12月12日消息 CVW2014產(chǎn)業(yè)互聯(lián)網(wǎng)大會(huì)今日在京召開(kāi)�。奇虎360副總裁石曉紅在下午的“網(wǎng)絡(luò)安全@互聯(lián)網(wǎng)”論壇上發(fā)表了題為《互聯(lián)網(wǎng)及數(shù)字商業(yè)時(shí)代的信息安全》的演講。石曉虹稱360曾做過(guò)統(tǒng)計(jì)����,抽查90萬(wàn)網(wǎng)站有60萬(wàn)存在漏洞。
以下為演講全文:
石曉虹:很高興有這個(gè)機(jī)會(huì)跟大家交流�。從Gartner的研討會(huì)開(kāi)始談起,這里提到數(shù)字時(shí)代會(huì)催生出新的商業(yè)模式����,各種各樣新的流程。這里他們列出15年十大趨勢(shì)�,大家可以看到現(xiàn)實(shí)世界和虛擬世界的結(jié)合,是排在第一位����,其中包括IOT,我們看到所謂的物聯(lián)網(wǎng)等等�。那么第10個(gè)是基于風(fēng)險(xiǎn)的安全和自我保護(hù),那么這個(gè)某種程度上展示了我們這種產(chǎn)業(yè)互聯(lián)網(wǎng)可能碰到的問(wèn)題�。總體來(lái)說(shuō)我們看到可以被攻擊的目標(biāo)�����,換句話說(shuō)只要連到互聯(lián)網(wǎng)上就可以被攻擊。個(gè)人電腦��、終端�����、服務(wù)器��、云服務(wù)平臺(tái)����、嵌入式設(shè)備�、物聯(lián)網(wǎng)等等,包括網(wǎng)絡(luò)設(shè)備���。之所以會(huì)被攻擊����,比如我們看到計(jì)算機(jī)體系結(jié)構(gòu)存在一些天然的缺陷�����,我的通訊協(xié)議也存在缺陷,包括企業(yè)內(nèi)部組織的管理制度����,最重要的是人。這種缺陷是不可避免的����,談到安全我們傳統(tǒng)的就是防病毒,這是普通老百姓或者廣大企業(yè)一個(gè)比較熟悉的概念���。
但是人類對(duì)病毒�����、木馬這樣的安全威脅����,我們以往的手段就是這些����,傳統(tǒng)的基于特征木馬的掃描,現(xiàn)在有基于云的查殺���,放在云端建立非常大的規(guī)格庫(kù)���。那么HIPS是主機(jī)入侵保護(hù)�,基于主機(jī)的一些行為你的電腦的一些行為�����,進(jìn)程的行為判定它是否是一個(gè)惡意程序�。還有沙箱��,用這種方式判定一個(gè)程序是否是惡意的��。我們看到攻擊越來(lái)越復(fù)雜�,攻擊的根源我們的系統(tǒng)。我們看到各種各樣的系統(tǒng)�,從操作系統(tǒng)、應(yīng)用包括移動(dòng)終端等等各個(gè)方面���,包括基礎(chǔ)網(wǎng)絡(luò)設(shè)施都存在漏洞��,這種漏洞不可避免�。而且可能存在一個(gè)令人悲觀的現(xiàn)實(shí)�����,如果你投資更多金錢(qián)去挖漏洞,漏洞可能越來(lái)越多����。比較嚴(yán)重的漏洞,今年以來(lái)爆發(fā)的漏洞�,大家比較了解。比如心臟出血���,這是大家廣泛采用的開(kāi)元軟件包含的漏洞��,我們企業(yè)或者互聯(lián)網(wǎng)化��,你的IT設(shè)施建在網(wǎng)上�����,要采用大量的系統(tǒng)��,它里面包含很多漏洞��,很難估計(jì)����。
