譚雯:互聯(lián)網(wǎng)安全從IT到DT的轉(zhuǎn)變

互聯(lián)網(wǎng)IDC圈1月7日報(bào)道,1月5-7日,第十屆中國IDC產(chǎn)業(yè)年度大典(IDCC2015)在北京國家會議中心隆重召開。本次大會由中國信息通信研究院、云計(jì)算發(fā)展與政策論壇、數(shù)據(jù)中心聯(lián)盟指導(dǎo),中國IDC產(chǎn)業(yè)年度大典組委會主辦,互聯(lián)網(wǎng)IDC圈承辦,并受到諸多媒體的大力支持。

成都創(chuàng)新互聯(lián)主營武宣網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,重慶APP開發(fā),武宣h5成都小程序開發(fā)搭建,武宣網(wǎng)站營銷推廣歡迎武宣等地區(qū)企業(yè)咨詢

中國IDC產(chǎn)業(yè)年度大典作為國內(nèi)云計(jì)算和數(shù)據(jù)中心領(lǐng)域規(guī)模大、最具影響力的標(biāo)志性盛會,之前已成功舉辦過九屆,在本屆大會無論是規(guī)格還是規(guī)模都"更上一層樓",引來現(xiàn)場人員爆滿,影響力全面覆蓋數(shù)據(jù)中心、互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等多個領(lǐng)域。

數(shù)夢工場云安全專家譚雯出席IDCC2015大會并在大數(shù)據(jù)應(yīng)用與安全技術(shù)論壇發(fā)表主題為《互聯(lián)網(wǎng)安全從IT到DT的轉(zhuǎn)變》的精彩演講。

譚雯

數(shù)夢工場云安全專家 譚雯

以下為譚雯演講實(shí)錄:       

譚雯:大家好,我是數(shù)夢工場的譚雯,緊跟跟大家交流的是互聯(lián)網(wǎng)安全從IT到DT的轉(zhuǎn)變,最近這段時間一直在做安全產(chǎn)品的規(guī)劃。在規(guī)劃的這段時間里,我有一些不成熟的想法,今天的議題是我個人的觀點(diǎn),歡迎大家拍磚。大家都知道DT是一個數(shù)據(jù)技術(shù),習(xí)大大說我們做大數(shù)據(jù)是有道理的,我們現(xiàn)在已經(jīng)步入了數(shù)據(jù)時代,大數(shù)據(jù)潮流下網(wǎng)絡(luò)安全是不是能順應(yīng)時代與時俱進(jìn)??吹竭@些名詞其實(shí)沒什么感覺,至少我個人認(rèn)為這些名詞后面可能是血淋淋的案例,但是我跟客戶講膠片的時候客戶總說你們就像當(dāng)醫(yī)生,總是把病夸大,不然藥怎么賣。我很堅(jiān)持把這些無感的名詞列在這兒。

我曾經(jīng)遇到一個客戶,也是我的朋友,我把這些名詞列到他面前跟他講,心臟滴血漏洞,每一次攻擊會造成多少KB的數(shù)據(jù)泄露,什么事件出了什么事,他很淡定,覺得這個東西跟我有什么關(guān)系,但是當(dāng)我再打開這些網(wǎng)站的時候,社工庫,現(xiàn)在價格便宜量又足,百度搜一下哪兒哪兒都是。烏云,每天數(shù)十個高危漏洞在發(fā)布,很多企業(yè)都中招了,尤其前段時間某網(wǎng)站據(jù)說泄露了好幾億用戶,他們?yōu)檫@個事情下了很大的工夫去公關(guān),把這個事平了,我那個兄弟開始覺得這個挺危險的,但還是覺得他很僥幸,至少他維護(hù)的網(wǎng)站沒有泄露。最后我給他打開這個,是一個開行信息,這兄弟開始坐不住了。這說明網(wǎng)絡(luò)威脅就潛伏在我們的身邊,并不是跟我們沒關(guān)系。當(dāng)一段時間內(nèi)網(wǎng)絡(luò)安全事件頻頻發(fā)生的時候,在座的每一個人包括黑客自己,冰血作為一個社會人,當(dāng)這種網(wǎng)絡(luò)事件頻頻發(fā)生的時候,黑客也是個受害者。

