10月13日,2016中國保密大會在青島召開,360公司創(chuàng)始人兼總裁、360企業(yè)安全集團(tuán)董事長齊向東在大會做主題演講時表示,泄密問題已經(jīng)成全球性的安全挑戰(zhàn)。中國作為 APT 攻擊的主要受害國,國內(nèi)多個省、市受到不同程度的影響。為了解決失密竊密事件頻發(fā)的問題,我們需要構(gòu)建安全保密的新體系。
在剛剛過去的十一假期期間,美國正式指控俄羅斯政府竊取和披露美國民主黨全國代表大會以及一系列機(jī)構(gòu)和要員的電子郵件,俄羅斯是否真的是黑客攻擊的幕后黑手,這個可能無法確定,但有一點可以確定:數(shù)據(jù)泄密帶來的影響已經(jīng)嚴(yán)重影響到一個國家的政治和國家安全。
360企業(yè)安全集團(tuán)董事長齊向東在保密大會發(fā)表主題演講
泄密已成全球性的安全挑戰(zhàn)
從全球看,竊密泄密事件呈高發(fā)態(tài)勢。根據(jù)美國電信運(yùn)營商Verizon發(fā)布的《2015年Verizon數(shù)據(jù)泄露調(diào)查報告》,2014年有79790家公司被黑導(dǎo)致數(shù)據(jù)泄漏;2122家公司公開確認(rèn)信息被竊。500強(qiáng)企業(yè)超過半數(shù)遭遇過數(shù)據(jù)泄露事件。
根據(jù)2016年的報告,2015年的數(shù)據(jù)泄露事件比2014年增長48%,達(dá)到3141起;安全事件漲幅超過25%,超過10萬次。
美國政府問責(zé)局(Government Accountability Office, GAO)報告的數(shù)據(jù)同樣十分驚人,報告稱,自2006年以來,美國聯(lián)邦政府的網(wǎng)絡(luò)安全事件增長1300%。網(wǎng)絡(luò)復(fù)雜性和動態(tài)程度極高、并呈現(xiàn)技術(shù)多樣化,通常在地理上分散,這使得難以保護(hù)聯(lián)邦網(wǎng)絡(luò)。
回顧今年以來美國聯(lián)邦機(jī)構(gòu)遭遇的數(shù)據(jù)泄露事件:
2016年2月,美國國稅局披露,有超過70萬個人的納稅人個人信息被泄露。2015年5月份,國稅局首次報道了這次數(shù)據(jù)泄露事件,并表示其影響了114000個賬戶。這個數(shù)字在今年2月份擴(kuò)大到了多達(dá)72.4萬個賬戶。
同樣是在2016年2月,黑客攻擊了美國聯(lián)邦調(diào)查局、國土安全部,竊取了9,000名國土安全部員工和20000名聯(lián)邦調(diào)查局員工的信息。
可以說,即使是對美國這種網(wǎng)絡(luò)安全技術(shù)走在世界前沿的國家,數(shù)據(jù)泄密的形勢同樣非常嚴(yán)峻。
APT攻擊主要受害國 中國泄密形勢不容樂觀
2016年年初,360威脅情報中心發(fā)布的《2015年中國高級持續(xù)性威脅(APT)研究報告》顯示,中國是APT攻擊的主要受害國,國內(nèi)多個省、市受到不同程度的影響。
根據(jù)該報告,截至2015年11月底,360威脅情報中心監(jiān)測到的針對中國境內(nèi)科研教育、政府機(jī)構(gòu)等組織單位發(fā)動APT攻擊的境內(nèi)外黑客組織累計29個。另據(jù)齊向東透露,在360追日團(tuán)隊跟進(jìn)的72個安全事件中,其中55個APT攻擊。攻擊行業(yè)以科研教育、政府機(jī)構(gòu)為主。
在2015年和2016年,360天眼實驗室發(fā)現(xiàn)和披露了多個針對中國的APT組織。其中包括海蓮花組織(APT-C-00)、摩訶草組織(APT-C-09)、索倫之眼組織(APT-C-16)、DarkHotel(APT-C-06)等。
