硅谷安全教父加盟了滴滴,给你带来了一点防止被黑的人生经验

HAY!16 超混合现场活动的第一个单词就是“H”,代表黑客(Hacker)。虽说这个概念的意义已经比原来的要广泛许多,但作为以黑客打头的一场活动,没有一个正正经经熟悉黑客的大神是不合适的。

滴滴出行信息安全战略副总裁、滴滴研究院副院长弓峰敏博士就是这样一个“名门正派”出身的 Hacker。他被誉为硅谷安全创业教父,在网络及安全研发领域有着三十多年的经验,加盟滴滴之前是 AssureSec 联合创始人兼 CEO。此外,弓峰敏博士是世界著名网络安全公司 Palo Alto Networks的联合创始人,还是多家新兴安全公司的创始人或重要高管,其中三家企业已成功上市或被收购,他也是非常成功的连续创业者和硅谷天使投资者。

6

弓峰敏博士在网络安全圈的资历颇深,一个多月前加入滴滴的时候,许多网络安全领域的资深从业者都表达了惊喜之情。在此之前中国的活动,他曾以首席科学家身份参加历年的中国互联网安全大会。这次由 PingWest品玩主办的 HAY!16 活动,我们有幸邀请到了弓峰敏博士,这是他在回到中国加盟滴滴之后的首次登台亮相。在活动上,弓峰敏博士分享了“安全挑战与实践”的主题演讲,以下是经整理后的演讲实录:


谢谢大家,非常荣幸有机会今天跟大家分享,我想要跟大家讲的是“安全挑战与实践”,大概会分这样几个方面,首先大概说一下例子,也不会走到太细的细节,今天我们面对的是怎样冷酷的现实,我会解释一下我们所说的挑战主要在哪些方面。然后稍微看一下为什么会出现这种状况,面对这样新的挑战,我们需要什么样新的实践。

关于网络安全话题,大家可能听到过很多例子。

比如雅虎,5 个亿的用户信息被偷掉了,前一阵子美国的 Verizon 要买雅虎,事情发生后 Verizon 还是要买,但就要砍价了,而且不是砍一点。现在美国大选很热,服务器被黑掉以后很多邮件信息曝露了,基本上大家认为这个事情跟俄罗斯黑客有关。还有,孟加拉出现的银行系统,由于信息被盗,有人直接在美联储银行要求转钱,当时有 8000 万已经转走了,如果没有及时发现,可能会有更大损失。另外一个例子,在美国一个诊所的文件系统被讹诈软件感染,诊所面临需要花钱来解决安全问题才能继续运营,要不然就无法继续为病人提供服务。

这些都是直接受害者,间接受害者就更多了,比如零售店出现的户头信息被盗,几百几千万用户的信息都被偷了。还有一些色情网站,很多原来在网站上注册的人,可能没有干什么出格的事情,但出事以后他们面临很大的社会压力。

热播剧《黑镜》S03E03《Shut Up and Dance》,由于个人隐私信息被黑掉而暴露的一连串阴暗事件

热播剧《黑镜》S03E03《Shut Up and Dance》,由于个人隐私信息被黑掉而暴露的一连串阴暗事件

事件发生后,私有信息、信任度都受损,而事件发生后直接受害者和间接受害者能得到的补偿都微不足道。比如在美国,你去一家店,刷卡之后可能信息被盗,店铺会告诉你我帮你管住两年信用卡的信息,但谁知道两年之内盗信息的人会不会用这张卡呢?

