李昊原

2017年6月27日，不少烏克蘭的企業(yè)感染了新的勒索病毒，攻擊源頭是烏克蘭知名的財(cái)務(wù)軟件M.E.Doc，黑客在源代碼中植入了切取數(shù)據(jù)的后門，隨著軟件更新，廣泛使用該軟件的企業(yè)紛紛中招。360企業(yè)安全集團(tuán)副總裁左英男說(shuō)，雖然源代碼安全檢測(cè)類產(chǎn)品可以檢測(cè)到這類缺陷，但類似這樣的軟件供應(yīng)鏈攻擊方式讓人防不勝防。

360企業(yè)安全集團(tuán)董事長(zhǎng)齊向東日前在貴陽(yáng)數(shù)博會(huì)網(wǎng)絡(luò)安全高端論壇演講中，將網(wǎng)絡(luò)攻擊的發(fā)展分為了三個(gè)階段，最初是“小球病毒”“救護(hù)車病毒”等，更像是惡作劇;“熊貓燒香”等以竊取隱私、錢財(cái)為目的的是第二次;從2015年開(kāi)始網(wǎng)絡(luò)攻擊的復(fù)雜性和多樣性提升，尤其是針對(duì)大中型企業(yè)和政府部門。有目標(biāo)、精確、持久隱藏的ATP攻擊（高級(jí)持續(xù)性威脅），攻擊入侵的路徑也并不局限于互聯(lián)網(wǎng)，還可通過(guò)移動(dòng)介質(zhì)、內(nèi)部網(wǎng)絡(luò)橫向傳播，并和社會(huì)工程學(xué)等手段相結(jié)合。

網(wǎng)絡(luò)攻擊的破壞性也在增大。據(jù)稱幾乎每個(gè)在線游戲在公測(cè)的一個(gè)月內(nèi)，都會(huì)受到攻擊，除了層出不窮的外掛與黑產(chǎn)，競(jìng)爭(zhēng)對(duì)手的攻擊也不在少數(shù)：電商、在線教育也是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，業(yè)務(wù)活動(dòng)時(shí)常收到DDoS攻擊（分布式拒絕服務(wù)攻擊，消耗對(duì)方的系統(tǒng)資源使之難以提供服務(wù)）的影響。網(wǎng)絡(luò)攻擊甚至被應(yīng)用于國(guó)際政治活動(dòng)，“震網(wǎng)”史無(wú)前例地破壞了伊朗的核研究設(shè)施，而希拉里“郵件門”則一舉扭轉(zhuǎn)了美國(guó)大選的走向。

唯快不破

齊向東說(shuō)，數(shù)據(jù)正成為企業(yè)核心的資產(chǎn)，數(shù)據(jù)安全也上升成為企業(yè)安全乃至國(guó)家安全的重要組成部分。即使如Facebook這樣的巨頭，面對(duì)數(shù)據(jù)泄露事件依舊焦頭爛額，而《網(wǎng)絡(luò)安全法》和今年5月實(shí)施的GDPR等法規(guī)，也讓數(shù)據(jù)安全的重要性從違規(guī)提升到違法，乃至巨額罰款的程度。在左英男看來(lái)，企業(yè)上馬云計(jì)算和大數(shù)據(jù)等項(xiàng)目，提升了業(yè)務(wù)效率和數(shù)據(jù)價(jià)值，但也帶來(lái)更高風(fēng)險(xiǎn)。今年4月，他的十幾名同事在某省的兒童醫(yī)院，花了三天三夜時(shí)間幫助醫(yī)院處理安全問(wèn)題。這家醫(yī)院的業(yè)務(wù)系統(tǒng)遭受了勒索病毒的大面積攻擊，病人的病例數(shù)據(jù)被加密，醫(yī)院不得不停止接待病人。正如科技進(jìn)步不可阻擋，網(wǎng)絡(luò)攻擊也正變得“無(wú)堅(jiān)不摧”。以前通過(guò)病毒庫(kù)進(jìn)行“黑名單”查殺就是有效的解決方法，后來(lái)指數(shù)級(jí)增長(zhǎng)的病毒讓安全技術(shù)開(kāi)始力不從心，而此時(shí)已經(jīng)防不勝防了。

