互联网APT检测技术——端点检测与雾计算

admin 未分类

  
  【演讲者】:ISC2上海分会主席 施勇
  【主题】:新互联网安全之思
  【时间】:2014年5月22日
  【地点】:上海市复兴中路 上海民防大厦
  【活动】:Future-S第九届中国信息安全与风险管理峰会
  以下内容为2014年5月22日举办的Future-S R28站大型峰会--“第九届Future-S中国信息安全与风险管理峰会2014”上,来自ISC2 上海分会主席,施勇先生的精彩演讲。他为现场参会的听众与嘉宾们解读了他对活动主题“新互联网安全之思”的理解。 (本文为上海市信息中心原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用途。)
  【施勇】:在座的各位嘉宾、领导、听众大家好,今天能荣幸能够来到Future-S峰会和大家分享一些议题。我的内容是互联网APT检测。我今天有两个目的,第一个是跟各位做一些分享。第二个,我会花一点小时间跟各位介绍一下我们ISC2上海分会的基本情况。
  我们最近一段时间比较振奋的事情,就是去年11月12日,中共党十八大三中全会成立一个国家安全委员会。最近中国网络安全委员会也正式成立了,领导是我们的习近平总书记。在我们信息安全行业里面,大家一直在谈论是不是可能在这几年可以开创中国信息安全新的时代。
  我相信这个事情在信息安全在中国的发展是有好处的。因为大家知道我们信息安全是强调从上到下,因为信息安全不可能从下而上来完成。所以一个整体的战略对于我们整个国家和整个行业来说是一个非常非常重要的工作。
  这位是我们国信办的主任鲁炜,他去年在一个信息网络的会议上当时谈了一下关于安全。他谈到安全是这么讲的:互联网已经发展到今天,安全已经超越了技术的范畴,是创新的前提,是发展的保障,是技术的引领,是市场的先导,是核心竞争力的标准。谁掌握了信息这条生命线,谁就能掌握了先机,谁就能在下一代互联网发展中脱颖而出,引领未来。
  从我们的国家层面,其实很多领导已经从战略上面考虑到安全的重要性。当然这个事情也是拜斯诺登事件所赐。
  去年在发改委当时推出一个“2013年国家信息安全专项”工作四大发展的方法,其中在金融信息安全领域里面就特别提到了一个高级可持续威胁APT安全检测产品。当然这种检测产品只能是我们国家自主开发和研制的,不可能用到国外的。
  另外想谈了一个问题,因为在目前中国的企业环境当中,应该是金融信息安全方面发展是最为全面和领先的。因此国家从这个层面考虑,在金融信息安全里边首先提及APT。
  分享一个小的例子,有一个清华的学生,他可能是王骆丹的粉丝。他从王骆丹在微博上面发了两张照片把他王骆丹的家庭地址给推断出来。这跟我们APT其实非常的像。王骆丹是我们国内比较著名的女明星了,她在自己的微博上发了两张照片。一张是坐在窗台上,第二张是一张小区的腑瞰图。清华的这个学生从照片上发现了几个特点,第一,这个窗户发黄了,说明这个小区比较老。第二,这个小区有非常显著的特征,有几个正方型的花坛。
  接下来他又搜索了王骆丹其他的帖子,发现她写了几句话:第一,四环堵死了,我迟到了。第二,今天开了好久,竟然开到中关村了。于是通过这些信息,把北京的地图分成9个区域,从这句话看出来,王骆丹肯定住在四环之外,所以把中间几个区域砍掉。后面一句话我开到中关村了,好远。说明她离中关村很远,又去掉几个区域。所以就把她锁定在很小的范围内。通过这个地图去调查小区,他从谷歌上面看每个小区的照片,结果发现一个小区确实存在这样方形花坛。乘着公交车调查这个小区,发现确实是住在这个小区。再通过这个照片的角度,定位到王骆丹原来住的那个房子的房间,就这样找到了这个女孩子的家庭住址。
  当然这个事情他很晚发布出来,并没有破坏到明星的隐私。这个手段其实跟APT非常像,就是当有人非常专注的对信息系统进行详细的分析的时候,可能你不经意泄露了信息安全,而这种防御是非常困难的。
  实际上这个APT的概念是美国他们的海军提出来,就是是指某个集团或者个人针对某个机构长时间的攻击。我们今天主要聊的就是怎么检测和发现这个东西。当然这个非常的困难,这里有几个概念和思路。
