360譚曉生:ISC2014企業安全論壇談安全邊界

9/25/2014來源:安全在線人氣:1958

日前,ISC2014中國互聯網大會在國家會議中心召開,云計算和大數據是本次大會的主要議題,360作為主辦方一直致力于網絡安全方面的研究,正如360CEO周鴻祎在開幕式所講,在未來的IOT時代,對企業的安全威脅更加嚴重。昨日下午,360副總裁譚曉生在企業安全分論壇分享了他關于企業安全的觀點。

從事網絡安全的人往往要從入口談企業安全,譚曉生關于企業安全的演講圍繞著兩個關鍵字:一個是Threat Intelligence,一個是重塑安全邊界。他認為,在Christian Christiansen的報告中不止一次的提到了Threat Intelligence,賽門鐵克的報告里把它翻譯成互聯網疫情,把它當做了互聯網領域流行的病毒。在今天這個范圍內,我們面對的不僅是病毒木馬,還有各種形式的網絡供給,比如ATP攻擊。我對Threat Intelligence進行了重新翻譯,我把它叫做威脅情報。其實我對自己的翻譯并不滿意。

  Threat Intelligence

  安全口會強調背景,你遭到攻擊了,首先要搞清楚這個攻擊的背景是什么,這個背景里有什么呢?就是誰在攻擊你,為什么攻擊你,什么時候攻擊的,怎么攻擊的,攻擊成功了沒有,你損失了什么東西,有沒有關聯攻擊。除了你現在發現的攻擊之外,他有沒有攻擊別人。把這些東西搞清楚了,基本上你至少知道別人在怎么搞你了,你現在到底被搞到了什么樣子。如果這些東西都不知道,說明你對威脅的評估還遠遠不夠,你只看到了冰山浮在水面上的一部分,還有十分之九是在水面之下的。

  從這個角度來講,如果你變成了別人的攻擊目標,Threat Intelligence對防御來說就是非常重要的。它對用戶的價值,就不用多說了,如果你不知道攻擊,一切無從談起,你怎么發現自己是被攻擊。還有你怎么對攻擊進行有效分析,拿到足夠的資料才能分析這個攻擊是怎么回事。要做到快速響應,拿到這些信息才能做出準確的響應。以及從別人過去的響應以及他們響應的效果,可以幫助你得到有效反應的方案。

關于企業網絡安全的邊界

  提到網絡安全邊界時,譚曉生認為:“今天,這個邊界的概念已經有了非常大的變化。我在8月份去硅谷,有一個創業公司跟我說他們做了一個東西,我當時聽到以后覺得很奇怪,我問他這個軟件定義邊界是怎么回事。后來講起來,我覺得很有道理。我們看到應用軟件一級,應用軟件在進行通信的時候有明確的特征。除了傳統的個人防火墻和應用防火墻之外,應用層面完全可以有自己的定義。管在操作系統里,這個應用程序和什么地方可以產生什么樣的通訊,用多少關口可以發什么樣的指令,有一張白名單,已經將防衛的邊界拉到了應用的級別。”

 回過頭來看今天的企業網絡。第一,我們可能會有網站,這個網站是設在IDC的。這就是一個攻擊界面,通過攻擊我的網站,我的網站可能跟企業內網有所連接,他們馬上就可以進來。哪怕是單向連接,管理員在維護這個網站的時候,我給你掛馬,同樣可以進入內網。

  現在的企業蓋有多少沒有wifi?它破解起來很容易。我們現在給一些客戶做滲透測試,半天時間就可以搞定wifi。wifi給企業帶來了辦公的方便,但給企業安全管理帶來了巨大的挑戰。現在有多少企業可以允許員工用手機收郵件、處理工作流,用pad辦公?現在航空公司的空服人員都已經開始用個人的pad。當你拿到pad在咖啡廳里收郵件的時候,企業的網絡邊界就延伸到了這個咖啡廳,你甚至不知道這個咖啡廳的wifi是不是可靠的。在北京,我曾經問很多人,如果你去星巴克咖啡,你看到一個AP,你會不會連接?所有人告訴我他們都會連。Google今年收購了Next。企業里面有多少智能設備?你的攝像頭是不是無線網絡連接的?將來還有各種各樣的智能設備,它們會不會變成可以被攻破的目標。還有蘋果新發的iWatch,這一切都使企業的邊界變得交錯和模糊了。

  面對這種多樣化的企業邊界,過去基于邊界的安全防護產品還能起作用嗎?在你能夠控制的邊界上,它還有用,但已經大大的削弱,我們怎么辦?

  云服務帶給企業便利的同時模糊了邊界

  網絡安全的邊界被云服務拓展到更大的范圍,譚曉生關于目前安全行業面臨的挑戰有以下幾個疑問:“傳統的有線網絡的邊界依然是要做的。現在,隨著私有云和公有云的組合,你租了一個公有云的服務,公有云在哪里?在某個數據中心。你知不知道你租的這臺虛擬機在某臺實體機上?它還放了誰家的服務?他們家的網站被別人入侵以后可能會造成旁路攻擊,會攻擊這臺實體機上其他的虛擬機,這個時候傳統的防御是無效的。”

在這個防御上,基于云的安全防御也變了,你的邊界可能跟你的鄰居是共享的。即使沒有用公有云,我用了私有云,兩個業務之間是怎么隔離的?云給你帶來的好處是在進行資源調度的時候,你甚至不知道它在哪里,這些都是新的挑戰。

  誠如譚曉生所言,我們今天的觀念,新的安全邊界延展到端上。二是傳統的網絡邊界,包括出口的路由器、核心交換機、各種網絡安全設備等等。還有云計算的技術架構本身,這個邊界防御思想也要推到云計算的架構內部,在它的防御思想上加入邊界防御的思維。

  私有云是企業在未來防御攻擊的最有效方式

  邊界的概念已經超出過去傳統的邊界。二是這個邊界要和Threat Intelligence這個智能的信息搜集和分析系統融合起來。最后Threat Intelligence靠的是人。對于情報的分析,最終是靠人的分析,安全最終是一種服務。

  在中國,有能力做這種分析的人有多少?我跟業內聊過,我們一致認為在中國能干這件事的只有幾千個人。我們面對的要防御的企業有多少?不說中小企業,恐怕也要幾十萬的量級。我們認為這個問題的解決出路就是進行信息共享,不僅是情報信息的共享,還包括背后的人力資源的共享。最有效的方法是什么?現在就是云。對于企業的信息安全保密的問題怎么解決?那就是建私有云,建可信范圍之內的私有云。就像吳亞非主任講的,國家信息中心本身就建政府內網、政府外網,可以在部委的體系建一個私有云中心。有一組人,在幾十個部委里面共享這些信息。浪潮在國企做的應用系統很多,有沒有能力建立一個私有云,這個體系中的若干家單位是互相信任的,認為是一個體系的,共享這些支持,這可能會有效的防御攻擊。



河南22选5官方网