快捷菜单
社交媒体
联系方式
业务咨询

400-816-1670

地址

北京市 海淀区 东北旺西路8号 中关村软件园9号楼2区306A

Email

contact@HanSight.com

Phone

(+86 10) 8282 6616

BLOG

于无声处听惊雷 在“故纸堆”里保平安——安全的生意 企业的防线

导语:如今,每位活跃在安全行业并为“安全”这一目标所努力的人每天都在为企业的安全绞尽脑汁,在他们周围虽然围绕着各式各样的安全产品——身份认证、防火墙、IDS等等——但企业信息安全所面临的形势仍然异常严峻,稍有疏忽,后果不堪设想。


安在天带着阿炳走在树林中,阿炳问,安同志,什么是风?安在天没有直接回答,从地上捡起一片树叶,放在阿炳手上,风吹过,把树叶从阿炳的手上吹到地面。

“阿炳,什么感觉?”“有些凉。”盲了二十年的阿炳答道,安在天说,这就是风。阿炳,安在天冒着生命危险与特务周旋带回来的瞎子,但是阿炳初上电台,就听出了那隐藏在风中的声音,令与世隔绝但能人众多的701所全体刮目相看——阿炳是一个奇人,他什么都看不见,可他又什么都能听见,“没有什么能瞒过他的耳朵”,他听到了天籁之音,也听见了世上最危险、最神秘、最肮脏罪恶的声音。

这是谍战小说《暗算》中的一幕,作者麦家讲述了具有天赋异禀的人的命运,讲述了一连串危险至极的故事,更讲述了在危险、猜忌、孤独以及压力之下,“主角们是如何感知到危险逼近并化解”的故事。

小说中的故事已经远离我们五十年,但安在天和他的故事,每天都在默默的上演,这个维护着701、维护着自己所忠诚事业的男人,时时刻刻的为了两个在他心中至关重要的字在奋斗、在坚持,那就是“安全”,而令安在天猝不及防的是,几乎每一次他的疏忽或是离开,彻底的失败甚至是死亡,都如影随形的发生。

如今,每一个活跃在安全行业并为这一目标所努力的人,都是安在天的“化身”,是一个又一个,IT圈的“现代安在天”,他们每天都在为企业的安全绞尽脑汁,在他们周围虽然围绕着各式各样的安全产品——身份认证、防火墙、IDS、IPS、安全数据库等等——但企业信息安全所面临的形势仍然异常严峻,一不小心,他们将感受到与安在天同样的遗憾。

于无声处听惊雷 波澜之下隐危机

在安全领域,最可怕的是什么?不是强大的对手,不是复杂的体系架构,也不是一个又一个亟待修复的漏洞,而是对未知的恐惧。在许多安全工程师们看来,是“下一秒地狱”和“看不到的敌人”——安全问题总是突然爆发,而造成这一切的“敌人”却总是躲在暗处不见踪影,即使是想要抓住一条“小尾巴”都异常困难。

这一窘境不仅在安全事务上带来了极大的麻烦,为日常的安全运维带来诸多挑战,更为重要的是,这意味着,安全工程师们无法为下一个问题、下一秒的挑战做出应对。

怎么办?用文绉绉的成语来说,就是“无法未雨绸缪,只能亡羊补牢”。

于是,我们看到,许多企业的安全运维模式都惊人的相似:依赖1、2家安全厂商,后者则依靠样本分析(即出现的安全问题),了解安全漏洞所在、问题内部逻辑、企业安全现状,并继而“像打补丁一样”,解决企业的安全问题。

有一些“更有上进心的安全工程师们”认为,仅仅靠“马后炮”解决不了问题,毕竟安全问题、安全漏洞在针对单一企业用户时,都是“喜新厌旧”的,“谁都知道你已经做了准备,为何还要做无用功呢?

于是,安全厂商和他们的客户们想到了新的战术:蜜罐。

这可不是动画片里小熊维尼捧着的蜂蜜罐(虽然它同样是体重的噩梦,也算得上是一种健康的安全问题),而是一个故意露出马脚、吸引人故意攻击的目标,通过这一系统,安全工程师们诱敌深入,使敌就范,从而直接了解心怀叵测者的套路,安全威胁的模式,让潜在的破坏者以自己的实际行动去为安全防护体系上一堂生动的实践课。

这一行为类似于保护VIP要员的安全人员,在真正的重要人物到达之前,(略带纰漏的)安排“替身”走上一遭,诱发那些暗藏的杀机,并就此了解恐怖分子们的套路,继而及时调整、积极应对,保证真正的VIP安全无忧的走完他的全部行程。

相比“蜜罐”更为大胆的方法则是“请君入瓮”,通过沙箱、沙盒等技术,创造一个与真实的系统环境互相隔离,对其破坏无法造成真正破坏的虚拟执行环境,时刻监视着自身内部程序的一举一动,抽取出潜在的破坏分子(恶意载体),同时,因其身份的特殊性,这些安全威胁被限制在不能对真实熊提供呢造成损失的虚拟环境中,做到把潜在的安全威胁限制在破坏较小、造成损失较小的有限空间之内,循着蛛丝马迹发现潜藏在底层的安全隐患。

然而在整个安全产业过去多年的攻防对抗中发现这样一个事实:绕过蜜罐和沙箱的难度要远远低于制造新蜜罐和新沙箱的难度,(持续关注HanSight瀚思官网微信内容,后续我们将会与您分享曾在沙箱领域有着多年经验专家的真实经历)这也是整个业界为之困惑和不安的。怎么赢?成了共同的难题。

