楊紹波 瑞星終端安全技術(shù)總監(jiān)
大家都一直討論說網(wǎng)絡(luò)層面,但其實從IT角度包括近幾年對OT角度的理解,,終端的安全白名單方式做主機(jī)安全,,做的所謂主機(jī)安全,,往往把終端的概念相對是忽略的,,或者說不夠重視,,這也是為什么我今天可疑的來談終端安全,,因為我們公司肯定不只是做終端安全,,另外大家感受一下終端安全到底有新思路,,到底有沒有價值,?我先拋一個IT行業(yè)的理念,安全是非絕對的,,所以不管前面架多少道墻最終都可以進(jìn)來,,被加密被其他的方式進(jìn)來,但最終總得干壞事,,就要落到終端上就要回歸本質(zhì),,其實在IT領(lǐng)域有一個理念,最終在終端的最后一道防線能夠發(fā)現(xiàn)真正的本質(zhì)在哪里,,所以終端是非常重要的,。
第二個關(guān)于國內(nèi)的情況我們收集一些信息和我們接觸的情況,中國現(xiàn)在是全球網(wǎng)絡(luò)攻擊的最大受害國,,換言之今天不管是作為安全專家還是愛好者還是各個部委的領(lǐng)導(dǎo)去引導(dǎo)整個體系的發(fā)展來說,,對于咱們每一個人來說責(zé)任都是任重而道遠(yuǎn)的。自2011年以來網(wǎng)絡(luò)攻擊增長15倍,,其中30%是針對國家的基礎(chǔ)設(shè)施,,這也是提醒我們的警鐘讓我們更注意。怎么樣的東西做安全會有價值,?說瑞星你是為了給自己說好話,,我拿了第三方也是全球的分析報告分享一下。這個報告叫做全球工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的狀況,首先它的采樣,,已經(jīng)采集了21個國家的數(shù)據(jù)還是有一定的代表性,,另外還有訪談和調(diào)查有359次的訪談,其中有三分之二是中型以上的組織,,尤其是中國人口或者工業(yè)整體的體量還是比較大的,,我覺得也是更接近于現(xiàn)實。它所接觸的人并不是不懂的人或者是占在邊緣上的人也不是,,有一半是最終責(zé)任人,,我相信他應(yīng)該是很關(guān)注這個事情的。
整個的文章不能說研究的非常透徹,,我分享兩個類型的數(shù)據(jù),,第一個認(rèn)知的安全和實際安全的威脅,到底哪一些威脅在工控網(wǎng)絡(luò)安全怎么樣,,做完所有的東西也解決不了所有的安全問題,,我現(xiàn)在做的安全解決方案覺得是現(xiàn)實的問題還得面對,這個不是我編造的數(shù)據(jù),。普通認(rèn)知惡意軟件簡單回顧一下,,之前出現(xiàn)的很多事件,最終被抓出來的還是病毒最終造成破壞,,所以說惡意軟件就會有防火墻中間的管理手段等等協(xié)議的分析,,但是惡意軟件發(fā)現(xiàn)是最終干壞事的本體。第二個是第三方威脅,,第三個外部的蓄意破壞,。實際情況下最終統(tǒng)計出來第一名確實是惡意軟件能夠占到53%,第二名是APT,,APT最終來說也是回歸到最終落地,。第三個內(nèi)部的人為錯誤,這個我覺得對于我們的觸發(fā)也是比較大的,,之前提出人的思想包括之前的專家也提過最終要有人好好的操作,,同樣的道理操作不好人犯錯占的比重也很大。
