常優(yōu) 騰訊安全專家
網(wǎng)絡(luò)安全形勢是一年比一年嚴(yán)峻,??梢钥吹綇耐獠客{上來講黑客的團(tuán)伙以前是單打獨(dú)斗方式進(jìn)行網(wǎng)絡(luò)供給,現(xiàn)在發(fā)展成有組織,、有秩序的組織,,一直在干非常勾當(dāng),。
監(jiān)管機(jī)構(gòu)把網(wǎng)絡(luò)安全監(jiān)管越來越嚴(yán)密,包括像國內(nèi)外的監(jiān)管機(jī)構(gòu)發(fā)布行政上命令,,像有些國家企業(yè)單位如果有違法的行為,,比如網(wǎng)絡(luò)資產(chǎn)安全損失、安全事故,,可能會讓國資委基于情節(jié)對責(zé)任人進(jìn)行降級或者扣分處理,。
歐盟GDPR政策出來以后,,但凡一些企業(yè)發(fā)生嚴(yán)重?cái)?shù)據(jù)泄露,,甚至可以去罰他們的全球營收罰金開出來,。
企業(yè)的發(fā)展也是因?yàn)椴①弾碣Y產(chǎn)管理的風(fēng)險,可以看到美國專門做電信Starwood企業(yè)去做并購,,并購發(fā)現(xiàn)兩個企業(yè)管理理念不同導(dǎo)致安全風(fēng)險事件發(fā)生,,導(dǎo)致他們的估價受到損失。
沒有網(wǎng)絡(luò)安全就沒有國家安全,是習(xí)大大說的?,F(xiàn)在來講,,中國對網(wǎng)絡(luò)安全的關(guān)注已經(jīng)達(dá)到前所未有的高度。其中的一個關(guān)鍵節(jié)點(diǎn)是2015年習(xí)近平擔(dān)任國家網(wǎng)絡(luò)安全小組組長,,從那個時候開始網(wǎng)絡(luò)安全市場越來越繁榮,,不管是國家企業(yè)、互聯(lián)網(wǎng)企業(yè)對于網(wǎng)絡(luò)安全的重視也是越來越大,。
這邊我列了中國跟美國的對比,,中國跟美國之間是有競爭的,在網(wǎng)絡(luò)安全里面跟美國有一些對話,。從監(jiān)管力度上講,,美國的《網(wǎng)絡(luò)安全法》是在2015年發(fā)布,中國是2017年6月份發(fā)布,。中國發(fā)布《網(wǎng)絡(luò)安全法》特別有意思,,從發(fā)《網(wǎng)絡(luò)安全法》征求意見稿一直到正兒八經(jīng)發(fā)出立法法律條文出來,總共只用了一年的時間,。從法律征集文出來到發(fā)布法律只用了一年,,這應(yīng)該是我見到或者是曾經(jīng)知道發(fā)布最快的法律條文。
在2019年5月份公安部發(fā)了《網(wǎng)絡(luò)安全等保標(biāo)準(zhǔn)要求》美國比較激進(jìn)一些,,成立網(wǎng)絡(luò)安全通訊中心專門職能負(fù)責(zé),,美國國家安全機(jī)構(gòu)成立了反擊網(wǎng)絡(luò)黑客司令部,像軍方的組織去負(fù)責(zé)未來在美國的網(wǎng)絡(luò)站,。這些不是我瞎說的,,在新聞報道里面都能看到。
中國跟美國之間有比較大的不一樣的地方,,大家對安全的理解和執(zhí)行是完全不同的,。中國在安全服務(wù)交付上以網(wǎng)絡(luò)設(shè)備方式交付,有做安全廠商的知道小米以安全盒子方式交付,,美國比較開放一些更愿意以安全服務(wù)形式交付。
安全預(yù)算,,之前看中國有一個報道的數(shù)據(jù),,中國跟美國在IT服務(wù)器領(lǐng)域投入是差不多的。中國跟美國兩個國家在IT領(lǐng)域的投入是差不多的,,大概在千億美金的體量,。中國的安全預(yù)算在整個IT總預(yù)算里面比例非常小,才2%不到,,美國已經(jīng)達(dá)到17.2%水平,。
舉個簡單的例子,中國的政府GOV網(wǎng)站加密覆蓋率才不到10%,美國在2015年推行必須得政府網(wǎng)站全加密政策,。從2018年來看美國GOV網(wǎng)站加密覆蓋率達(dá)到85%,,加完密之后網(wǎng)絡(luò)級高的人對數(shù)據(jù)竊取可能性會降低很多。