現(xiàn)有的安全防御的不足遭受了很多的詬病,尤其是前段時間以互聯(lián)網(wǎng)公司和傳統(tǒng)安全廠商之間的爭議,有人說他們爭奪利益搶地盤,但我個人認(rèn)為其實(shí)不是,這是對待同一個事件的不同看法之間的差異。我們剛才看到冰血這么厲害的人作為黑客,作為防御者的我們感覺到壓力山大,他們的工具武器已經(jīng)變得很先進(jìn)了,可我們還是老三樣地在那里做安全防御,這就是觀點(diǎn)上的沖突。我是從傳統(tǒng)安全廠商出來的,規(guī)劃一個產(chǎn)品的時候更多的是從自己的角度去規(guī)劃,比如產(chǎn)品的功能、產(chǎn)品的競爭力,我用什么樣的能力去對標(biāo),我需要優(yōu)化多少性能或者接口數(shù)能把競爭對手屏蔽掉,這個無可厚非,畢竟是商業(yè),但是從用戶的角度去看,你是為了賣你的藥,作為醫(yī)生你以賣藥為目的,但我的痛誰知道。這樣的話問題就來了,現(xiàn)在出了BAT這樣的互聯(lián)網(wǎng)公司,他們也是作為安全產(chǎn)品的使用者,作為甲方,他們其實(shí)是受過很多安全之痛的人,像阿里遭受過400多G的DDOS流量攻擊,他們會認(rèn)為當(dāng)BAT這樣的互聯(lián)網(wǎng)公司有能力輸出自己的安全能力的時候,他就會認(rèn)為我甲方做的安全、我現(xiàn)在輸出的能力更有說服力,這是我認(rèn)為的不同立場上的觀點(diǎn)的沖突。

不管他們爭奪什么,最近這些年來入侵方式有什么不一樣,我們作為建設(shè)者、防御者該做哪些轉(zhuǎn)變。早些年的一些滲透以輕量化工具為主,能夠下注入、掃描的小工具,無非掃描一些網(wǎng)站的端口、域名、地址,攻擊目標(biāo)也是以網(wǎng)絡(luò)、設(shè)備和機(jī)器本身為主,以設(shè)備為主,做一些DDOS工具,篡改一下網(wǎng)頁,彰顯一下能力。現(xiàn)在不一樣了,現(xiàn)在有公開的分布式掃描系統(tǒng),不知道大家有沒有用過知道創(chuàng)宇的產(chǎn)品,有漏洞的版本零點(diǎn)幾秒就能列出來,這對黑客來說提供了利器,一把刀放在一個警察手里能保衛(wèi)安全,落到罪犯手里就是一把兇器。還有大量數(shù)據(jù)庫的泄露,以前攻擊者獲取用戶的信息是比較難的,途徑非常有限,現(xiàn)在大量泄露的數(shù)據(jù)庫和社工庫,他們要獲取用戶的數(shù)據(jù)就非常容易了?,F(xiàn)在他攻擊的方式開始從機(jī)器慢慢地轉(zhuǎn)換成對人員的攻擊,當(dāng)我們還在嘗試給黑客進(jìn)行畫像的時候,實(shí)際上黑客已經(jīng)拿到了你足夠多的信息給你進(jìn)行人性弱點(diǎn)的分析,能夠精準(zhǔn)地猜出你的個人密碼,但是我們的防御工具還是老三樣。嘴里說要安全聯(lián)動,但實(shí)際這些年來真正做到了嗎,底下都是在干一些貌合神離的事情,其實(shí)誰動了誰知道。對于日志的記錄很多也是維持在對于合規(guī)的滿足度的要求上設(shè)計(jì)的,使用的效果怎么樣,其實(shí)用戶不知道,用戶不投訴廠家也不關(guān)心,是這樣一個現(xiàn)狀。

