大安全時代面臨新威脅大挑戰(zhàn),,記錄2017防御的點(diǎn)滴回顧
發(fā)布時間:2018-01-15360首席安全官譚曉生在2016年的中國互聯(lián)網(wǎng)安全大會上發(fā)表了題為《我有病,你有藥嗎,?》的主題演講,,他談到如果把互聯(lián)網(wǎng)安全比做一場戰(zhàn)爭,,破解人員和信息安全工程師便分為攻防兩方。作為漏洞挖掘人才因?yàn)轱@而易見的成績?nèi)菀妆蝗藗兯懹?,而防守型人才的則很難被關(guān)注到,。在360公司,就有一支這樣的防御型隊(duì)伍,,他們7*24小時保障著公司的安全穩(wěn)定運(yùn)行,。
360信息安全部成立于2007年,成立之初主要是防御黑客的攻擊,,走過十個年頭,,隨著公司業(yè)務(wù)的不斷擴(kuò)大,信息安全部被賦予了更多的責(zé)任,。
一,、公司業(yè)務(wù)時刻面臨威脅入侵,我們該如何超前防御,?
360在早期也曾購買過一些安全產(chǎn)品,,用于發(fā)現(xiàn)安全威脅,但最后發(fā)現(xiàn)并不好用,。無奈之下,,就開始自己搞,以至于后來很多人都說360信息安全部自帶孵化氣質(zhì),,不僅孵化了很多好用的安全工具,,還培養(yǎng)了很多明星安全團(tuán)隊(duì)及安全研究員。接下來,,就為大家介紹兩款比較成熟的安全掃描工具,。
1. 天相-web安全服務(wù)
面臨威脅入侵,我們該如何超前防御,?天相是一款基于360后端大數(shù)據(jù)系統(tǒng)獲取的漏洞樣本,,主動探測用戶暴露出來的服務(wù)風(fēng)險,同時支持資產(chǎn)信息和漏洞的掃描,,曾入選2015年blackhat軍火庫,。他可以結(jié)合多維度的大數(shù)據(jù)和資深安全人員的經(jīng)驗(yàn),探知資產(chǎn)邊界,,甚至是連運(yùn)維都不明確的資產(chǎn),,并結(jié)合多種手段深度檢測資產(chǎn)潛在的風(fēng)險。通過天相對資產(chǎn)進(jìn)行探知和安全檢測,,可以實(shí)時發(fā)現(xiàn)潛在的威脅,,明確資產(chǎn)安全狀態(tài),,知己知彼,百戰(zhàn)不殆,,通過預(yù)先檢測的方式,,我們可以應(yīng)對大部分安全威脅。
2. 顯危鏡-app安全服務(wù)
我們要求產(chǎn)品在發(fā)版上線前,,必須經(jīng)過信息安全部的安全審核,,審核不通過,產(chǎn)品就不能上線,,但是360公司有上百款A(yù)PP,,光是檢測就要花費(fèi)大量的人力和精力。在這種情況下,,負(fù)責(zé)移動安全的同事就整出一個叫“360顯危鏡”是一款A(yù)ndroid應(yīng)用漏洞掃描平臺,,它集成在產(chǎn)品軟件生命周期的安全服務(wù),針對應(yīng)用匯編代碼的靜態(tài)安全掃描及動態(tài)分析的方式進(jìn)行漏洞測試,,使得漏洞測試更加精準(zhǔn),,目前涵蓋了幾十種常見類型的安全風(fēng)險檢測和導(dǎo)出組件,嵌入于產(chǎn)品上線前的安全審核流程,,進(jìn)行自動化漏洞掃描,,可以幫助業(yè)務(wù)自行進(jìn)行安全測試,,快速定位漏洞細(xì)節(jié),,對產(chǎn)品提供安全風(fēng)險評估和修復(fù)建議,實(shí)現(xiàn)APP應(yīng)用的安全管理?,F(xiàn)在這個平臺已經(jīng)開放給所有的業(yè)務(wù)團(tuán)隊(duì),,通過這個平臺他們先進(jìn)行自檢,自查不到問題后,,再到我們這里進(jìn)行代碼層的安全審核,,這樣在最大限度保障產(chǎn)品安全性的同時,也提高了產(chǎn)品上線的時間,。
二 企業(yè)內(nèi)部安全風(fēng)險無處不在,,我們該如何應(yīng)對挑戰(zhàn)?
