绿盟科技赵粮：要协同，不要堆砌——下一代安全的重构

　　第四届CSA云安全联盟高峰论坛于11月26日在北京新世纪日航酒店圆满召开!此次大会以“信·用·云”为主题，围绕云计算、云安全等方面的热点话题展开讨论，深入探讨国内外云安全的最新技术、解决方案和研究成果。以下是绿盟科技CSO赵粮发表主题为《要协同，不要堆砌——下一代安全的重构》的演讲。

　　赵粮：今天下午给大家带来的分享是前面一段时间我和我的同事们一些思考，跟云有关系，我先从一个前不久刚刚发生的安全事件来说起。大家看这个图，大家知道这图上面是谁吗?他是在黑客圈里面很有名气的人，今天是11月，在11月初有一个报道发生什么事情呢?这大名鼎鼎圈子里面的高手发现他两台电脑没有联网却还能不停的通讯，一系列的揭秘、知识分享啊，我前一段时间看到给贴了一条他确信有人通过USB入侵了他的电脑，并且开通过音频在不同的电脑之间还可以隐蔽的通讯来远程的控制它的互联网，在这之前有USB入侵，还有通过蓝牙耳机、手机的充电式入侵等等，我们发现这里面有越来越多的以前没有想到也没有敢去想的方法，这就给我们带来了很多的困难，就是我们怎么样去保护我们自己，怎么制止这些未知的入侵呢，那我们是怎么考虑这个问题呢，在网击空间中越来越多的攻击是以追求利益来作为目的，而我们防守同样也需要花钱，都是钱，你有足够的钱就要投入保护你的资产，你可以选最好的安全设备，雇佣最高级的安全专家。

　　假如说传统的反病毒和一般的攻击现在用免费的或者是花一些钱可以做到你防守，就是在WEB和网络入侵，我们会有一些边界还有比较安全的策略，这一般性的攻击呢已经被打入了，就是需要有很多被保护的资产，需要几台设备，这守防成本就升高了。那用户计算模式的变化会把这个打破，针对刚才这种未知的攻击现在可以看到应该是处于攻方优势的，攻击方面可以针对某一点进行攻击，而守防这一边层层设防，使这两边不对称，那我们需要变革一下我们的安全体系，提升我们的安全防护的效果，我们才有可能平衡，甚至还可以取得优势。

　　在这里面我们先看看当前会怎么做，我们怎么样来对抗目前这些危险，这是我画的一个图，我们有很多很多的安全设备，我想在座的各位应该都是这个行业的专家，闭上眼都知道我们有很多很多的安全手段，很多很多安全设备，我们有足够钱的时候就可以把他们一个一个部署在我们需要的地方，包括防病毒，防火墙，IPS，还有应用安全测试我们有很多，那它能解决问题吗?不一定，为什么呢?第一个他们很贵，你不可能在一个目标前把这些所有的手段都去部署上，第二个这些安全因素给你成本带来很大的投入，你要投入更多的资源和专家运维他们会带来很多的麻烦，还有怎么去协调他们，让他们很好在一个体系里面去工作。我发现你在现在这些安全设备里面堆积在一起并不能很好的解决问题，那梳理一下我们的思路我们发现在检测攻击方面，以前听说有两大类，以前的防火墙，以前的防病毒检测，新兴的沙箱等，我们知道这攻击的时候是用什么方法和工具，还有一部分是已知的位置，我们知道它一部分，但是不知道它的全部，假如我们知道有一个软件，但是不知道是从那里来，被加了什么壳，这路径不知道。还有我们作为人类，从来都没有想到过会出现那样的攻击方式，这是梳理完三类以后最现实的，就是放在检测已知的位置，而不去想未知的位置。怎么去检测这个已知的位置呢?这里面有一个小的推理，就是攻击者为了躲开刚才这九龙治水的布局，会不同的创造一些所谓加引号，就是已知的攻击，我们知道它一部分但是不知道全部，但是攻击者受限于成本，它就会复用，这就是给我们找到了已知的机会，我们通过已知的判测来了解未知的。

