騰訊雲上安全“智能流水線”_風聞
深几度-深几度官方账号-2020-01-13 13:44
文|吳俊宇
騰訊安全威脅情報中心負責人程虎的微信不斷湧入一串串代碼消息。
不懂技術的人看不懂這是什麼意思,但是他非常清楚,這是一款企業級病毒正在擴散的威脅情報告警。
他掃了眼手機、劃拉了幾下屏幕,繼續氣定神閒地吃飯聊天,介紹自己手頭上正在做的工作——騰訊雲在安全防護上有一整套“威脅線索發現-智能情報分析-威脅情報生產”系統。
是的。在雲端,他剛在手機上發現的問題已經被分析處理了。
程虎敦厚柔和,在討論技術問題時細聲慢語,邏輯清晰。他不斷用筆在卡片上寫寫畫畫。短短半小時內,三張卡片上便畫滿了一張張技術圖。
程虎當然也有精神緊張的時候。
2018年12月14日,騰訊安全威脅情報中心團隊在東莞團建,當天下午微信告警——國內一個千萬級用户產品,公司被黑客入侵,遭到定向攻擊。入侵後黑客把產品的軟件升級服務器攻陷,掛上自己的代碼,使得用户通過升級通道下載木馬。
更嚴重的問題在於,木馬還會通過永恆之藍漏洞對企業內部進行滲透攻擊,企業用户如果中了這個木馬,很有可能企業用户會遭遇病毒被二次攻擊。
這個問題極為緊急。
當晚8點,團隊迅速完成了確認分析,並把威脅情報下發到雲安全產品之中,病毒的防治和清理隨之解決,企業和用户得以止損。
這種反應速度源於騰訊雲的快速反應能力,它讓騰訊和其他企業級客户都能夠具備雲上安全的威脅情報生產“智能化流水線”。
一
熱帶雨林和消防員
程虎所在的騰訊安全威脅情報中心,主要通過提供各種安全威脅信息,幫助騰訊雲以及企業級客户預防或處置網絡攻擊,在當下這個企業級安全問題日趨突出情況下,正在發揮愈來愈大的作用。
我們的互聯網公共安全空間如同亞馬遜雨林,它並非時時刻刻處在平靜之中,而是隨時面臨“火災”——“火災”往往是深處暗網、不知所蹤的入侵者所帶來的。按照攻擊目的不同,大概分成三種。
1、植入木馬病毒:單體攻擊,可能是黑客個人行為。比如某些數字貨幣玩家為了薅羊毛,會把挖礦木馬植入到某些安全措施薄弱的公司服務器。
如以加密數據為手段的勒索病毒和利用機器資源挖取數字貨幣的挖礦木馬。
2、構建殭屍網絡:羣體攻擊,可能是黑產公司行為。失陷機器會淪為肉雞,攻擊者控制批量肉雞進行商業變現。
3、網絡間諜活動/網絡戰:高級戰爭,可能是國家行為。針對高價值目標進行定向威脅,針對商業組織以竊取商業信息為目的,也包括針對國家敏感機構的網絡間諜行為。
亞馬遜雨林火災是如何發現並得以解決的?
一個重要的手段是,巴西國家空間研究所的衞星熱力圖。這是去年亞馬遜雨林大火時的一張熱力圖。
亞馬遜雨林的火災是常態,一部分火災會在自然條件下自然消失殆盡,只需要時時刻刻在衞星數據以及現場勘探密切觀察。
一部分氾濫的火災才需要動用人力撲滅。
比如去年亞馬遜大火,巴西軍方便在北部亞馬遜地區部署了約4.4萬名士兵以及兩架C-130運輸機參與滅火。
通俗解釋,程虎這樣的安全專家類似消防專家。他們日常通過“威脅線索發現-智能威脅分析-威脅情報生產”系統時時檢測每一個安全威脅所處在狀態,通過雲端產品對攻擊進行智能化的自動抵禦,當發現無法自動防禦的新危機才會通過緊急會議、動用人工力量緊急處置。
為何要形成這種自動檢測、自動分析以及人工經驗再進行研判的流程?