那么再看中國(guó)的網(wǎng)站���,這是我們的統(tǒng)計(jì)��,這個(gè)數(shù)字比例差不多��,截止到去年這個(gè)時(shí)候�����,我們當(dāng)時(shí)檢測(cè)過(guò)���,抽查了90多萬(wàn)的中國(guó)網(wǎng)站,其中存在漏洞將近60萬(wàn)�,存在漏洞的比例非常高,有三分之二�。這是主要的漏洞類型,到現(xiàn)在我們看看智能硬件越來(lái)越普及���,各種各樣的智能家居設(shè)備�����,智能汽車(chē)包括車(chē)載里面的�����,基于OBD這樣的智能設(shè)備���。這樣的智能硬件只要連到物聯(lián)網(wǎng)上���,它就存在被攻擊可能性,這個(gè)已經(jīng)被證實(shí)了�����。今年的會(huì)上演示了黑客45分鐘可以破解���,還可以破解特斯拉的汽車(chē)��,包括對(duì)于奧迪�、寶馬的車(chē)鑰匙��,可以復(fù)制它的無(wú)線信號(hào)��。如果啟動(dòng)也能夠偽造��,車(chē)就可以開(kāi)走��。鑰匙在設(shè)計(jì)的過(guò)程中就沒(méi)有考慮,能不能檢測(cè)鑰匙真的在車(chē)的旁邊��,可能設(shè)計(jì)的缺陷導(dǎo)致這樣一個(gè)問(wèn)題��。
面對(duì)各種各樣的風(fēng)險(xiǎn)或者漏洞�����,我們傳統(tǒng)的安全怎么在一些邊界��,尤其對(duì)于我們企業(yè)來(lái)說(shuō)怎么在邊界堵住這些威脅的介入��,所以會(huì)有IPS這樣的防火墻的產(chǎn)品���。但是問(wèn)題在于���,互聯(lián)網(wǎng)時(shí)代它的本質(zhì)就是說(shuō)��,打破地域或者是邊界�。尤其是云計(jì)算出來(lái)之后,你的業(yè)務(wù)系統(tǒng)會(huì)搬到云上���,會(huì)和別的這些用戶的系統(tǒng)共存���,這種邊界就會(huì)模糊���。還有移動(dòng),移動(dòng)終端���,智能終端的應(yīng)用��。BYOD����,用工帶著自己的手機(jī)或者PAD��,或者很多企業(yè)員工帶著自己的PAD到客戶那里辦公���,移動(dòng)終端使得你的邊界進(jìn)一步模糊����。如果有很多智能硬件����、設(shè)備進(jìn)來(lái)了,現(xiàn)在互聯(lián)網(wǎng)越來(lái)越變成網(wǎng)絡(luò)化的空間�����。那么你應(yīng)該在什么地方加以防范?你會(huì)看到一個(gè)企業(yè)有網(wǎng)站��,你對(duì)內(nèi)有業(yè)務(wù)系統(tǒng)����,對(duì)外提供網(wǎng)站,網(wǎng)站是不是一個(gè)邊界�����?你企業(yè)建立內(nèi)部Wifi�,你企業(yè)內(nèi)部給員工辦公用的Wifi,現(xiàn)在建Wifi很容易�,360也推出非常便宜的隨身Wifi。剛才提到了BYOD�,自帶著設(shè)備,還有供應(yīng)鏈��。你的供應(yīng)商員工到企業(yè)內(nèi)部��,可能會(huì)帶來(lái)新的問(wèn)題����,包括剛才提到的路由器,那邊界到底在什么地方�?所以我們傳統(tǒng)的原來(lái)的安全,一些體系已經(jīng)開(kāi)始演化�。最開(kāi)始我們的思路就是,這種相應(yīng)+防護(hù)的安全體系����,那么我們發(fā)現(xiàn)我們先檢測(cè)有沒(méi)有危險(xiǎn),我們做出響應(yīng)�,希望通過(guò)響應(yīng)這種機(jī)制進(jìn)行保護(hù)。
后來(lái)我們進(jìn)到所謂的木桶里面�,我們企業(yè)就很多防護(hù)的點(diǎn),但是只要存在一個(gè)短版��,這些威脅就會(huì)進(jìn)來(lái)�。所以現(xiàn)在更多轉(zhuǎn)化到這樣的模式,怎么盡可能的構(gòu)造一個(gè)多層次的���,多級(jí)別的比較立體的防護(hù)體系�����。另外我們對(duì)于一個(gè)企業(yè)或者組織內(nèi)部的安全��,我們有幾個(gè)假設(shè)�。第一個(gè)就是你的系統(tǒng)一定有未發(fā)現(xiàn)的漏洞,這肯定是一個(gè)事實(shí)����。