演讲者:周士涵
人物简介:
周士涵,青藤云安全华东大区销售总监。北京邮电大学硕士毕业。从事信息安全行业数年,在青藤云安全负责华东大区市场拓展工作,对企业安全体系建设有深刻见解,帮助金融和电力行业诸多大型客户完善在主机侧的安全体系的建设。
为引领新一轮技术创新浪潮,1月10-11日,以“数智创享未来”为主题的2019数智未来峰会暨第二届CTDC年度技术领袖颁奖盛典在上海佘山圆满闭幕。1月11日FMCG快消品行业CIO联盟年会上,青藤云安全华东大区销售总监周士涵先生,带来主题演讲:
《安全最后一公里》
大会演讲内容:
周士涵:大家好,今天很高兴来到这里和大家分享一些青藤云安全在安全方面小小的见解。
青藤云安全大家听上去可能比较陌生,下面给大家简单介绍下,青藤是从14年开始做安全产品研发的,我们的产品聚焦在主机安全。接下来,我就要开始今天的主题了,今天参加会议的各位快消行业的大佬都知道我们做物流或者是做配送的时候,最后一公里是最难的,青藤的产品:主机自适应安全平台,解决的就是安全的最后一公里。我今天演讲的主题就是:安全最后一公里。
网络安全事件在2018年爆发了很多起,我从网上找了一些典型事件:3月17日Facebook8700万用户泄露,3月30日一个体育品牌有1.5亿用户数据泄露,6月13日A站900万用户信息泄露,6月16日前程无忧有195万用户信息泄露,6月19日圆通快递10亿用户信息泄露,8月28日2.4亿用户信息泄露,12月28日12306有一次用户泄露。还有最近因个人所得税税改,而火起来的个人所得税APP,这是存在很大的安全隐患的,因为那上面有数以万计的个人信息,比如说身份证号、家庭信息、工作信息、社保信息,你有没有房子,在哪里租房等等一系列的信息都在其中。如果个人所得税APP如果一旦有泄露,那可能就是有史以来中国最严重的一次数据泄露事件。
对于数据泄露青藤可以做什么?
我们服务了很多类型的企业,例如金融行业中的银行,互联网,还有宜信为代表的互联网金融企业,在与他们交流的时候他们会谈到一个问题也是我们共同思考的一个问题,就是企业到底该怎么做安全?我们要跟黑客做对抗?这样的话我们要和黑客拼什么?拼技术吗?假设这个世界上有一万个黑客,我们的技术一定要比这一万个黑客的技术强才能达到企业信息安全,但我们的企业多数承担不了这样的能力和投入。此外,以前我们做快消或者是做传统银行,大家对外的界面是两个,柜台、ATM机。当企业变得越来越复杂的时候对于银行来说,它们对外的接口有一大堆,比如说网上银行、手机银行、微信、支付宝,再或者是某理财产品。当业务变得复杂的时候,我们没有办法把自己裹的严严实实。像以前我们可以说是内网与外网,内网是安全的,外网我们不参与,但是现在形式变得复杂的时候是没有办法做到的。
第二,所有的企业,大家都要讲究一个投入产出比。就像我前面说的华住信息泄露,他们之后做了很多的公关工作去辟谣。对于企业来说,我们要防范数据泄露需要花多少钱?我们不可能找很多很牛的白帽子为我们构建特别严密的网络安全防御体系,这个也是不现实的。这就是我们企业安全能力建设上会遇到的问题。
现在我们见到的黑客组织有几个鲜明的特点。第一、是商业利益的驱使。大家知道去年比特币很火,它从某种程度上来讲是专门为黑客做的货币。因为之前做勒索这种事的时候要现金,不是很方便,而有了数字货币之后打两个比特币就可以了,谁都不知道他们在哪里,所以在商业利益的驱使下,去做这件违法的事情时可隐藏性更高,因此也有很多技术大拿逐渐的转到了黑客的这条路上。
第二、高技术手段性。之前是扫描大家的服务器,看看有没有漏洞,有漏洞就进去。现在市面上有太多各种各样的黑客手段和黑客工具,你只要在网上找到对应的途径,就可以变成一个简单的黑客。
第三、形成专业组织。我们给客户做了很多应急项目,最后发现有很多安全事件是有组织、有纪律、有内有外的黑客间谍所为,在这样的情况之下企业怎么样把安全做好,这其实是很困难的。那么我们怎么办?刚才我一直提到的,你会选择花很大的代价搞明白黑客怎么样攻击的,还是是认清自己的有哪些数字资产?青藤云安全,走的道路就是“要认清自己”。在复杂的网络环境下企业如果没有办法做到完美的防御,那么我们如果做到完美的检测,就可以为企业带来更好的安全能力。换而言之,当黑客进来的时候,他无论是通过什么样的方法进来都没有关系,因为他进来的时候你是防不住的,但防不住的时候我们是不是可以把他找出来,怎样找到新一代的安全解决方式,也就是对内的建构,这个是很重要的。
那怎么理解?可能有一点抽象。传统的安全可以比作是像门一样的防御手段,用卡刷一下就能进来;如果我伪造一张一模一样的卡也可以进来。但我们的房子越来越大,我们的门会变得越来越多,每一个门进的人也不一样,那边是开发的人进来,那边是用户,这边又是合作厂商,我们没有办法在每一个门上都有一个完美的锁。
