大安全時(shí)代面臨新威脅大挑戰(zhàn),記錄2017防御的點(diǎn)滴回顧
發(fā)布時(shí)間:2018-01-15360首席安全官譚曉生在2016年的中國互聯(lián)網(wǎng)安全大會(huì)上發(fā)表了題為《我有病,你有藥嗎?》的主題演講,他談到如果把互聯(lián)網(wǎng)安全比做一場(chǎng)戰(zhàn)爭(zhēng),破解人員和信息安全工程師便分為攻防兩方。作為漏洞挖掘人才因?yàn)轱@而易見的成績(jī)?nèi)菀妆蝗藗兯懹?,而防守型人才的則很難被關(guān)注到。在360公司,就有一支這樣的防御型隊(duì)伍,他們7*24小時(shí)保障著公司的安全穩(wěn)定運(yùn)行。
360信息安全部成立于2007年,成立之初主要是防御黑客的攻擊,走過十個(gè)年頭,隨著公司業(yè)務(wù)的不斷擴(kuò)大,信息安全部被賦予了更多的責(zé)任。
一、公司業(yè)務(wù)時(shí)刻面臨威脅入侵,我們?cè)撊绾纬胺烙?/span>
360在早期也曾購買過一些安全產(chǎn)品,用于發(fā)現(xiàn)安全威脅,但最后發(fā)現(xiàn)并不好用。無奈之下,就開始自己搞,以至于后來很多人都說360信息安全部自帶孵化氣質(zhì),不僅孵化了很多好用的安全工具,還培養(yǎng)了很多明星安全團(tuán)隊(duì)及安全研究員。接下來,就為大家介紹兩款比較成熟的安全掃描工具。
1. 天相-web安全服務(wù)
面臨威脅入侵,我們?cè)撊绾纬胺烙??天相是一款基?60后端大數(shù)據(jù)系統(tǒng)獲取的漏洞樣本,主動(dòng)探測(cè)用戶暴露出來的服務(wù)風(fēng)險(xiǎn),同時(shí)支持資產(chǎn)信息和漏洞的掃描,曾入選2015年blackhat軍火庫。他可以結(jié)合多維度的大數(shù)據(jù)和資深安全人員的經(jīng)驗(yàn),探知資產(chǎn)邊界,甚至是連運(yùn)維都不明確的資產(chǎn),并結(jié)合多種手段深度檢測(cè)資產(chǎn)潛在的風(fēng)險(xiǎn)。通過天相對(duì)資產(chǎn)進(jìn)行探知和安全檢測(cè),可以實(shí)時(shí)發(fā)現(xiàn)潛在的威脅,明確資產(chǎn)安全狀態(tài),知己知彼,百戰(zhàn)不殆,通過預(yù)先檢測(cè)的方式,我們可以應(yīng)對(duì)大部分安全威脅。
2. 顯危鏡-app安全服務(wù)
我們要求產(chǎn)品在發(fā)版上線前,必須經(jīng)過信息安全部的安全審核,審核不通過,產(chǎn)品就不能上線,但是360公司有上百款A(yù)PP,光是檢測(cè)就要花費(fèi)大量的人力和精力。在這種情況下,負(fù)責(zé)移動(dòng)安全的同事就整出一個(gè)叫“360顯危鏡”是一款A(yù)ndroid應(yīng)用漏洞掃描平臺(tái),它集成在產(chǎn)品軟件生命周期的安全服務(wù),針對(duì)應(yīng)用匯編代碼的靜態(tài)安全掃描及動(dòng)態(tài)分析的方式進(jìn)行漏洞測(cè)試,使得漏洞測(cè)試更加精準(zhǔn),目前涵蓋了幾十種常見類型的安全風(fēng)險(xiǎn)檢測(cè)和導(dǎo)出組件,嵌入于產(chǎn)品上線前的安全審核流程,進(jìn)行自動(dòng)化漏洞掃描,可以幫助業(yè)務(wù)自行進(jìn)行安全測(cè)試,快速定位漏洞細(xì)節(jié),對(duì)產(chǎn)品提供安全風(fēng)險(xiǎn)評(píng)估和修復(fù)建議,實(shí)現(xiàn)APP應(yīng)用的安全管理?,F(xiàn)在這個(gè)平臺(tái)已經(jīng)開放給所有的業(yè)務(wù)團(tuán)隊(duì),通過這個(gè)平臺(tái)他們先進(jìn)行自檢,自查不到問題后,再到我們這里進(jìn)行代碼層的安全審核,這樣在最大限度保障產(chǎn)品安全性的同時(shí),也提高了產(chǎn)品上線的時(shí)間。
二 企業(yè)內(nèi)部安全風(fēng)險(xiǎn)無處不在,我們?cè)撊绾螒?yīng)對(duì)挑戰(zhàn)?
