大安全時代面臨新威脅大挑戰(zhàn),記錄2017防御的點滴回顧
發(fā)布時間:2018-01-15360首席安全官譚曉生在2016年的中國互聯(lián)網(wǎng)安全大會上發(fā)表了題為《我有病,你有藥嗎?》的主題演講,他談到如果把互聯(lián)網(wǎng)安全比做一場戰(zhàn)爭,破解人員和信息安全工程師便分為攻防兩方。作為漏洞挖掘人才因為顯而易見的成績?nèi)菀妆蝗藗兯懹洠朗匦腿瞬诺膭t很難被關(guān)注到。在360公司,就有一支這樣的防御型隊伍,他們7*24小時保障著公司的安全穩(wěn)定運行。
360信息安全部成立于2007年,成立之初主要是防御黑客的攻擊,走過十個年頭,隨著公司業(yè)務(wù)的不斷擴大,信息安全部被賦予了更多的責任。
一、公司業(yè)務(wù)時刻面臨威脅入侵,我們該如何超前防御?
360在早期也曾購買過一些安全產(chǎn)品,用于發(fā)現(xiàn)安全威脅,但最后發(fā)現(xiàn)并不好用。無奈之下,就開始自己搞,以至于后來很多人都說360信息安全部自帶孵化氣質(zhì),不僅孵化了很多好用的安全工具,還培養(yǎng)了很多明星安全團隊及安全研究員。接下來,就為大家介紹兩款比較成熟的安全掃描工具。
1. 天相-web安全服務(wù)
面臨威脅入侵,我們該如何超前防御?天相是一款基于360后端大數(shù)據(jù)系統(tǒng)獲取的漏洞樣本,主動探測用戶暴露出來的服務(wù)風險,同時支持資產(chǎn)信息和漏洞的掃描,曾入選2015年blackhat軍火庫。他可以結(jié)合多維度的大數(shù)據(jù)和資深安全人員的經(jīng)驗,探知資產(chǎn)邊界,甚至是連運維都不明確的資產(chǎn),并結(jié)合多種手段深度檢測資產(chǎn)潛在的風險。通過天相對資產(chǎn)進行探知和安全檢測,可以實時發(fā)現(xiàn)潛在的威脅,明確資產(chǎn)安全狀態(tài),知己知彼,百戰(zhàn)不殆,通過預(yù)先檢測的方式,我們可以應(yīng)對大部分安全威脅。
2. 顯危鏡-app安全服務(wù)
我們要求產(chǎn)品在發(fā)版上線前,必須經(jīng)過信息安全部的安全審核,審核不通過,產(chǎn)品就不能上線,但是360公司有上百款A(yù)PP,光是檢測就要花費大量的人力和精力。在這種情況下,負責移動安全的同事就整出一個叫“360顯危鏡”是一款A(yù)ndroid應(yīng)用漏洞掃描平臺,它集成在產(chǎn)品軟件生命周期的安全服務(wù),針對應(yīng)用匯編代碼的靜態(tài)安全掃描及動態(tài)分析的方式進行漏洞測試,使得漏洞測試更加精準,目前涵蓋了幾十種常見類型的安全風險檢測和導出組件,嵌入于產(chǎn)品上線前的安全審核流程,進行自動化漏洞掃描,可以幫助業(yè)務(wù)自行進行安全測試,快速定位漏洞細節(jié),對產(chǎn)品提供安全風險評估和修復建議,實現(xiàn)APP應(yīng)用的安全管理?,F(xiàn)在這個平臺已經(jīng)開放給所有的業(yè)務(wù)團隊,通過這個平臺他們先進行自檢,自查不到問題后,再到我們這里進行代碼層的安全審核,這樣在最大限度保障產(chǎn)品安全性的同時,也提高了產(chǎn)品上線的時間。
二 企業(yè)內(nèi)部安全風險無處不在,我們該如何應(yīng)對挑戰(zhàn)?
