進(jìn)擊！網(wǎng)絡(luò)安全“復(fù)仇者聯(lián)盟”

曾幾何時(shí)，好萊塢電影里的超級(jí)英雄都是獨(dú)自拯救世界的“狠角色”，直到“復(fù)仇者聯(lián)盟”的出現(xiàn)。而正義的化身們開始“打群架”也是因?yàn)閷?duì)手越來越強(qiáng)大。

現(xiàn)實(shí)中，一方面是個(gè)人和企業(yè)對(duì)網(wǎng)絡(luò)依賴的廣度和深度都在增加，而另一方面則是網(wǎng)絡(luò)威脅越來越強(qiáng)大。今天，網(wǎng)絡(luò)安全沒有幸存者，或許，協(xié)同才是出路。

美國電影《復(fù)仇者聯(lián)盟》講的是鋼鐵俠、美國隊(duì)長(zhǎng)、雷神托爾、綠巨人、黑寡婦和鷹眼俠六位超級(jí)英雄集結(jié)在一起，組成了復(fù)仇者聯(lián)盟，攜手應(yīng)對(duì)邪神的故事。從獨(dú)自拯救世界的超級(jí)英雄，到“組團(tuán)”對(duì)抗邪惡的“英雄聯(lián)盟”，協(xié)同是與以往最大的不同。

現(xiàn)實(shí)中，一方面是個(gè)人和企業(yè)對(duì)網(wǎng)絡(luò)的依賴的廣度和深度都在增加，而另一方面是網(wǎng)絡(luò)威脅越來越強(qiáng)大。

在2016中國互聯(lián)網(wǎng)安全大會(huì)（以下簡(jiǎn)稱“ISC2016”）上，360公司董事長(zhǎng)周鴻祎在主題演講中提到：“網(wǎng)絡(luò)安全是當(dāng)今世界、國家、企業(yè)和個(gè)人都需要面對(duì)的問題，應(yīng)對(duì)網(wǎng)絡(luò)安全威脅是大家共同的責(zé)任。在今天的安全威脅環(huán)境下，網(wǎng)絡(luò)安全沒有幸存者，協(xié)同是網(wǎng)絡(luò)安全的出路。”

周鴻祎所說的“協(xié)同”是指政府與企業(yè)的協(xié)同、企業(yè)與企業(yè)的協(xié)同，以及安全產(chǎn)品之間的協(xié)同。

復(fù)仇者聯(lián)盟之

——數(shù)據(jù)協(xié)同

網(wǎng)絡(luò)攻擊者為了隱藏身份通常使用代理服務(wù)器作為跳板。這個(gè)跳板的更多數(shù)據(jù)，可能在另外一個(gè)國家，也可能在另外一個(gè)企業(yè)機(jī)構(gòu)，沒有數(shù)據(jù)協(xié)同，對(duì)攻擊溯源和打擊將無法徹底進(jìn)行。此外，很多網(wǎng)絡(luò)攻擊如果不能對(duì)它進(jìn)行深入的同源性分析，很可能會(huì)被忽略掉，這種分析涉及同源的樣本、攻擊方法、IP、URL、郵件、電話號(hào)碼、聯(lián)絡(luò)地址以及人和機(jī)構(gòu)。

“在網(wǎng)絡(luò)威脅越來越大的今天，從政府到企業(yè)，都表現(xiàn)出了強(qiáng)烈聯(lián)動(dòng)的意愿，單一的政府部門和企業(yè)如果不進(jìn)行數(shù)據(jù)共享和情報(bào)共享，幾乎無法更好地解決現(xiàn)在的網(wǎng)絡(luò)安全問題。”齊向東說。

其實(shí)，早在去年，360公司就向全球開放了威脅情報(bào)中心。據(jù)360總裁齊向東介紹，在過去的12個(gè)月里，通過對(duì)威脅情報(bào)的大數(shù)據(jù)分析，共計(jì)發(fā)現(xiàn)并跟蹤了72個(gè)安全事件，其中，APT攻擊55個(gè)，已經(jīng)梳理成報(bào)告的達(dá)29個(gè)，公開發(fā)布6個(gè)。

對(duì)于威脅情報(bào)，Gartner給出的定義是：“威脅情報(bào)是針對(duì)一個(gè)已經(jīng)存在或正在顯露的威脅或危害資產(chǎn)的行為的，基于證據(jù)知識(shí)的，包含情境、機(jī)制、影響和應(yīng)對(duì)建議的，用于幫助解決威脅或危害進(jìn)行決策的知識(shí)。”

通俗來講，就是提前知道黑客可能進(jìn)攻的信息。我們經(jīng)常可以從CERT、安全服務(wù)廠商、防病毒廠商、政府機(jī)構(gòu)和安全組織那里看到安全預(yù)警通告、漏洞通告、威脅通告等，這些就都屬于典型的安全威脅情報(bào)。

