百度安全:用威脅情報對抗黑產的專業“僱傭軍”
這幾年,安全行業的各種新概念、新產品層出不窮,從老三樣,到SOC、SIEM,再到現在的威脅情報、態勢感知。其中,今年最受追捧的當屬“威脅情報”。在12月21日舉辦的第二屆北向峯會上,嘉賓現場選出的“2017中國網絡安全領域十大熱詞”中,威脅情報排名第三,可見安全行業對威脅情報的期待。
威脅情報的價值自不必説,但是如何用好威脅情報,我們該怎麼用它來對抗黑產?就這個問題,馮景輝在今年的北向峯會“山海關論壇”上,分享了百度安全在“不太平的後廠村路上”如何用威脅情報來成功對抗黑產的實踐經驗。
應對撞庫:發掘風險用户行為建立三層賬號防護體系
今年的黑產攻擊中,撞庫是當之無愧的“熱詞”。有媒體曾報道,只要花300元就可以對微博賬號發起攻擊。傳統的解決思路是驗證碼的方式,但是這種方式存在一定弊端。即便是從原來的數字驗證碼進化到漢字驗證碼,但仍存在盲區,比如大量的移動端接口沒有辦法短時間更新。
那麼,威脅情報的解決思路是怎樣的呢?馮景輝介紹了百度安全的三層賬號安全防護體系:
第一個層面是存量檢測。簡單來説就是自己撞自己的庫,看看這些年來已經被泄漏的賬號密碼有沒有在百度上註冊賬户,如果有這些就是高危用户。
第二個層面是即時檢測。有時候你會發現,在註冊或登錄賬號時,即使你使用了看似很複雜又符合規則的密碼,但仍然被提示需要更改密碼,這種情況很有可能是你的密碼已經泄漏了。這種情況需要即時檢測判斷。
第三個層面是多層次模型判斷。如果讓所有人都進行復雜的多重驗證,賬號是安全了,但是用户體驗就會很差。所以兩者之間也需要平衡。怎麼辦呢?百度安全基於所有百度產品的訪問數據和情報積累數據,查看哪些訪問來自高危IP、未知IP,哪些訪問來自於惡意的手機(EMA號),一旦被判斷為可疑賬號,就會進入更加複雜的驗證環節。這樣做就既可以保證大多數用户的使用體驗,也能彌補驗證碼存在盲區的缺點。
這裏的多層次模型判斷,是典型的威脅情報應用場景。把各種來源的惡意IP、惡意IMEI、風險賬號、定向破解、撞庫、惡意爬蟲等等情報信息,放在百度大腦裏進行不斷地學習,讓百度大腦能夠快速地識別出哪些是黑產的惡意行為,哪些是正常的訪問。
上個月,俄羅斯五大銀行遭遇DDoS攻擊,來自30個國家2.4萬台計算機構成的殭屍網絡持續不間斷的攻擊,結果是黑客從俄羅斯央行的代理賬户盜取了20億盧布才算完。
DDoS就像是洪水猛獸,會在很短時間內突然間出現一個很大的流量,讓網站猝不及防。威脅情報能在DDoS黑產對抗中發揮怎樣的作用呢?主要是兩方面:攻擊預警、攻擊溯源。
“我們知道大流量攻擊無外乎來自於幾個方向:海外流量、國內某些黑數據中心的流量,以及大量的各種肉雞流量,過去主要是PC,現在越來越多是攝像頭、路由器等IOT設備。” 馮景輝説,百度安全現在能夠做到在黑客發起攻擊之前,提前5分鐘發出預警。這5分鐘就像是生命線。企業可以在用户沒有感覺到網絡波動之前啓動防禦機制,為保證業務的連續性起到重要的作用。
百度安全憑什麼能做到?這是基於多年來積累下來的全網殭屍網絡的監控能力。百度安全目前掌握了10多萬個殭屍網絡信道和幾萬種家族變種。能夠即時監測殭屍網絡對未知目標發起攻擊。用户如果使用了百度安全的產品,就可以迅速對攻擊進行攔截。
同樣基於殭屍網絡監控,百度安全還可以對攻擊進行溯源,主要應用在兩個方面:一是在事後調取證據,抓獲犯罪嫌疑人。而另一個更重要的作用是從攻擊發起端開始進行全鏈條的攔截。“由於能夠做到提前5分鐘發現攻擊,所以我們從主控端對流量進行調度,從攻擊端到服務器端,每一個關鍵節點,我們都進行了防禦。這樣就避免業務被打垮,網站服務也不會受影響。”
應對隱私竊取:情報信息再加工、再利用,精準度提升20%
今年7月,有用户投訴説接到騷擾電話,對方説電話號碼來源於百度。最終的調查結果是,這是一種打着“網站訪客營銷”旗號的黑產行為。黑產以營銷的名義,對搜索引擎收錄的網站植入惡意代碼,當用户訪問這些網站時,手機號碼、QQ號碼等隱私信息就會被竊取。
網站訪客營銷黑產是已經非常成熟的產業鏈,黑產製造了惡意軟件工具,通過代理商賣給那些不良網站,一級代理商把它包裝成一套服務,不斷變換域名,躲避搜索引擎監管。
應對這種黑產攻擊,威脅情報能做些什麼呢?“傳統的打擊方法是不斷地抓代理商,封鎖代理商的域名。但是這種方法很被動,因為我們後來發現有二級代理商這種隱藏在背後的機構。”馮景輝介紹説,針對一級代理商,通過分析不同代理商的模板行為腳本,挖掘出一些還沒有被舉報的URL,通過百度安全掌握的資產信息來進行反向推導;針對二級代理商,把實際控制人所控制的不同域名等信息挖掘出來,並且進行橫向的打擊,對威脅情報進行再加工、再利用。通過這種情報再加工,百度安全在傳統打擊方法基礎上,將精準度提升了20% “經過一段時間打擊之後,在百度搜索引擎裏邊,非法竊取用户隱私網站數減少94.26%;網民點擊風險網站數量減少80%。”