  首先,APT攻击对于企业来说,他的时间实际上是非常长的。而且这个攻击者可能在一段时间内不仅仅是只攻击某一个企业。所以对他解释的可能可以这么看,虽然他们攻击的时间是碎片化的。比如说09年、11、12年,都在做不同的事情,但是可能做这个攻击的事情都是同一个人。如果把这个时间线串起来的话,我们可以找到非常详细的痕迹,这个痕迹就是数据DNA,把这个DNA定位出来形成一个真正的攻击图。
  在美国FBI他们对APT检测有一个基本的属性包,就是这样一个包。对于专业的攻击者从几个方面进行定位:第一个是来源,物理的地址和计算机的位置。
  第二就是他的历史属性,他们有一个很庞大的数据库,这个可能涉及到云,涉及大数据了。会在里面查找到底曾经在什么地方见过这种攻击。
  另外他会判断这个攻击的类型,是犯罪呢?还是间谍?还是恐怖主义。
  第四就是看他的目标,是国防的一些设施,还是经济的一些利益,还是基础设施,还是纯粹一些政治性的目的。再对这个攻击的能力进行高、中、低的评估,以及判断这个攻击团队的基本属性,是个人为主的,还是国家行为,还是一些意识形态的拥护者。比如说我们最近中国大量的网站造成了越南黑客的入侵,篡改了网站,这个实际上是一种意识形态的拥护者。这种危害相对是比较小的。
  最后就是动机,看他到底想干吗,获取这个数据到底是为了钱财,还是恐怖主义袭击?因为国际上现在有很多网络APT攻击都涉及到恐怖主义袭击和金融犯罪这个层面。
  前面有嘉宾介绍过Fire Eye,在APT检测上面的技术确实是领先于其他的信息安全厂商。现在有这样一些厂商在效仿APT解决方案和产品来完成APT的检测。
  简单分享国外到底怎么看这些问题。你看到这些机构其实都是在国外的APT检测机构上面会出现的一些机构。在美国、澳大利亚这些国家他们在APT检测方面,大量的依靠的都是联合的机构,比如说他们的FBI,还有一些研究院,或者是一些企业,联合他们所有的力量来做一些APT检测。
  有一个美国研发的APT检测技术,我给大家介绍一下,这个技术叫雾计算,是美国哥伦比亚大学在研制的一个项目。这个项目主要是针对数据窃取方面的APT的。他基本思路是什么呢?他会在系统当中自动制作大量高仿真的文件,这些文件可能是跟一些涉密数据是非常相似的。这些文件当中会插入一些标记,当盗窃到这个文件或者从网上下载这个文件能打开的时候,他自动的发给哥伦比亚数据库,他就可以反向真正向了解这些数据和攻击数据的个人或者集团。
  而且在哥伦比亚大学当中,他们还研究了很多去诱骗和筛选攻击者的一些技术。比如说他们去研究旅行,会那些真正搜索旅行和攻击某个企业的人,会自动的检索关键词搜索到这所谓的雾计算生成的隐秘文件,而普通用户搜索谷歌的时候是不会找到这个文件的。配合这个所谓的雾计算就可以帮助企业或者国家来防范一些内部泄露,包括外部的入侵,是一种混淆的技术。而且在大量的仿真文件的情况之下,攻击者即使拿到数据,他也很难研判这个数据是真的还是假的,即使他他拿到了真正数据,他还要花大量的精力来筛选他的可信度。这是雾计算最重要的东西。
  在国内,我们知道在中国现在APT检测方面非常非常的困难。这两天出了一个很大的事情,就是美国在法院正式起诉我们61358部队的在职人员,他的依据实际上就是这份报告。实际上大家都知道美国对我们中国的入侵和动作也不少,但是我们现在比较尴尬,因为我们很难出具像他这样一个非常详细的报告来应对他。所以这个事情我们中国也非常的愤慨,看我们国家在昨天就宣布终止中美网络的对话。
  基于我们在APT检测方面一个非常薄弱的地位,相信可能在今后我们中国这方面的一些工作会大大的增强。因为从整个信息安全层面来讲,如果一个国家对APT没有一个基本的检测能力的话,那根本没有资格来谈信息安全。所以像国家的一些公安基础设施应该在今后大大加强这方面的力度。现在看到国内我们的企业,包括在做的信息安全机构和研究所这方面投入是比较薄弱的,最起码没有一个非常让我们看得到一个APT检测的产品出现。而在国外大量的公司已经推出了非常多的APT相关的产品和解决方案,而且在不断的深化他们的技术。
  关于APT我可能只能简单的跟大家聊这些知识。因为确实这个话题很大,应该这不是一个企业能完成的工作。是国家联合一些机构,联合信息安全研究的团队一起完成这个事情。在美国也是这样,他分为三类机构,一个是FBI、CIA等下属的专业团队。第二他会联合一些企业。另外他有一些高校研究所,来形成一个合力来完成国家安全的防控。