哪一些手段是有效的,?之前大家的感受實際過程當(dāng)中哪一些是對我們的工控安全是相對有效的措施,?左邊是大家曾經(jīng)認(rèn)知右邊是實際的,實際終端的防惡意軟件占最大的比重67%,,當(dāng)然像咱們國內(nèi)來說普遍性接受的是類似于白名單的方式,,這個我也非常的了解這種機(jī)制。其二很多人說為什么不敢用帶引擎類的防病毒,,當(dāng)然帶引擎類會有另外一種形式存在,,包括前天也有一家公司來和我做交流,,說不敢用我們升不了級,,他說我是內(nèi)網(wǎng)環(huán)境不能升級殺毒軟件用不上,,我一度的懷疑是不是沒有引擎的公司也是嘗試在傳播這個概念?瑞星以做IT為主,,80%是內(nèi)網(wǎng)用戶,,我們做黨政軍包括中辦國辦他們會連互聯(lián)網(wǎng)嗎?難道他們都不升級了嗎,?不是的,。上一次也簡單的談過這個問題,升級不是問題,,包括打補(bǔ)丁也不問題,。但是我們已經(jīng)做了20多年,我最近也接觸了很多現(xiàn)實細(xì)節(jié)的東西更重要或者是一些差異性,。第二個安全意識的培訓(xùn)特別的有效,,我曾經(jīng)個人的理解我認(rèn)為這個是放第一的,包括為什么國家要出臺政策標(biāo)準(zhǔn),,迫使人也要對這個問題特別的重視,,人不重視什么東西都很難做下來,實際比終端占的比重沒有小太多,,國家是有政策的,,不管是網(wǎng)絡(luò)安全法還是等保,人員本身的意識和安全能力的提升非常的重要,,這一點對公共領(lǐng)域來說比IT領(lǐng)域差太多,,IT領(lǐng)域往往是人不夠,很多人有意識但是不夠,,這個我不說具體的單位名稱,,其中有一個單位就說我覆蓋全國也有幾百萬臺的終端,我到一個市級單位的級別上一個人干IT運(yùn)維還得干其他的業(yè)務(wù),,你覺得我干的過來嗎,?但是回頭說工控領(lǐng)域不僅僅是沒人的問題,更多是沒有這方面的意識,。第三個入侵檢測防御也不細(xì)解釋,,給大家感受一下。所以這排前三名的終端安全意識跟防御,,我認(rèn)為安全意識是第一重要的,,有了這個意識后面的東西才能更好的落地下來。
有意識國家出臺什么政策,,之前鄒主任也提到這個問題我也不細(xì)說了,。另外等保2.0鄒主任比較規(guī)范的解釋,我談?wù)勗趺礃永斫膺@個事情,首先提了五大方面,,我把它小的歸納一些哪一些東西是可能做的,,實際上抽取一些新的,比如說剛剛提到的垃圾郵件刻意不去點,,在工控領(lǐng)域用郵件的還是偏少一些,,邊界防護(hù)訪問控制入侵防范惡意代碼防范可信認(rèn)證安全審計,我當(dāng)時也看完可信認(rèn)證現(xiàn)在目前最難操作的確實是可信認(rèn)證,,現(xiàn)在確實有一些單位從軟件的識別,,以前叫證書現(xiàn)在所有人運(yùn)行要求用什么樣的可信機(jī)制,但是網(wǎng)絡(luò)層面怎么樣是有一些困難的,,再一個就是安全審計和可行性驗證還有數(shù)據(jù)保護(hù),,包括數(shù)據(jù)完整性以及加密什么的。再一個還有關(guān)鍵信息隱藏不要求網(wǎng)絡(luò)里面不能看到機(jī)器的信息,,還是要分區(qū)過濾要求把這些區(qū)進(jìn)行保護(hù),,我就說壟斷的稍微提取一下可能認(rèn)為也是干貨。
從我工作的角度或者我考慮的角度怎么樣考慮這個事的,?實際上給大家分享的,。其實這個東西本身是在IT領(lǐng)域里面比較成熟,我現(xiàn)在的這些考慮都是綜合的環(huán)境下我認(rèn)為是有價值的,,大家覺得現(xiàn)在有一些抵觸,,但是最終還是會慢慢完善健全起來的,第二個防病毒惡意代碼防范,,我們認(rèn)為的干貨點里面,,還有放火墻,以前傳統(tǒng)大概的邊界認(rèn)為網(wǎng)絡(luò)與網(wǎng)絡(luò)之間或者機(jī)器與機(jī)器之間建立邊界,,最終包括我們給國家大的部級單位,,重新定義的網(wǎng)絡(luò)邊界防護(hù)是要從終端做的,而不是以前靠純粹的網(wǎng)絡(luò)層怎么劃分都可以,,最終回歸本質(zhì)是加密的網(wǎng)絡(luò)或者怎么樣,。