上海,中国的经济、金融、贸易、航运中心,一直以变革、创新引领着中国企业的发展。在“互联网+”浪潮下,上海企业首当其冲,这座城市,一直用信息化手段推动着企业的高速发展。2016年10月28日,企业网D1net携手上海CIO联盟共同举办的CIO沙龙活动在上海盛大举行,来自各行业的CIO共聚一堂,共同探讨各行业在互联网+实践方面的信息化实践,涵盖大数据实践、互联网风控等领域。
以下为:思科安全技术顾问吴清伟在上海CIO沙龙的演讲,题目是:《数字化时代的企业安全防护探讨》
主持人:就在上周,美国当地时间10月21日,一域名解析服务商Dyn遭受DDoS攻击,导致了美国大部分网站无法访问。调研显示,美国等发达国家对网络安全的投入占信息投入的20%以上,而我国不足2%,在如此严峻的大背景下,企业如何做好安全?下面有请思科安全技术顾问吴清伟,他给我们带来的演讲是数字化时代的安全防护探讨,谢谢。
吴清伟:大家下午好,今天和大家探讨一下就是数字化时代里企业如何去面对,在网络安全领域里思科有哪些思路?
大家可能会注意到,在数字化转型过程中有两个要点信息,一个是物联网建设会出现一个高潮时代,美国这次事件跟这个还真有紧密的联系,第二个,数字化经济过程中很多企业转型,包括把一些业务从线下搬到线上,把传统的手工方式转成自动化的处理方式,那带来的结果呢?毫无疑问,效率提高了,业务开展的成本降低了,但同时模式发生改变之后,很多新的攻击入口出现了。
美国这次攻击事件,跟以往的大规模的DDos攻击不太一样,因为发起的攻击设备,不是传统的PC终端,而利用的是IOT设备,换句话说物联网设备,比如现在我们城市里看到的各种摄像头,甚至家用路由器,IP打印机等等,这些设备成为攻击的肉鸡,这次是一个比较特别的情况,所以我们先谈一下这个事件的诱因。看起来就是说物联网IOT,我们叫Internet of Things,大家都在欢欣鼓舞地建设,但是安全问题似乎没有太重视。这个事件也给我们很多物联网行业的从业者提出一个警钟:IOT的安全问题是非常重要的。除了这个事件,我还想跟大家分享,近一年多时间里一直在发酵的一个事件,叫加密勒索软件。
先简单说一下这个事件的过程。它是一个很特别的恶意代码,这种恶意代码通过电脑终端感染之后,会把你的电脑文件加密,等你发现的时候文件就打不开了,那么这个时候,它会做一个信息提醒的方式,让这个使用者去缴纳赎金,缴纳赎金之后你才能获得解密的工具,完成解密。特别有意思的是为了防止追踪,它采用了比特币支付的方式,因为比特币没办法去把源头追踪出来,但是国内很多用户没有比特币账号,所以很多电子商务平台,就出现代付比特币的情况。
提到这个事件,我其实最惊讶的一个情况是,在我接触的用户当中, 95%的企业用户,都遇到过这种加密勒索软件的情况。很多人要么就系统重装了,要么就付钱了。这是我非常惊讶的一个问题,因为这意味着什么?第一个,我们的企业的用户安全意识没有到位;第二个,我们很多安全防护的措施解决方案,其实没有真正发挥作用。两个安全事件看到的一个趋势就是攻击的门槛越来越简单了。以加密勒索软件为例,它的攻击方式是在一个邮件里加一个附件,附件可能是一个木马程序或者恶意代码,使用者不小心点击运行了,就有可能造成加密。
从2011年开始,思科开始每年发布一个安全报告。思科2016年的安全报告,它针对我们刚刚提到的事件做了一个很好的归纳,有三点:第一点,网络攻击者的攻击手段越来越灵活,以前没有听说过勒索软件,现在有了。第二点,防御者就是使用者,现在没有特别好的方式去防御,像勒索软件这个事情,90%以上的用户都中招了,可见现在防护手段还没有找到一个特别好的方式。最后,如何去防御。思科提出来就是最重要的一点是的安全架构的设计,安全架构的设计是网络安全设计里边的一个关键点。
另一方面安全意识需要加强,用户选择产品,也面临复杂的环境,这些都是客观存在的,很多CIO也有切身的体会,现在,我想把思科安全防御的一些思路跟大家做一个分享,当然也希望大家能也给我们一些反馈,主要有三点:
第一点,在做安全防御中,强调全面的可视化;第二点,把安全防御作为一个重点;第三点,强调架构式的防御手段。
