12月12日消息 CVW2014產(chǎn)業(yè)互聯(lián)網(wǎng)大會今日在京召開����。奇虎360副總裁石曉紅在下午的“網(wǎng)絡(luò)安全@互聯(lián)網(wǎng)”論壇上發(fā)表了題為《互聯(lián)網(wǎng)及數(shù)字商業(yè)時代的信息安全》的演講。石曉虹稱360曾做過統(tǒng)計��,抽查90萬網(wǎng)站有60萬存在漏洞�。
以下為演講全文:
石曉虹:很高興有這個機會跟大家交流�。從Gartner的研討會開始談起,這里提到數(shù)字時代會催生出新的商業(yè)模式�����,各種各樣新的流程����。這里他們列出15年十大趨勢����,大家可以看到現(xiàn)實世界和虛擬世界的結(jié)合�,是排在第一位,其中包括IOT�����,我們看到所謂的物聯(lián)網(wǎng)等等�����。那么第10個是基于風(fēng)險的安全和自我保護��,那么這個某種程度上展示了我們這種產(chǎn)業(yè)互聯(lián)網(wǎng)可能碰到的問題�?����?傮w來說我們看到可以被攻擊的目標(biāo)�,換句話說只要連到互聯(lián)網(wǎng)上就可以被攻擊。個人電腦���、終端����、服務(wù)器、云服務(wù)平臺�、嵌入式設(shè)備���、物聯(lián)網(wǎng)等等����,包括網(wǎng)絡(luò)設(shè)備�。之所以會被攻擊�,比如我們看到計算機體系結(jié)構(gòu)存在一些天然的缺陷,我的通訊協(xié)議也存在缺陷�,包括企業(yè)內(nèi)部組織的管理制度,最重要的是人����。這種缺陷是不可避免的�����,談到安全我們傳統(tǒng)的就是防病毒,這是普通老百姓或者廣大企業(yè)一個比較熟悉的概念�����。
但是人類對病毒����、木馬這樣的安全威脅,我們以往的手段就是這些�����,傳統(tǒng)的基于特征木馬的掃描���,現(xiàn)在有基于云的查殺,放在云端建立非常大的規(guī)格庫��。那么HIPS是主機入侵保護��,基于主機的一些行為你的電腦的一些行為���,進程的行為判定它是否是一個惡意程序。還有沙箱�,用這種方式判定一個程序是否是惡意的。我們看到攻擊越來越復(fù)雜,攻擊的根源我們的系統(tǒng)���。我們看到各種各樣的系統(tǒng)���,從操作系統(tǒng)、應(yīng)用包括移動終端等等各個方面���,包括基礎(chǔ)網(wǎng)絡(luò)設(shè)施都存在漏洞����,這種漏洞不可避免���。而且可能存在一個令人悲觀的現(xiàn)實,如果你投資更多金錢去挖漏洞���,漏洞可能越來越多。比較嚴重的漏洞����,今年以來爆發(fā)的漏洞,大家比較了解���。比如心臟出血����,這是大家廣泛采用的開元軟件包含的漏洞,我們企業(yè)或者互聯(lián)網(wǎng)化�����,你的IT設(shè)施建在網(wǎng)上�,要采用大量的系統(tǒng)����,它里面包含很多漏洞,很難估計����。
那么再看中國的網(wǎng)站,這是我們的統(tǒng)計��,這個數(shù)字比例差不多���,截止到去年這個時候���,我們當(dāng)時檢測過�,抽查了90多萬的中國網(wǎng)站���,其中存在漏洞將近60萬���,存在漏洞的比例非常高�,有三分之二。這是主要的漏洞類型�,到現(xiàn)在我們看看智能硬件越來越普及,各種各樣的智能家居設(shè)備�,智能汽車包括車載里面的,基于OBD這樣的智能設(shè)備��。這樣的智能硬件只要連到物聯(lián)網(wǎng)上�,它就存在被攻擊可能性,這個已經(jīng)被證實了����。今年的會上演示了黑客45分鐘可以破解,還可以破解特斯拉的汽車���,包括對于奧迪����、寶馬的車鑰匙��,可以復(fù)制它的無線信號�。如果啟動也能夠偽造���,車就可以開走���。鑰匙在設(shè)計的過程中就沒有考慮,能不能檢測鑰匙真的在車的旁邊����,可能設(shè)計的缺陷導(dǎo)致這樣一個問題。
