2019(第二届)中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上,亚信科技成都有限公司产品管理部总经理汪晨带来了《威胁可感知、安全可运维》的主题演讲。
我来自亚信安全。今天给大家分享的主题叫《威胁可感知、安全可运维》,这是亚信安全设计的产品理念,更快速更早期帮客户甄别出来威胁,帮助用户减少运维投入。
一、网络安全发展态势
据目前统计,2019年第二季度,中国的勒索软件感染量一跃位居榜首,占全球总数的20%,勒索病毒在我们周边愈演愈烈。第二,网络攻击的挑战越来越多。最近5年安全泄露事件增加67%,2018年网络犯罪攻击造成的损失有1300亿。大家都记得Facebook泄露之后,当天的股价暴跌损失了360亿,大家可以想象暴跌股价可以买多少网络安全公司。第三,平均攻击识别时间增加至197天,攻击之后恢复时间平均达到69天。
在护网过程中大量报警,从数据可以看到每天安全运维人员每天面对海量安全告警,超过50%以上的企业用各种独立的安全技术,巨量的告警难以方向未知的威胁。目前据数据统计,有2900万安全人员的缺口。护网期间,我们公司和友商公司的办公室基本都是空的,跑过去帮助用户护网了。
二、用什么技术做这件事情?
今天讲EDR。EDR是从国外引入的名词,源于2013年业务量在博文上有一个“EDR”词汇,它为了定义的是什么?定义的是有些工具能够帮助以后早期发现蛛丝马迹并且做相应的调查。EDR在诞生之初就是为了及早的感知威胁。比较形象的来说,我经常跟我同事讲,EDR其实解决几个问题,就像我们生病一样,第一,解决我到底有没有生病,第二,我病的严重不严重?第三,我的病该怎么治?EDR是一样的道理:我的企业有没有受到攻击?我的攻击严重不严重?我如何恢复受损的攻击?
如果EDR能够达到刚才讲的几个目的,首先要做就的是记录,在主机冊相应的记录,但是这是技术活,记录越多,系统越重,所以必须要精准做记录,这是有一定门槛的。第二,做调查,我们可以形象比喻调查,到医院以后,医生第一件事情是让你做一系列检查、出相应的报告。调研报告也一样,今天调研这件事情必须给客户出具相应的报告:这个威胁是不是威胁、它是怎么进来的,跟医生拿到的报告一样,各项指标是什么样的,医生才知道你到底有没有生病、病的严重不严重、接下来该怎么治。
在治的方面存在两个环节,一个是遏制,一个是修复,遏制就是你中招了,我需要把你隔离起来,修复意味着你要做大量记录,为什么?你要知道黑客是怎么攻击的,它是今天修改了你的注册表?还是埋了启动项去做坏事?只有拿到这样精准信息以后才能帮助客户做优秀的动作。
三、XDR解决方案
这张表第一映入眼帘的是SOAR,2017年Gartner提出来的,它需要对接厂商很多产品,做自动化。亚信安全怎么做?我们看看它组成的三个维度,我经常打比方,像我们听交响乐团一样,有拉小提琴的、弹钢琴的,重要的是要有乐谱,有预先编排好的预案,还要听指挥,否则没办法让大家比较容易去欣赏演奏,一样的道理。
XDR解决方案有专业的调查工具、标准的工作手册、安全响应专家。
这是目前呈现给客户的XDR解决方案,我们网络恻有网关型检测产品,有邮件安全产品,端点恻有端点侧安全产品,云主机侧也有产品,云、管、端的产品线比较整齐。同时,通过威胁区别库识别已知的威胁和未知的威胁,同时在上面有运维托管的服务。无论是EDR的技术还是机器学习的技术,更强调对灰色检测,但是网络安全里没有一个万能丹,阻止很重要,云管端产品线必须有相应的产品做拦截,因为毫秒级就可以解决问题。
四、目前的实践
刚才介绍了技术和方案,我们可以看下目前的实践:
实战案例1:10分钟自动拦截最新勒索病毒变种。我们可以看看这个编曲是怎么编的,首先在DDEI邮件侧网管如果发现有疑似邮件附件情况下,会按照预先编排送给我们的邮件沙盒,通过沙盒侦测发现它到底是不是威胁。如果是威胁的话,我们会把威胁情报发给云管端设备,形成拦截。大家看看这个效果,这也是大家都知道的案例,我们在银行里2019年3月11号6点零9分DDEI发现有一个可疑的病毒钓鱼邮件,按照预先编排会送给沙箱,6点17分零5秒完成样本分析,10分钟之内几十万台终端都获得本地威胁情报更新,有效阻止病毒最新变种。大家可以看到这个效率在10分钟之内,如果靠人工或者靠原来手工提交给病毒中心去验证,这个周期是超长的。
实战案例2:重保期间联动封堵攻击IP。重保期间有很多IP攻击,我们在网络设备发现有1.2亿IP进行攻击情况下,就会送给威胁管理中心UAP做相应的分析,分析之后会自动喂给管道侧的网络设备做相应的阻断。我们看下实际效果怎样,某大型银行TDA重保期间每天告警量达到80多万,我们经过UAP平台进行告警的汇总和过滤,通过APT接口发送封堵配置,不需要人工干预就进行相应的处置,大大节省了时间。
实战案例3:重保期间成功检测和溯源零日漏洞攻击。为什么叫威胁可感知?这个案例是EDR模块发现有疑似迹象情况下触乏威胁情报的喝茶。通过终端回溯侧和网络回溯侧分析确定这个东西是不是攻击了、怎么被攻击的。这是2019年6月26日某能源客户EDR设备IOA规则告警,检测到异常进程创建事件,有异常了我们怎么做?我们通过威胁情报进行相应的关联,最终形成调查报告,就像医生可以拿到验伤报告或者体检报告,通过报告发现这是利用零日漏洞进行相应的攻击,所以当时通过我们的EDR可以回溯黑客利用零日漏洞进行攻击的整个过程。并且我们事后跟该具有零日漏洞软件提供商确认了,的确是它们曾经没有发现过的一个零日漏洞。通过这个案例可以看到,通过我们的解决方案能够帮助用户提前感知到疑似威胁事件,帮助用户提前把威胁进行阻止。
时间关系,短暂分享到这里,谢谢大家!