论文部分内容阅读
信息安全领域的研究方向,长期以来都是以防御为主,比如基础设施安全、漏洞探测、病毒查杀等。但这种方式有其不足之处,那就是忽视了对攻击者本身的关注。如今,在信息安全领域已经产生了一种新的思维,叫做“攻击溯源”。这种思维主张要“知己知彼”,也就是既要关注自身的安全,也要搞清楚攻击者的身份、动作(手法)、、背后动机,并以此为参考制定有针对性的防御策略。
北京中睿天下信息技术有限公司(以下简称中睿天下)是国内较早关注“攻击溯源”的安全厂商之一。凭借在全球已经布局的三千多个采集点,中睿天下可捕获全球范围内的黑客攻击行为数据,并能够基于这些数据帮助客户构建全新立体式信息安全防御体系。
“爸爸攻击哪?”
在“安全圈”里,一般把已经“被黑”的企业分成三种,第一种是知道自己被黑了,第二种是不知道自己被黑了,第三种是知道自己被黑了但死不承认。
第一种企业一般是已经发现了损失,比如因用户信息、账号密码等重要信息被窃遭受损失。
第二种是因为企业本身明显不存在对攻击者来说有价值的资源,企业对信息安全也无足够意识。
第三种企业就是处于APT(Advanced Persistent Threat 高级持续性威胁)下的企业,这种企业一般都拥有对攻击者来说十分具有吸引力的高价值资源,也能感受得到自己的系统已经“被人盯上”,无论这个企业的防护有多严密,如果有黑客盯上,只要出现一点纰漏,黑客就会进入它的内网。这时,不能只用IDS(Intrusion Detection Systems 入侵检测系统)检测出来提交上去就完事了,因为攻击者会立即调整作战策略,进行二次攻击。更重要的是,如果不能提前清楚攻击者的攻击位置、具体行为和攻击目的,一旦出现问题时,损失常十分巨大。
在中睿天下iLAB实验室负责人白应东看来,三种企业都需要做攻击溯源,尤其是第三种企业。
“企业要知道攻击者为什么攻击自己,因为攻击者是个黑客主义者?还是攻击者仅是做了一次全球端口扫描。当不知道攻击者的具体情况时,就不能针对攻击者的攻击动机构建自己的防御体系,以实现有针对性的防御。所以,一定要做攻击溯源,这是客观需要。”白应东告诉记者。
那么,要如何实现攻击溯源?
中睿天下的做法是,构建一个部署在云端的解决方案,它是以大数据为基础,联动为主线,以iLAB研究创新实验室为中心,去进行综合分析防御。
“比如要判断一个黑客是否正在使用跳板来攻击时,就先把基础的网络信息都搜集齐了,为这个黑客建立一个‘数据生态’,这时黑客处在哪个国家、是否做过木马攻击等信息一目了然,如果发现这个黑客经常使用的IP都来自某个机房,这就是判断黑客使用跳板的一个有力证据。”白应东解释说。
在这个过程中,数据的积累是构建数据生态的基础。数据生态从狭义上说,就是数据库,但广义上也包括数据库中数据生产的过程,比如生产工具的选择、生产车间、生产技巧、生产时间和效率的管理等。
白应东告诉记者,要实现上述过程,最大的难点在数据积累的过程,半年更新一次数据非常简单,但要做到每周更新一次数据就非常困难。作为安全厂商,要实现数据源源不断的采集和更新,也要有强大的机器群来保障这些工作的进行。
攻击驱动防御
当下,很多安全公司都在成立自己的实验室,但每家公司成立实验室的目的和定位都不一样。在中睿天下,iLAB创新实验室被白应东称为公司的“灵魂”。
iLAB创新实验室最有特色的地方,是做“攻防转化”,也即把攻击的经验转化为防御的经验。iLAB创新实验室推崇的也是攻击驱动防御的理念,认为只有从攻击角度建立的防御模型才能真正符合市场要求。根据这个理念,中睿天下也会进行一定的调整。比如在公司安全研究人员与开发人员的比例调配上,更加重安全研究人员的比例。“要让公司有足够的人站在攻击技术的金字塔尖,再把攻击技术转化为防御模型,以此形成丰富的防御套路。”白应东说。