可悲的是,盗取信息的人往往并不是用高级的手段。孟加拉事件是从钓鱼邮件开始,被一个远程控制的恶意软件感染,感染以后从他们这儿偷到了做银行之间转款的户头访问权限,其它地方也频频发生讹诈软件事件,它的手段也越来越高级,不光光是直接通过邮件感染用户,可能还会利用代码的形式到你的服务器上,你可以想像一个公司的邮件系统如果被破坏,整个影响的就不是一个人 PC 机的问题了。

发生的种种事情,花了大量的钱,为什么还没有搞定这个事情呢?我们拿安全产品来看,第一个是扫描器,漏洞扫描,它自己本身就不具备规则;还有防御系统,本来布一个防就可以睡大觉,但也可能出现别人使用的加密技术是他不能搞定的,防御系统为什么没有生效,可能软件没有升级,规则没有更新;还有防火墙,作为更高级的产品,它同样有很多方面搞不定。

有一个高级威胁攻击,用的技术往往是沙箱技术,网络异常检测技术,同样也有问题。我们听到过一些案例,当事情发生后大家问为什么没有发现,厂商调查一番回来告诉我们,实际上我们的系统是有预警的,但你们没有看到。从用户的角度来说,为什么你预警了我们没看到,难道跟厂商没关系吗?所以这实际是一种借口。

常见溯源结果(借口):

  • 扫描器 (scanner):零日没扫到
  • 入侵防御设备 (IPS):人家用文档 exploit,还加密了
  • 主机保护软件呢 (AV,HIPS):软件没来得及升级, AV 规则库没跟上
  • 下代防火墙有吧 (NGFW):人家没有利用软件漏洞,有员工被钓鱼了
  • 上月装的 ATP 设备呢 (Sandbox,NBAD):说应该有过报警,你们竟然没看到?

我们要去刨根问底,到底怎样才能改善我们的技术手段。

2

这张图上内容很多,我主要是想指出一点,误导的问题,紫色的部分是Action,有攻击的人到某一个阶段以后就想做具体动作,要么偷走你的信息,要么对你的业务造成直接威胁,比如转你的钱,做这件事情之前他会做一系列的动作,这个动作需要花时间,而且在空间上也是分布的。包括它想要做什么事情,可能会预先做一些调查,一系列的动作,最后还是要偷你的东西。在 Action 没有发生之前,很多环节都有补救的办法,但往往以前我们的很多产品重点放在除了 Action 以外的很多阶段上。

威胁者要做一件事,他的攻击目标是不变的,可能是对着你的业务流程和数据,但在这个过程中他有 N 多个步骤,不是一定要一步步走下去,而且不是所有步骤都是必须的,这就是我说的误导的原因。他的路径是万变的,以前很多技术和工具看法是被误导的,因为我们总是在看中间的过程而忘掉了最终我们要看到的目标。

LYL_2442

总结一下这个概念,攻击者会有很多招数,他可以利用社会工程来跳开对很多软件漏洞的依赖,他可能用很多规避手段。这些规避手段今天我们用的防毒技术、网络防火墙技术是看不到的,如果他们选定了目标,那他们一定是下定决心有耐心搞这个事情,而他们会花很长时间,我们的工具没有耐心放在里面,所以基本上看不到。

你去看所有黑产,他们在很大程度上已经利用了网络共享的资源来做攻击,这一点在我们做网络防御工具开发时往往没有更好地利用。

对于保卫者来说新的挑战是,攻击一定是不择手段的,他看到的目标在那儿,他不在于珠宝放在哪一个皇宫,他是盯着那个去的,所以一定是防不胜防的状况,你很难建一个别人攻不破的门,但同样,道高一尺魔高一丈,他也有可能不经过门。

另外就是打持久战。

最后是高级的博弈,因为黑产已经形成了相对完整的利用网络的生态系统,除非我们在网络防御、工具也以生态系统的方式去对付他们,一开始就很难打平手,所以我们一定要以业务为中心去建保护目标,业务为中心可能包括统一业务的、数据的安全,用户信息的安全和业务流程的安全。

4

这张图从左边看,实际上是以前历史上各种安全工具,当然,还不是包罗万象的,它们做下来以后有一个演进过程,今天我要说的演进状况就是中间这个橘红色的箭头,里面已经形成了一个产业链,从基本的工具开发到恶意软件、到它的发布,甚至有人做僵尸网的运营,其他人可以利用它做攻击,它有生态链产业链的概念。我们谈防护技术,早期我们想的是在主机上部署各种软件。后来有了网络,我们在网络上做防护产品,包括邮件网关、Web 安全网关等。现在有很多人用云,在云的状况下是不是又出现了新的安全问题,又有人去做产品,就要解决云的问题。实际上这些着眼点和方法都在一定程度上是相对的,没有很好的生态系统的概念,没有这样的概念,我们去“打仗”就有对我们不利的地方。

