構建安全保密新體系

360企業安全集團董事長兼CEO 齊向東

構建安全保密新體系

360企業安全集團董事長兼CEO 齊向東

0 前言

在今年的美國總統大選中，一度優勢明顯的民主黨候選人希拉里，最后驚人地落敗給共和黨特朗普。這是由于國外黑客侵入和竊取民主黨及希拉里競選團隊郵箱系統，大量不利于希拉里的郵件被曝光，給希拉里造成了巨大的負面影響。

此事是否真的由俄羅斯政府授意黑客所為，目前依然真相難辨，但有一點可以肯定:數據泄密的影響已嚴重影響到國家的政治和安全。

1 泄密已成全球性的安全挑戰

從全球看，竊密泄密事件呈高發態勢。據美國電信運營商Verizon發布的《2015年Verizon數據泄露調查報告》，2014年有近8萬家企業被黑，導致數據泄漏；2122家公司公開確認信息被竊取; 500強企業超過半數遭遇過數據泄露事件。

根據2016年的報告，2015年的數據泄露事件比上年增長48%，達3141起; 安全事件的漲幅超過25%，超過10萬次。

美國政府問責辦公室報告的數據同樣驚人:自2006年以來，美國聯邦政府的網絡安全事件增長1300%。回顧今年以來美國遭遇的數據泄露事件:2016年2月，美國國稅局披露，有超過70萬個人的納稅人個人信息被泄露。同樣是在2016年2月，黑客攻擊了美國聯邦調查局、國土安全部，竊取了9，000名國土安全部員工和20000名聯邦調查局員工的信息。

對在全球網路安全領域相對領先的美國，數據泄露問題依然嚴重。可以說，數據泄密問題已成為全球性的挑戰。

2 中國成為APT攻擊主要受害國

2016年年初，360威脅情報中心發布的《2015年中國高級持續性威脅（APT）研究報告》顯示，中國是APT攻擊的主要受害國。國內多個省、市受到不同程度的影響。

根據該報告，截至2015年11月底，360威脅情報中心監測到的針對中國境內科研教育、政府機構等組織單位發動APT攻擊的境內外黑客組織累計29個。

在2015年和2016年，360天眼實驗室發現和披露了多個針對中國的APT組織。其中包括海蓮花組織、摩訶草組織、索倫之眼組織、DarkHote等。

其中，海蓮花組織的發布，受到海內外的廣泛關注。該報告被業界稱為中國“首份”“符合標準”的APT攻擊研究報告，海內外媒體紛紛進行了報道。有美國國家“智庫”之稱的美國外交關系協會、以及中國外交部都對這份報告進行了回應。改變了長期以來我國在網絡間諜上被西方國家單方面指責和攻擊的局面。

根據360安全人員的分析，我國的科研、政府、能源、軍工行業是海外APT組織的主要攻擊目標。這些APT組織對目標機構中包含2016、2015這些年份的文件或包含軍工、涉密、保密字眼的文檔都極為有興趣，一般都會進行打包外傳。

3 形勢變化令傳統安全手段應對乏力

根據美國運營商Verizon的報告，黑客組織侵入一個機構，最短只需要用幾秒、幾分鐘時間，長得也不過幾個小時，數據也往往在數小時內被竊取，但我們發現被入侵、數據別泄露，以及采取措施緩解損失，需要多久呢？可能是在幾天、幾周之后，長的可能幾個月之后。或者根本就不知道出現了失竊密事件，直到第三方發現告知才采取行動。

政府等機構每年都投入巨資，為何沒有解決數據泄密的問題？這是因為在現在的環境下，傳統的壘長城式的防護思路已經不再奏效。

在互聯網+時代，萬物互聯，安全形態已完全不同:首先，網絡安全的范疇被擴展，安全設備要防護的不再僅僅是PC，還有打印機、復印機等各種終端，還有聯網的核電、核工業，以及正在出現的各種新型系統。其次，傳統安全邊界下在在失效，移動、云計算的部署改變了IT形態，數據已突破了傳統的安全邊界。第三，具有針對性的高級威脅增加，這主要包括APT、零日漏洞、針對性攻擊，而攻擊者對相關行業很熟悉，攻擊持續時間會很長，且用了很多精力來進行偽裝。

現在很多基礎設施安全的對手并不是一般意義上的黑客，而是國家級的黑客組織，技術環境的變化和黑客組織的更高級攻擊手段，使得傳統的安全防守手段已經無法奏效。

4 用大數據手段解決數據泄露挑戰

對于這種新形勢，我們應該如何防范數據泄露呢？我們認為，大數據的手段可能是我們應對當前安全挑戰的有效手段。

這里面有個安全理念的轉變:那就是從安全防護轉向檢測與響應。

面對新型、頻發的高級威脅，沒有任何機構是絕對安全的，指望通過安全防護將黑客組織阻止在系統之外，已經是不太現實。因此，國際上一直都在倡導將重點轉向安全檢測與響應:在最短時間內檢測到攻擊，并進行及時處置和響應，將數據泄露的損失降到最低。在攻防失衡的情況下，這是網絡安全的務實選擇。

要實現快速的檢測與響應，掌握豐富的數據非常重要。在現在背景下，從單點上很難看出攻擊者的真實目的，只有把所有的點連在一起，才能看到真實的問題。一次安全事件所利用的漏洞或者樣本，可能在互聯網上已出現過。利用互聯網上的海量安全數據，可以更快發現甚至預防安全事件，避免或減少數據泄露。

我們提出了“數據驅動安全”的創新安全理念，其思路就是用大數據的方式來解決當前的安全挑戰。一方面是通過海量的互聯網安全數據，形成豐富的威脅情報，然后推送給用戶的安全設備。另一方面是幫助用戶在本地進行全量的數據采集。這樣，針對本地網絡或者終端出現異常狀況，可以通過與威脅情報的關聯比對，進行識別和發現。在政府和企業內網與終端，出現的任何安全漏洞、數據泄露問題，就可以被及時發現和處置。

基于“數據驅動安全”的理念，我們打造了多款創新性的產品，其中包括新一代威脅感知系統——天眼，可以實現未知威脅的發現、溯源、分析等功能。2015年，360天眼實驗室發現29個海外APT組織，就是這套系統的所建立的奇功。