360企業(yè)安全對(duì)此有四個(gè)假設(shè)。系統(tǒng)一定有未被發(fā)現(xiàn)的漏洞，在過(guò)去一年360就給微軟、蘋果、谷歌、Adobe、VMware等5家巨頭提交了519個(gè)漏洞：一定有已發(fā)現(xiàn)但仍未修補(bǔ)的漏洞，存在時(shí)間差;系統(tǒng)已經(jīng)被滲透;內(nèi)部人員不可靠，尤其是業(yè)務(wù)外包人員，更容易成為攻擊的目標(biāo)。

“網(wǎng)絡(luò)安全攻防是一個(gè)不對(duì)稱的戰(zhàn)場(chǎng)，防守方要多點(diǎn)全面防御，而攻擊者只要突破最薄弱的一點(diǎn)，稍不注意別人就能突破進(jìn)你的IT系統(tǒng)。”左英男介紹，一個(gè)組織的安全能力可以分為五個(gè)階段：架構(gòu)安全、被動(dòng)防御、主動(dòng)防御、威脅情報(bào)、進(jìn)攻反制，每一個(gè)階段的安全能力都在前者基礎(chǔ)上疊加演進(jìn)。當(dāng)人們普遍接受系統(tǒng)很可能會(huì)被滲透進(jìn)來(lái)的客觀現(xiàn)實(shí)之后，如何保護(hù)數(shù)據(jù)不泄露，成了新的問(wèn)題。

做英男安全的本質(zhì)是人與人的對(duì)抗，人是諸多安全問(wèn)題的根源，也是解決安全問(wèn)題的關(guān)鍵

“即使攻擊者進(jìn)了你的網(wǎng)絡(luò)或系統(tǒng)，在系統(tǒng)中找到你的關(guān)鍵數(shù)據(jù)資產(chǎn)也需要時(shí)間。如果我們能夠通過(guò)快速的檢測(cè)和響應(yīng)，在攻擊者偷走你的數(shù)據(jù)或造成破壞之前及時(shí)發(fā)現(xiàn)攻擊者，并迅速響應(yīng)處理，那么你的數(shù)據(jù)資產(chǎn)還是安全的?！比绻f(shuō)進(jìn)攻方打的是發(fā)現(xiàn)漏洞和企業(yè)修補(bǔ)漏洞的時(shí)間差，防御方則是打被滲透和對(duì)方竊取數(shù)據(jù)的時(shí)間差——攻防雙方的戰(zhàn)術(shù)恰如一句臺(tái)詞：天下武功，無(wú)堅(jiān)不摧，唯快不破。

快速檢測(cè)和快速響應(yīng)屬于主動(dòng)防御，在損失發(fā)生之前解決問(wèn)題。再進(jìn)一步，威脅情報(bào)可以幫助企業(yè)了解進(jìn)攻方，在情報(bào)有效及時(shí)的情況下，甚至可以通過(guò)合法的手段反制。

“大數(shù)據(jù)+”安全

主動(dòng)防御的重點(diǎn)在于威脅的持續(xù)檢測(cè)和應(yīng)急響應(yīng)，攻擊者無(wú)論如何隱藏自己，都會(huì)在網(wǎng)絡(luò)和系統(tǒng)中留下蛛絲馬跡，只是往往這些痕跡無(wú)法被傳統(tǒng)的基于特征的檢測(cè)技術(shù)識(shí)別為攻擊。2015年，360企業(yè)安全就提出了“數(shù)據(jù)驅(qū)動(dòng)安全”的理念，依托大數(shù)據(jù)技術(shù)獲取的長(zhǎng)期行為數(shù)據(jù)，建立行為基線，然后通過(guò)采用威脅情報(bào)、機(jī)器學(xué)習(xí)、人工智能的方法進(jìn)行行為分析，及時(shí)發(fā)現(xiàn)偏離行為基線的異常行為，實(shí)現(xiàn)快速的威脅檢測(cè)以方便安全分析和響應(yīng)人員及時(shí)采取措施。

