深几度

吳儁宇

公告

作者系独立撰稿人,钛媒体、品途网2016年度十大作者,腾讯科技2015年度最具影响力自媒体。关注人工智能、移动互联网以及数码家电的产业融合,文章在界面新闻、今日头条、搜狐科技、腾讯、新浪、网易等30余家平台发布。

文集

科技(5)

统计

今日访问:1199

总访问量:6065098

腾讯云上安全“智能流水线”

2020年01月13日

评论数(0)


文|吴俊宇

腾讯安全威胁情报中心负责人程虎的微信不断涌入一串串代码消息。

不懂技术的人看不懂这是什么意思,但是他非常清楚,这是一款企业级病毒正在扩散的威胁情报告警。

他扫了眼手机、划拉了几下屏幕,继续气定神闲地吃饭聊天,介绍自己手头上正在做的工作——腾讯云在安全防护上有一整套“威胁线索发现-智能情报分析-威胁情报生产”系统。

是的。在云端,他刚在手机上发现的问题已经被分析处理了。

程虎敦厚柔和,在讨论技术问题时细声慢语,逻辑清晰。他不断用笔在卡片上写写画画。短短半小时内,三张卡片上便画满了一张张技术图。

程虎当然也有精神紧张的时候。

2018年12月14日,腾讯安全威胁情报中心团队在东莞团建,当天下午微信告警——国内一个千万级用户产品,公司被黑客入侵,遭到定向攻击。入侵后黑客把产品的软件升级服务器攻陷,挂上自己的代码,使得用户通过升级通道下载木马。

更严重的问题在于,木马还会通过永恒之蓝漏洞对企业内部进行渗透攻击,企业用户如果中了这个木马,很有可能企业用户会遭遇病毒被二次攻击。

这个问题极为紧急。

当晚8点,团队迅速完成了确认分析,并把威胁情报下发到云安全产品之中,病毒的防治和清理随之解决,企业和用户得以止损。

这种反应速度源于腾讯云的快速反应能力,它让腾讯和其他企业级客户都能够具备云上安全的威胁情报生产“智能化流水线”。

热带雨林和消防员

程虎所在的腾讯安全威胁情报中心,主要通过提供各种安全威胁信息,帮助腾讯云以及企业级客户预防或处置网络攻击,在当下这个企业级安全问题日趋突出情况下,正在发挥愈来愈大的作用。

我们的互联网公共安全空间如同亚马逊雨林,它并非时时刻刻处在平静之中,而是随时面临“火灾”——“火灾”往往是深处暗网、不知所踪的入侵者所带来的。按照攻击目的不同,大概分成三种。

1、植入木马病毒:单体攻击,可能是黑客个人行为。比如某些数字货币玩家为了薅羊毛,会把挖矿木马植入到某些安全措施薄弱的公司服务器。

如以加密数据为手段的勒索病毒和利用机器资源挖取数字货币的挖矿木马。

2、构建僵尸网络:群体攻击,可能是黑产公司行为。失陷机器会沦为肉鸡,攻击者控制批量肉鸡进行商业变现。

3、网络间谍活动/网络战:高级战争,可能是国家行为。针对高价值目标进行定向威胁,针对商业组织以窃取商业信息为目的,也包括针对国家敏感机构的网络间谍行为。

亚马逊雨林火灾是如何发现并得以解决的?

一个重要的手段是,巴西国家空间研究所的卫星热力图。这是去年亚马逊雨林大火时的一张热力图。

亚马逊雨林的火灾是常态,一部分火灾会在自然条件下自然消失殆尽,只需要时时刻刻在卫星数据以及现场勘探密切观察。

一部分泛滥的火灾才需要动用人力扑灭。

比如去年亚马逊大火,巴西军方便在北部亚马逊地区部署了约4.4万名士兵以及两架C-130运输机参与灭火。

通俗解释,程虎这样的安全专家类似消防专家。他们日常通过“威胁线索发现-智能威胁分析-威胁情报生产”系统时时检测每一个安全威胁所处在状态,通过云端产品对攻击进行智能化的自动抵御,当发现无法自动防御的新危机才会通过紧急会议、动用人工力量紧急处置。

为何要形成这种自动检测、自动分析以及人工经验再进行研判的流程?