即使再完善的系統(tǒng),再嚴(yán)苛的條例對(duì)行為進(jìn)行約束,仍然可能因?yàn)槿说囊蛩兀兂勺畲蟮穆┒?,被黑客攻擊?017年7月,我們聯(lián)合無線電安全研究部在公司內(nèi)部搞了一次釣魚演習(xí)活動(dòng)。利用誘人的“一元兌換星爸爸”活動(dòng)標(biāo)題,在不到一個(gè)小時(shí)的時(shí)間里,有80多位同事中招,在釣魚頁面輸入了自己的郵箱信息。
這次活動(dòng)的目的是為了讓公司內(nèi)的同事切身感受到公共WiFi熱點(diǎn)的危險(xiǎn)性。如果是不懷好意的黑客,他策劃的會(huì)更加逼真,在企業(yè)周圍建立釣魚WiFi,利用一個(gè)完整的情景騙局讓大家放下防備(可能大家也根本沒有防備),以此來獲取各位的敏感信息及域賬號(hào)等,再利用真實(shí)的賬號(hào)連入企業(yè)網(wǎng)絡(luò)。這時(shí)候,他就可以如入無人之境,你和公司的敏感信息就這樣泄露出去了,給公司帶來不可估量的損失。
這次釣魚測(cè)試,也讓我們深深的反思,公司明確的規(guī)定:禁止在辦公區(qū)域連接非內(nèi)部熱點(diǎn),避免因連入釣魚WiFi導(dǎo)致域賬戶密碼及個(gè)人信息泄露的泄露。但這冷冰冰的安全條例,很少會(huì)有人主動(dòng)的去看,所以在2017年,我們?cè)谕茝V信息安全條例方面花了很多心思,比如將條例與星座相結(jié)合制成卡貼、明信片、制成漫畫通過海報(bào)、電子屏、郵件同事不斷的向員工滲透,希望能提高所有同事的信息安全意識(shí)。
三、做好日常安全運(yùn)營,與黑客賽跑從容面對(duì)“想哭”
2017年5月12日,“WannyCry”勒索蠕蟲病毒瞬時(shí)爆發(fā),傳播速度之快,造成影響之大,來勢(shì)兇猛令人乍舌。但在這場(chǎng)這場(chǎng)“史無前例”的網(wǎng)絡(luò)災(zāi)難面前,我們交出了集團(tuán)內(nèi)部機(jī)器“零”感染的完美答卷。
“WannyCry”遠(yuǎn)遠(yuǎn)沒有普通人想象的那么高深莫測(cè),“WannyCry”只是利用了一個(gè)“影子經(jīng)紀(jì)人”黑客組織放出的“永恒之藍(lán)”漏洞,才讓他有了如此強(qiáng)大的破壞力能力。如果WannyCry是一顆可以爆炸的彈頭的話,那“永恒之藍(lán)”,就是能載著這顆彈頭飛往任何地方搞破壞的火箭。
其實(shí),影子經(jīng)紀(jì)人公開發(fā)布出“永恒之藍(lán)”漏洞之前,微軟就已經(jīng)對(duì)當(dāng)前流行的Windows版本的發(fā)布了補(bǔ)丁。只要?jiǎng)觿?dòng)手指,安裝上微軟的補(bǔ)丁,就可以將“WannyCry”阻擋在大門之外。那個(gè)時(shí)候是2017年3月14日。距離WannyCry爆發(fā)還有58天。
360集團(tuán)信息安全部從2016年就一直在跟進(jìn)影子經(jīng)紀(jì)人黑客組織的一舉一動(dòng),在微軟官方放出補(bǔ)丁的第一時(shí)間,信息安全部網(wǎng)絡(luò)安全團(tuán)隊(duì),就協(xié)同天擎團(tuán)隊(duì),對(duì)公司所有辦公電腦進(jìn)行了靜默補(bǔ)丁安裝。但微軟系統(tǒng)永遠(yuǎn)都有不盡人意的地方,部分版本老舊,管理終端覆蓋不到的個(gè)別終端,只能通過自己手動(dòng)安裝補(bǔ)丁的方式來進(jìn)行補(bǔ)丁安裝。對(duì)于非技術(shù)崗位的同事,我們提供了連小學(xué)生都能看懂的“補(bǔ)丁攻略”,保證絕對(duì)的“零”風(fēng)險(xiǎn)點(diǎn)。那個(gè)時(shí)候還沒有“WannyCry”,信息安全部?jī)H靠著靈敏的嗅覺,和對(duì)安全的“執(zhí)著”,強(qiáng)迫癥一樣的修復(fù)著“永恒之藍(lán)”漏洞。