即使再完善的系統(tǒng),再嚴苛的條例對行為進行約束,仍然可能因為人的因素,而變成最大的漏洞,被黑客攻擊。2017年7月,我們聯(lián)合無線電安全研究部在公司內(nèi)部搞了一次釣魚演習活動。利用誘人的“一元兌換星爸爸”活動標題,在不到一個小時的時間里,有80多位同事中招,在釣魚頁面輸入了自己的郵箱信息。
這次活動的目的是為了讓公司內(nèi)的同事切身感受到公共WiFi熱點的危險性。如果是不懷好意的黑客,他策劃的會更加逼真,在企業(yè)周圍建立釣魚WiFi,利用一個完整的情景騙局讓大家放下防備(可能大家也根本沒有防備),以此來獲取各位的敏感信息及域賬號等,再利用真實的賬號連入企業(yè)網(wǎng)絡(luò)。這時候,他就可以如入無人之境,你和公司的敏感信息就這樣泄露出去了,給公司帶來不可估量的損失。
這次釣魚測試,也讓我們深深的反思,公司明確的規(guī)定:禁止在辦公區(qū)域連接非內(nèi)部熱點,避免因連入釣魚WiFi導致域賬戶密碼及個人信息泄露的泄露。但這冷冰冰的安全條例,很少會有人主動的去看,所以在2017年,我們在推廣信息安全條例方面花了很多心思,比如將條例與星座相結(jié)合制成卡貼、明信片、制成漫畫通過海報、電子屏、郵件同事不斷的向員工滲透,希望能提高所有同事的信息安全意識。
三、做好日常安全運營,與黑客賽跑從容面對“想哭”
2017年5月12日,“WannyCry”勒索蠕蟲病毒瞬時爆發(fā),傳播速度之快,造成影響之大,來勢兇猛令人乍舌。但在這場這場“史無前例”的網(wǎng)絡(luò)災(zāi)難面前,我們交出了集團內(nèi)部機器“零”感染的完美答卷。
“WannyCry”遠遠沒有普通人想象的那么高深莫測,“WannyCry”只是利用了一個“影子經(jīng)紀人”黑客組織放出的“永恒之藍”漏洞,才讓他有了如此強大的破壞力能力。如果WannyCry是一顆可以爆炸的彈頭的話,那“永恒之藍”,就是能載著這顆彈頭飛往任何地方搞破壞的火箭。
其實,影子經(jīng)紀人公開發(fā)布出“永恒之藍”漏洞之前,微軟就已經(jīng)對當前流行的Windows版本的發(fā)布了補丁。只要動動手指,安裝上微軟的補丁,就可以將“WannyCry”阻擋在大門之外。那個時候是2017年3月14日。距離WannyCry爆發(fā)還有58天。
360集團信息安全部從2016年就一直在跟進影子經(jīng)紀人黑客組織的一舉一動,在微軟官方放出補丁的第一時間,信息安全部網(wǎng)絡(luò)安全團隊,就協(xié)同天擎團隊,對公司所有辦公電腦進行了靜默補丁安裝。但微軟系統(tǒng)永遠都有不盡人意的地方,部分版本老舊,管理終端覆蓋不到的個別終端,只能通過自己手動安裝補丁的方式來進行補丁安裝。對于非技術(shù)崗位的同事,我們提供了連小學生都能看懂的“補丁攻略”,保證絕對的“零”風險點。那個時候還沒有“WannyCry”,信息安全部僅靠著靈敏的嗅覺,和對安全的“執(zhí)著”,強迫癥一樣的修復著“永恒之藍”漏洞。
不僅僅是靈敏的嗅覺和執(zhí)著,一雙鋒利的“眼睛”也是抵御“WannyCry”的必要利器。360信息安全部的威脅檢測平臺,在這次防御行動中,也起到了至關(guān)重要的作用。在5月12日病毒爆發(fā)后,拿到樣本的第一時間,根據(jù)樣本特征在信息安全部的威脅檢測平臺上配置了相應(yīng)檢測條件,避免有個別“漏網(wǎng)之魚”。在病毒爆發(fā)后5個月,依然第一時間檢測出了幾起從分支辦公區(qū)試圖感染內(nèi)部的威脅行為。
但一雙鋒利的“眼睛”還不夠,還要有一個強有力的拳頭。信息安全部還有一個重量級武器“降云”系統(tǒng),在未知終端發(fā)起攻擊時,無法第一時間定位到的位置情況下,可以第一時間切斷該終端的網(wǎng)絡(luò)通路,把敵人蒙在鼓里,讓他無法為非作歹。
敏感的嗅覺,鋒利的眼睛,強有力的拳頭,正是因為360信息安全部擁有這樣的網(wǎng)絡(luò)安全防御體系,才能在“WannyCry”全球肆虐的時候從容的應(yīng)對。
四、構(gòu)建安全共同體