不落地到端上有可能識別不到一些真實的東西來,哪怕是IT領(lǐng)域?qū)τ诩用軅鬏數(shù)鹊炔坏蕉藘?nèi)不可以做不太好或者功能有很大的缺失,,再一個漏洞補(bǔ)丁,,它對應(yīng)也是入鏡防范也有關(guān)系的,再一個行為審計里面包括了訪問控制和安全審計,,再一個資產(chǎn)管理它其實包括的是身份界別和安全審計,,它包括對應(yīng)到等保2.0提到的東西。其中還提到我們要管理,,管理第一個要有集中管控三權(quán)分立,,集中管控前面分操作管理安全管理審計管理,,其實在國家的之前等級保護(hù)約定其實就是三權(quán)分離對各自也有一些相對概括的定義,還有網(wǎng)絡(luò)的支持,,這種網(wǎng)絡(luò)我們對它IPV4,、IPV6更復(fù)雜包括其他的動態(tài),這些現(xiàn)在我們的產(chǎn)品里面或者是現(xiàn)在設(shè)想發(fā)明里面是全部都是支持的,。再一個工程模塊化,,咱們也是按需選用實際的環(huán)境來考慮的,,而且能夠遠(yuǎn)程的動態(tài)裝卸,。
一個國家也一直在提國產(chǎn)管控,這里有必要給引擎來說一說,。第一個我們的引擎現(xiàn)在不光是我們自己用,,我不介意的說現(xiàn)在也有做純工控安全的一些公司,其實他們最終也來用我們的引擎,,后來還有工具箱模式,,外面的審計模式拿一個U盤提什么等保檢查箱最終還是要用引擎,他們現(xiàn)在找到我們?nèi)鹦?,瑞星的引擎到底怎么樣,?可能有一些不太了解我們也總結(jié)一下全面先進(jìn)、高效強(qiáng)悍,。全面什么意思,?我們的識別能力各平臺包括現(xiàn)在的國產(chǎn)平臺,包括展臺外面有做國產(chǎn)的機(jī)器,,我們?nèi)恐С帧?/p>
第二個我們的技術(shù)體系很先進(jìn),,我們在幾年前就用到人工智能的技術(shù)來進(jìn)行識別,平臺支持主流通用國產(chǎn)的都可以,,技術(shù)方向已經(jīng)用人工智能化云化檢測文件混合都可以,,再一個運(yùn)營模式剛剛南開的教授也講到我們做無人化,我們的運(yùn)營已經(jīng)早就做到了95%以上是無人化的運(yùn)營,,高效就是自動無休因為有先進(jìn)能夠達(dá)到高效,,還有普遍的認(rèn)為防病毒引擎指的是攔截已知威脅,其實不是的,,在N年前馬上就有動態(tài)啟發(fā)等等,,本身就能做很多的未知威脅的識別,再加上現(xiàn)在有一些新的行為檢測靠動態(tài)的檢測其實也能處理很多未知的威脅檢測,,像APP就得靠這種,。再一個強(qiáng)悍,識別能力我們是比較自信說我們是全球領(lǐng)先國內(nèi)最強(qiáng),,怎么證明,?這也是前不久5月份做新品發(fā)布會做的圖,,而且當(dāng)時技術(shù)人員說我們是不是不能打其他的友商的名字,最后決定我們就打出來,,我們敢對這個事情負(fù)責(zé)任,,不是我們的數(shù)據(jù)是我們從第三方平臺拿的數(shù)據(jù),瑞星在全球來說我們排的比較靠前,,這個我們排第三,,在國內(nèi)排第一。第二名第二名怎么樣,,之前關(guān)注我們公司的信息很早看到這個圖,,今天再次分享一下,正因為我們有這樣的成績,,前面的能力也好,,最終達(dá)到強(qiáng)悍,所以不管是我們行業(yè)還是工控還是做系統(tǒng)后臺的服務(wù)器他們都來找到我們,,所以我們有能力不光服務(wù)好我們的用戶,,我們幫助我們的朋友怎么樣來一起把這個行業(yè)建設(shè)做的更好。