不僅僅是靈敏的嗅覺和執(zhí)著,一雙鋒利的“眼睛”也是抵御“WannyCry”的必要利器。360信息安全部的威脅檢測(cè)平臺(tái),在這次防御行動(dòng)中,也起到了至關(guān)重要的作用。在5月12日病毒爆發(fā)后,拿到樣本的第一時(shí)間,根據(jù)樣本特征在信息安全部的威脅檢測(cè)平臺(tái)上配置了相應(yīng)檢測(cè)條件,避免有個(gè)別“漏網(wǎng)之魚”。在病毒爆發(fā)后5個(gè)月,依然第一時(shí)間檢測(cè)出了幾起從分支辦公區(qū)試圖感染內(nèi)部的威脅行為。
但一雙鋒利的“眼睛”還不夠,還要有一個(gè)強(qiáng)有力的拳頭。信息安全部還有一個(gè)重量級(jí)武器“降云”系統(tǒng),在未知終端發(fā)起攻擊時(shí),無法第一時(shí)間定位到的位置情況下,可以第一時(shí)間切斷該終端的網(wǎng)絡(luò)通路,把敵人蒙在鼓里,讓他無法為非作歹。
敏感的嗅覺,鋒利的眼睛,強(qiáng)有力的拳頭,正是因?yàn)?60信息安全部擁有這樣的網(wǎng)絡(luò)安全防御體系,才能在“WannyCry”全球肆虐的時(shí)候從容的應(yīng)對(duì)。
四、構(gòu)建安全共同體
這是一個(gè)萬物皆可破的世界,誰也不敢說自己的系統(tǒng)是絕對(duì)安全的,我們能做的就是在黑客之前發(fā)現(xiàn)每一個(gè)安全威脅,然后在被利用之前封堵掉。2012年,我們推出了漏洞獎(jiǎng)勵(lì)機(jī)制,是國內(nèi)第一家為白帽子提供現(xiàn)金獎(jiǎng)勵(lì)的企業(yè)。2013年360SRC正式成立,迄今已有上千名白帽子加入360SRC。
在360SRC三周年慶典上,老周為黑客精神正名,他說:“人才是網(wǎng)絡(luò)安全的核心因素”,黑客這個(gè)詞在社會(huì)上存在很多誤解,其實(shí)真正的黑客是熱愛技術(shù)、追求突破的一群人。白帽子幫助企業(yè)發(fā)現(xiàn)漏洞,為網(wǎng)絡(luò)安全做出很大貢獻(xiàn),這類人才應(yīng)該受到國家和企業(yè)的重視。360一直注重對(duì)安全人才的培養(yǎng),除了招攬安全人才加入360以外,360還通過各種比賽和項(xiàng)目吸引年輕人,鼓勵(lì)他們把黑客技術(shù)運(yùn)用在網(wǎng)絡(luò)安全建設(shè)上。2016年360SRC一共發(fā)出上百萬元獎(jiǎng)金,白帽黑客已經(jīng)成為360安全力量的重要補(bǔ)充。
2017年2月,我們對(duì)外發(fā)布了360 IoT安全守護(hù)計(jì)劃,把公司旗下硬件新品第一時(shí)間免費(fèi)提供給知名黑客團(tuán)隊(duì)和安全專家進(jìn)行測(cè)試,如果發(fā)現(xiàn)嚴(yán)重漏洞將獲得單筆最高36萬元的現(xiàn)金獎(jiǎng)勵(lì)。在運(yùn)營的過程中,通過IoT安全技術(shù)課堂和48小時(shí)黑客馬拉松破解大獎(jiǎng)賽的形式吸引相關(guān)人才加入,另外希望通過我們的技術(shù)分享,能夠幫助他們提高技術(shù)能力。促進(jìn)整個(gè)行業(yè)的向上發(fā)展。