怎么去發(fā)現(xiàn)這些漏洞有沒(méi)有被人利用過(guò)?第二個(gè)���,這種已經(jīng)發(fā)現(xiàn)的漏洞��,你很可能沒(méi)有修補(bǔ)�����,怎么找出企業(yè)內(nèi)部所有的設(shè)備�,所有的軟件系統(tǒng)里面沒(méi)有修復(fù)的漏洞�。第三個(gè)你的企業(yè)內(nèi)部已經(jīng)被滲透,你還不知道��,還有就是你的員工也不可靠�����。我們?cè)诓惶煽康纳碁┥厦娼⒁粋€(gè)安全防護(hù)的體系�,確實(shí)困難。360也進(jìn)入這樣一個(gè)安全領(lǐng)域���,我們認(rèn)為有這樣一個(gè)模型從多個(gè)方面���,從終端到管道,也就是邊界����,我們要有多層次的防護(hù)體系。終端比較了解��,對(duì)于企業(yè)內(nèi)部所有PC終端�����、移動(dòng)終端如何防護(hù)����?如何統(tǒng)一管理?對(duì)于管道或者說(shuō)邊界���,我們盡可能在一起邊界的入口點(diǎn)���,怎么檢測(cè)你企業(yè)內(nèi)部所有的網(wǎng)絡(luò)通信的流量,等等����。有沒(méi)有這種威脅�?
那么在云端��,一方面你的企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)或者外部網(wǎng)站如何找到他們的漏洞�����,如何防護(hù)各種各樣的入侵和攻擊��。你對(duì)于目前的攻擊��,越來(lái)越復(fù)雜越來(lái)越隱蔽的情況下����,你可能需要不斷收集企業(yè)內(nèi)部的終端,網(wǎng)絡(luò)各種各樣的信息��,可能形成一個(gè)比較大的數(shù)據(jù)規(guī)模��,然后集中到你內(nèi)部云端�����,在體系內(nèi)建立一個(gè)威脅情報(bào)部的分析,這樣一個(gè)機(jī)制���,然后中間發(fā)現(xiàn)一些蛛絲馬跡�。這是從云+管+端這三個(gè)方面去做���,可能才能起到一定的效果。與這個(gè)配合360也有一定的產(chǎn)品包括我們的天晴�����,還有天機(jī)���,還有天眼�,我們基于大數(shù)據(jù)的分析發(fā)現(xiàn)是否有未知威脅�����,APT攻擊的產(chǎn)品����,針對(duì)云端我們有防護(hù)的產(chǎn)品。新的安全邊界到底在哪兒��?企業(yè)如果用到公有云服務(wù)�����,內(nèi)部可能還有私有云服務(wù)。你企業(yè)內(nèi)部的終端����,包括你的無(wú)線網(wǎng)絡(luò),很多地方這樣的邊界都要進(jìn)行考慮�,或者加以防護(hù)。
這里可以看到新的����,比如端有PC、網(wǎng)絡(luò)有交換機(jī)�、各種網(wǎng)絡(luò)設(shè)備,現(xiàn)在基于這樣一個(gè)安全威脅越來(lái)越復(fù)雜����,這樣一個(gè)背景我們?cè)趺醋鲆粋€(gè)更加智能的威脅發(fā)現(xiàn)?一般中文翻譯叫威脅情報(bào)����,試圖通過(guò)各種各樣信息發(fā)現(xiàn)誰(shuí)在攻擊你?你的企業(yè)有什么資產(chǎn)�?沿著什么樣的路徑攻擊?你內(nèi)部有價(jià)值的信息是不是已經(jīng)被偷走了?有沒(méi)有其他的關(guān)聯(lián)���?這個(gè)實(shí)際是需要依賴一個(gè)大數(shù)據(jù)的收集和分析能力���。也就是說(shuō)你可能需要采集企業(yè)內(nèi)部里面每臺(tái)終端,包括手機(jī)上面各種各樣的行為的數(shù)據(jù)�。你企業(yè)內(nèi)部所有的服務(wù)器、網(wǎng)絡(luò)設(shè)備以及這些節(jié)點(diǎn)之間的通訊����,以及跟外部通訊流量信息���,可以匯集在大數(shù)據(jù)上面��,對(duì)它進(jìn)行分析挖掘之后����,可能才會(huì)發(fā)現(xiàn)一些異常的通信或者異常的文件傳輸��,以及它的回溯過(guò)程�。除了分析基本技術(shù),你對(duì)安全方面對(duì)于攻防對(duì)于漏洞方面�,是你必須依賴的技術(shù)。
