仇新梁

未來大數(shù)據(jù)應(yīng)用能否迅速地推廣，取決于安全。如果不安全，數(shù)據(jù)的開放程度會大打折扣，我們換了一種思路研究安全，現(xiàn)在把它拆分開，形成以數(shù)據(jù)為中心的解決方案。

第一，基于大數(shù)據(jù)的防御系統(tǒng)的研發(fā)；第二，針對二進(jìn)制惡意代碼的檢測；第三，機(jī)器學(xué)習(xí)的方法檢測入侵；第四，高級持續(xù)性威脅取證。目前，這是困擾我國的核心問題。

數(shù)據(jù)驅(qū)動邏輯就是這樣的，我們把安全分為兩部分：一個是傳感器，傳感器采集安全的基礎(chǔ)數(shù)據(jù)，通過數(shù)據(jù)處理和分析，通過建模獲取了我們所認(rèn)為的危險信息；另一個是安全分析的平臺。安全傳感器現(xiàn)在覆蓋到硬件，操作系統(tǒng)的軟件系統(tǒng)，還有網(wǎng)絡(luò)層和應(yīng)用層。在數(shù)據(jù)處理方面，有一個專門針對于安全系統(tǒng)的處理平臺，采用了機(jī)器學(xué)習(xí)等技術(shù)。跟傳統(tǒng)采用的分析方法不同的是，我們希望把攻擊整個鏈條表示出來，讓攻擊不再是專業(yè)的、看不懂的事情。

目前，我們對安全還存在一些誤區(qū)和不確定系統(tǒng)，在網(wǎng)絡(luò)層現(xiàn)在大部分無法感知到它的應(yīng)用是什么。網(wǎng)絡(luò)攻擊過程中涉及到從網(wǎng)絡(luò)層、應(yīng)用層到操作系統(tǒng)整個層次，這個過程有可能是由多種組成的，正常訪問也可能是入侵方法。我們要采用各個層次的數(shù)據(jù)進(jìn)行識別。

在安全領(lǐng)域，真正有效的方式還是解決入侵。一個惡意程序進(jìn)入到系統(tǒng)中并不可怕，可怕的是他拿惡意程序分享一些事情。

現(xiàn)在政府應(yīng)用各種各樣的數(shù)據(jù)，大家為了安全起見封閉在一個網(wǎng)絡(luò)里。物理隔離是基本國策，因此，美國想實(shí)現(xiàn)跨網(wǎng)攻擊，就運(yùn)用相應(yīng)配套的東西?？缇W(wǎng)攻擊不是天方夜譚的東西，美國針對跨網(wǎng)攻擊有一些計劃。

今天我們分享一個產(chǎn)品—EDR系統(tǒng)，它是終端產(chǎn)品。EDR系統(tǒng)采集數(shù)據(jù)于終端，依據(jù)大數(shù)據(jù)平臺內(nèi)嵌的機(jī)器學(xué)習(xí)模型，識別惡意行為，提供主動防御與響應(yīng)能力。

目前，端點(diǎn)安全沒有引起足夠的重視。第一個是因?yàn)橐庾R上的差距，現(xiàn)在國外有許多企業(yè)在做端點(diǎn)安全，包括思科也在這方面布局。端點(diǎn)安全從硬件解決開始，到系統(tǒng)環(huán)境、殺毒，再到動態(tài)數(shù)據(jù)的獲取，以及所有網(wǎng)絡(luò)數(shù)據(jù)的接獲是完整的鏈條。2013年，斯諾登有一個硬件安全檢測工具集，專門針對硬件植入的病毒。2015年，Hacknig Team植入一個代碼，提升了硬件植入的層級。我們做了一款專門針對硬件檢測的產(chǎn)品，它強(qiáng)調(diào)兼容性和覆蓋面，支持800多款主板支持，實(shí)現(xiàn)了二進(jìn)制檢測。

終端偵測與響應(yīng)系統(tǒng)，針對這個平臺處理數(shù)據(jù)和分析決策，還有做響應(yīng)。這套系統(tǒng)能敏感地感知危險。過去我們發(fā)現(xiàn)一個病毒植入以后，最常見的可能性是掃描別人，這個掃描動作看似簡單，但能把數(shù)據(jù)看透，不光看到自己的還能看到對方的。一旦感覺到危險，立即跟自己做比較，系統(tǒng)出現(xiàn)異常時，會比較環(huán)境的區(qū)別。