美國人非常的狡猾,,美國有安全背景的政府部門國土安全局推出了《SOC標(biāo)準(zhǔn)服務(wù)》,。它不是站在產(chǎn)業(yè)的高度,而是站在標(biāo)準(zhǔn)和國家安全的高度,,推動美國政府安全情報共享,。它可以以國家的力量把安全情報放到一起,再讓各個地方的政府接入情報,,并且共享情報,,把情報用到網(wǎng)絡(luò)防御的設(shè)備上,能夠造成防御的效果,。
美國在2009年推行“愛因斯坦計(jì)劃”,,“愛因斯坦計(jì)劃”跟習(xí)大大之前說的是類似對標(biāo)的。不好的地方是脫離原來的思想做大屏幕,。美國的“愛因斯坦計(jì)劃”是做任務(wù),,產(chǎn)品有很完整的標(biāo)準(zhǔn)。如果有興趣,,大家可以看美國關(guān)于標(biāo)準(zhǔn),,有了標(biāo)準(zhǔn)推行產(chǎn)品和推行方案的時候有跡可循。
國內(nèi)比較尷尬的是在于大部分的安全防御是糖葫蘆串似的,。這是典型的各種企業(yè)防御方案,,所有的設(shè)備通過串型方式像糖葫蘆一樣串起來,終端上有惡意軟件識別機(jī)制以及資產(chǎn)漏洞掃描機(jī)制,。這樣的方案根本解決不了問題,,國內(nèi)發(fā)生各種數(shù)據(jù)泄露或者是朋友圈經(jīng)常看到的消息是按照以前的方案做安全防御造成的影響,。
騰訊在安全防御體系里邊思路跟以前不太一樣,,首先會強(qiáng)調(diào)原生安全。安全不再是像滅火器一樣,,每個部門或者是安全組件商都會有安全設(shè)備,,而是把安全頂層設(shè)計(jì)跟業(yè)務(wù)揉在一起,成為業(yè)務(wù)的一部分,,像房間里邊噴水的消防栓一樣,。騰訊綜合防御體系和網(wǎng)絡(luò)層、運(yùn)營層防御能力是非常多的,。網(wǎng)絡(luò)安全員面對攻擊或者面對漏洞應(yīng)急的時候不是單兵作戰(zhàn),,而是大家聯(lián)合在一起,,把所有的防御體系以及安全策略流程串在一起。每次有應(yīng)急的時候大家一塊上,。
舉個前幾天RBP(音)漏洞的例子,。從騰訊的角度來看,資產(chǎn)流動對騰訊的傷害不是特別大,,在資產(chǎn)上都有終身防御的策略,,在漏洞橫向移動的時候可以把你阻斷掉,這是協(xié)同防御的理念,。原生安全跟系統(tǒng)防御是騰訊專門做安全防御體系里邊堅(jiān)守的思路,。
總結(jié)了一下,合起來代表了三大能力,、兩大平臺,、N個生態(tài)。這是3+2+7協(xié)同作戰(zhàn)防御體系,,后面會講體系是什么樣的意思,,畢竟是以數(shù)據(jù)為代表體驗(yàn)出來的話述。這邊是防御體系框架,,框架從下往上看,,我畫的比較簡單一點(diǎn),如果真的把騰訊里每個東西畫出來,,這頁都放不下,。整體角度來講提供兩個平臺,是騰訊統(tǒng)一接入平臺和騰訊統(tǒng)一運(yùn)營平臺,,這兩個平臺做安全能力輸出,,包括像能力協(xié)議解析,實(shí)時計(jì)算的能力和模型編排能力,,再配合上騰訊自己有一套專門的云運(yùn)營平臺,,里面的讀寫情報不停的在滾動。
騰訊在防御,、監(jiān)測會有各種各樣的產(chǎn)品,,產(chǎn)品全都是根據(jù)平臺的輸出能力定位,所有的防御點(diǎn)可以通過統(tǒng)一平臺的防御點(diǎn)去進(jìn)行聯(lián)動,,整體防御體系的框架,。騰訊在落地3+2+N架構(gòu)里面面臨很多的挑戰(zhàn),挑戰(zhàn)可能是傳統(tǒng)的安全廠商沒有見過的場景,。
第一個,在海量數(shù)據(jù)的接入上,,騰訊作為中國比較頂級的互聯(lián)網(wǎng)公司,,騰訊的網(wǎng)絡(luò)越來越像運(yùn)營商網(wǎng)絡(luò),有可能從北京網(wǎng)絡(luò)入口進(jìn)去不會從北京的網(wǎng)絡(luò)出口出,而是跑到深圳的網(wǎng)絡(luò)出口,。你異地之間網(wǎng)絡(luò)流量的匯聚跟計(jì)算變成需要面臨的重大挑戰(zhàn)?,F(xiàn)在整個架構(gòu)落地到騰訊里邊,全球50個IDC都覆蓋了防御體系,。
