有利益的地方就有纷争。
古代各国之间互相征讨、攻城拔寨,争的是土地和控制权;当下网络世界黑客传播木马、勒索攻击,夺的是价值趋高的数字资产。
根据各大机构发布的网络安全报告,后者虽不见硝烟,但战况之激烈丝毫不亚于前者。且随着数据时代和云时代的到来,金融、零售乃至政务各行各业纷纷上云,趋势只会更甚不会减轻。
不久的将来,一朵云的安全与否可能将会与战事胜败一样直接关系国运民祉。
基于经验,要打胜仗,防御需固若金汤,将士需骁勇善战,当朝还需赢得民心。之于网络与云安全,各家打法不同,目前业界似乎还尚未有标准答案。但有一点可以确定,大家都在向着共同的目标进发。
文:熊出墨请注意
安全领域无小事
2019年5月,易到用车成立九周年之际,黑客送来一份“大礼”。
从5月25日夜间开始,持续到26日凌晨,“服务器遭到连续攻击,核心服务器被入侵,攻击导致易到核心数据被加密,服务器宕机,绝大部分服务功能受到波及”,攻击最终目的是“向易到勒索巨额比特币”,@易到用车 官微表示“已向北京网警中心报案”。
无车可用、无法定位、客服失联,投诉接踵而至,随之引发的还有用户恐慌以及信任危机。相关微博下有用户将此前车主无法提现一事搬出,称25日是约定提现期限的最后一天,此时被黑客攻击,“不管是巧合还是刻意,我就静静看戏”。
“黑客造成的破坏巨大,要完全恢复正常,还需要时间”,直到6月13日,@易到用车 才再次发文“服务已恢复正常”,并对用户给出打车单单8折的补偿方案。
放眼业界,与易到一样因安全防御能力缺失而遭勒索的企业每年都有许多,只不过对于这种“家丑”部分企业并不愿意外扬。
腾讯安全专家李铁军向熊出墨讲述了一则江湖传闻,国内一家知名建筑设计公司,员工规模在万人以上,一夜之间全国各地的网络整体瘫痪。出售给客户的图纸等重要资产全部被加密,“估计损失上亿”。
“圈子里面都知道,但没有对外说,(因为)不太好意思”,李铁军表示。WannaCry事件爆发之后,勒索病毒这两年受到了高度关注。实际上,除了勒索病毒以外,最近几年各种各样的“高级持续性攻击”(APT攻击)越来越多,往往是攻击者针对特定的企业或行业进行精心策划以后实施的攻击,方法错综复杂,常常会导致严重的数据泄露,甚至是企业核心业务受损。
2019年3月,全球最大铝制品生产商之一的Norsk Hydro遭遇攻击,被迫关闭多条自动化生产线,全球铝制品交易市场震荡;6月,全球最大飞机零件供应商ASCO遭遇攻击,约1000名工人停工,四国工厂被迫停产;10月,全球知名航运和电商企业Pitney Bowes遭受攻击,超九成财富全球500强合作企业受波及......
安全领域无小事。不仅如此,尤其随着AI、物联网以及云计算等新技术的发展,传统产业数字化进行持续深化,在驱动产业发展机遇的同时,也带来了更为严峻的安全挑战。
举个简单的例子,指数级海量增长的数据可能会导致原有的安全机制和算法失效,计算架构、技术和环境上的变化也给网络中的攻击对抗发生了变化,再加上一些企业由于上云,在资产所有权、数据的置购权和企业经营成本模型上发生了很大的变化,也导致了云上的安全技术和机制发生了变化。
威胁情报:打造云上攻防第一道关卡
媒体报道中的安全事件往往揭秘的只是冰山一角。
目前的网络安全形势下,对于大多数企业来说,面临的现状是收到的原始威胁数据过多:有太多警报,太多漏洞预警和补丁,太多关于各类恶意软件、钓鱼攻击和DDoS攻击的报告。
要如何消除这种攻防不对等呢?如何做好安全防护的第一步?