可以說這樣老式的傳統(tǒng)的IT架構(gòu)下,它已經(jīng)到了非改不可的地步,我們應(yīng)該要有一個什么樣的防御體系呢?總的來說四點(diǎn),漏洞要提前發(fā)現(xiàn),攻擊要事先預(yù)測,攻擊發(fā)生的時候要能夠及時地阻斷,攻擊結(jié)束后能夠追根溯源。說得很好,但怎么樣能做到?這是我畫的一個簡單的框架,我認(rèn)為需要記錄一個全量的數(shù)據(jù),至少要包括流量數(shù)據(jù),比如流量大小、攻擊日志、Web日志等等,對于異常登陸要詳細(xì)到什么程度,詳細(xì)到登陸的時間、目標(biāo)的服務(wù)器、使用什么樣的用戶名、什么樣的密碼,這些全量的數(shù)據(jù)匯聚到一個安全中心,結(jié)合威脅情報(bào)中心進(jìn)行大數(shù)據(jù)的分析,這個威脅情報(bào)中心包含病毒庫、漏洞庫、同行業(yè)的事件庫、黑客庫、被泄露人員的信息庫,被泄露人員是高危的弱勢群體,很容易成為防御的短板。這些數(shù)據(jù)匯聚拉通后將解決信息孤島的問題,有了這些基礎(chǔ)就能展示以下這些安全能力,給黑客的畫像、攻擊的預(yù)測,做到對攻擊的預(yù)測、對攻擊的阻斷、對事后的溯源,反過來能指導(dǎo)防御的改進(jìn)。

剛才講了DT安全框架,里面有兩個關(guān)鍵點(diǎn),一個是大數(shù)據(jù)分析平臺,另外一個是全量的數(shù)據(jù)。常規(guī)的安全防御大多是基于一個規(guī)則和特征的匹配,單設(shè)備發(fā)現(xiàn)了攻擊發(fā)送到日志主機(jī),日志主機(jī)主要是做存儲展示審計(jì)的作用,這對已知威脅是有用的,但是對于未知的威脅,像比較復(fù)雜的APT攻擊他就沒辦法做到。怎么識別這樣的攻擊,這是整個問題的關(guān)鍵,要做到收集海量數(shù)據(jù)。一個有經(jīng)驗(yàn)的警察能夠很快地判斷出一個人是不是小偷,他能夠做出鬼鬼祟祟的定性判斷的詞語,這樣的詞語是根據(jù)規(guī)則和特征庫,類似于監(jiān)視器、檢測儀這樣的東西是檢測不出來的,必須要根據(jù)后面警察的經(jīng)驗(yàn),他的經(jīng)驗(yàn)實(shí)際就是一個數(shù)據(jù)分析。

舉個例子說,警察剛從警校出來就得到了一個已知的特征庫,他開始接道不同的案子,接到各種報(bào)案,他開始去分析,這就是一個分析的過程,他的經(jīng)驗(yàn)越來越多,他就有了一些預(yù)判的能力,他和其他的警察進(jìn)行交流實(shí)際是數(shù)據(jù)的共享和交換,最后他成為一個非常有經(jīng)驗(yàn)的老警察,他把他的經(jīng)驗(yàn)寫成教材輸出給新的警察在警校里使用,這樣他完成了數(shù)據(jù)安全能力的轉(zhuǎn)化,其實(shí)這就是大數(shù)據(jù)分析能力的轉(zhuǎn)化輸出。警察如果不這樣去自我更新的話,他就會抓不到賊,同樣一個安全人員,一個安全的防御體系,如果不具備自我完善的能力的話,他也是防不住黑客的。