1、企业应用中报警非常多,准确度也低。

攻击源情报会过期,网站或者网站服务器被黑客攻击入侵之后还会再去攻击他人,随后这些漏洞被修复,导致过期情报的诞生。如果实际无风险的误报警过多,会大大降低整个系统的可用性,令安全运维人员陷入疲劳。

2、通过人工分析来生产精细化威胁情报,必然会导致产能不足。

精细化情报需要较强分析功底,把威胁进行定性。然而客户在运用威胁情报的时候告警非常多,往往造成运营压力比较大。

每天的告警量是几千到几万,一个运营人员的处理能力在一百左右,显然,不太可能完全依赖人工,导致运营分析的研判压力非常大。

威胁情报生产“智能化流水线”

说白了,这就是套智能化灭火设备。

2018年,《日本经济新闻》便报道,日本东北大学教授田所谕等人开发出一款能悬浮在空中进行灭火的机器人Dragon Fire Fighter,可应对人无法靠近的火灾情况。

有句话怎么说来着,只有非常努力看起来才毫不费力。

网络安全过去给大家的印象是“黑客攻击”、“网络大神”,来无影去无踪。攻击方和防守方需要在网络空间中高手过招。但技术进展飞速的今天,网络安全也流水线化了。

安全体系流水线的出现不仅提高了工作效率,降低人工成本,还以最大限度的自动化模式来配合产品生产。

如果我们深入底层去探究就会发现,腾讯安全有一套自己的专业处理方案。

1、处于最底层的大数据后台。安全大数据可以经过大集群算法中台清洗和分析,及时输出有效的威胁线索,进而智能分析系统,进行威胁定性分析和威胁情报生产。

2、威胁分析/情报生产自动化体系,这个属于威胁情报中台。威胁情报生产从威胁线索发现到威胁的智能分析,到威胁情报的生产都是自动化的,利用威胁情报来做安全运维服务。对高级威胁有专项的研究小组,新攻击武器的专项防治小组。研究小组和防治小组的产品成果都会被应用到威胁情报中。

对安全大数据进行自动化的清洗、挖掘和分析,产出威胁情报,为业务前台的安全产品提供安全防护能力。

我们不妨去看看,腾讯安全在实际攻防中的一些场景。

早在2017年,腾讯安全检测到一场大规模DDoS 网络攻击席卷全国,单个IP遭受黑客组织攻击的流量规模高达650G,参与攻击的源地址几乎覆盖了所有省市运营商的骨干网络。

接到情报检测系统的警报后,腾讯安全迅速展开研究并发布溯源分析报告,锁定攻击方为臭名昭著的“暗云”黑客团伙。他们把木马深埋在电脑磁盘中,形成僵尸网络发动大规模网络攻击。

安全警报迅速拉响后,腾讯云率先完成云端防御布局,并把情报同步到国内安全行业,帮助云计算友商及时定位安全问题,减少对云上租户的影响。

2019年5月一个清晨,微软发布远程代码执行漏洞安全公告CVE-2019-0708。黑客可利用该漏洞远程获取计算机的控制权限,存在着极大的安全隐患。

腾讯云安全情报团队第一时间收到了情报检测系统推送的漏洞预警,当时正在吃早饭的团队成员chad,立刻在工作群里拉响警报,启动应急预案,将情报发给相关团队。

10点10分,漏洞预警在腾讯云官网发布,为了进一步通知所有腾讯云用户,chad他们又通过短信、邮件、站内信等方式轮番通知,务必要让腾讯云用户提高警惕。

10点30分,腾讯云安全运营中心对外发布了详细的漏洞分析报告,并为用户提供完善的防御方案和建议。

同时,腾讯云业务团队正在根据情报紧锣密鼓地对腾讯云自身的服务器和产品进行修复和验证。

不到24小时,腾讯云上所有用户新创建机器都确保不会受到漏洞影响。

程虎气定神闲,靠的就是腾讯云这套完整的威胁情报生产智能化流水线。

用户看不到背后有多惊险,然而恰恰是这种快速反应,让企业在攻防中取得优势——用户毫无感知,其实也恰恰是一个合格安全团队真正的价值所在。

就像是个老司机,能让你在车里舒舒服服睡大觉。

事实上,网络安全自动化、智能化已经成了全球互联网巨头都在普遍尝试的东西。亚马逊首席技术官、副总裁Werner Vogels2019年在CSS上就公开提到:

我们应该很大程度上尽可能把安全操作都进行自动化,这样才可以让客户以自我保护的方式更好地保护自己。

大数据后台和威胁情报中台的能力被抽象出来,一点点累积到业务前台。针对政府和企业侧进行业务输出。

授人以鱼和授人以渔

基于云资源的攻击也在成为趋势。

道高一尺魔高一丈,这就像矛和盾,不断基于新技术升级。

腾讯安全情报数据显示,云资源作为攻击源的比例已占国内所有攻击源的45.55%。和与传统攻击路径相比,云资源攻击表现出更为多元、复杂和脆弱的特性。

传统攻击主要是针对个人,但是现在基于云资源的攻击则是更广泛,腾讯云安全所承载的压力也愈来越大。

打开腾讯安全官网会发现,个人应用安全已经只是右下角小小的两段文字而已。

尽管腾讯仍然是个人安全软件用户量最大的厂商,但大量基于云的企业级安全产品已经成为主力。

的确,企业安全网络的脆弱性在今天显得异常突出。我们不妨把企业比作成是栋房子,这栋房子有密码锁,有保安,有狗洞,还有客人进出。

1、弱口令:房子的密码锁,有些不怀好意的的黑客会猜到密码锁的数字;

2、安全漏洞:房子的狗洞可能不单可以进狗,被人敲开后还能钻进一个人;

3、社会工程学的突破:家里有保安其实也不一定安全,因为不怀好意的黑客可能会利用保安的心理弱点进入大门,电影《哪吒》里死守大门的结界兽被哪吒频频蒙混过关,其实就是哪吒利用社会工程学攻破结界兽心理防线的结果。

4、供应链:企业一般会有供应链合作伙伴,自家没问题合作伙伴可能出了问题,这就像你家来个客人,一不留神可能小偷也跟着客人进了门。

腾讯安全威胁情报中心会把遇到各式各样的安全问题进行数据分析、分类处理,展开数据建模。

给到企业级客户的云安全产品主要分成两种。

一种是直接输出威胁指标,称为应用级情报,客户直接用在他们安全产品里面进行拦截。

一种是运营级情报,将腾讯安全威胁情报中心的模型、算法和规则内置在安全产品中,通过威胁检测系统、安全运营中心等为企业提升安全水平。

如何理解这两种云安全产品呢?我们常说一句话,叫“授人以鱼不如授人以渔”。

第一种其实就是“授人以鱼”,直接告诉企业级客户答案,什么会威胁你的安全。

第二种其实就是“授人以渔”,企业可以通过模型、算法和规则慢慢自己搞清楚什么会威胁自家安全。

一般有些企业就直接用腾讯安全威胁情报中心提供的运维服务。

有些大型互联网企业,则是会自建团队,会跟他们一起指导先把算法、模型、规则搭起来,帮助企业级客户将“鱼竿”不断升级。

在这种情况下,企业客户也能逐渐获得和攻击者展开攻防对战的能力,不断磨砺自家的安全能力。

企业安全在云的助推之下正在成为未来中国数字化的重要一环。

浪潮已经来临,一条安全自动化流水线将是帮助中国数字化升级守住大门的定海神针。

-------------------------------------------

作者 | 吴俊宇 公众号 | 深几度

独立撰稿人,关心数字时代人的生存状况

钛媒体2015、2016、2018、2019年度作者

新浪创事记2018年度十大作者

腾讯科技2015年度最具影响力自媒体

文章为作者独立观点,不代表联商专栏立场。

联商专栏原创文章由作者授权发表,转载须经作者同意,并同时注明来源:联商专栏+吳儁宇。