我总结了几个主要的方面,一是我们今天看到的“移动万物互联”,它给我们带来的挑战更大,已经不仅仅是我们的手机了,还可能是各种等各种东西;

LYL_2477

“工资消费一键”,我觉得这是很好的发展,相比美国可能更先进,但它之后面临的安全隐患是什么,大家不见得想得清楚。

从技术发展来看这个闹剧,确实是“古今虚实穿越”,但进入到互联网,考虑到安全,它本身带来了很多现实和网络空间的安全威胁,它有一个互动的关系。

另外一点,提出“安全欲见云烟”的概念主要是想说,在基本的安全问题没有解决时,大家又被云……不说是误导,起码精力会分散到云,大家认为云是新的问题,但显然我们要解决的基本问题仍然存在,我们解决了那些问题,云的问题也会迎刃而解。

如果你去看今天,我们已经到了安全问题全局化的状况,它会危及每一个人,显然它会跨越空间,我们已经知道,从互联网各种威胁事件的发生来看,很多人是跨界的。另外一个会影响到后面日常生活怎样做的理念,网络空间的安全问题和威胁,实际上和物理空间走到一起了,最早确实是影响到一些企业,它最早只是一些有技术的人想展现他的能力,想看看你的网站,后来变成了一些泄密事件,有一些生意损失,影响到的还是企业。

5

走到中间,过去几年我们看到了很多,比如 Post 机的问题,不但有了直接受害者,公司,还有大批间接受害者,这些受害者个人身份被盗,这个身份又拿来做欺诈活动。

再往下走到最右边,历史上有过这样的事情,国家之间因为相对敌对的关系,他们利用了网络空间和物理空间的互动,来做攻击动作。我们看到英国有个案例,一个年轻人被讹诈,这个讹诈信息说你做了什么犯罪的事情,我们是警察,这个年轻人想不通,抵受不住这种压力,最后自杀了。这个事情就是网络空间和物理空间的结合,不是直接的攻击,但却造成了人身的损害。

我要强调的是,物理空间和网络空间安全威胁的问题需要一起考虑,因为它会影响到我们每一个人,不光光是企业级的安全问题。我观察了一下,企业确实被网络犯罪彻底震醒了,很多网民被网络团伙的黑产欺诈震醒了,国家在某种程度上被斯诺登的一些状况震醒了,那我们如何做?

最重要的一点,做安全时我们往往考虑到 IT 的发展、考虑到威胁的发展、考虑到业务的发展,但大家往往忽视我们每个人对安全的认知和实践,这恰恰是我今天要强调的,人还是一个决定性因素。

6

回到安全实践的时候,一定要有一个现实目标,定下这个目标,再利用比较好的安全实践去做。从最佳安全的角度,一定要用不间断的监控排查和及时处理,比如你希望产品能够支持情报的共享和基于 API 的设计,公司一定要有好的流程,再最大限度地利用自动化,一个闭环系统,这当然是一个抽象的东西。

回到公司和个人的实践。从个人角度来说,以前我们很多系统自己不用打开都会自动更新,这个习惯一定要改变,让它自动打补丁;第二,我们用移动网络时,装的软件很多时候都是不知道底细的,而且装软件时软件向我要权限,能不能给它,是可以说不的;最后,如果有技术手段你一定要看一看,晚上手机放到身边,你什么都没做,但你一定要知道你的手机在跟谁交谈,如果你有技术手段,希望你去看一看。

从企业的角度,刚才我提到的全新方法论的概念,一定要聚焦到核心业务的保护,当有了明确目标以后,一定要在公司里选一个你认为现在最好的流程,按照统一的流程实践,在实践过程中一定要有一个闭环,一定要看到底做了什么,有没有效果,再做不断更新。

非常感谢大家的时间。

更多有趣好玩的内容 尽在品玩微信公众号
brand

PingWest品玩移动客户端