2017中国国际大数据产业博览会于5月25日-28日在贵阳市举行,本届数博会聚焦大数据的探索与应用,展示了大数据最新的技术创新与成就。在2017数博会“大数据网络应用安全技术高峰论坛”上,来自北京天空卫士网络安全技术有限公司CEO刘霖就目前信息安全防护中存在的问题,分享了他关于信息安全看法。
北京天空卫士网络安全技术有限公司CEO 刘霖
以下为演讲全文:
各位来宾,各位朋友,大家好!非常荣幸能够在这儿与诸位前辈和专家交流和分享看法。
威瑞森发布了2017数据泄露调查报告,2017年的数据泄露报告是一份“10周年报”,统计结果主要基于威瑞森公司在过去十年里从65家不同的组织获得的泄露数据。这份最新报告总共分析了42068个安全事件以及来自84个国家的1935个漏洞。该报告指出,住宿餐饮业POS数据泄露肆虐。这些数据泄露大多是机会性的,受经济利益驱动,通常涉及恶意软件和黑客威胁团伙的活动。侵入耗时很短,而发现耗时和控制耗时往往长达数月之久。
最突出的攻击方法之一,是Web应用攻击,这也是金融保险业、信息行业和零售业里最常见。“在利用昂贵的零日漏洞和复杂的APT进行攻击之前,攻击者总是会优先找寻企业IT基础设施中的薄弱环节。 “今天,大部分大型企业和政府,都可以通过攻击他们的Web和移动(后端)应用,轻易入侵。”
这种攻击方法随着第三方云服务及云应用的普及而不断增长,黑客利用这些云服务和应用侵入可信第三方,然后获得公司企业数据的访问权。DBIR与谷歌的研究结果相同,均认为2016年网站黑客活动增加了32%,
而应用安全成为了企业首要问题,应被当做高优先级事务加以解决。
在调查的几万个安全事件中,内部威胁占25%,75%是外部攻击导致。在外部攻击中,51%的网络攻击涉及到有组织有计划的犯罪集团。18%的外部攻击涉及国家背景。
在勒索软件方面,和去年的报告数据相比,勒索攻击次数上升了50%。勒索软件本身也变得越来越高级,报告中表示:我们不断发现勒索软件的新品种以及新攻击特性,许多不再是感染之后立即加密数据,而是潜伏在系统中,瞄准高价值的数据。
此外,报告还交代了这些情况:66%的恶意软件是通过钓鱼邮件传播的;73%的数据泄露事件的动机是出于经济目的,也就是为了钱;21%的数据泄露涉及到内鬼或者网络间谍,网络间谍活动已经成为一种普遍存在的威胁。
传统的网络防御是偏端口,而今天的防御不能只有一堵围墙,需有更多的精准技术。传统安全技术大多数不能智能感知内容,不能防止APT攻击带来的数据泄,也不能防范内部人员有意无意的数据泄露,因为这些技术绝大多数是由外到内进行防御,不能防御由内部产生的问题。一般来说,不论是从攻防的角度,还是从管理的角度,都会认为DLP(数据防泄露)技术是APT攻击最后的一道防线,只有基于统一内容安全(UCS)的数据防泄露技术(DLP)才能够保护用户核心资产。
数据显示,现在全球企业中世界500强80%都使用了DLP,但是在中国1000强企业中,DLP的使用率却不到8%。部分企业认为DLP和防火墙一样就是一个普通安全设备,不用和企业流程结合。有的则认为信息安全就是IT部门的事情,其余部门不配合数据梳理,甚至拒提交部门数据。而有的企业错误的以为 DLP 产品就是加解密产品
DLP技术是一种什么样的技术?它可以跟企业业务线结合,让企业管理制度落地,让员工的行为可视化。
什么是数据防泄密技术?以统一策略为基础,采用深层内容分析、对静态数据、动态数据及使用中的数据进行即时的识别、监控、保护的相关技术。
在全面的数据识别技术中,指纹技术是整个数据防泄露里最尖端的,比机器学习、NLP还要强,最重要的东西可以指纹化,变成几K或者十几K文件的特征码,出去几万、几百万,甚至上千万外发数据,只要离开这个边界,不管是终端,还是打印,还是网络,都可以做比对。之前只有少数几家国外公司掌握有这项技术,而天空卫士则是代表中国企业掌握了这个技术,不仅如此,天空卫士还对这项技术做了进一步的改进,我在这里就其中两项与大家进行分享。
第一是电邮审批流。由于信息化内容归IT部门管,当内部员工出现不当使用数据问题时,责任判定都会归到IT部门,因此最好是让管理层直接介入核心数据审核流程,在保证企业核心资产的同时避免影响业务系统的工作。
第二是光学字符识别,通过提取图片甚至视频中的文字,识别图片中的敏感信息。
在面对勒索病毒时,绝大部分人给出的建议是打补丁,但是现在各种病毒都实现了智能化,有很多病毒一天就能变种多次。而基于DLP技术的解决方案是在“勒索病毒”删除原文件之前进行内容检测,保证核心数据不被删除。首先DLP终端会监控“删除文件”的动作,然后在文件删除之前判断是否包含核心数据,一旦发现删除内容包含核心数据则会阻止删除动作,这样既可保证核心数据不会被病毒删除。
目前,安全技术已经发展到了第三代,传统的网络安全需要使用新的技术、与时俱进,DLP技术已经发展到AD(先进的防御系统)这一层。信息资源之间的攻和防促进了安全技术的发展,机器学习与大数据即将结合,我们叫做ITM(Insider Threat Management),是基于内部行为威胁的防御。