即使再完善的系統(tǒng),,再嚴(yán)苛的條例對行為進(jìn)行約束,,仍然可能因?yàn)槿说囊蛩兀兂勺畲蟮穆┒?,被黑客攻擊?017年7月,,我們聯(lián)合無線電安全研究部在公司內(nèi)部搞了一次釣魚演習(xí)活動。利用誘人的“一元兌換星爸爸”活動標(biāo)題,,在不到一個小時的時間里,,有80多位同事中招,,在釣魚頁面輸入了自己的郵箱信息。
這次活動的目的是為了讓公司內(nèi)的同事切身感受到公共WiFi熱點(diǎn)的危險性,。如果是不懷好意的黑客,,他策劃的會更加逼真,在企業(yè)周圍建立釣魚WiFi,,利用一個完整的情景騙局讓大家放下防備(可能大家也根本沒有防備),,以此來獲取各位的敏感信息及域賬號等,再利用真實(shí)的賬號連入企業(yè)網(wǎng)絡(luò),。這時候,,他就可以如入無人之境,你和公司的敏感信息就這樣泄露出去了,,給公司帶來不可估量的損失,。
這次釣魚測試,也讓我們深深的反思,,公司明確的規(guī)定:禁止在辦公區(qū)域連接非內(nèi)部熱點(diǎn),,避免因連入釣魚WiFi導(dǎo)致域賬戶密碼及個人信息泄露的泄露。但這冷冰冰的安全條例,,很少會有人主動的去看,,所以在2017年,我們在推廣信息安全條例方面花了很多心思,,比如將條例與星座相結(jié)合制成卡貼,、明信片、制成漫畫通過海報(bào),、電子屏,、郵件同事不斷的向員工滲透,希望能提高所有同事的信息安全意識,。
三,、做好日常安全運(yùn)營,與黑客賽跑從容面對“想哭”
2017年5月12日,,“WannyCry”勒索蠕蟲病毒瞬時爆發(fā),,傳播速度之快,造成影響之大,,來勢兇猛令人乍舌,。但在這場這場“史無前例”的網(wǎng)絡(luò)災(zāi)難面前,我們交出了集團(tuán)內(nèi)部機(jī)器“零”感染的完美答卷,。
“WannyCry”遠(yuǎn)遠(yuǎn)沒有普通人想象的那么高深莫測,,“WannyCry”只是利用了一個“影子經(jīng)紀(jì)人”黑客組織放出的“永恒之藍(lán)”漏洞,才讓他有了如此強(qiáng)大的破壞力能力。如果WannyCry是一顆可以爆炸的彈頭的話,,那“永恒之藍(lán)”,,就是能載著這顆彈頭飛往任何地方搞破壞的火箭。
其實(shí),,影子經(jīng)紀(jì)人公開發(fā)布出“永恒之藍(lán)”漏洞之前,,微軟就已經(jīng)對當(dāng)前流行的Windows版本的發(fā)布了補(bǔ)丁。只要動動手指,,安裝上微軟的補(bǔ)丁,,就可以將“WannyCry”阻擋在大門之外。那個時候是2017年3月14日,。距離WannyCry爆發(fā)還有58天,。
360集團(tuán)信息安全部從2016年就一直在跟進(jìn)影子經(jīng)紀(jì)人黑客組織的一舉一動,在微軟官方放出補(bǔ)丁的第一時間,,信息安全部網(wǎng)絡(luò)安全團(tuán)隊(duì),,就協(xié)同天擎團(tuán)隊(duì),對公司所有辦公電腦進(jìn)行了靜默補(bǔ)丁安裝,。但微軟系統(tǒng)永遠(yuǎn)都有不盡人意的地方,,部分版本老舊,管理終端覆蓋不到的個別終端,,只能通過自己手動安裝補(bǔ)丁的方式來進(jìn)行補(bǔ)丁安裝,。對于非技術(shù)崗位的同事,我們提供了連小學(xué)生都能看懂的“補(bǔ)丁攻略”,,保證絕對的“零”風(fēng)險點(diǎn),。那個時候還沒有“WannyCry”,信息安全部僅靠著靈敏的嗅覺,,和對安全的“執(zhí)著”,,強(qiáng)迫癥一樣的修復(fù)著“永恒之藍(lán)”漏洞,。