　　我们看到一个攻击者想攻击一个目标，就设计我的武器，我的武器可能是邮件，可能是某一个网站，也可能是U盘啊，还有一个是导航部分，就是我一定要通过某一个漏洞，这个漏洞有可能是已知的，有可能是未知的，有已经是已经修补过的，有的可能是没有修补过的，还有一个载荷，这一部分就可以看到有一些部分还是已知的比较多，比如说邮件可以把把关，U盘也可以采取一些措施，但是有一些漏洞是解决不了的，我们把这个图象再扩展一下，通常看到一个攻击啊从某一个远端的IP地址通过URL发送某一个文件，以某一个用户的名义拓展某一种方式对你进行攻击，在这个过程中可能已经知道某一个IP，但是知道这个地址并不足够去解决很多问题，你把他们全都过滤掉这个知识就消化了，我们现在可以通过已知的IP知道它发出来的文件，我们来分析这个文件，这个文件以前是未知的，但是通过分析以后发现这个文件是有被利用的，这利用以前是不知道的，我们从这个文件再用这个已知的文件去检查，我的系统里面都是哪个用户传递出来的，还可以继续找到它一些行为模式。这只不过是做了一些推理，有了这个以后呢我们就发现其实在这整个图象后面有一个至关重要的组件，这个组件叫信誉库，其实不去做精准准确的信誉库的技术定义，我们共同把它叫治理前的知识，就是对于恶意的软件你持续对它进行更新，比如说通过一个文件发现一个更新的IP，通过一个恶意IP发现了一个更新的文件，可以持续的更新，把它可以放到今天的云里面，这是我们发现原来那九龙治水这图象发生了变化，我们发现原来这九龙治水为什么不能很有效的工作呢，是因为他们每一个都是知道每一个片断和部分，如果有一个恶意的文件来利用通常是直接关闭掉，也不会有更多的处理，其实我们失去了一次机会，本来是有机会发现更多的，但是它拒绝这样我们直接阻断了很多很多的恶意打击，如果换一个思路就发现可以在这个体系下面使用我们刚才这一套模型或者是这个概念，可以步步的推导，这推导就是有一个持续提高的过程，这过程就是我今天给大家分享的题目是安全协同，构成一个闭环就是逐步从一点一点已知，逐步推导出其他的未知，把这个未知变成已知，增加你的知识库，这时候叫信誉库，你可以获得更加强大的能力。

　　讲到这里，我们似乎有了做这个事情更好的思路，是不是就够了，我们发现还不够，为什么呢?因为这个过程是一个静态的，而事实上你在空间的时候刚才已经讲了是有空间的分布性，不可能在一个保护目标里面使用这个这在时间上是一个动态的，你不可能在某一个时间点上很准确的服务到，后面还可以做两个小的推理。我们在过去几年里面安全产业界还是做了一些工作，我们觉得工作做的不是很好，但是还做了一些工作。对比5年前10年前，我们那时候有网络检测，还有内容检测，把恶意已知的软件攻击检测出来，通过相关的分析检测出来，现在我们拥有的是什么呢，把未知攻击的检测分为五层，是从网络层，终端层，实时取证等构成的，每一个对应是市场可见的若干个产品，我们拥有其实更多的武器，问题是怎么使用好这些武器。

　　如果检测到某一处或者是某一些攻击，我们以前采取什么样的响应手段呢，以前的手段是很单一的，可能就是隔离或者是丢弃，重装系统或者是下线掉线就没有了，现在用的是什么手段呢，我们现在可以拥有一个进一步的观察，有一个手段就是可以叠加更多的手段做进一步的诊断，还可以有更多的刚才看到其他被召唤进来的，似乎可以在效率和成本之间来取得一个平衡的机率和机会。

　　但是我们怎么融合在一起工作呢，我画了一个空间可以把它叫攻防空间，这还是一个非常粗浅的模型，横轴上是没有事，已经有过事的，万一有事，还有已经被搞定这几种状态，纵轴是一般性监视，深度监视，正在诊治中，还有处置状态，我们对于大部分的保护目标实际上可能会采取一个一般性的监视，这涉及到成本问题，这时候可以通过一个调用让它去进入一个更深入的就是再加入一层监测手段，我们进入一个深入的监视，其实在那里面已经是疑似的攻击了，对于其他网络行为会进行进一步的监视，有一种情况就是我们又发现了，实际上可能是真的被入侵了，这时候是有人肉计算，专家的推断，还有经过深度的专家守攻，同时把我们的信息库进一步的更新，有了这个图象似乎就可以在轻量级的保护，深入的保护，若干产品之间的响应和协同，是不是有了这样一个思路。这是我们看到的攻防空间的转换，未来会看到一个大的安全运维中心里面背后的攻防模型，数百个专家和数十台设备在一起去发现已知，通过已知发现未知，并且把他们分发到成千上万甚至是更多的设备上，让他们具备不断推导的能力，建立可持续的检测体系。

　　在这几个基础上前不久给大家分享了我们一个下一代安全的报告，在这个报告里面列举了七个下一代安全的关键特性，这关键特性里面包括最核心的闭环，也包括在这个安全运作方面的安全协同，这协同在最下面还有一个安全的云。举两个例子，我们看到云计算和企业这样在一个WEB的网络保护中，怎么协同云中的资源和云中的防护和企业界的防护让他们在刚才攻防的过程中去按照条件，按照需要，按照策略的去被投入到目标前面，这就是一种协同。那我们可以在不同的用户，不同的设备，不懂的租户，不同的云计算中心甚至是不同的行业发现一个恶意文件的时候可以形成响应的防护，反过来会形成一个逐渐逐渐持续更新的庞大的知识库，而这个知识库我们会把它放在云里面。

　　做一个总结，一个就是在高级持续威胁和已知攻击的上下文里面，威胁方相对于防护处于暂时成本优势区域，那消除这个优势的重要途径有三个，第一个要有非常强大的威胁感知，要知己知彼，在实时钓鱼防御手段进入战略区域，第二个要有协同能力，能够见招拆招，第三个是闭环的用已知知道未知，再有未知知道已知，要有更多的创新。还有云中的信誉库将成为网络对抗的关键，这个信息库就包括了机器的计算还有人肉计算，还有庞大的专家，这时候需要保护云也要有使用云。谢谢!

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。