這是一個萬物皆可破的世界,誰也不敢說自己的系統(tǒng)是絕對安全的,我們能做的就是在黑客之前發(fā)現(xiàn)每一個安全威脅,然后在被利用之前封堵掉。2012年,我們推出了漏洞獎勵機制,是國內(nèi)第一家為白帽子提供現(xiàn)金獎勵的企業(yè)。2013年360SRC正式成立,迄今已有上千名白帽子加入360SRC。
在360SRC三周年慶典上,老周為黑客精神正名,他說:“人才是網(wǎng)絡(luò)安全的核心因素”,黑客這個詞在社會上存在很多誤解,其實真正的黑客是熱愛技術(shù)、追求突破的一群人。白帽子幫助企業(yè)發(fā)現(xiàn)漏洞,為網(wǎng)絡(luò)安全做出很大貢獻,這類人才應(yīng)該受到國家和企業(yè)的重視。360一直注重對安全人才的培養(yǎng),除了招攬安全人才加入360以外,360還通過各種比賽和項目吸引年輕人,鼓勵他們把黑客技術(shù)運用在網(wǎng)絡(luò)安全建設(shè)上。2016年360SRC一共發(fā)出上百萬元獎金,白帽黑客已經(jīng)成為360安全力量的重要補充。
2017年2月,我們對外發(fā)布了360 IoT安全守護計劃,把公司旗下硬件新品第一時間免費提供給知名黑客團隊和安全專家進行測試,如果發(fā)現(xiàn)嚴重漏洞將獲得單筆最高36萬元的現(xiàn)金獎勵。在運營的過程中,通過IoT安全技術(shù)課堂和48小時黑客馬拉松破解大獎賽的形式吸引相關(guān)人才加入,另外希望通過我們的技術(shù)分享,能夠幫助他們提高技術(shù)能力。促進整個行業(yè)的向上發(fā)展。
向外拓展,協(xié)同外部的力量幫助我們提高360產(chǎn)品的安全性。而360本身就是一家安全互聯(lián)網(wǎng)公司,和其他企業(yè)不同的是,在360公司內(nèi)部有大批安全工程師、研究員,如何調(diào)動這部分同事的積極性,讓他們也加入到公司的安全運營中呢?2017年8月底,我們在公司內(nèi)部發(fā)起了“360為愛守護計劃”,鼓勵公司內(nèi)部的同事在發(fā)現(xiàn)與公司相關(guān)業(yè)務(wù)的漏洞或威脅情報的時候報告給我們,我們將依據(jù)SRC漏洞評估標準進行估價,然后將這部分費用捐贈給公益項目。12月底,我們將第一筆公益基金捐給了甘南藏族自治州夏河縣的牙利吉鄉(xiāng)辦事處中心幼兒園的孩子們。
安全面前,沒有旁觀者,通過這樣的內(nèi)外聯(lián)動,為我們的防護體系又多加了一層保護罩。
五、能力越大責任越大
經(jīng)過幾年的發(fā)展,360信息安全部已經(jīng)形成一套自己的安全防御體系,并且積累了豐富的安全運營和對突發(fā)安全事件應(yīng)急處理經(jīng)驗。所以,在2017年也對外提供了很多安全服務(wù)支持工作。例如了承擔“一帶一路”國際合作高峰論壇注冊系統(tǒng)安全保障工作,由于會議規(guī)格高,我們在時間緊,任務(wù)重的情況下,圓滿完成任務(wù),受到上級主管部門的肯定和表揚;圓滿完成黨的“十九大”網(wǎng)絡(luò)安全保障工作。負責網(wǎng)絡(luò)空間協(xié)會官方網(wǎng)站安全保障工作,從網(wǎng)站上線前的滲透測試到漏洞挖掘,將安全隱患消滅在上線之前,保障了協(xié)會工作的順利正常開展;與北京市公安局合作,共同開展防范電信網(wǎng)絡(luò)詐騙犯罪研究,共同打擊治理電信網(wǎng)絡(luò)違法犯罪,提升防范效能,維護網(wǎng)絡(luò)安全。發(fā)現(xiàn)及破解仿冒最高人民檢察院網(wǎng)頁298個,假冒公安部網(wǎng)頁159個,手機木馬控制端服務(wù)器11個,VOS線路服務(wù)器15個獲取話單16.4萬余條,在假冒網(wǎng)頁發(fā)現(xiàn)臺灣犯罪嫌疑人大量登陸IP,成功攔截被騙北京事主383個,攔截金額2230萬元。與深圳警方深度合作,打擊新型電信詐騙,僅用2周的時間就破獲一起跨境電信詐騙案,并將犯罪嫌疑人抓捕歸案。
360信息安全部追求極致的安全,即使危害再小,我們也認為這是有意義的。細節(jié)決定成敗,當細節(jié)做到極致時,產(chǎn)品安全,企業(yè)安全才能達到新的高度。(來源:中國信息產(chǎn)業(yè)網(wǎng))