不僅僅是靈敏的嗅覺和執(zhí)著,,一雙鋒利的“眼睛”也是抵御“WannyCry”的必要利器。360信息安全部的威脅檢測平臺,,在這次防御行動中,,也起到了至關(guān)重要的作用。在5月12日病毒爆發(fā)后,,拿到樣本的第一時間,,根據(jù)樣本特征在信息安全部的威脅檢測平臺上配置了相應(yīng)檢測條件,避免有個別“漏網(wǎng)之魚”,。在病毒爆發(fā)后5個月,,依然第一時間檢測出了幾起從分支辦公區(qū)試圖感染內(nèi)部的威脅行為。
但一雙鋒利的“眼睛”還不夠,還要有一個強(qiáng)有力的拳頭,。信息安全部還有一個重量級武器“降云”系統(tǒng),,在未知終端發(fā)起攻擊時,無法第一時間定位到的位置情況下,,可以第一時間切斷該終端的網(wǎng)絡(luò)通路,,把敵人蒙在鼓里,讓他無法為非作歹,。
敏感的嗅覺,,鋒利的眼睛,強(qiáng)有力的拳頭,,正是因?yàn)?60信息安全部擁有這樣的網(wǎng)絡(luò)安全防御體系,,才能在“WannyCry”全球肆虐的時候從容的應(yīng)對。
四,、構(gòu)建安全共同體
這是一個萬物皆可破的世界,,誰也不敢說自己的系統(tǒng)是絕對安全的,我們能做的就是在黑客之前發(fā)現(xiàn)每一個安全威脅,,然后在被利用之前封堵掉,。2012年,我們推出了漏洞獎勵機(jī)制,是國內(nèi)第一家為白帽子提供現(xiàn)金獎勵的企業(yè),。2013年360SRC正式成立,,迄今已有上千名白帽子加入360SRC。
在360SRC三周年慶典上,,老周為黑客精神正名,,他說:“人才是網(wǎng)絡(luò)安全的核心因素”,黑客這個詞在社會上存在很多誤解,,其實(shí)真正的黑客是熱愛技術(shù),、追求突破的一群人。白帽子幫助企業(yè)發(fā)現(xiàn)漏洞,,為網(wǎng)絡(luò)安全做出很大貢獻(xiàn),,這類人才應(yīng)該受到國家和企業(yè)的重視。360一直注重對安全人才的培養(yǎng),,除了招攬安全人才加入360以外,,360還通過各種比賽和項(xiàng)目吸引年輕人,鼓勵他們把黑客技術(shù)運(yùn)用在網(wǎng)絡(luò)安全建設(shè)上,。2016年360SRC一共發(fā)出上百萬元獎金,,白帽黑客已經(jīng)成為360安全力量的重要補(bǔ)充。
2017年2月,,我們對外發(fā)布了360 IoT安全守護(hù)計(jì)劃,,把公司旗下硬件新品第一時間免費(fèi)提供給知名黑客團(tuán)隊(duì)和安全專家進(jìn)行測試,,如果發(fā)現(xiàn)嚴(yán)重漏洞將獲得單筆最高36萬元的現(xiàn)金獎勵。在運(yùn)營的過程中,,通過IoT安全技術(shù)課堂和48小時黑客馬拉松破解大獎賽的形式吸引相關(guān)人才加入,,另外希望通過我們的技術(shù)分享,能夠幫助他們提高技術(shù)能力,。促進(jìn)整個行業(yè)的向上發(fā)展,。