向外拓展,協(xié)同外部的力量幫助我們提高360產(chǎn)品的安全性。而360本身就是一家安全互聯(lián)網(wǎng)公司,和其他企業(yè)不同的是,在360公司內(nèi)部有大批安全工程師、研究員,如何調(diào)動(dòng)這部分同事的積極性,讓他們也加入到公司的安全運(yùn)營中呢?2017年8月底,我們?cè)诠緝?nèi)部發(fā)起了“360為愛守護(hù)計(jì)劃”,鼓勵(lì)公司內(nèi)部的同事在發(fā)現(xiàn)與公司相關(guān)業(yè)務(wù)的漏洞或威脅情報(bào)的時(shí)候報(bào)告給我們,我們將依據(jù)SRC漏洞評(píng)估標(biāo)準(zhǔn)進(jìn)行估價(jià),然后將這部分費(fèi)用捐贈(zèng)給公益項(xiàng)目。12月底,我們將第一筆公益基金捐給了甘南藏族自治州夏河縣的牙利吉鄉(xiāng)辦事處中心幼兒園的孩子們。
安全面前,沒有旁觀者,通過這樣的內(nèi)外聯(lián)動(dòng),為我們的防護(hù)體系又多加了一層保護(hù)罩。
五、能力越大責(zé)任越大
經(jīng)過幾年的發(fā)展,360信息安全部已經(jīng)形成一套自己的安全防御體系,并且積累了豐富的安全運(yùn)營和對(duì)突發(fā)安全事件應(yīng)急處理經(jīng)驗(yàn)。所以,在2017年也對(duì)外提供了很多安全服務(wù)支持工作。例如了承擔(dān)“一帶一路”國際合作高峰論壇注冊(cè)系統(tǒng)安全保障工作,由于會(huì)議規(guī)格高,我們?cè)跁r(shí)間緊,任務(wù)重的情況下,圓滿完成任務(wù),受到上級(jí)主管部門的肯定和表揚(yáng);圓滿完成黨的“十九大”網(wǎng)絡(luò)安全保障工作。負(fù)責(zé)網(wǎng)絡(luò)空間協(xié)會(huì)官方網(wǎng)站安全保障工作,從網(wǎng)站上線前的滲透測(cè)試到漏洞挖掘,將安全隱患消滅在上線之前,保障了協(xié)會(huì)工作的順利正常開展;與北京市公安局合作,共同開展防范電信網(wǎng)絡(luò)詐騙犯罪研究,共同打擊治理電信網(wǎng)絡(luò)違法犯罪,提升防范效能,維護(hù)網(wǎng)絡(luò)安全。發(fā)現(xiàn)及破解仿冒最高人民檢察院網(wǎng)頁298個(gè),假冒公安部網(wǎng)頁159個(gè),手機(jī)木馬控制端服務(wù)器11個(gè),VOS線路服務(wù)器15個(gè)獲取話單16.4萬余條,在假冒網(wǎng)頁發(fā)現(xiàn)臺(tái)灣犯罪嫌疑人大量登陸IP,成功攔截被騙北京事主383個(gè),攔截金額2230萬元。與深圳警方深度合作,打擊新型電信詐騙,僅用2周的時(shí)間就破獲一起跨境電信詐騙案,并將犯罪嫌疑人抓捕歸案。
360信息安全部追求極致的安全,即使危害再小,我們也認(rèn)為這是有意義的。細(xì)節(jié)決定成敗,當(dāng)細(xì)節(jié)做到極致時(shí),產(chǎn)品安全,企業(yè)安全才能達(dá)到新的高度。(來源:中國信息產(chǎn)業(yè)網(wǎng))