我們按照數(shù)據(jù)定義，在學(xué)習(xí)過程中看到系統(tǒng)中存在哪些人，什么樣的系統(tǒng)環(huán)境是安全的，這個都是傳統(tǒng)的安全定義出來的東西。在響應(yīng)部分更加有意思，響應(yīng)變成藝術(shù)，變得更豐富，能了解對手到底想獲取什么。這樣可以采用更加靈活的響應(yīng)模式。甚至把惡意模式遷移到某個地方，看他在做什么。

數(shù)據(jù)驅(qū)動安全跟傳統(tǒng)的安全檢測有所不同。拿病毒來說，傳統(tǒng)上是通過文件檢測，但病毒不敏感，只有知道程序是惡意的，才可能關(guān)閉它?，F(xiàn)在，我們結(jié)合實(shí)際應(yīng)用場景，實(shí)現(xiàn)了輕傳感器、重分析。因?yàn)橛脩糇罘锤械木褪窃谇岸酥凶鎏嗖僮鳎瑢?dǎo)致系統(tǒng)不可用。我們相當(dāng)于把數(shù)據(jù)指標(biāo)不斷地拖到數(shù)據(jù)中心，在數(shù)據(jù)中心進(jìn)行大規(guī)模地分析，這樣跟前端沒有必然的關(guān)系，可降低系統(tǒng)的開銷。

讓數(shù)據(jù)感知更加敏感。過去感知東西很簡單，現(xiàn)在我們感知東西更加敏感。黑客一不小心的一個操作，就能讓整個攻擊被發(fā)現(xiàn)。還有可以定義更加復(fù)雜的規(guī)則，大家聽了好多大數(shù)據(jù)云企業(yè)做的一些工作，未來能被我們借鑒使用，還有機(jī)器學(xué)習(xí)讓危險識別更加可靠。在安全領(lǐng)域里最頭疼的一件事，是你把策略放松了，攻擊就進(jìn)來了；縮緊了就無法用了，到處是誤警。

我們能讓攻擊的成本大幅度提高，不是說能100%防攻擊，但要攻破這套系統(tǒng)要花很大的代價。舉個案例，我們前段時間截獲的攻擊，有一個很頭疼的問題是木馬自動滲透。當(dāng)計算機(jī)開放共享，且共享目錄可寫時，他就在目錄箱中寫東西，數(shù)據(jù)就開始暴露了。我們開始檢測這個系統(tǒng)環(huán)境到底有沒有問題時，會發(fā)現(xiàn)有一些系統(tǒng)應(yīng)用程序被劫持了，動態(tài)發(fā)現(xiàn)有異常東西，有啟動項(xiàng)一一對應(yīng)，通過數(shù)據(jù)我們繼續(xù)挖掘。有一個功能—記錄執(zhí)行，我們把木馬本體找到了，發(fā)現(xiàn)它入侵程序，并且在特定時間內(nèi)進(jìn)行掃描。從未知的惡意代碼轉(zhuǎn)向已知惡意代碼，這是機(jī)器學(xué)習(xí)的一個簡單過程，是驅(qū)動學(xué)習(xí)的過程。

我們做一個閉環(huán)。從惡意代碼開始，通過數(shù)據(jù)發(fā)現(xiàn)他們近期的掃描動作，看哪些信息可能存在感染的可能性，了解更多的跟安全攻擊相關(guān)的資產(chǎn)。對資產(chǎn)的二次識別，我們能把它的攻擊定位到哪些計算機(jī)或者資產(chǎn)受到感染，這是數(shù)據(jù)驅(qū)動的過程。

我們是2015年成立的一家公司，經(jīng)過一年多的努力，把安全做了文本闡述，在攻擊方面，在一些領(lǐng)域已經(jīng)發(fā)揮了重大作用。在檢測和防御領(lǐng)域，我們已經(jīng)做到從終端到應(yīng)用、文件識別系統(tǒng)和自身數(shù)據(jù)驅(qū)動的一些組建。從我們傳感器所獲取的數(shù)據(jù)比傳統(tǒng)的傳感器質(zhì)量更加優(yōu)越。最重要的一點(diǎn)，我們擁有數(shù)據(jù)資產(chǎn)，讓更多做大數(shù)據(jù)分析的企業(yè)接觸到安全領(lǐng)域，將安全企業(yè)的質(zhì)量和數(shù)量大幅度的提高。

安全更多是源自責(zé)任。我們做安全時第一要了解安全的本質(zhì)；第二要做看得見的安全；第三要做有效的安全防御。（根據(jù)演講內(nèi)容整理，未經(jīng)本人審核）