大数据安全是现在全球安全专家们的共识。很多传统防护技术都是“基于规则”,而这些规则攻击者比防御者掌握得还好。基于“基于规则”的方法往往使用单一性指标(Atomic indicator)来检测攻击。这样的指标容易收集(如Hash值或IP),但与此同时攻击者也很容易通过改变这些指标来有效地逃避检测。现代的攻击已快速发展为3M方式(Multi-phased, Multi-asset, Multi-day),攻击技术的快速提升直接导致了受害者会遭受巨大损失。
新一代攻击检测需要在新的模型下,运用大数据集合并基于语义(semantic-based)或模式 (pattern-based)对攻击进行检测。而新一代基于语义或模式对攻击检测方法则是面向攻击者使用的工具、技战术和执行过程。识别这些内容并不容易,但对应攻击者而言也很难改变。将大数据、语义模型和KC模型结合到一起,可以提供有效检测出现代攻击的潜能。
在国外这些检测技术都已不是新闻。2013年当RSA被APT攻击以后,RSA、EMC和NEU 以EMC企业网环境为基础,联合进行了大数据安全解析实验,据称该实验在当时是实际环境下大数据安全解析的首例应用。实验环境为EMC真实环境,数据量平均每天14亿条日志,约1TB数据,解析数据超过6T。监测对象包括EMC所有活跃主机,工作日规模为27,000 ~ 35,000台,周末规模为9,000~10,100台主机。由于缺乏异常行为数据,项目采用了非监督学习的聚类算法。采用PCA(Principal Component Analysis)方法消除特征间的依赖关系、降低计算维度,同时采用了改进的K-means算法,进行聚类。
就DLP与大数据安全技术的相结合的问题,主要是ITM+ DLP的结合。ITM (内部威胁管理)需要大量内容的识别技术和控制技术,大量终端行为识别,还有内部网络上各种边界信息和日志,最后这些都会汇总到由神经网络构建的庞大的智能系统里,同时在这个过程中系统会根据获取到的信息不停进行各种策略的调试和调整,当它达到一定稳定程度以后会将结果给到管理员,例如这个企业内部是否发生威胁等情报内容。这项技术无法取代人的工作,但是它可以给出精准的情报,使得工作更有效率。目前,关于这项技术国内外基本处于同一起跑线上,我们立志早一点把这项技术做出来,可能到今年年底会给大家一个惊喜。
由于多年前我曾到过贵阳,因此贵阳对我来说十分亲切。据了解,贵阳周边有很多三线企业,这些企业的科技工作者们当年为了中国的国防和科技事业奉献了自己的青春和终身。之所以谈到这个,是因为看到今天的中国已经发展成为一个数据大国,但却不是数据强国,更不是数据安全的强国。因此我希望当下的科技工作者们,能够向那些前辈们学习,能够像他们一样去奉献自己的聪明才智和热忱。我本人就是一个三线企业的子弟,父亲是二机部的老员工,他最后的一个设计是参与设计了中国第一个核电站核反应的输送系统,当年我父亲这一辈的员工工资非常低,跟当下做互联网工作的收入完全不可同日而语。他们殚精竭虑做出了中国第一个核电站核反应输送系统,不仅自己掌握了相关技术,还节约了大量的资金成本。这样一项技术获得了部里的科技一等奖,但作为奖励最后却只领到了一床毛毯。从金钱的角度来说,父亲都无疑是失败的,但从技术的角度,从贡献的角度,我认为我的父亲是我们家族的骄傲,因为他为中国的科技进步贡献了属于他的全部力量。
在与全球同行进行交流的时候,很多人都觉得目前中国的安全技术还很落后。但是,另一方面我们也看到,无论是在美国的硅谷,还是在北京的中关村,都有着中国人的身影,中国人聪明才智是毋庸置疑的。因此对于我们来说,要立志成为“老三线”科技工作者的接班人,把这种奉献精神、专研精神传承下去。努力做到人无我有,人有我精,再苦再累绝不轻言放弃。
最后,我们希望可以跟在座的诸位前辈和专家一起努力,为把中国建设成为一个信息化的强国、网络安全的强国而奋斗终身,谢谢大家!
关于天空卫士
北京天空卫士网络安全技术有限公司(以下简“天空卫士”),成立于2015年1月,是一家以保持与跨国安全公司同样技术领先水平为目标,以安全自主可控为使命、以全球最先进的内容安全技术为导向的信息安全企业。总部位于北京,在北京和成都设有大型研发创新中心,并在上海、广州、深圳、成都、美国硅谷设立办事处,为政府、运营商、金融、能源、互联网及其他特殊行业用户提供内容安全产品及解决方案。
天空卫士以统一内容安全技术UCS(Unified Content Security)为核心,在数据安全、WEB安全、邮件安全、移动安全和接入云安全等领域开展深入研究和研发,公司现有过百位研发工程师,已完成旗舰品牌“SecGator® 安全鳄”系列产品(SecGator® UCSS、SecGator® UCSG-DLP以及SecGator® UCSC-DLP)的发布与应用,为组织有效应对APT攻击、钓鱼信息、内部数据窃取等威胁,保护关键数据资产。
天空卫士核心管理团队由国内大型互联网公司创始人、跨国安全公司在华业务骨干组成,核心技术团队来自于美国硅谷、跨国安全公司在华研发中心、大型互联网及知名网络安全企业。天空卫士在发展过程中得到了各界的大力支持,360企业安全集团和华创资本是我们的投资股东,各级领导和行业专家也对天空卫士的发展提出了宝贵的意见和建议。