提到可见性,现在把可见性提到很高的一个层面,不管是各种安全厂商还是用户,都要求产品能够提供可见性。可见性具体来讲,包括什么呢?我们现在保护的是网络,网络里边可以看得见摸得着的,无非是几样东西,一个是客户端,客户端包括人员、设备。另一方面是服务器端,这两端我们要看到。除此之外,服务器端到客户端之间,可能有各种各样的访问行为,各种各样的应用程序,这些东西我们希望也能够看到,这是网络可见性的第一个层面。第二个层面,要能够看到网络中在这些终端应用人员的背后隐藏的安全漏洞。这个是至关重要的,因为所有的安全问题,最后都会把它归结到系统中产生的漏洞,或者叫系统中存在的漏洞被利用,所有的系统不管是软件硬件都有漏洞,我相信大家一定会承认我的这个讲法。如果没有漏洞,我们前面看到的IOT的事件、加密勒索软件的事件完全不会发生。如果我们能够尽最大可能地把漏洞限制在最小范围内,很多安全事件就可以避免了。当然漏洞是客观存在的,我们能做的就是尽可能减少这个漏洞给我们带来的伤害,所以可视化里边重要的一个方面,就是我们要能够看到存在的漏洞有哪些?一个方面从网络的维度,比如我们有一些安全产品,这是它的一个设备的界面,可以看到网络中有哪些主机操作系统,windows设备或者苹果设备,甚至还可以看到网络中有哪些应用。大家可能关心有没有国内的应用,其实很多社交的工具,聊天工具,或者网上的交易等等都可以看得到,这是思科设备现在已经能够呈现的。比如说我遇到网络阻塞的话,我可以看看,这个应用到底被哪个带宽,被哪个应用占用了。再有,从安全角度讲,网络中的安全漏洞有哪些,以及这些漏洞有没有被攻击者所利用?这个是我们以往很难做到的,但是现在我们已经有了一些技术手段,有一些实践,带来的效果也是非常不错的。像有一些攻击的源头,攻击的目标,都可以自动化地呈现出来,它对攻击的识别是自动化的。
另外还有一种情况,除了攻击行为以外,可能有一些看不见的。举个例子来说,可能大家听说过震网病毒,这是若干年前某两个大国之间发起的,在公共系统的网络战。那么震网病毒的发生过程是什么呢?就是内网的一台终端被感染了,然后它做为跳板,再去攻击其他的终端,最后攻击到网络的离心机,导致离心机报废。而这个行为是通过网络边界渗透进来,在内网之间。
从一个跳板,然后跳到另一台机器,最后达到攻击的目的。有人说这个APT攻击,高级可持续性威胁类型的攻击。而这种攻击,往往用传统的方式没法发现,但是我们也有一些手段,比如说让网络像传感器一样去感应,有没有异常的行为出现,这也是网络可视化的一个方面。
谈完了可视化,我们来看第二个关键点,关注威胁防御。现在很多网络设备都部署在用户的环境当中,比如防火墙、入侵检测、行为管理。大家说,难道我的设备不是关注威胁吗?其实这个理解是这样的,我们认为威胁和现有的大多数网络设备相比,有一点区别。很多安全设备都放在那儿,但是它往往是一个静态的工作模式,换句话说,就是它设好了一个规则,等待别人来攻击,但实际上,攻击者肯定不会按照它的这个设想去对它进行攻击或者入侵。往往利用新的漏洞,比如说零日漏洞,零日漏洞一旦出现,现有的系统还没有一个针对性的防护策略,设备放在那就形同虚设了。
现在强调的专注威胁有一个重要内容,用孙子兵法来解释,就是知己知彼,我要知道别人攻击我,用什么方式攻击我,了解之后才能有效地去防御。
这里边有一个数据,前两天我们有一个100天和13小时两个两个数值。100天什么概念呢?就是根据这个权威机构一个调查显示,说一个用户,他遭受到一次网络攻击之后,那么他花多长时间能够发现被攻击了呢?平均时间100天。这100天好像太长了,我们现在可以通过一些解决方案,架构式的防御把它缩短到13小时。你发现得越早,可能你遇到的损失就越小了。
国外有一家机构叫NSS实验室,这是 2016年8月份的一个测试结果,拿出来跟大家做一个简单的分享。它并不是去检测有多少攻击被拦掉了、发现了,而是说一旦有攻击发生,系统花了多长时间去把这个攻击检测出来。这里边我们用一个红框表示几个重点数据跟大家做一个分享。