此外,iLAB创新实验室作为中睿天下的“灵魂”,也包含有一定的“情怀”成份。白应东告诉记者,一直以来,从事安全行业的人都很苦。近两三年来因为国家对信息安全领域越来越重视,安全行业的从业人员也逐渐能“抬起头来”。iLAB创新实验室也希望能为安全行业的从业人员提供一个“归宿”。
iLAB创新实验室于2014年5月正式成立,中睿天下正在构建的黑客“数据生态”主要就是由iLAB创新实验室设计研发。除此之外,中睿天下的一些主力产品和攻防转换的模型也都出自于这里。
知识即产品
在社交领域,有个流行的词叫做“连接一切”。安全领域需不需要“连接”?白应东认为需要。
比如,防火墙是一个重要的信息安全防护系统,位于内部网络与外部网络之间。但在不同的时代,防火墙需要发挥的作用也不一样。最初,人们只是希望可信网络与公网能够用防火墙实现隔离。而现在,防火墙要满足更多的用户需求。传统构建防火墙的方式,是以防御模型为基础,而不是从攻击的角度去考虑,这会导致一些问题。比如,不同的防火墙厂商都有不同的产品标准,这会导致不同的防火墙产品之间无法形成协同防御。
中睿天下在打造产品时,则更希望通过重新组织企业内部的安全产品,构建一个开放的、联动的局面。其中,形成统一的、清晰的知识体系非常关键。
在中睿天下推出的睿眼Web攻击威胁溯源系统中,威胁检测、攻击过程还原、攻击者溯源、系统弱点分析信息等都被作为知识积累下来。在此基础上,黑客的每一步动作都能按照时间轴清晰地展示出来,真正实现“所见即所得”。
链接 有关iLAB创新实验室
中睿天下iLAB创新实验室是中睿天下的安全研究机构,致力于信息安全领域的新理念、新技术及相关安全问题的研究。 为了对系统有更深入的了解,从而制定新的应对方案及时有效地防护计算机系统,中睿天下成立了以专注于互联网信息安全领域10年以上的安全专家为中坚的创新实验室,致力于研究和挖掘计算机及互联网系统中存在的各种安全缺陷,以免被攻击者利用。中睿天下iLAB创新实验室将会把最新的漏洞和修复方案无偿发布,以使社会各界的计算机使用者能了最新的互联网安全动态。
北京中睿天下信息技术有限公司(以下简称中睿天下)是国内较早关注“攻击溯源”的安全厂商之一。凭借在全球已经布局的三千多个采集点,中睿天下可捕获全球范围内的黑客攻击行为数据,并能够基于这些数据帮助客户构建全新立体式信息安全防御体系。
“爸爸攻击哪?”
在“安全圈”里,一般把已经“被黑”的企业分成三种,第一种是知道自己被黑了,第二种是不知道自己被黑了,第三种是知道自己被黑了但死不承认。
第一种企业一般是已经发现了损失,比如因用户信息、账号密码等重要信息被窃遭受损失。
第二种是因为企业本身明显不存在对攻击者来说有价值的资源,企业对信息安全也无足够意识。
第三种企业就是处于APT(Advanced Persistent Threat 高级持续性威胁)下的企业,这种企业一般都拥有对攻击者来说十分具有吸引力的高价值资源,也能感受得到自己的系统已经“被人盯上”,无论这个企业的防护有多严密,如果有黑客盯上,只要出现一点纰漏,黑客就会进入它的内网。这时,不能只用IDS(Intrusion Detection Systems 入侵检测系统)检测出来提交上去就完事了,因为攻击者会立即调整作战策略,进行二次攻击。更重要的是,如果不能提前清楚攻击者的攻击位置、具体行为和攻击目的,一旦出现问题时,损失常十分巨大。
在中睿天下iLAB实验室负责人白应东看来,三种企业都需要做攻击溯源,尤其是第三种企业。
“企业要知道攻击者为什么攻击自己,因为攻击者是个黑客主义者?还是攻击者仅是做了一次全球端口扫描。当不知道攻击者的具体情况时,就不能针对攻击者的攻击动机构建自己的防御体系,以实现有针对性的防御。所以,一定要做攻击溯源,这是客观需要。”白应东告诉记者。
那么,要如何实现攻击溯源?