那怎么办?青藤的产品理念是看你做了哪些事,如果你符合每一个用户、开发人员动作的时候,你是正常的,如果你做了不该做的事,那么我就会抓到你,告诉企业这是一起有问题的事件,提醒企业去排查是怎么回事。青藤云安全沉淀了四五年的时间,在服务器内部能够精准找到监控的点在哪里,就如刚才所说,是对各位行为的跟踪和分析,找到黑客的落脚点在哪里。我们要做的事情就是在服务器内部安装一个Agent。
为什么选择服务器内部?我们根据每个企业的业务情况,把不同的数据、行为、应用和操作系统放到一起,可以生成这个企业安全监控,比如说事件、日志、应用等等一系列监控指标。因为企业的数据都在服务器上,所以你只要把服务器保护好,把这块的安全建设做好,在某种程度上我们安全的能力会有一个非常大的提升。
青藤的产品最先帮企业做的就是要知道我们的现有资产。我曾经问过一些快递行业的客户,假设你有2000台服务器,但你知道这些服务器上有什么?他说他大概知道。我说如果没有人告诉你们的话,你们知不知道?他表示不知道。所以如果企业不能实时的知道自己的服务器上有什么,那么很难知道服务器上面有什么问题。就像大夫看病一样,就远远的打个电话询问是很难知道到底是什么病,问题在哪里。所以青藤第一步要做资产清点,也就是查询到我有什么。这是从内到外的,从安全角度做完资产清点后才知道这些资产上面有什么活动,然后再去理解了这些活动的关系,就可以分析出哪里有问题。
我们再稍微具讲一点,我拿一个黑客入侵的事件做例子。正如PPT上所展示的,一个黑客发现了一家企业的某一个漏洞并利用这个漏洞入侵服务器的过程。从安全角度来讲这是一个Web框架,三天两头都出会一个漏洞,企业只要有JAVA的都被搞疯了。那黑客会怎么利用这个漏洞?首先发现你这个上面用了这个框架,且知道这个框架有漏洞,就在网页上下载漏洞利用程序。假定我是一个企业网站的站长,黑客在网页的后门直接输入进入小程序,这个时候窃取数据,他会拿到管理员的帐号以及信息等等,然后再反弹出来一个链接,大家知道内网是有一个统一出口的,会弹出去一个窗口连,进行操作之后再获取主机的root权限,拿到权限之后,他会把自己的控制程序装进去,完成一系列动作后黑客就可以为所欲为。
在攻陷你的主机后,黑客经常做的事情有以下几种,有一种是用于挖矿,有一种黑客是窃取数据,还有一种黑客是拿你这个机器去打猎,也就是把你的机器作为肉鸡去干坏事。那企业日常是怎么做的?这些东西都有在外面做防御,但为什么还会被攻破呢?其实,当它做这个的时候其实你的防御已经被攻破了。从网站这里就已经开始跳过你的防火墙以及各种安全设备。而青藤不是做这些规则,而是通过黑客的行为做的,比如说反向链接这个行为,这个对青藤的产品来说就不是一个正常的行为。再比如说我们正常的业务,企业中链接一台服务器通常都是数据库专员直接连接到一个机器,不会出现这个服务器连到其他的端口,这样的操作是不正常的。还有一个是root权限,如果不是root权限的用户突然变成了有权限的人,这个操作也是有问题的。
企业每一个运维的管理员团队,他设定用户的权限时候基本上就设定好了,当有权限变动的时候,依然会是不正常的。青藤从创立到现在我们已经积累了非常多的经验,在每一个点、每一个细节上判断的经验,都有判断的依据。如果企业用了青藤,内网服务器上的这些行为基本上会有一对一的专员帮企业去看哪里有问题。
青藤另外一个产品是风险发现,风险发现直白些说就是看你这里有没有问题。比如说弱口令,其实华住事件最开始只是一个弱口令的问题,但这是个通病,大家会发现自己所有的密码都是一样的,当黑客拿到其中一个密码的时候,用这个密码尝试登陆其他的端口,这就是一个弱口令造成的更深层次的安全问题。所以我们会根据客户的情况,给客户的服务器做更精准的监控和防御。接下来我从某一个领域挑的一些案例给大家汇报一下。我们前两天和中国平安做了一个发布会,宣布全面的合作。中国平安的服务器有几万台,现在已经全面的部署了青藤的产品,而且我们共同合作了一些公有云的产品,并且对外服务。我们现在和招商银行也正式开始合作,还有工银瑞信,是在工行体系下。在各个行业中,我们已经有了典型案例,我们也会把每个行业的安全经验集合起来,给更多的客户进行服务。
最后再做下广告,我是负责华东地区市场开拓方面的工作,之前在北京总部,2018年过来上海这边,有很大的感触,华东的市场非常大,我也希望可以有更多机会可以和各位大佬进行多交流,把我们青藤云安全在安全建设上的一些思路和各位进行分享。今天我的演讲就到这里。谢谢大家!
大会演讲内容整理有删减
本文出自ITShare数智未来峰会
版权归ITShare、“IT分享会”公众号所有
内容编辑:高继升 转载微信:G886666G