談到大數(shù)據(jù),有幾個(gè)不同點(diǎn)���,這個(gè)大數(shù)據(jù)時(shí)代里面也提到過(guò)����,比如說(shuō)不是隨機(jī)樣本��,而是盡可能采集全體的數(shù)據(jù)��。對(duì)于大數(shù)據(jù)來(lái)說(shuō)你收集的信息或者數(shù)據(jù)越全越好����,第二不是精準(zhǔn)性而是混雜性。你可能不能很精準(zhǔn)的找到一個(gè)原因���,你不知其所以然�,但是你找到一個(gè)關(guān)系�,包括因果關(guān)系、關(guān)聯(lián)關(guān)系����。未來(lái)我們很多企業(yè)我們可能需要這樣的威脅情報(bào)的分析服務(wù),包括你使用公有云����,遷移到公有云之后可能面臨的威脅����,包括企業(yè)或者政府���,大型企業(yè)在自己的私有云系統(tǒng)����,或者跟公有云混合的情況下�,怎么建立威脅報(bào)的服務(wù)中心,包括涉密單位��。這些單位在某些行業(yè)��,或者大的企業(yè)內(nèi)部�����,我們能不能建立一個(gè)基于大數(shù)據(jù)分析下的�����,各種平臺(tái)能夠通過(guò)這樣的分析發(fā)現(xiàn)威脅的情況���,這是一個(gè)典型的安全即服務(wù)的例子���。
這里有一些比較好的案例,但是可能不完全��,不是一個(gè)完整的威脅情報(bào)的分析��。它是其中一個(gè)部分��,比如說(shuō)我們有些國(guó)家的漏洞庫(kù)�����,民間像烏云和360我們有一個(gè)庫(kù)帶計(jì)劃��,幫助企業(yè)收集的系統(tǒng)有什么漏洞����,最近我們還做了一件事兒,我們?cè)趲?kù)帶計(jì)劃以外我們發(fā)布一個(gè)補(bǔ)天平臺(tái)�����,庫(kù)帶計(jì)劃是我們付錢(qián)給一些研究者花錢(qián)買(mǎi)他們手里的漏洞�����,現(xiàn)在我們希望聯(lián)合更多廠商,大家一起出錢(qián)給這些人更多的回饋�。能夠把這些針對(duì)自己的漏洞,能夠更好的更容易的收集到����,包括我們廠商能夠快速的修復(fù)漏洞。我們可以看到�,我們以前做了很多檢測(cè)的服務(wù),我們發(fā)現(xiàn)各種各樣的建站系統(tǒng)的漏洞���,但是往往他們修復(fù)的響應(yīng)速度比較慢��,我們希望通過(guò)這樣的方式���,有一些軟件的系統(tǒng)開(kāi)發(fā)商能夠意識(shí)到自己�,所謂的SRC這種概念,就是安全響應(yīng)中心���,能夠盡可能的發(fā)現(xiàn)你自己做的東西有哪些安全問(wèn)題�����,能夠快速的修復(fù)它�����。
談到這里�,安全問(wèn)題根源于你的缺陷,但是這種東西不可避免����,所以這里有一些實(shí)踐。比如說(shuō)微軟提倡的SDL�����,在企業(yè)做互聯(lián)網(wǎng)化或者IT化的過(guò)程中是必須考慮的��。還有��,就是針對(duì)未來(lái)智能硬件���,智能家居這種東西�����,那么我們很難在PC或者手機(jī)上面裝一個(gè)軟件��,保護(hù)它的安全性����。在智能硬件上面很難這么做,所以很大程度上依賴于這些軟件或者這些系統(tǒng)你自己開(kāi)發(fā)的過(guò)程中����,怎么提升自己的安全性?怎么實(shí)現(xiàn)自我保護(hù)來(lái)避免被入侵或者是破解的風(fēng)險(xiǎn)�。