低級安全能力的轉(zhuǎn)化基于對大數(shù)據(jù)的分析,可以輸出一個新的安全能力,能夠?qū)μ卣鲙旌托袨閹爝M(jìn)行總結(jié)。現(xiàn)在各個廠家都有自己的特征庫的維護(hù)團(tuán)隊(duì),他們維護(hù)的時候是作為產(chǎn)品的輔助銷售或者增值的業(yè)務(wù)在銷售,但實(shí)際上他們在整理特征庫的時候經(jīng)常會發(fā)生整理、收集、發(fā)布非常滯后,用戶沒有辦法得到及時的更新,這樣不僅是資源的浪費(fèi),對用戶來說是潛在的安全風(fēng)險。應(yīng)該把這樣的自我完善能力,這種轉(zhuǎn)換能力進(jìn)行常態(tài)化、標(biāo)準(zhǔn)化,這將重新定義DT的能力極限。

DT安全架構(gòu)下傳統(tǒng)的安全分析平臺已經(jīng)遇到了一個瓶頸,第一是數(shù)據(jù)越來越大,有多元化的數(shù)據(jù),有結(jié)構(gòu)化的非結(jié)構(gòu)化的,有日志有業(yè)務(wù)信息,甚至還有一些外部的情報(bào)信息,但是我們常規(guī)的安全設(shè)備沒辦法存儲這樣的海量數(shù)據(jù),它的計(jì)算能力也沒辦法具備大數(shù)據(jù)分析的計(jì)算能力。曾經(jīng)有一個搞運(yùn)維的朋友跟我說他以前做日志維護(hù)的時候,有80%的精力都在收集、整理和處理日志格式的工作,只有20%的精力考慮分析審計(jì)這些日志數(shù)據(jù)。以金融為例,常規(guī)的IT架構(gòu)下制成的銀行每分鐘的交易峰值在30萬筆,數(shù)據(jù)存儲在TB級,但是DT支撐下的金融每分鐘是270萬筆,而且它的數(shù)據(jù)存儲量是EB級。由此可以看出常規(guī)的安全是以設(shè)備為單位的能力極限,每一臺設(shè)備的計(jì)算和存儲能力都是非常有限的,根本沒法滿足這樣的大容量,DT下面的安全能力,它只能解決局部的條條塊塊的問題。

我們說DT安全需要進(jìn)行大數(shù)據(jù)的分析,這個大平臺里全量數(shù)據(jù)要進(jìn)行采集,泄露的人員數(shù)據(jù)庫要通過網(wǎng)絡(luò)爬蟲去采集,采集完了之后還要清洗,剔除重復(fù)數(shù)據(jù)冗余數(shù)據(jù),進(jìn)行語義一致的分析,加工、數(shù)據(jù)分析挖掘、算法選擇、模型選擇等等大數(shù)據(jù)的操作過程,這一系列的要求決定了DT安全的基本能力,那就是必須要具備云計(jì)算的能力和海量存儲的能力。DT的安全是以平臺為單位的架構(gòu),把成千上萬的云計(jì)算能力結(jié)合在一起,匯集起來的云計(jì)算,去解決貫穿全局的問題,用大數(shù)據(jù)技術(shù)去整合挖掘和分析。這樣的一個能力極限將會是DT安全最基本的能力要求。我一直認(rèn)為我們原來常規(guī)的安全其實(shí)是最基礎(chǔ)的保障,它就像圍墻、攝像頭、監(jiān)控器、門禁這樣的設(shè)備,沒有它是不行的,區(qū)域隔離、訪問控制和會話檢測這樣的老三樣是不能丟的,它是最基礎(chǔ)的,但是現(xiàn)在黑客實(shí)際上已經(jīng)升級了,升級成黃金圣斗士,但我們還在原地踏步。

