你好,游客 登录 注册 搜索
背景:
阅读新闻

林凯——精准大数据时代的无缝安全

[日期:2014-05-09] 来源:ZDNet安全频道  作者: [字体: ]

  现在还有大数据也是越来越热,每个人都在讲大数据,在大数据时代,我们的信息安全应该如何保障,金山安全助理总裁林凯便以《精准大数据时代的无缝安全》为题与大家进行了深入的探讨。现场文字整理如下:

  我刚才听了前两位专家的介绍,我临时改变了一下我的议题。大家今天听了一天的恐怖故事了,这些高大上的攻击案例,我不在这儿重复了。这些也是一些数据统计。

  我主要提刚才张先生提到的赛马铁科的VP提到了,传统的杀毒软件对于安防的效果大约有42%左右。这个数据我承认,并且我们的支持结果和这个相距不多。传统的安防软件在系统中地位和它采用的基础逻辑都存在着固有的缺陷,所以在某些情况下,我们的测试效果还不到42%。所以,我决定临时改变一下我要谈的话题,我们不谈大数据、虚拟化这些高大上的问题,咱们谈一谈我们怎么把42%提高到92%,或者提高到98%。到底有没有技术,或者有没有相应的案例来支撑这样的技术,来提升恶意软件探测和防范的水平。

  首先这个空白的图,上面什么都没有,这是传统的企业办公网的环境。在这个网络中,基本上会有防火墙、杀毒软件,这是两样必备的东西,只要有这种办公网络,都会有这两样基础设施。

  但是,这种东西对于熟练的黑客来讲几乎算不上障碍,可以很轻易地绕过,所以大家发明了一系列的UTM、APS、ATS授权认证系统这一类的东西来加固它。但是在实际案例的调研中,大家知道网络是一个很大的词,刚才张先生也讲了,万物互联,这个词我觉得很精确。这个网络是大家常用的网络,基本上我们将网络分为几种。一种就是大家的办公网,你每天在办公室里面接触到的。还有生产网或者业务网。什么叫生产网络,例如说铁路的信号调度系统,电力的自动化调度系统,还有航空管制的调度系统,这种东西我们叫它专用的业务网络。专用的业务网络中还有一类比较特殊的就是自动化生产线的控制系统,比如说商业机、数据采集机,自动化的生产流程等等这样的系统。还有一类网络就是军事和机密网络,比如无人机的调度系统,比如导弹防御系统,这一类就更特殊的一种网络了。

  这些网络大家平时接触得不多,就金山对某些,除了军事网络,对某些网络进行安全的摸底调查来看,在这些网络中要么没有杀毒软件,不叫杀毒软件了,今天大家换一个新名词,我们叫做恶意代码处理系统,要么没有恶意代码的防范或者处理系统,要么就使用探测率只有42%左右的传统安防软件。这个情况还是比较恶劣的。办公的场所都会安装传统的杀毒软件,虽然它的探测率不高。

  在特定的环境领域中,基本上没有这一类安防软件的。所以,就我的眼光来看,防病毒技术应该属于一个基础技术,这个技术可以被用在更多的安全领域中,而不仅仅是个人版的电脑或者是办公电脑,不是这样一个概念,希望大家能展开了去想整个的,只要有文件落地的地方,只要有操作系统的地方,只要有数据传输的地方,这些地方都需要防恶意代码技术的相关应用。

  左侧这个图在通常的安全架构中,有防火墙和传统杀毒软件,实际上,它对于恶意代码或者高级恶意代码防范的能力,就我们的实际测试结果还不到42%的水平。金山也碰到了很多案例,在对大客户进行安全服务过程中,发生了很多被突破的案例,我们就想有没有什么办法将42%的水平进一步进行提升,让它变成能够给用户提供更完善保障的这么一套系统。

  经过云数据时代,或者大数据时代,我们找到了一种方法。今天跟大家介绍一下这种方法的原理和它的实际效果。

  右上方这个图是我们后台的平台数据库,这个数据库里面有过亿的指纹,这些指纹可以认为是MD5的散列值,这些指纹分为两个部分,一个是黑的,一个是白的。传统的恶意代码安全软件只有黑的,但是我们黑和白文件同时做了搜集,并且这个数据库非常大。