  介绍一下我们ISC2上海分会,ISC2也是国际上特别知名的机构,ISC2有他的偏重,主要是信息安全。我相信在座很多应该都是ISC2的会员。因为在以前一直没有在中国成立分会,所以在国内会员大家散落在各地,而且互相可能不认识。虽然你成为了会员,每年交80美金的会员,但是没有享受过服务。所以他们也很惭愧,在今年正是在中国大陆成立了分会,第一站在上海。
  上海的分会目前是由几个老的CISSP一起来组织跟承办的。简单跟大家汇报一下。我们分会有几个方针,第一个是人,人是专业的人,不是普通的什么人都能参加分会。
  第二,知识,我们在分会当中分享大量的知识给大家。
  第三,信息,这是我们几个最主要的内容。
  针对这个内容有四个方向:第一,开放,这个分会虽然是ISC2做来的组织工作,但是实际上他不仅仅是只针对会员,所有信息安全的人都有资格来申请加入我们的分会。
  第二,互信。我们在上海有很多信息安全的从业人员,大家为什么大家很难坐在一起来聊事情,或者说你很难一起来合作呢?信任特别关键,比如说我们在合作的时候,可能会碰到一些骗子,坏蛋。有可能是放不下你的身段,你在合作的时候可能就特别的排斥。那么在分会里面,这个互信可以很快速的建立起来。如果分会当中出现了某个坏人,他欺骗了另外一个会员,或者做了一些有损我们专业声誉的事情。分会在分会会员的环境里面通报,这样他大大加大了他的成本,所以就不会做有损声誉的事情。因为他的成本很大,有可能他做了这个事情以后,所以最起码在华东做信息安全的人都知道的。
  第三、共享。因为峰会是一个分享的平台,本身分会是不盈利的,所以希望大家在上面共享知识、系统、经验和一些想法。我们尽可能提供平台和机会帮助大家来联络。
  最后、开拓,分会不可能是一直停滞不前,我们会希望有新的变化。这个当然是基于所有会员的努力,因为这个分会是所有从事信息安全的专业人员一个家。
  分会有几个目标,第一,建立人脉,就像我们这样的会场建立人脉,大家交流的机会,互相认识,特别强调的是同行业的一些交流。
  第二,项目和信息分享,这个我们是没有禁止的,在分会当中可以进行项目的共享和一些甲方和乙方一些合作。但是这个和分会平台没有任何关系,因为所有加入分会的的人员都是以个人名义加入,不代表你的企业。
  第三,职业发展,在分会像在座的有几个嘉宾就是CISSP,还有很多听众也是,掌握就业的机会和信息,有可能在这个行业里面更换环境或者变换一个平台的话,可能在分会里面很快的找到一些渠道,而不再需要去网上投简历。
  第四,技术的研讨会,就像今天这样的场合,我们更侧重于一些交流,我们会面对面会员之间进行一些交互。
  最后,分会有一个最基本的功能,我们每年CISSP有一个CPE积分。参加分会的活动会自动的积分,帮助大家减少麻烦。我的内容主要就是这些,谢谢大家。
  随着第九届中国信息安全与风险管理大会的圆满闭幕,Future-S中国管理论坛组委会已经开始筹备Future-S第十届中国IT治理和管理年会暨颁奖典礼,本届年会将于2014年12月份隆重召开。这是一项全国范围的专业评奖活动,我们诚邀您自荐并推荐在这个领域有专业表现与杰出贡献的团队和个人加入到“Future-S中国IT治理和管理2014年度奖项”候选名录,并亲临颁奖现场,共襄盛举!共同推动国际IT治理和管理最佳实践的大发展,促进国内IT管理应用的大繁荣。
  评选包含如下类别奖项:
  Future-S中国IT治理和管理2014年度践行人物奖-ITGM? Award-Leader
  Future-S中国IT治理和管理2014年度践行团队奖-ITGM? Award-Team
  这是一项全国范围的专业评奖活动,从六月递交参评素材到初审调研直至年底的颁奖,Future-S组委会将秉持公平公正公开的原则,对每一个参选对象认真审核,我们期待您的积极参与!
  联系人:史玉娴 联系电话:021-62127452 邮箱:[email protected]
  同时,您也可以通过添加上海信息化培训中心官方微信了解更多相关信息!微信号:SITC500,或添加以下微信二维码!
  

http://bjchrp.cn/bjc/2218.html

版权声明:
作者:admin
链接:https://www.6705.com.cn/2024/10/13/hulianwangjiancejishuduandianjianceyuwujisuan/
来源:6705 – 生活资讯
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>