面對各種各樣的風(fēng)險或者漏洞�����,我們傳統(tǒng)的安全怎么在一些邊界���,尤其對于我們企業(yè)來說怎么在邊界堵住這些威脅的介入,所以會有IPS這樣的防火墻的產(chǎn)品��。但是問題在于����,互聯(lián)網(wǎng)時代它的本質(zhì)就是說�,打破地域或者是邊界����。尤其是云計算出來之后,你的業(yè)務(wù)系統(tǒng)會搬到云上����,會和別的這些用戶的系統(tǒng)共存,這種邊界就會模糊�����。還有移動�,移動終端���,智能終端的應(yīng)用��。BYOD�,用工帶著自己的手機或者PAD���,或者很多企業(yè)員工帶著自己的PAD到客戶那里辦公���,移動終端使得你的邊界進一步模糊���。如果有很多智能硬件����、設(shè)備進來了���,現(xiàn)在互聯(lián)網(wǎng)越來越變成網(wǎng)絡(luò)化的空間��。那么你應(yīng)該在什么地方加以防范?你會看到一個企業(yè)有網(wǎng)站����,你對內(nèi)有業(yè)務(wù)系統(tǒng),對外提供網(wǎng)站����,網(wǎng)站是不是一個邊界?你企業(yè)建立內(nèi)部Wifi��,你企業(yè)內(nèi)部給員工辦公用的Wifi���,現(xiàn)在建Wifi很容易����,360也推出非常便宜的隨身Wifi。剛才提到了BYOD���,自帶著設(shè)備,還有供應(yīng)鏈��。你的供應(yīng)商員工到企業(yè)內(nèi)部�,可能會帶來新的問題,包括剛才提到的路由器���,那邊界到底在什么地方����?所以我們傳統(tǒng)的原來的安全���,一些體系已經(jīng)開始演化���。最開始我們的思路就是,這種相應(yīng)+防護的安全體系,那么我們發(fā)現(xiàn)我們先檢測有沒有危險��,我們做出響應(yīng)�����,希望通過響應(yīng)這種機制進行保護。
后來我們進到所謂的木桶里面����,我們企業(yè)就很多防護的點,但是只要存在一個短版�,這些威脅就會進來。所以現(xiàn)在更多轉(zhuǎn)化到這樣的模式����,怎么盡可能的構(gòu)造一個多層次的,多級別的比較立體的防護體系�����。另外我們對于一個企業(yè)或者組織內(nèi)部的安全�,我們有幾個假設(shè)。第一個就是你的系統(tǒng)一定有未發(fā)現(xiàn)的漏洞����,這肯定是一個事實。怎么去發(fā)現(xiàn)這些漏洞有沒有被人利用過����?第二個,這種已經(jīng)發(fā)現(xiàn)的漏洞����,你很可能沒有修補,怎么找出企業(yè)內(nèi)部所有的設(shè)備����,所有的軟件系統(tǒng)里面沒有修復(fù)的漏洞。第三個你的企業(yè)內(nèi)部已經(jīng)被滲透�,你還不知道,還有就是你的員工也不可靠�。我們在不太可靠的沙灘上面建立一個安全防護的體系,確實困難��。360也進入這樣一個安全領(lǐng)域����,我們認為有這樣一個模型從多個方面�,從終端到管道����,也就是邊界�,我們要有多層次的防護體系。終端比較了解�,對于企業(yè)內(nèi)部所有PC終端、移動終端如何防護����?如何統(tǒng)一管理���?對于管道或者說邊界�,我們盡可能在一起邊界的入口點����,怎么檢測你企業(yè)內(nèi)部所有的網(wǎng)絡(luò)通信的流量����,等等。有沒有這種威脅�����?