  怎么用这样大的两个数据库为用户提供更好的安全防护效果,右下方这个图了。原理很简单,复杂的东西,大家如果把它简化,对用户来讲是一个好事情。经常我会说产品经理提供的产品太复杂,用户根本就看不懂要干吗,或者他要经过长时间的专业培训。这一点,对用户来说,使用是一种很痛苦的事情。

  所以,这个原理我简化地讲一下,很简单。我们同时用黑的文件和白文件的两个指纹库对能够收取到的数据源进行双向过滤。也就是说,任何一个文件的数据来源,我们一定要知道是落在白库里面还是黑库里面,落在黑库里面不用说了,那是我们鉴别的有问题的东西。落在白库里面也OK,那是我们鉴别的安全的东西。

  大家可以看到右下方安全的区域图,一定有一些文件落在这边的区域中,这个文件在互联网上没有看到过,在其他人的电脑里也没有看到过,这个文件到底是什么样的。所以,我们做的第一步就是使用黑白双向过滤,将未知的文件挑出来,这个很简单。

  做的第二步也不难,我们将挑出来的文件送入到后台的一个动态鉴定分析系统里去,这个动态鉴定分析系统会主动调用这个文件,在一个大的虚拟化平台上看一下这个程序在运行过程中,或者这个DLL(谐音)在被调用的入口点都干了什么,这些事情是合法的还是非法的,是具有风险的,还是完全没有问题的,并且将这个结果再返回到黑白的两个库里面去。

  整个的逻辑就是这么简单,大家可以看一下,对比传统的杀毒软件,它走的是右边的逻辑处理线路我给你一个PKI库,你扫描一下主机,如果没有落在黑库里面就算安全。

  对于某些特定领域中,选择的是最左边这条路,比如我银行的ATM的取款机,我只允许特定的程序在上面运行,其他程序一律干掉,这是最左边的事情。那么将两者结合起来,再匹配上动态鉴定的分析器,我们就可以抓出来有哪些是潜伏在网络中,并且可能会存在问题的。

  使用这套系统以后,我们测试了一下,可以将恶意代码的探测率由42%提高到98.7%这个水平。这是通过样本来测试的,大家会问我,有一个我整的。这是通过样本测试得到的一个综合结果。

  所以,这种系统虽然比防病毒系统复杂一些,但是由于有了后台的两个大的数据库支撑和动态的鉴定分析系统的支撑,所以它的分析识别和鉴别能力要远高于传统杀毒软件。

  我们看一下我们做的一些依据于这个逻辑实现的产品。

  第一个,我们叫一体化安全平台。这个东西实际上和邮件网关、邮件服务器,或者是防火墙之类的设备进行灵动的,它里边就包括前面所讲到的两个黑白大数据库,以及动态鉴定分析平台,数据源可以由外部进行提供。这个一体化平台可以跟网关的设备进行联动,也可以和邮件服务器进行联动,也可以和专用的比如NAS服务器,比如有些业务邮件的转储进行联动。通常提到杀毒,大家都想到桌面版的杀毒软件。但是金山的杀毒软件是包含两个盒子,里面有两个数据库和数据平台,能够为用户提供完整的动态鉴别和杀毒能力,它里面可以包含银行的系统,等于是一个外挂的安全盒子。

  这个平台我们集中搜集了一个亿的文件,因为大家知道,金山是一家向互联网转型的安全公司,所以我们在网络上以及和我们的合作伙伴之间有相关的数据信息的交互以及交换,所以我们有能力搜集到足够大量的数据库,来做黑和白的鉴定。并且,我们也搜集了超过八千万的病毒特征码,这一点,对于纯黑文件的探测是非常准确的,基本上目前我们可以达到99.7%,对于黑文件的探测能力。再加上黑白双向过滤找出未知,并将未知进行动态分析的技术,联动在一起,可以使你整个网络对于恶意代码防范的水平远高于通用的杀毒软件。

  我们开始做了这样一款一体化的平台,但是用户的需求总是在推动这个产品的进步,用户就问我,我找到了未知文件,我也在未知文件中找到了黑色的代码,不安全的代码。我的问题接着来了,请告诉我这些代码是从哪儿来的,怎么进入我的网络,目前都分布在我哪些主机上,它们的活动范围是什么样的,每天几点被调用,能不能进行逐个统一的查杀。