近日,腾讯研究院、腾讯集团市场与公关部联合发布《2020产业安全报告:产业互联网时代的安全战略观》中提到,建立企业安全免疫系统要从“情报-攻防-管理-规划“四个维度来考量。其中,威胁情报是安全防护的前提,也是企业网络攻防中的第一道关卡。
何为威胁情报?简单来说,就是关于威胁的情报、以及动机、企图和方法进行收集、分析和传播,帮助企业防范风险,保护关键资产,或及时止损。
前不久网络热播剧《长安十二时辰》中,靖安司就是保护长安的“威胁情报中心”。主要负责取风险情报,判断潜在的威胁,为狼卫(袭击长安的恐怖分子)的团队信息、攻击预警、应急响应做预判和预案。
电视剧里的靖安司为长安反恐行动中提供了不少有用信息,但落地到现实中,往往比电视剧更惊险。
想起时隔半年前的那次差点让他丢掉工作的预警事件,网络安全工程师张羽(化名)至今都心有余悸。2019年5月19日下午,张羽所在公司部署腾讯云的T-Sec高级威胁检测系统发现入侵感知告警信息,由于当时他的直属领导正在飞机上,一时间张羽也拿不定主意该如何处理,便立即向腾讯安全威胁情报中心发起求助。
收到客户求助之后,腾讯安全威胁情报中心技术负责人程虎立即提取检测系统内的相关日志进行分析。日志显示,黑客攻击时发送的数据包命中了部署在高级威胁检测系统中的一项,从而触发告警。
客户拿不定主意,但程虎通过T-Sec 高级威胁溯源系统进行溯源,很快找到了攻击根源,即BuleHero蠕虫病毒的最新变种攻击。好在发现及时,在腾讯云的协助下将病毒隔离、查杀、修复安全漏洞,入侵风险解除,公司资产躲过一劫,张羽松了一口气。
让张羽挠头的预警,在程虎这边只用了很短的时间就作出了准确的预判和应对措施,实施隔离、阻断,防止更大的漏洞避免损失的发生。
这也是程虎所在的腾讯安全威胁情报中心的主要工作,通过提供各种安全威胁信息,帮助腾讯云以及企业级客户预防和处理各种网络攻击。显然,在明枪暗箭的网络对抗中,一份有价值的威胁情报,让企业可以实现“未攻先防“。
C2B2C的安全征程
《长安十二时辰》中,靖安司独创的大案牍术,其实就是当时的大数据库,通过对长安人员背景、名下资产、人脉关系等多个维度进行综合评估,来推断案件,演练历史,预测未来。显然,数据库的数据积累越多,处理能力和分析能力越强,越能让靖安司提供的威胁情报奏效。
这也引出了如今网络安全形势下,威胁情报是否准确和有价值的关键因素:海量的威胁情报数据库、海量的数据处理能力和自动化分析能力。
腾讯威胁情报中心的数据库建立和处理能力来源于腾讯多年在C端方面数据和服务以及安全能力的积累。
1998年创立,20年来腾讯在个人用户端积打下了扎实的用户基础,用用户端的积累沉淀去撬动企业客户,并最终通过更稳定安全的业务架构,帮助企业更好地为个人用户提供服务。
腾讯安全团队是从打击QQ盗号和信息诈骗起步的。在2010年前后加入腾讯,成为反病毒工程师的何健(化名)对此还记忆犹新。
“有几年腾讯QQ盗号非常严重,已经严重影响了腾讯自己的业务口碑,“他所在的组重点负责反QQ盗号项目的研究和分析,在1年多的时间里,联合腾讯其他部门成功打掉了国内十几个QQ盗号团伙。
当时他所在的团队有一项重要的任务就是研究追踪检测各种不同的QQ盗号木马、刷钻等恶意软件,通过逆向分析恶意样本,给其他部门提供多种相应的对抗手法,同时,这些在样本中提取的价值信息,成为之后反QQ盗号提供了很多关键信息。2012年以后,国内的QQ盗号和刷钻恶意软件明显减少。这实际上是比较早期的“威胁情报”作用于腾讯内部的一个小案例。
如今,对于深耕网络安全20余年的腾讯来说,已经拥有超过500个业务场景,积累了海量针对个人用户安全的经验,并将此沉淀成产品和服务提供给政企用户,为企业输出定制化的安全服务。尤其从“930”组织架构变革以后,原隶属于移动互联网事业群(MIG)的腾讯安全团队正式划归云与智慧产业事业群(CSIG),其核心职责也从用户安全,转向为腾讯云及智慧产业发展提供通用安全保障。
以威胁情报中心为例,其可以实现了海量安全数据的自动过滤和识别,形成威胁情报库已经可以从攻击意图、策略以及方案等进行行为模式分析,归入到不同事件等级,进而对外预警和相应,帮助各组织在庞大网络中快速反应,以应对不同层级的网络风险。
从扎根消费互联网到拥抱产业互联网,公司内的安全团队协作机制也发生了变化:集结内部七大安全实验室和安全平台部超过300人的顶尖研究力量成立“云全栈安全研究工作组”,对云安全展开全面、前瞻性的研究,将安全服务内置到云中。同时,腾讯超过3500名的安全专家和技术人员共同投入到腾讯云的安全建设当中,为云服务提供全面防护。