正因為前面更多是一些理念概念性的東西,,具體我們能做什么樣的東西,?其實很多我們已經(jīng)提出了好幾大模塊,稍微提到我認(rèn)為比較特別一點的,,但是可能偏技術(shù)性有一些不太感興趣,,比如說常規(guī)的就不提了,換言之病毒的掃描檢測不僅僅是拿一個引擎去掃就OK的,,我們有很多新的技術(shù),,不是單一的平臺檢測匹配。特別的技術(shù)比如說變頻查殺這個也是很有用的,,大家擔(dān)心我們的東西對它的資源占有很高,,如果有時間分享一下前天和人家交流的特別敏感,包括綠色殺毒裝不了怎么辦,,我們做成綠色盤去廠家使用,,甚至有廠家想買我們的U盤殺毒不賣給他,因為發(fā)現(xiàn)有一些機(jī)器不能裝的,,但是他又要想發(fā)現(xiàn),,我們的產(chǎn)品帶了隨便做出來不用買,他們就說你們能不能賣我?guī)讉€,,再一個防勒索特別的重要,,我們有更好的防勒索的方案。
勒索掃描功能也是比較完善的,,其中提一點同樣的內(nèi)網(wǎng)環(huán)境我們依然能夠幫助大家比較快速高效把補(bǔ)丁打下去,,這個問題不要因為是內(nèi)網(wǎng)環(huán)境就覺得是不可行的,,包括驗證組我可以先驗證一下再全網(wǎng)實施推廣怎么樣。放火墻的功能本身做的邊界入侵防御等等,,本身我們做了九大類的上網(wǎng)防護(hù)聯(lián)網(wǎng)防護(hù)還做了管理類的功能,,其中具體的比如說做行為控制規(guī)則,這個就能做到訪問工作邊界的管理,,以及自定義黑白名單等等,。網(wǎng)絡(luò)準(zhǔn)入本身的端內(nèi)發(fā)現(xiàn)它已經(jīng)達(dá)到了一定的危險級別,我們就讓這個端不能夠去聯(lián)網(wǎng),,剛剛提的之前怎么樣,?我們控制在一個小的網(wǎng)絡(luò)范圍里面,但其實在網(wǎng)絡(luò)范圍里面還能夠傳染的,,我們能夠做到終端級別,,這個終端達(dá)到什么樣的威脅讓它感染不上,。再一個審計可能有一些不同行業(yè)環(huán)境,,有一些重視有一些不是很重視,如果是U盤口或者是操作站其實還是挺重要的,,我們在外設(shè)的管控上面和U盤的管控或者是非法網(wǎng)絡(luò)上面我們現(xiàn)在做的也是非常深入,,已經(jīng)有很多的用戶在使用我們這種功能,這個是把U盤的準(zhǔn)入使用記錄準(zhǔn)入的分組智能設(shè)備識別已經(jīng)做的是很好了,。
資產(chǎn)管理要能夠探測資產(chǎn)信息,,本身裝的軟件情況,以及機(jī)器本身的性能情況,,包括后續(xù)的分發(fā)等等,,資產(chǎn)管理功能也是在里面有的。另外一個剛剛我提了一句,,我覺得從長遠(yuǎn)來看我認(rèn)為工控領(lǐng)域很多東西還是要國產(chǎn)化的,,至少我們目前的國產(chǎn)化領(lǐng)域上首先是非國產(chǎn)化通用的操作系統(tǒng),再一個國產(chǎn)的平臺芯片上面龍芯,、兆芯全都支持,,另外有的廠擔(dān)心設(shè)備,瑞星不管從引擎層到產(chǎn)品層全都是支持的,,操作系統(tǒng)什么中標(biāo)麒麟等等我都全部支持的,,再還有國產(chǎn)數(shù)據(jù)庫不是每一個系統(tǒng)都會關(guān)心,但是我們也是全支持什么達(dá)夢,、神通,、南大通用,國家是強(qiáng)制規(guī)定一定不允許使用別的,,我們都把路走開了,。