有個客戶說你講的挺好,天花亂墜,要花多少錢,沒有錢怎么做。有個朋友曾經(jīng)抱怨過,如果我有10萬塊錢的預(yù)算,我不會把它花在搞安全上,肯定會投在生產(chǎn)發(fā)展上、產(chǎn)品研發(fā)上,他認(rèn)為這個東西還是不太重要的,因?yàn)樘ㄥX了。安全在很長時間里都要灌輸這種思想,一般不出問題,出了問題就很大,很多公司并沒有安全管理的能力。其實(shí)不用再買很多設(shè)備,云計(jì)算就是在解決資源和成本的問題,這樣的話我們又會遇到另外一個問題,客戶說我的安全數(shù)據(jù)交給云端我不相信你說的大數(shù)據(jù)云安全中心,這就提到DT安全另外的轉(zhuǎn)變,我們必須把一個個的孤島防御連接起來形成一個長城,事實(shí)也證明單打獨(dú)斗的結(jié)果就是被各個擊破。據(jù)我所知很多用戶沒有專門的安全人員,在沒有安全人員的情況下怎么辦,我們無法回歸到云計(jì)算的本質(zhì),云計(jì)算本質(zhì)是一種服務(wù)的模式,沒有必要住賓館的時候自己在門口裝個攝像頭,裝個門禁,雇個保安,這種事情可以交給第三方的人全權(quán)負(fù)責(zé)你的安全。實(shí)際上在AWS上也是這么做的,但傳統(tǒng)安全建設(shè)往往是賣防盜門的在給你解決你全家的安全問題,時不時地幫你檢查你家的墻壁、水管、窗戶、水電,你打電話他就過來,這樣是很沒有效率的模式。DT時代的安全運(yùn)維必將會融合傳統(tǒng)的IT架構(gòu),會出現(xiàn)一個新的角色,第三方的安全管家,這是我個人的觀點(diǎn),他將幫你代管你的安全運(yùn)維,為你的安全結(jié)果負(fù)責(zé),這將是比較有效的安全的解決方式,解決了性能的問題。

剛才講了DT安全下的架構(gòu)改變、能力的轉(zhuǎn)換和機(jī)械的升級、運(yùn)營方式的改變,實(shí)際還有很多,避暑標(biāo)準(zhǔn)和規(guī)范,我們現(xiàn)在正在做的大數(shù)據(jù)的標(biāo)準(zhǔn),大數(shù)據(jù)的國家標(biāo)準(zhǔn)在制定,大數(shù)據(jù)的安全,要保護(hù)大數(shù)據(jù)的交易交換合法化合規(guī)化,甚至銷售是也是需要改變的,比如威客安全,他們的口號是讓天下沒有難做的安全,其實(shí)這也是一種非常好的銷售模式的創(chuàng)新和改變。不知道在座有沒有賣安全產(chǎn)品的,做一個安全項(xiàng)目賣個安全產(chǎn)品真的挺難的,吃飯喝酒不算,要非常拼。希望在DT安全架構(gòu)下,銷售模式的改變能夠讓我們這些從業(yè)者身心越來越健康,做網(wǎng)絡(luò)安全的攻擊者和防御者永遠(yuǎn)是對抗對立的立場。黑客的工具越來越先進(jìn),他們的水平其實(shí)都很高,據(jù)我所知他們經(jīng)常通宵達(dá)旦地在那干活,在這里講DT安全的轉(zhuǎn)變無非是想引起大家的重視,人最痛苦的事情是比我們厲害的人比我們更勤奮,我們有什么理由拒絕這樣的變化,拒絕這樣的轉(zhuǎn)變?大家后面可以再探討,還有其他的轉(zhuǎn)變,IT到DT的變化,歡迎大家跟我一起探討,謝謝大家!

網(wǎng)站欄目:譚雯:互聯(lián)網(wǎng)安全從IT到DT的轉(zhuǎn)變
URL地址:http://muchs.cn/article22/chjsjc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供ChatGPT、網(wǎng)站營銷、網(wǎng)站設(shè)計(jì)用戶體驗(yàn)、軟件開發(fā)、網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

搜索引擎優(yōu)化