程虎所在团队的工作方式也发生了很大的变化。比如对企业客户“一对一的管家式服务”,前文提到的案例就源于此;再比如工作时间的变化,由于黑客攻击多半是在非工作时间,周五的晚上和周末往往是程虎团队更需要“在意”的时间段。
其中一个让程虎印象深刻的周五是2018年的12月14日,当天整个腾讯安全团队在东莞团建。下午16时27分,程虎收到一条微信告警,腾讯安全威胁情报中心检测发现,一款通过某公司软件升级通道传播的木马突然爆发,仅2个小时受攻击用户就高达10万。
该病毒通过云控下发恶意代码,包括收集用户信息、挖矿等,而该软件是一款用户量过千万的产品。更为严重的是这一木马会通过永恒之蓝漏洞对企业内部进行渗透攻击,一旦企业用户中了这一木马,可能会导致二次攻击。
情况相当危急。
当时团队成员决定取消团建,在开车赶回公司的途中,威胁情报系统已经完成对木马的自动化分析。“当天晚上8点多钟我们已经完全确认分析,并把威胁情报、应用级的情报、运营级的情报下发到腾讯云各安全产品里面去”。
仅用了3个小时,团队完成了威胁情报在云安全产品中的下发、病毒的隔离、防治和清理。看起来似乎很轻松,让企业客户在攻防中取得“未攻先防”的优势,也体现出腾讯安全团队的价值所在。
通过威胁情报抢占攻防先机,只是腾讯云在产业互联网时代安全布局的第一个环节。此外,在云平台的合规管理、基础设施、系统安全、数据安全、应用安全、网络访问固件自身安全上,腾讯云也不断通过云全栈安全研究工作组进行前瞻性的研究和建设。
腾讯在以个人用户为核心的移动互联网时代一路积累下来的技术和经验,在产业互联网时代被沉淀下来形成一系列服务企业的安全产品,能够对各种复杂的安全情况进行快速的响应和处理,加上腾讯安全“一对一“专家式服务,不断将安全能力输出给政府和企业侧,助力提升安全竞争力。
腾讯云的安全高速
云上的攻击和复杂程度更甚,传统的安全边界也被打破。
CSA(国际云安全联盟)发布的最新版本云安全问题报告中,列举了包括数据泄露、身份、凭证和访问管理不当、系统漏洞、账户劫持等在内的12类安全风险。
国家信息安全漏洞库数据显示,云上平均每周至少出现1300+新漏洞,漏洞从公开到被外部利用周期不到7天。用户每天都在遭受着各类漏洞威胁,云服务企业对漏洞事件的检测以及即时响应是安全性的基础保障。
安全能力成为企业挑选云服务商的首要考量。
凭借云上基础设施建设的不断夯实以及业界领先的信息安全实力,腾讯云已成为最值得信赖的云计算服务商之一。一直以来,腾讯云都将服务稳定和信息安全作为发展基准。
一方面,不断持续加大基础设施建设,在业界率先实现“全网服务器总量超过100万台,带宽峰值突破100T”,提升云平台的容灾能力,保障云服务的连贯性;
另一方面,腾讯云为云上租户安全构建了业务安全“护城河”,在网络攻防的第一道关卡,威胁情报能力方面,腾讯云建立了“租户安全运营中台”,能够实时分析全云安全态势,为云用户提供主动的安全响应服务:实现分钟级发现全网新增高危端口,小时级定位新出现的零日漏洞影响范围,日级内实现全网的安全漏洞处理。
数据库足够强大,自动分析能力足够强,能够对风险进行预估评测、未攻先防,对于云上攻击来说非常关键。比如腾讯安全玄武实验室,在2019年发现重大漏洞“BucketShock”,阻止了一场可能影响70%云存储应用的安全威胁。
不仅如此,腾讯安全还将其威胁情报能力向外输出,提供定制化的解决方案。比如在直播行业的防护系统搭建除了可以有效解决用户访问延迟以及网络攻击问题以外,还能够针对高危业务进行威胁情报溯源分析,防止网络病毒恶意攻击,防患于未然;在零售行业,依托腾讯安全的定制方案,为东鹏特饮公司提供威胁情报服务,通过调用天御风控API,给出用户评级,对营销风险提前作出预判,识别恶意行为并进行拦截,帮助企业过滤虚假流量,对抗羊毛党,打击黑产牟利, 每年帮助企业节省3000万营销成本。
在安全标准最为严苛的金融领域,已有6000多家企业选择腾讯云,包括逾150家银行及数十家保险、证券公司。与此同时,腾讯云还在不断向智慧出行、智慧医疗、数字政务等产业领域的市场渗透。
显然,企业的信息安全在云上的搭建已经成为产业互联网发展的重要一环。而有其做支撑的腾讯云,安全的标签也愈发具体可感。
本文来自“熊出墨请注意”,转载请联系原作者获取授权