中睿天下的做法是,构建一个部署在云端的解决方案,它是以大数据为基础,联动为主线,以iLAB研究创新实验室为中心,去进行综合分析防御。
“比如要判断一个黑客是否正在使用跳板来攻击时,就先把基础的网络信息都搜集齐了,为这个黑客建立一个‘数据生态’,这时黑客处在哪个国家、是否做过木马攻击等信息一目了然,如果发现这个黑客经常使用的IP都来自某个机房,这就是判断黑客使用跳板的一个有力证据。”白应东解释说。
在这个过程中,数据的积累是构建数据生态的基础。数据生态从狭义上说,就是数据库,但广义上也包括数据库中数据生产的过程,比如生产工具的选择、生产车间、生产技巧、生产时间和效率的管理等。
白应东告诉记者,要实现上述过程,最大的难点在数据积累的过程,半年更新一次数据非常简单,但要做到每周更新一次数据就非常困难。作为安全厂商,要实现数据源源不断的采集和更新,也要有强大的机器群来保障这些工作的进行。
攻击驱动防御
当下,很多安全公司都在成立自己的实验室,但每家公司成立实验室的目的和定位都不一样。在中睿天下,iLAB创新实验室被白应东称为公司的“灵魂”。
iLAB创新实验室最有特色的地方,是做“攻防转化”,也即把攻击的经验转化为防御的经验。iLAB创新实验室推崇的也是攻击驱动防御的理念,认为只有从攻击角度建立的防御模型才能真正符合市场要求。根据这个理念,中睿天下也会进行一定的调整。比如在公司安全研究人员与开发人员的比例调配上,更加重安全研究人员的比例。“要让公司有足够的人站在攻击技术的金字塔尖,再把攻击技术转化为防御模型,以此形成丰富的防御套路。”白应东说。
此外,iLAB创新实验室作为中睿天下的“灵魂”,也包含有一定的“情怀”成份。白应东告诉记者,一直以来,从事安全行业的人都很苦。近两三年来因为国家对信息安全领域越来越重视,安全行业的从业人员也逐渐能“抬起头来”。iLAB创新实验室也希望能为安全行业的从业人员提供一个“归宿”。
iLAB创新实验室于2014年5月正式成立,中睿天下正在构建的黑客“数据生态”主要就是由iLAB创新实验室设计研发。除此之外,中睿天下的一些主力产品和攻防转换的模型也都出自于这里。
知识即产品
在社交领域,有个流行的词叫做“连接一切”。安全领域需不需要“连接”?白应东认为需要。
比如,防火墙是一个重要的信息安全防护系统,位于内部网络与外部网络之间。但在不同的时代,防火墙需要发挥的作用也不一样。最初,人们只是希望可信网络与公网能够用防火墙实现隔离。而现在,防火墙要满足更多的用户需求。传统构建防火墙的方式,是以防御模型为基础,而不是从攻击的角度去考虑,这会导致一些问题。比如,不同的防火墙厂商都有不同的产品标准,这会导致不同的防火墙产品之间无法形成协同防御。
中睿天下在打造产品时,则更希望通过重新组织企业内部的安全产品,构建一个开放的、联动的局面。其中,形成统一的、清晰的知识体系非常关键。
在中睿天下推出的睿眼Web攻击威胁溯源系统中,威胁检测、攻击过程还原、攻击者溯源、系统弱点分析信息等都被作为知识积累下来。在此基础上,黑客的每一步动作都能按照时间轴清晰地展示出来,真正实现“所见即所得”。
链接 有关iLAB创新实验室
中睿天下iLAB创新实验室是中睿天下的安全研究机构,致力于信息安全领域的新理念、新技术及相关安全问题的研究。 为了对系统有更深入的了解,从而制定新的应对方案及时有效地防护计算机系统,中睿天下成立了以专注于互联网信息安全领域10年以上的安全专家为中坚的创新实验室,致力于研究和挖掘计算机及互联网系统中存在的各种安全缺陷,以免被攻击者利用。中睿天下iLAB创新实验室将会把最新的漏洞和修复方案无偿发布,以使社会各界的计算机使用者能了最新的互联网安全动态。