第一列就是说,在遇到一次攻击的时候,在一分钟之内,发现这个攻击的比例有多少,这是一个横向的厂商比测,思科做的好像也不是很高67,但是如果横向比较的话这个就是最高值了。这是一分钟,还可以看到3分钟5分钟等等。实际上这里边能够反映出来一个问题,就是整个行业现在对安全的关注已经开始往这个方向转变了。
前面提到一个热点,说我们现在做了很多安全设备,但是为什么不安全呢?其实现在看安全的一个趋势转变,就是说,大家这个对安全的比拼,已经从前端转到后端。所谓前端就是实实在在的设备,一个盒子放在那儿,防火墙设备、入侵检测设备、或者其他的终端安全设备,前端设备的差距越来越小,性能、端口、密度这些差距都不大,无非是一个硬件的成本问题,但是后端可能显得至关重要了。也就是说,原有的前端设备,它提供的是一个静态的防护。但是,后端可以通过一些智能安全服务来提供动态的防护,比如说遇到零日攻击的时候,后端像智能中心,可以通过大数据的分析、全球探针的采集,第一时间找到针对这种理论工具的解决方案。然后,动态地把这个策略给你的设备推送下去。这样就变成了一个前端后端的结合,这是我们看到一个趋势,所以后端的强大与否、有效与否,其实是决定网络安全防御的一个关键点,思科这样一个后端的防务,叫做安全智能中心,英文名字叫Tartarus。
Tartarus的名字有一个背后的故事:古希腊有一个神叫Tartarus,他每天的任务,就是保卫城墙的安全,说白了就是跑圈,用最原始的方法围着这个城墙绕圈,然后各个城门,不断的检查从不停息,那看看哪个地方有这种攻击者的存在,所以这个名字用在这里也算是恰如其份。
靠单一的产品去做加密勒索软件防御可能是不现实的,在这边希望能够给大家介绍架构式防御。在边界,可以通过防火墙的动态策略,到了应用层面,邮件里边带有勒索软件的附件,那能不能识别,能不能过滤?那到了内网之后怎么办呢?这个加密勒索软件很有意思,你的电脑被植入的时候还不可怕,因为他要加密的时候一定要连接到C2服务器上去,然后下载一个密钥,对你加密之后把密钥删掉,这时候你没有密钥了,解密也不可以了。回到前面说你的电脑被植入这个勒索软件了,没关系,只要阻断它跟C2的通信,加密勒索的行为也不会发生了。那这意味着说可以通过内网的异常行为监测,把终端的异常行为阻断掉。
我有一张图给大家看一下,就是如何通过架构式的部署来实现整体的安全防护。这个图里边包括两大块内容,一块是边界,一块是内部。内网的防护, NaaS和NaaE。我们谈安全的时候一定会说,有没有安全设备?其实我们忽略了一个重要的点:现有的网络设备,其实同样可以帮助我们去获得一个安全的防护,那就是NaaS要讲的事情。那NaaE是什么呢?我可以把网络设备作为检测威胁的一个手段,那检测的同时,我能不能再用它做一些防护,在不需要人工干预的情况下,自动的做一个防护。
我这边有一张动态的图,可以给大家做一个演示。NaaS很简单,所有的网络都离不开交换机、路由器、防火墙这些设备,可以把这些设备作为一个探针点,把看到的网络行为信息吐出来,之后通过分析平台,把异常信息找出来。从某种程度它还有一个好处,就是做合规。金融行业里边经常会遇到合规需求,合规需求包括两块:一块是,从内网到外网的访问,还有一块是内网到内网,业内讲法就是南北流量和东西流量。南北流量方案已经有很多了,但是东西流量还不太成熟,而我们通过网络设备作为传感器,可以解决合规的问题,这是NaaS的另一个效果。
NaaE让网络平台实现动态的防护。还是回到刚才那个例子,假如有一个终端用户,被注入一个木马,之后它可能在网络里面就开始做一些探测、扫描,而这些事情靠人工方式去干预很困难。因为很难去定位终端、IP地址,这种情况下NaaE可以去把这种行为定位出来。比如一个不合规机器,去访问一些不该访问的资源,发现之后怎么办呢?直接把它从一个正常访问的区域隔离出来,隔离到它没有权限去访问资源的区域;可能用户被挂了一个木马程序,或者一个加密勒索软件,但是他自己不知道,系统分析的时候就可以会找到并隔离起来。这就是NaaE,通过网络平台来实现动态的防御。它也是我们最近一两年内与用户沟通的时候发现的,对用户帮助非常大而且用户非常感兴趣的一个架构式的解决方案。
谢谢大家。
本文转自d1net(转载)