集中管控是怎么考慮的,?第一個我特別提出來就是可運(yùn)維,以前的東西放到那里不太可運(yùn)維,,最終什么效果也不好,,怎么做到可運(yùn)維可管理,點比較多第一個分區(qū),,可運(yùn)維要做到自動化,,人不夠,人的意識形態(tài)沒上升,,我能做到自動化的運(yùn)維,。再一個安全檢測要加白名單模式,白名單模式是有效的,,但是它對于一些新進(jìn)來的東西更新也比較麻煩,,或者進(jìn)來的東西難道就不帶威脅嗎?我們用這個業(yè)務(wù)系統(tǒng)一個新版本進(jìn)來了,,新版本是不是就能說已經(jīng)帶病毒進(jìn)來了,,我覺得你們很多人比我的感受跟深,至少我碰到好幾個用戶,,我們沒辦法,,我們開發(fā)就帶病毒,分發(fā)給用戶就是帶病毒進(jìn)去的,,難道我們就沒有辦法嗎,?加入白名單我們就認(rèn)為它是白了?我認(rèn)為白名單模式是很有必要的,,但是在它的前面還是要經(jīng)過安全檢測的,,這里面話題可以很多,后面會把分區(qū)檢測給大家試一下,,我構(gòu)思的也會把以后的體系怎么樣來建設(shè),。在入侵防御防控再一個EDR,其實EDR不只是在IT領(lǐng)域OT領(lǐng)域上也是有效的,。再就是情報支持?jǐn)?shù)據(jù)分析未知發(fā)現(xiàn),,這個大家可能會聽過安全大腦的概念,這個東西會比態(tài)勢感知再往前一步的東西,,大家以后可以會慢慢的感受到,,我今天說的情報就是數(shù)據(jù)分析,安全大腦下一步的概念東西會相關(guān)聯(lián),,這個終端防控體系怎么樣的分層,,他們是管理體系本身也奧進(jìn)行一級二級,這里不非常的細(xì)講了,,之前看過架構(gòu)的體系,。所以怎么樣做出服務(wù)器怎么做處理,,中間再加放火墻怎么樣,但是本身要分級管理的,,其中有一個帶寬只有兩兆大小業(yè)務(wù)系統(tǒng)已經(jīng)用了90%,,你們上其他的系統(tǒng)我要過等保4.0我必須上,我上了之后本身要采集日志,,采集日志可能業(yè)務(wù)就不行了,,怎么辦?物理層面規(guī)劃層面包括限速上面我們確實都已經(jīng)有所考慮的,,兩兆帶寬還是單臺機(jī)器是一個環(huán)線上面N臺機(jī)器可以共享兩兆帶寬,。最后分享一下這個圖分區(qū)管理可運(yùn)維自動化。
這個我認(rèn)為做終端做安全不是終端也是可參考可借鑒可探討,,第一個分區(qū),,這個區(qū)不是指用戶的業(yè)務(wù)區(qū),甚至是我們作為安全體系來說分為三大區(qū)域,,第一個導(dǎo)入學(xué)習(xí)區(qū),,第二個叫測試觀察區(qū),第三個叫生產(chǎn)運(yùn)營區(qū),,我們要進(jìn)任何新的東西任何體系進(jìn)行首先要進(jìn)入學(xué)習(xí)區(qū)或者我要檢測先跑一遍,,我再看怎么樣,,再一個就是我們要看錄完這個東西是不是真的能夠跑的怎么樣,,所以這個是觀察區(qū)要測試,然后再自動到生產(chǎn)運(yùn)營區(qū)這個東西最好是不用人工參與,,但是適當(dāng)?shù)娜斯⑴c是要的,。這個設(shè)備和安全產(chǎn)品放在那不動就自動的把它運(yùn)轉(zhuǎn)起來的,所以這個是分區(qū)可維護(hù)自動化的概念,,我們?nèi)鹦求w系也會按照這個思路和模式去做,。