天幕接入量是100PB里頭,,國內(nèi)最頂級流量接入平臺。天幕通過峰值計(jì)算完成流量集中式計(jì)算跟匯聚,??雌饋硪呀?jīng)具備了5K+計(jì)算集群處理,大概100PB流量,,并且能夠在上面跑,。
第二個,小概率事件變成常態(tài),。騰訊每天會遇到4000次DDoS攻擊,,1秒之內(nèi)對DDoS攻擊進(jìn)行自動防御,防御過程是沒有人參與的,,全都是由機(jī)器自動化完成的,。
第三個,對漏洞應(yīng)急上,,騰訊資產(chǎn)比較多,,大概會有好幾十萬個服務(wù)器。對漏洞應(yīng)急不再是盲目的打補(bǔ)丁或者盲目的進(jìn)行程序的升級,,而是會通過天幕體系把漏洞防住,,再推進(jìn)防御策略進(jìn)行升級。
整個天幕需要融入到騰訊的安全架構(gòu)里邊,,騰訊有很多不同的團(tuán)隊(duì),、不同的公司、不同的業(yè)務(wù)組成,。天幕產(chǎn)品并沒有完整的大的框架,,而是所有天幕的產(chǎn)品形態(tài)只有一個,甚至騰訊內(nèi)部推行之后讓業(yè)務(wù)方很短時間內(nèi)搭建針對于自己業(yè)務(wù)的專門的防御中臺出來,,這就是騰訊在落地3+2+N框架里邊的挑戰(zhàn),。以前也試過廠商提供的安全方案里邊不能完成的,也是由騰訊自己進(jìn)行自研做了安全防御體系建設(shè),。
面臨挑戰(zhàn)積累了三大安全能力:(1)計(jì)算能力,。騰訊網(wǎng)絡(luò)復(fù)雜,已經(jīng)能夠做到跨IDC,、地域,,雙向流量進(jìn)行檢測,,并且進(jìn)行秒級的處理。(2)騰訊有云,,讓數(shù)據(jù)匯聚到一起,,每天通過大量的數(shù)據(jù)計(jì)算產(chǎn)生全網(wǎng)推訊的情報,代表了獨(dú)一無二的核心安全能力,。(3)騰訊天幕防御體系不是侵害業(yè)務(wù)的防御,,(英)會對你的業(yè)務(wù)進(jìn)行傾向,能夠進(jìn)行業(yè)務(wù)的接入,,我們也使用了旁路的方案阻斷系統(tǒng),。這是天幕提供的三大安全能力。
天幕還有兩大平臺,,接入平臺負(fù)責(zé)自動化工作,,像高速軟件自動化處理都是由機(jī)器去完成的。平臺會負(fù)責(zé)專案分析,,包括云上的虛擬機(jī),,考慮到母機(jī)去進(jìn)行勒索。這些都是安全專家在運(yùn)營平臺上針對于專案的分析,。
N是最后的東西,,生態(tài)不光是由騰訊原生的產(chǎn)品作為支撐,也會聯(lián)合生態(tài)的廠商產(chǎn)品,,大家共同在生態(tài)里邊完成安全防御的貢獻(xiàn),,這就是騰訊3+2+N防御體系構(gòu)建。今年也是把方案推向了一些廠商,,圖其實(shí)不是我們畫的,,而是由金融行業(yè)客戶按照護(hù)網(wǎng)套路把自己防御體系給畫出來。天幕也是在里邊起到了大腦的作用,,所有的云主機(jī),、網(wǎng)絡(luò)主機(jī)層、運(yùn)營層檢測類設(shè)備全部可以調(diào)用天幕提供的防御,,能夠在護(hù)網(wǎng)里邊把防御體系縱深以及防御的效果全都給串起來,。
客戶自己總結(jié)了護(hù)網(wǎng)應(yīng)急三板斧:(1)封IP。(2)禁接口,,能夠讓防御面縮小,。(3)斷網(wǎng)絡(luò),斷網(wǎng)不提供服務(wù),。天幕在平臺上能夠幫他們完成應(yīng)急的三板斧,。
天幕在全環(huán)境下進(jìn)行集采,在騰訊內(nèi)部跑了七八年左右,,根據(jù)騰訊產(chǎn)業(yè)互聯(lián)網(wǎng)戰(zhàn)略能夠把騰訊天幕向外輸出,。不管是你的公有云,、私有云、混合云,、本地IDC進(jìn)行接入,只是把流量牽引過來之后進(jìn)行防御,,能夠針對護(hù)網(wǎng),、應(yīng)急做最佳實(shí)踐。