密码学领域一条亘古不变定律:天底下没有破解不了的密码,只有无法承受的代价,当破解密码的收益远小于破解密码所付出的代价,破解密码的人自己就会主动放弃。

同样的道理也适用于更为广阔的企业级安全市场,如上这些方法的成本(代价)都太过巨大,同时还容易因为小小的疏忽而满盘皆输,这对企业来说,面临的就是安全威胁的成本远低于企业安全防护成本的窘境:代价越小意味着重复的次数越多,需要应对的安全攻击、渗透就越多,相应的安全防护的成本越高,而且在面对新的安全威胁、隐患时,再也无法投入更高的成本去保证企业安全——一边是被疯狂复制、规模日益膨胀的安全问题,一边是捉襟见肘、成本高筑的企业安全运维,谁能笑到最后自不必再说了。

更不用说,当安全威胁的“幕后黑手”在“低成本复制安全威胁”的同时,幸运的拥有了相对充裕的时间和资源,去寻找能够让企业坠入“下一秒地狱”的新的安全威胁、安全漏洞,并藉此将自己的“大招”隐藏在那些看似雷同的“复制品威胁”中,就像前述文章所说的那样,成为让企业安全工程师胆战心惊的“看不到的敌人”。

面对这样严峻的安全威胁,企业是不是就没有别的办法了?

其实要想以低成本、高效率的方式命中企业潜在的安全问题,找到隐藏在黑暗深处的“看不到的敌人”,并没有那么复杂,而且,实现这一切的基础,所有“安全灵感”的来源,其实就在企业一处不需要太多精力去经营的角落里藏着!

向大数据的“故纸堆”要平安

再让我们回到小说的剧情中,安在天为什么要去找阿炳?因为701是一个负责无线电侦听和破译的情报机构,长期以来一直在侦听台湾本岛与潜伏大陆的特务、残余部队的无线电联络,但在剿匪行动的关键时刻,所有的无线电台一夜之间都神秘失踪了,上百部电台失踪了,上千套频率变了,一下子要找到谈何容易!

天赋异禀的阿炳有着异于常人的听力,不到一个月的时间,他找到了86部电台1516套频率,但遗憾的是,还有12部电台没有找到,阿炳却也没有了别的什么好办法。一筹莫展之际,安在天让阿炳听了三天三夜的资料录音带,找出了敌人70多名报务员的“手迹(手动发报的习惯特征)”,并以此顺藤摸瓜,在浩如烟海的电台中,阿炳正是依靠辨识手迹,硬是超乎寻常的找到了深深一场在老旧的、不起眼的电台信号里的16部高度机密的高层电台。

为什么要讲这个片段?因为在这个故事中,阿炳所表现出的能力,他所担负的角色,便是如今在企业级安全市场的安全厂商们要做的事。

有一句老话说得好:风过留声,雁过留痕。

只要是做过的事情,或多或少都会留下一些蛛丝马迹,任何对企业构成安全威胁的行为和事件,在进行前期准备、对企业的IT系统进行试探的时候,或是会留下痕迹,或是会产生余波,总之,是不会百分百干干净净的全身而退的,而这些痕迹或是余波,都悉数藏匿在企业IT系统的日志之中。

这就意味着,企业可以通过对大量历史日志和安全信息进行的机器学习与算法分析,侦测出企业IT环境中存在的异常行为模式和隐藏的威胁,结合这些分析结构,针对盗窃数据/账号、数据泄露、APT攻击、Web端异常访问和网络欺诈等安全问题,做到未雨绸缪——这正是瀚思力图带给自身客户的最大价值,带给安全行业的变革性安全防护新思路。

我们可以做一个简单的类比:安在天给阿炳听的那三天三夜的资料录音带,就是如今企业安全团队日复一日记录下来的IT系统日志;可以辨识“手迹”的阿炳就是致力于大数据安全的厂商,被阿炳作为推断证据的“手迹”,就是日志中的余波和痕迹;那16部隐藏极深的高度机密的高层电台,就是对企业的安全造成极大威胁的破坏者、潜伏者和攻击者们。

因此被企业CIO或IT管理者忽略的“故纸堆”——日志,将能够发挥极大的作用,这一曾经“食之无味,弃之可惜”的“隐形(安全)宝藏”,将在以大数据安全为核心的企业安全策略中发挥巨大的作用:传统以防御为核心(Signature Based)的安全策略已经过时, 信息安全正在变成一个大数据分析问题,大规模的安全数据需要被有效地关联、分析和挖掘。

安全的生意 企业的防线

这就是瀚思的生意,也是瀚思的使命!

瀚思不断发展和优化的核心安全分析、算法、sandbox领域以及异常检测(Anomaly Detection)和用户行为分析(User Behavior Analysis)技术,将会把翻“故纸堆”这件事变得更简单、更有效率,得到更为准确的安全情报,“把深深隐藏在日志里的‘敌台’一个一个的都揪出来”,通过瀚思,攻击者将对“故纸堆”束手无数,即便他们费尽心思开始了找寻的过程,也会在过程中露出马脚。

瀚思希望帮助所有客户实现安全问题的预研、预判,不再让“看不到的敌人”猖狂,再没有“下一秒地狱”。

我们相信,唯有企业和安全厂商携手,才能在一场持久战中立于不败!

瀚思原创技术博文,如需转载,请联系marketing_ops@hansight.com