其中,海蓮花組織的發(fā)布,受到海內(nèi)外的廣泛關(guān)注。相關(guān)報告被業(yè)界稱為中國“首份”“符合標(biāo)準(zhǔn)”的APT攻擊研究報告,海內(nèi)外媒體紛紛進(jìn)行了報道。有美國國家“智庫”之稱的美國外交關(guān)系協(xié)會、以及中國外交部都對這份報告進(jìn)行了回應(yīng)。改變了長期以來我國在網(wǎng)絡(luò)間諜上被西方國家單方面指責(zé)和攻擊的局面。
根據(jù)360安全人員從代碼層面的分析,我國的科研、政府、能源、軍工行業(yè)是海外APT組織的主要攻擊目標(biāo)。這些APT組織對于電腦中包含2016、2015這些年份的文件,或者包含軍工、涉密、保密字眼的Word文檔、PPT文檔,都極為有興趣,進(jìn)行打包外傳;有的APT組織則是不分文檔類型,只要是電腦的文檔就會打包發(fā)送出去。總之,這些APT組織興趣各異,但導(dǎo)致了相關(guān)部門的數(shù)據(jù)泄密。
事實上,除了這些已經(jīng)公開的黑客組織,360的安全人員還在跟蹤其他的海外APT組織,并與國家的相關(guān)部門合作,及時發(fā)現(xiàn)各類安全事件,為國家的保密工作做出自己的貢獻(xiàn)。
形勢變化令傳統(tǒng)安全手段應(yīng)對乏力
根據(jù)美國運(yùn)營商Verizon的報告,黑客組織侵入一個機(jī)構(gòu),最短只需要用幾秒、幾分鐘時間,長得也不過幾個小時,數(shù)據(jù)也往往在數(shù)小時內(nèi)被竊取,但我們發(fā)現(xiàn)被入侵、數(shù)據(jù)別泄露,以及采取措施緩解損失,需要多久呢?可能是在幾天、幾周之后,長的可能幾個月之后;蛘吒揪筒恢莱霈F(xiàn)了失竊密事件,直到第三方發(fā)現(xiàn)告知才采取行動。
政府等機(jī)構(gòu)每年都投入巨資,但卻沒有辦法解決數(shù)據(jù)泄密的問題,部署的安全設(shè)備成了擺設(shè)。為什么會出現(xiàn)這種情況呢? 齊向東認(rèn)為,過去很多時候防護(hù)的思路就是不斷壘長城,所謂外部威脅,用更多的墻把它擋住,這種思路在現(xiàn)在尤其像新的云計算、移動化這樣的環(huán)境下,其實不奏效。
齊向東指出,在互聯(lián)網(wǎng)+時代,萬物互聯(lián),安全形態(tài)已經(jīng)完全不同,首先網(wǎng)絡(luò)安全的范疇被擴(kuò)展,安全設(shè)備要防護(hù)的不再僅僅是PC,還有打印機(jī)、復(fù)印機(jī)等各種終端,還有聯(lián)網(wǎng)的核電、核工業(yè),以及正在出現(xiàn)的各種新型系統(tǒng)。其次傳統(tǒng)的安全邊界下在在失效,移動、云計算的部署改變了IT形態(tài),數(shù)據(jù)已經(jīng)突破了傳統(tǒng)的安全邊界。第三是具有針對性的高級威脅增加,這主要包括APT、零日漏洞、針對性攻擊,而攻擊者明顯對于相關(guān)的行業(yè)很熟悉,攻擊的持續(xù)時間會很長,而且用了很多精力來進(jìn)行偽裝。
齊向東表示,很多基礎(chǔ)設(shè)施安全的對手并不是小黑客,而是國家級的黑客組織。
360如何快速發(fā)現(xiàn)數(shù)據(jù)泄露事件?
正如前面所提到的,截至2015年11月底,360威脅情報中心監(jiān)測到針對中國境內(nèi)科研教育、政府機(jī)構(gòu)等組織單位發(fā)動APT攻擊的29個黑客組織,幫助相關(guān)機(jī)構(gòu)溯源攻擊事件,降低了數(shù)據(jù)泄露的損失。
360是如何幫助政府和企業(yè)快速發(fā)現(xiàn)數(shù)據(jù)泄露的?
據(jù)齊向東介紹,這里面有個安全理念的轉(zhuǎn)變。面對新型、頻發(fā)的高級威脅,可以說沒有任何機(jī)構(gòu)是絕對安全的。如果說攻擊者一定能穿透現(xiàn)在所有的安全防御體系,安全防護(hù)的使命就是能夠最短時間內(nèi)檢測到這種攻擊,并進(jìn)行及時處置和響應(yīng),將數(shù)據(jù)泄露的損失降到最低。在攻防失衡的情況下,這是網(wǎng)絡(luò)安全的務(wù)實選擇。越來越多的安全人士認(rèn)為,安全建設(shè)的重點已從過去的防護(hù)為主轉(zhuǎn)換為以檢測與響應(yīng)為主。
實現(xiàn)快速的檢測與響應(yīng),掌握豐富的數(shù)據(jù)非常重要。在現(xiàn)在的背景下,從單個點上都看不出真實的目的,只有把所有的點連在一起,才能看到所謂真實的問題,這就是我們經(jīng)常說的安全的全貌。一次安全事件所利用的漏洞或者樣本,可能在互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)過,利用互聯(lián)網(wǎng)上的海量安全數(shù)據(jù),可以更快發(fā)現(xiàn)甚至預(yù)防安全事件,避免或減少數(shù)據(jù)泄露。
2015年 360提出了“數(shù)據(jù)驅(qū)動安全”的創(chuàng)新安全理念,其思路就是用大數(shù)據(jù)的方式來解決當(dāng)前的安全挑戰(zhàn)。一方面是基于海量的互聯(lián)網(wǎng)安全數(shù)據(jù),形成豐富的威脅情報,然后推送給用戶的安全設(shè)備。另一方面是幫助用戶在本地進(jìn)行全量的數(shù)據(jù)采集。這樣針對本地網(wǎng)絡(luò)或者終端出現(xiàn)異常狀況,可以通過與威脅情報的關(guān)聯(lián)比對,進(jìn)行識別和發(fā)現(xiàn)。在政府和企業(yè)內(nèi)網(wǎng)與終端,出現(xiàn)的任何安全漏洞、數(shù)據(jù)泄露問題,就可以被及時發(fā)現(xiàn)和處置。
基于“數(shù)據(jù)驅(qū)動安全”的理念,360打造了大數(shù)據(jù)安全分析、新一代終端安全管理系統(tǒng)、新一代智慧防火墻等創(chuàng)新性的產(chǎn)品。尤其是新一代威脅感知系統(tǒng)——天眼,可以實現(xiàn)未知威脅的發(fā)現(xiàn)、溯源、分析等功能。2015年,360天眼實驗室發(fā)現(xiàn)29個海外APT組織,就是這套系統(tǒng)的所建立的奇功。這套系統(tǒng)當(dāng)然也可以用于保密領(lǐng)域,為我們國家的保密單位、軍工和軍方單位提供失竊密的監(jiān)控、追蹤和溯源。
齊向東表示,新一代威脅感知系統(tǒng)背后是360多年積累的海量安全大數(shù)據(jù)。360公司的11億PC和移動終端,就像安全探針一樣,每天收集互聯(lián)網(wǎng)出現(xiàn)的木馬和安全漏洞數(shù)據(jù)。目前360擁有主防庫日志數(shù)18.9萬億條,樣本總數(shù)高達(dá)95億,DNS庫解析記錄超過90億條,URL庫每天查詢300億。
2016年,360又提出了“安全協(xié)同”的理念,并根據(jù)協(xié)同安全理念,構(gòu)建起了一套數(shù)據(jù)驅(qū)動的安全協(xié)同產(chǎn)品體系,為國家保密提供技術(shù)支撐和相應(yīng)的服務(wù)。
齊向東表示,無論是終端還是邊界的安全設(shè)備,都可以利用威脅情報進(jìn)行升級“換芯”,基于協(xié)同聯(lián)動的理念,從整體上為預(yù)防和發(fā)現(xiàn)竊密事件,維護(hù)國家的信息安全。
360已做好服務(wù)保密業(yè)的準(zhǔn)備
齊向東表示,對于保密行業(yè),360還是個新兵,但已經(jīng)從各個層面做好了服務(wù)保密行業(yè)的準(zhǔn)備。就在今年8月,360公司從美國紐交所成功退市,企業(yè)安全業(yè)務(wù)已經(jīng)是一家100%純內(nèi)資的安全企業(yè),可以做到完全的“自主可控”;趧(chuàng)新的安全理念,360也開發(fā)了多款適合保密行業(yè)的產(chǎn)品和解決方案,比如360網(wǎng)神的防火墻和網(wǎng)閘產(chǎn)品已經(jīng)實現(xiàn)了國產(chǎn)化。
據(jù)悉,在今年的保密大會上,360展示了一系列的創(chuàng)新涉密安全產(chǎn)品,其中包括360新一代智慧防火墻、360新一代威脅感知系統(tǒng)、360新一代終端安全管理系統(tǒng)、360無線入侵防御系統(tǒng)、360安全郵件系統(tǒng)、360“五合一”移動政務(wù)安全辦公套件方案等。
360新一代智慧防火墻
齊向東表示,作為國內(nèi)最大的互聯(lián)網(wǎng)安全公司,360希望引領(lǐng)傳統(tǒng)安全向下一代安全演進(jìn)的重要方向,360將以安全協(xié)同的創(chuàng)新理念,協(xié)助構(gòu)建自主可控的安全保密新體系,為維護(hù)國家的信息安全做出自己貢獻(xiàn)。今后,360還會繼續(xù)加大國產(chǎn)化產(chǎn)品的研發(fā)和投入,為國家的保密工作做出自己的貢獻(xiàn)。