周鸿祎ISC提出安全“协同”方法论
360在自己的威胁情报系统,也结合了其他合作伙伴的威胁情报,引入国内的多家银行的业务专家参与,了解了攻击手法、攻击使用的恶意软件和攻击目标和流程,成功对这个事件进行了溯源,让我们客户避免了攻击和损失。 在这个故事中,由于没有银行间的威胁情报共享和安全企业的协同,一家银行的问题变成了多家银行共同的问题,其他银行也遭受了损失。 而另一方面,在事件排查过程中,因为协同将整个事件很清楚地进行了溯源。 这是一个没有企业间协同造成损失的故事,我再讲一个因为协同能够避免被攻击的故事。 在美国有一个抗DDoS的联盟服务叫UTRS,这是一个基于信任的基础网络攻击流量清洗协同联盟,联盟中目前有140多家全球知名的安全机构、运营商、互联网企业和大学等,360也是UTRS组织成员。组织中所有机构的网络路由器都配置了相应的规则,一旦哪家机构遭遇了DDoS攻击,该机构的路由器就会将被攻击的IP通过UTRS广播到UTRS组织中的每一家机构的路由器,实时协同动作,对攻击流量IP本地屏蔽,进行所谓近源清洗,从而减轻骨干网络以及被攻击目标的压力,这是对抗DDoS攻击的全球协同。 通过这两个故事,我们可以看到企业间的协同对于安全的重要性,这不仅指安全企业间的协同,还有安全企业与客户之间的协同,以及企业客户与企业客户之间的协同合作。 所以我们希望客户在遭受网络攻击时,不要羞于披露,应该及时分享出来,避免其他企业遭受类似的攻击;安全企业之间也应该打破门户之见,相互协同,共同提高网络安全防御能力和水平,因为,网络威胁面前没有幸存者。 360在国内拥有最大的百万级企业客户群,我们希望在客户与客户之间创造一种合作机制,建立一个基于威胁情报共享的协同体系,谁被攻击了,发现了攻击者用了什么样本,都应该共享出去,让其他客户马上响应和处置,不要让更多企业成为牺牲品。 网络安全不应有旁观者。 安全产品的数据和能力协同 讲了很多协同的故事,那到底协同能不能够在技术和产品层面落地呢?大家如果还记得,去年我讲的是看得见的安全,是用大数据方法解决安全问题,但实际数据是基础,有了数据产生了威胁情报,再加上安全专家和产品体系,才能实现一个完整的防御体系。 360公司已经和多个合作伙伴共同建立了一套完整的协同防御体系, 这是一个在威胁情报驱动下的预测、检测、响应、溯源一体化的安全协同防御体系。
举个例子: 某政府单位部署了具备协同联动能力的安全防御系统: 360威胁情报平台推送一组C&C(木马控制端)域名给新一代智慧防火墙、终端安全管理系统; 新一代智慧防火墙检测到有内网某计算机产生了对此域名的解析行为,通过告警日志通知NGSoC,同时进行了拦截 NGSoC通知安全运维人员介入排查,通过可视分析系统,从NG SOC中查找天擎终端检测与响应系统所收集的应用程序行为日志,检索疑似感染木马的计算机的进程行为信息,找到了恶意代码获取执行的进程链信息,经过分析发现了一种新型的免杀方法。 通过NG SOC分析平台所记录的各类网络连接及数据交换的元信息,回溯木马植入过程 发现威胁的Actor从原来邮件中直接包含EXE文件的方式转换为通过发送DOC文件利用Office漏洞来释放恶意代码,体现了对手攻击方式上的新变化。 通过天眼系统的连接可视化分析系统,确认受感染的终端是否与关键服务器存在可疑的连接和数据交换以评估入侵程度。 目前360在威胁情报和基于威胁情报的产品协同方面已经形成了成熟体系和方法,我们也希望将相关情报和能力与同行分享,其他安全厂商的设备将来也可以协同使用360的威胁情报。 360推出威胁情报共享工程 那作为全球最大的安全公司之一、中国最大的互联网安全公司,360是目前中国为数不多的有能力建立数据和威胁情报共享体系的公司。 为了更好的解决网络安全、国家安全问题,我们决定率先走一步,推出360威胁情报共享工程,陆续开放自己的数据和能力,今天首先开放的是360全球网络扫描实时监测系统,在这个系统中,可以实时了解全网恶意扫描源,然后对这些恶意扫描源封堵处置,降低系统被攻击的概念。 图:360全球网络扫描实时监测系统 10年前360开创了免费安全模式,不是为了抢市场,而是为了降低安全软件使用门槛,让整个互联网安全环境更好,极大地促进了中国互联网产业的发展。 正是在360免费安全理念的带动下,中国成为全世界第一的,全民享有免费安全和免费杀毒服务的互联网大国,也是世界上恶意软件感染率最低的国家。 微软2015年全球安全感知报告显示,恶意软件感染数量指标,中国连续第三年蝉联全球最低,全球指标为16.9,中国仅为2.6。 今天,我们在企业安全市场开放我们的有价值安全数据,是为了让安全产业基础更好,共同提升国家网络安全能力和水平。 只有协同,才能形成安全的洪荒之力。 (编辑:常州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |