻击的自动化,甚至评估都是自动化。如果安全全靠人,实际上又没那么多人可用,我们应该想办法让机器尽量代替人,把事情做了。
对于网络安全的“病症”,谭医生感慨:“安全总体来说,没有一招制敌的东西。相比之前,防御者面临更加困难的处境,大家都在绞尽脑汁想新的防御方法,但是目前为止,攻防还是处于不平衡的状态。”