而支撐上述主動(dòng)防御高效快速的重要基礎(chǔ)，是360積累10多年的安全大數(shù)據(jù)。目前360在全球有6億PC端和8億移動(dòng)端用戶，收集的惡意樣本總數(shù)超過(guò)150億、每天新增惡意樣本900萬(wàn)?！鞍褠阂鈽颖痉诺缴诚渲羞\(yùn)行，然后收集這些樣本的行為數(shù)據(jù)，比如調(diào)用了哪些函數(shù)、訪問(wèn)了哪些網(wǎng)絡(luò)、啟動(dòng)了哪些進(jìn)程、打開(kāi)了哪些文件等，在這些行為數(shù)據(jù)的基礎(chǔ)之上，在大數(shù)據(jù)平臺(tái)中利用機(jī)器學(xué)習(xí)算法，進(jìn)行威脅建模和關(guān)聯(lián)分析，然后或許你就會(huì)發(fā)現(xiàn)，幾萬(wàn)個(gè)惡意樣本來(lái)自同一個(gè)攻擊組織?！蓖{情報(bào)是提高高級(jí)威脅檢測(cè)效率，縮短檢測(cè)時(shí)間的利器，360利用安全大數(shù)據(jù)、機(jī)器學(xué)習(xí)和人工智能的行為分析技術(shù)生產(chǎn)的威脅情報(bào)，通過(guò)在線或離線方式推送到客戶側(cè)的產(chǎn)品、服務(wù)、平臺(tái)。

“大數(shù)據(jù)+”的安全能力，不僅可以檢測(cè)威脅，還可以對(duì)威脅進(jìn)行溯源。企業(yè)的數(shù)據(jù)能力可分為高中低三個(gè)檔位，低位數(shù)據(jù)能力建立在架構(gòu)安全和被動(dòng)防御的基礎(chǔ)上，核心是數(shù)據(jù)的采集能力，企業(yè)將終端、網(wǎng)絡(luò)安全設(shè)備、系統(tǒng)和應(yīng)用等的數(shù)據(jù)進(jìn)行充分的采集，這是構(gòu)建“大數(shù)據(jù)+”安全能力的基礎(chǔ)。中位數(shù)據(jù)能力屬于主動(dòng)防御的范疇，企業(yè)需要建設(shè)基于大數(shù)據(jù)的安全運(yùn)營(yíng)平臺(tái)，這個(gè)平臺(tái)起到了“大腦”的作用，對(duì)采集的數(shù)據(jù)進(jìn)行建模分析和檢測(cè)，并指揮被動(dòng)防御階段建立的安全設(shè)備協(xié)同聯(lián)動(dòng)，完成響應(yīng)處置的動(dòng)作。高位的數(shù)據(jù)能力，即360企業(yè)安全基于安全大數(shù)據(jù)構(gòu)建的威脅情報(bào)，可以提供給企業(yè)用于檢測(cè)分析。

在企業(yè)建立完整的大數(shù)據(jù)安全運(yùn)營(yíng)體系，首先要判斷企業(yè)所處的安全能力階段，然后根據(jù)現(xiàn)有的安全投資狀況，補(bǔ)足低位的數(shù)據(jù)采集能力后，才能逐步建設(shè)中高位的數(shù)據(jù)能力。左英男重申了“人是安全的尺度”，安全的本質(zhì)是人與人的對(duì)抗，人是諸多安全問(wèn)題的根源，也是解決安全問(wèn)題的關(guān)鍵?！拔覀儙椭髽I(yè)有效地解決安全問(wèn)題，完整地構(gòu)建安全能力，核心是幫他們把安全隊(duì)伍給帶起來(lái)?！痹谇捌?60的安全服務(wù)人員會(huì)入駐企業(yè)并協(xié)助企業(yè)提升安全運(yùn)營(yíng)人員的能力，只有讓客戶的安全運(yùn)營(yíng)團(tuán)隊(duì)掌握安全運(yùn)營(yíng)體系的檢測(cè)、分析和響應(yīng)能力，大數(shù)據(jù)安全能力才能在企業(yè)真正落地。