前不久，360發(fā)現(xiàn)并溯源了一個(gè)黑客組織對(duì)中國一些政府機(jī)構(gòu)的APT攻擊事件。這個(gè)事件的追蹤從一封含有一種漏洞攻擊木馬的郵件開始，表面上看這只是一種簡(jiǎn)單的威脅，在沒有情報(bào)時(shí)當(dāng)做一般病毒殺了就行。但是，當(dāng)分析人員將這個(gè)木馬樣本通過360威脅情報(bào)中心的大數(shù)據(jù)平臺(tái)進(jìn)行樣本同源分析后，發(fā)現(xiàn)了13個(gè)相關(guān)樣本；又通過360多維線索分析平臺(tái)，對(duì)CC服務(wù)器及相關(guān)數(shù)據(jù)分析之后，從一批可疑的IP、URL、Email又關(guān)聯(lián)發(fā)現(xiàn)了69個(gè)不同種類的同源樣本，以及基于即時(shí)通訊工具和社交網(wǎng)絡(luò)的3種攻擊方法，新增受害人131個(gè)。再利用受害人的更多數(shù)據(jù)分析，一個(gè)黑客組織針對(duì)中國政府特定機(jī)構(gòu)及相關(guān)人員的APT攻擊全貌就還原了。這個(gè)溯源的過程就是典型的數(shù)據(jù)協(xié)同的結(jié)果。可以看出，數(shù)據(jù)的協(xié)同和共享，是數(shù)據(jù)驅(qū)動(dòng)安全體系里最關(guān)鍵的基石。

復(fù)仇者聯(lián)盟之

——產(chǎn)品協(xié)同

隨著IT環(huán)境的不斷變化，企業(yè)IT所面臨的安全威脅也產(chǎn)生了更多新的變化，未知威脅、零日漏洞、APT攻擊接踵而至。但是，企業(yè)已經(jīng)廣泛部署的傳統(tǒng)防火墻產(chǎn)品并沒有完全跟上黑客的腳步，受限于自身視野和技術(shù)實(shí)力，只能按照內(nèi)置的固有安全機(jī)制進(jìn)行保護(hù)，高級(jí)未知威脅仍然難以被有效發(fā)現(xiàn)和防御。

今天的信息安全已經(jīng)不再是孤島式防御所能應(yīng)對(duì)的，Gartner指出，現(xiàn)有的攔截和阻止功能不足以抵擋有目的的高級(jí)攻擊，傳統(tǒng)防火墻產(chǎn)品也不具備檢測(cè)高級(jí)威脅所需的持續(xù)可見性，要想對(duì)抗高級(jí)威脅，更好的發(fā)現(xiàn)、檢測(cè)和響應(yīng)功能都是必須的。

無論是沙箱還是防火墻，每種技術(shù)只能解決有限的問題，面對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，大數(shù)據(jù)、云計(jì)算、人工智能等技術(shù)，以及防火墻、終端安全等各類安全產(chǎn)品整合協(xié)同起來，才有可能讓數(shù)據(jù)和能力發(fā)揮合力。

在ISC2016期間，360網(wǎng)神宣布推出基于網(wǎng)絡(luò)檢測(cè)與響應(yīng)模型（NDR）的360新一代智慧防火墻。這款產(chǎn)品最重要的創(chuàng)新就是，可以與其他安全產(chǎn)品以及云端實(shí)現(xiàn)真正的協(xié)同聯(lián)動(dòng)，聯(lián)合處置安全威脅。它能夠與APT防護(hù)系統(tǒng)、終端安全管理系統(tǒng)以及云端沙箱深度聯(lián)動(dòng)，形成從終端、經(jīng)邊界、到云端的一體化監(jiān)測(cè)、分析、響應(yīng)、溯源的立體智能安全防御，通過云端威脅情報(bào)+本地大數(shù)據(jù)的關(guān)聯(lián)分析幫助企業(yè)用戶精準(zhǔn)發(fā)現(xiàn)威脅。

隨著云計(jì)算價(jià)值的被認(rèn)可，國內(nèi)越來越多政企客戶開始將重要業(yè)務(wù)轉(zhuǎn)移到云端，云安全成為云計(jì)算產(chǎn)業(yè)發(fā)展中的關(guān)鍵因素。安全專家認(rèn)為，云安全不是零和博弈，安全威脅是云計(jì)算產(chǎn)業(yè)鏈中所有相關(guān)方的敵人，其復(fù)雜性超出了任何一家企業(yè)的掌控能力，只有合作才能共贏。

為此，360企業(yè)安全聯(lián)合云計(jì)算開源產(chǎn)業(yè)聯(lián)盟（OSCAR）發(fā)布了360安全云生態(tài)聯(lián)盟計(jì)劃。據(jù)悉，該計(jì)劃將會(huì)與廣大云計(jì)算廠商合作，提升云平臺(tái)的安全防御實(shí)力。 新華三集團(tuán)作為首批加入安全云聯(lián)盟計(jì)劃的企業(yè)，與360舉行了戰(zhàn)略合作簽約。

齊向東表示，“基于安全協(xié)同的理念，360已經(jīng)構(gòu)建起了以威脅情報(bào)為驅(qū)動(dòng)，終端安全、邊界安全、大數(shù)據(jù)分析等安全設(shè)備智能協(xié)同的安全防御體系，具備協(xié)同能力的新一代智慧防火墻可以幫助企業(yè)用戶輕松防御已知威脅，發(fā)現(xiàn)高級(jí)威脅，化解違規(guī)安全事件，并對(duì)威脅進(jìn)行溯源分析。”