  大家知道,这种活就不属于网关类设备干的事情了。后来我们就专门为这一套鉴定化平台,开发了桌面版的控制系统,整个合起来叫做私有云安全系统,它相当于在系统内部按照云计算系统建立了安全云,每当客户端有新数据产生的时候,就会向安全云报告,整个系统是一个联合的桌面控制端进行联动的高级的威胁防范系统。

  这个系统曾经有一个大型网络的网管问我,我每天都看杀毒软件曝出来很多日志,大概每天有三千多条,他问我这是不是事实的全部。这其实也是我们准备做私有云系统之前的一个重要的产品积淀,就是由他这句话来的。他的这个问题挺有意思,仔细去深想,哲学意义是比较大的。因为杀毒软件只曝我认识的黑色文件和不安全的,但这些是不是事实的全部,这就促使我们去开发这样的黑白双向匹配,加上动态鉴定系统来告诉他事实的全部到底是什么。每一个文件是怎么进入你的网络了,都分布在哪些主机上,被谁调用了,然后被调用的次数是什么样的,几点要用的,安全不安全。这些是事实的全部。

  通过对它的网络进行重新扫描,大家注意,在对比有杀毒软件的情况下,没有要求他卸载杀毒软件,而是同时存在的情况下,用新的系统、新的逻辑对它的网络所有文件进行了重新扫描以后,发现25%的主机上是有问题的,这个比率是相当可观的,原来他以为只是病毒的事情,但是他思考没想到,进行这样严密的过滤,发现它整个网络中有上万台的机器实际上是有问题的,问题多种多样,比如老旧的密码是一种,新兴的密码是一种,APT攻击是一种,有效的恶意代码和后门又是一种。分析出来以后的结果就是这样的。

  所以,采用云端平台化的鉴定系统和黑白双向过滤系统,加上终端控制软件,我们可以打幅度地提高通常网络中的安全性,而且它是要远高于通用的杀毒软件采用的纯黑名单的这种方式。这个就是私有云系统对于内网我们所做的黑、白、灰、高危的统计图,并且它能追踪出来哪一台机器中出来的一个新的样本,这个样本在所有机器中是怎么流转传播的?

  前面这两个系统适合大型网络或者对于安全需求较高的网络用来替代或者提升它的网络恶意代码的防范水平。我们就想相关的技术和产品,能否用于低端一些的用户身上也提高他们对这个的防范能力。

  这个就是后来我们将黑白双向过滤,内部的私有云匹配系统和外部的金山大的安全云匹配系统联动的一个混合云的方式。因为对于某些中小用户来说,它可能没有财力或者专门的人力去分析恶意代码,也没有专门的时间去看这个问题,去每天进行恶意文件的追踪等等的,这是一个安全运维的系统去做的事情。对中小企业的TEAM没有办法这么干,我们就开发出来针对中小企业版本的更高级的安全防护主机软件,不等同于一般的杀毒软件,尤其我们在V8.0系统中,引用了边界系统以后,任何文件在任何地方进入你的被管空间,它都会触发后面的黑白扫描,以及跟公有系统进行黑白扫描等事情。我们让用户的杀毒能力不是几十兆的病毒库,而是让用户享用内网定义的安全云以及金山提供的安全大云的方式。并且,我们通过大的云端和小的终端这样的技术优化,将终端本地化的作用非常小,更有利于用户使用和管理。

  前面张先生所讲的42%的事情,只要你看新浪科技版新闻的人都会看到的一个新闻。这其实也给杀毒厂家、恶意代码处理的厂家提了一个警告,是时候我们应该利用互联网技术、利用云计算技术、利用我们所能利用的一切先进技术改变这个行业的时候。如果你不做这方面的改变,不去提升你的杀毒的效果,安全防范的效果,迟早有一天用户和市场会给你一个不好的结果。还好,通过我们将近四年的一个实践过程,我们现在能够利用云技术,黑白双向过滤技术已经超过了传统的黑名单杀毒技术,我们能够给用户提供更好的文件类的安全防范的基础能力。





收藏 推荐 打印 | 录入:elainebo | 阅读:
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数
点评:
       
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款