那么在云端,一方面你的企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)或者外部網(wǎng)站如何找到他們的漏洞�����,如何防護各種各樣的入侵和攻擊����。你對于目前的攻擊,越來越復(fù)雜越來越隱蔽的情況下����,你可能需要不斷收集企業(yè)內(nèi)部的終端,網(wǎng)絡(luò)各種各樣的信息�����,可能形成一個比較大的數(shù)據(jù)規(guī)模��,然后集中到你內(nèi)部云端�����,在體系內(nèi)建立一個威脅情報部的分析����,這樣一個機制,然后中間發(fā)現(xiàn)一些蛛絲馬跡����。這是從云+管+端這三個方面去做,可能才能起到一定的效果�。與這個配合360也有一定的產(chǎn)品包括我們的天晴����,還有天機,還有天眼���,我們基于大數(shù)據(jù)的分析發(fā)現(xiàn)是否有未知威脅�,APT攻擊的產(chǎn)品���,針對云端我們有防護的產(chǎn)品。新的安全邊界到底在哪兒��?企業(yè)如果用到公有云服務(wù)��,內(nèi)部可能還有私有云服務(wù)�。你企業(yè)內(nèi)部的終端��,包括你的無線網(wǎng)絡(luò),很多地方這樣的邊界都要進行考慮���,或者加以防護�。
這里可以看到新的�,比如端有PC、網(wǎng)絡(luò)有交換機���、各種網(wǎng)絡(luò)設(shè)備���,現(xiàn)在基于這樣一個安全威脅越來越復(fù)雜,這樣一個背景我們怎么做一個更加智能的威脅發(fā)現(xiàn)����?一般中文翻譯叫威脅情報�,試圖通過各種各樣信息發(fā)現(xiàn)誰在攻擊你?你的企業(yè)有什么資產(chǎn)���?沿著什么樣的路徑攻擊����?你內(nèi)部有價值的信息是不是已經(jīng)被偷走了��?有沒有其他的關(guān)聯(lián)?這個實際是需要依賴一個大數(shù)據(jù)的收集和分析能力����。也就是說你可能需要采集企業(yè)內(nèi)部里面每臺終端,包括手機上面各種各樣的行為的數(shù)據(jù)����。你企業(yè)內(nèi)部所有的服務(wù)器、網(wǎng)絡(luò)設(shè)備以及這些節(jié)點之間的通訊����,以及跟外部通訊流量信息�����,可以匯集在大數(shù)據(jù)上面����,對它進行分析挖掘之后�,可能才會發(fā)現(xiàn)一些異常的通信或者異常的文件傳輸,以及它的回溯過程���。除了分析基本技術(shù)����,你對安全方面對于攻防對于漏洞方面,是你必須依賴的技術(shù)�。
談到大數(shù)據(jù),有幾個不同點�,這個大數(shù)據(jù)時代里面也提到過,比如說不是隨機樣本��,而是盡可能采集全體的數(shù)據(jù)�。對于大數(shù)據(jù)來說你收集的信息或者數(shù)據(jù)越全越好��,第二不是精準性而是混雜性����。你可能不能很精準的找到一個原因,你不知其所以然���,但是你找到一個關(guān)系��,包括因果關(guān)系���、關(guān)聯(lián)關(guān)系。未來我們很多企業(yè)我們可能需要這樣的威脅情報的分析服務(wù)��,包括你使用公有云,遷移到公有云之后可能面臨的威脅��,包括企業(yè)或者政府����,大型企業(yè)在自己的私有云系統(tǒng)�����,或者跟公有云混合的情況下�,怎么建立威脅報的服務(wù)中心,包括涉密單位�。這些單位在某些行業(yè),或者大的企業(yè)內(nèi)部�����,我們能不能建立一個基于大數(shù)據(jù)分析下的�,各種平臺能夠通過這樣的分析發(fā)現(xiàn)威脅的情況,這是一個典型的安全即服務(wù)的例子�。
這里有一些比較好的案例,但是可能不完全�,不是一個完整的威脅情報的分析����。它是其中一個部分�,比如說我們有些國家的漏洞庫�����,民間像烏云和360我們有一個庫帶計劃����,幫助企業(yè)收集的系統(tǒng)有什么漏洞����,最近我們還做了一件事兒,我們在庫帶計劃以外我們發(fā)布一個補天平臺����,庫帶計劃是我們付錢給一些研究者花錢買他們手里的漏洞,現(xiàn)在我們希望聯(lián)合更多廠商�����,大家一起出錢給這些人更多的回饋�。能夠把這些針對自己的漏洞,能夠更好的更容易的收集到,包括我們廠商能夠快速的修復(fù)漏洞���。我們可以看到,我們以前做了很多檢測的服務(wù)���,我們發(fā)現(xiàn)各種各樣的建站系統(tǒng)的漏洞����,但是往往他們修復(fù)的響應(yīng)速度比較慢�,我們希望通過這樣的方式,有一些軟件的系統(tǒng)開發(fā)商能夠意識到自己�,所謂的SRC這種概念,就是安全響應(yīng)中心���,能夠盡可能的發(fā)現(xiàn)你自己做的東西有哪些安全問題,能夠快速的修復(fù)它�。
談到這里,安全問題根源于你的缺陷�����,但是這種東西不可避免����,所以這里有一些實踐�����。比如說微軟提倡的SDL,在企業(yè)做互聯(lián)網(wǎng)化或者IT化的過程中是必須考慮的���。還有,就是針對未來智能硬件�,智能家居這種東西,那么我們很難在PC或者手機上面裝一個軟件���,保護它的安全性����。在智能硬件上面很難這么做��,所以很大程度上依賴于這些軟件或者這些系統(tǒng)你自己開發(fā)的過程中����,怎么提升自己的安全性?怎么實現(xiàn)自我保護來避免被入侵或者是破解的風(fēng)險����。