向外拓展,協(xié)同外部的力量幫助我們提高360產(chǎn)品的安全性,。而360本身就是一家安全互聯(lián)網(wǎng)公司,,和其他企業(yè)不同的是,在360公司內(nèi)部有大批安全工程師,、研究員,,如何調(diào)動這部分同事的積極性,讓他們也加入到公司的安全運(yùn)營中呢,?2017年8月底,,我們在公司內(nèi)部發(fā)起了“360為愛守護(hù)計(jì)劃”,鼓勵公司內(nèi)部的同事在發(fā)現(xiàn)與公司相關(guān)業(yè)務(wù)的漏洞或威脅情報(bào)的時候報(bào)告給我們,,我們將依據(jù)SRC漏洞評估標(biāo)準(zhǔn)進(jìn)行估價,,然后將這部分費(fèi)用捐贈給公益項(xiàng)目。12月底,,我們將第一筆公益基金捐給了甘南藏族自治州夏河縣的牙利吉鄉(xiāng)辦事處中心幼兒園的孩子們,。
安全面前,沒有旁觀者,,通過這樣的內(nèi)外聯(lián)動,,為我們的防護(hù)體系又多加了一層保護(hù)罩。
五,、能力越大責(zé)任越大
經(jīng)過幾年的發(fā)展,,360信息安全部已經(jīng)形成一套自己的安全防御體系,并且積累了豐富的安全運(yùn)營和對突發(fā)安全事件應(yīng)急處理經(jīng)驗(yàn),。所以,,在2017年也對外提供了很多安全服務(wù)支持工作。例如了承擔(dān)“一帶一路”國際合作高峰論壇注冊系統(tǒng)安全保障工作,,由于會議規(guī)格高,,我們在時間緊,任務(wù)重的情況下,,圓滿完成任務(wù),受到上級主管部門的肯定和表揚(yáng),;圓滿完成黨的“十九大”網(wǎng)絡(luò)安全保障工作,。負(fù)責(zé)網(wǎng)絡(luò)空間協(xié)會官方網(wǎng)站安全保障工作,從網(wǎng)站上線前的滲透測試到漏洞挖掘,將安全隱患消滅在上線之前,,保障了協(xié)會工作的順利正常開展,;與北京市公安局合作,共同開展防范電信網(wǎng)絡(luò)詐騙犯罪研究,,共同打擊治理電信網(wǎng)絡(luò)違法犯罪,,提升防范效能,維護(hù)網(wǎng)絡(luò)安全,。發(fā)現(xiàn)及破解仿冒最高人民檢察院網(wǎng)頁298個,,假冒公安部網(wǎng)頁159個,手機(jī)木馬控制端服務(wù)器11個,,VOS線路服務(wù)器15個獲取話單16.4萬余條,,在假冒網(wǎng)頁發(fā)現(xiàn)臺灣犯罪嫌疑人大量登陸IP,成功攔截被騙北京事主383個,,攔截金額2230萬元,。與深圳警方深度合作,打擊新型電信詐騙,,僅用2周的時間就破獲一起跨境電信詐騙案,,并將犯罪嫌疑人抓捕歸案。
360信息安全部追求極致的安全,,即使危害再小,,我們也認(rèn)為這是有意義的。細(xì)節(jié)決定成敗,,當(dāng)細(xì)節(jié)做到極致時,,產(chǎn)品安全,企業(yè)安全才能達(dá)到新的高度,。(來源:中國信息產(chǎn)業(yè)網(wǎng))