1、企業應用中報警非常多,準確度也低。
攻擊源情報會過期,網站或者網站服務器被黑客攻擊入侵之後還會再去攻擊他人,隨後這些漏洞被修復,導致過期情報的誕生。如果實際無風險的誤報警過多,會大大降低整個系統的可用性,令安全運維人員陷入疲勞。
2、通過人工分析來生產精細化威脅情報,必然會導致產能不足。
精細化情報需要較強分析功底,把威脅進行定性。然而客户在運用威脅情報的時候告警非常多,往往造成運營壓力比較大。
每天的告警量是幾千到幾萬,一個運營人員的處理能力在一百左右,顯然,不太可能完全依賴人工,導致運營分析的研判壓力非常大。
二
威脅情報生產“智能化流水線”
説白了,這就是套智能化滅火設備。
2018年,《日本經濟新聞》便報道,日本東北大學教授田所諭等人開發出一款能懸浮在空中進行滅火的機器人Dragon Fire Fighter,可應對人無法靠近的火災情況。
有句話怎麼説來着,只有非常努力看起來才毫不費力。
網絡安全過去給大家的印象是“黑客攻擊”、“網絡大神”,來無影去無蹤。攻擊方和防守方需要在網絡空間中高手過招。但技術進展飛速的今天,網絡安全也流水線化了。
安全體系流水線的出現不僅提高了工作效率,降低人工成本,還以最大限度的自動化模式來配合產品生產。
如果我們深入底層去探究就會發現,騰訊安全有一套自己的專業處理方案。
1、處於最底層的大數據後台。安全大數據可以經過大集羣算法中台清洗和分析,及時輸出有效的威脅線索,進而智能分析系統,進行威脅定性分析和威脅情報生產。
2、威脅分析/情報生產自動化體系,這個屬於威脅情報中台。威脅情報生產從威脅線索發現到威脅的智能分析,到威脅情報的生產都是自動化的,利用威脅情報來做安全運維服務。對高級威脅有專項的研究小組,新攻擊武器的專項防治小組。研究小組和防治小組的產品成果都會被應用到威脅情報中。
對安全大數據進行自動化的清洗、挖掘和分析,產出威脅情報,為業務前台的安全產品提供安全防護能力。
我們不妨去看看,騰訊安全在實際攻防中的一些場景。
早在2017年,騰訊安全檢測到一場大規模DDoS 網絡攻擊席捲全國,單個IP遭受黑客組織攻擊的流量規模高達650G,參與攻擊的源地址幾乎覆蓋了所有省市運營商的骨幹網絡。
接到情報檢測系統的警報後,騰訊安全迅速展開研究併發布溯源分析報告,鎖定攻擊方為臭名昭著的“暗雲”黑客團伙。他們把木馬深埋在電腦磁盤中,形成殭屍網絡發動大規模網絡攻擊。
安全警報迅速拉響後,騰訊雲率先完成雲端防禦佈局,並把情報同步到國內安全行業,幫助雲計算友商及時定位安全問題,減少對雲上租户的影響。
2019年5月一個清晨,微軟發佈遠程代碼執行漏洞安全公告CVE-2019-0708。黑客可利用該漏洞遠程獲取計算機的控制權限,存在着極大的安全隱患。
騰訊雲安全情報團隊第一時間收到了情報檢測系統推送的漏洞預警,當時正在吃早飯的團隊成員chad,立刻在工作羣裏拉響警報,啓動應急預案,將情報發給相關團隊。
10點10分,漏洞預警在騰訊雲官網發佈,為了進一步通知所有騰訊雲用户,chad他們又通過短信、郵件、站內信等方式輪番通知,務必要讓騰訊雲用户提高警惕。
10點30分,騰訊雲安全運營中心對外發布了詳細的漏洞分析報告,併為用户提供完善的防禦方案和建議。
同時,騰訊雲業務團隊正在根據情報緊鑼密鼓地對騰訊雲自身的服務器和產品進行修復和驗證。
不到24小時,騰訊雲上所有用户新創建機器都確保不會受到漏洞影響。
程虎氣定神閒,靠的就是騰訊雲這套完整的威脅情報生產智能化流水線。
用户看不到背後有多驚險,然而恰恰是這種快速反應,讓企業在攻防中取得優勢——用户毫無感知,其實也恰恰是一個合格安全團隊真正的價值所在。
就像是個老司機,能讓你在車裏舒舒服服睡大覺。
事實上,網絡安全自動化、智能化已經成了全球互聯網巨頭都在普遍嘗試的東西。亞馬遜首席技術官、副總裁Werner Vogels2019年在CSS上就公開提到:
我們應該很大程度上儘可能把安全操作都進行自動化,這樣才可以讓客户以自我保護的方式更好地保護自己。
大數據後台和威脅情報中台的能力被抽象出來,一點點累積到業務前台。針對政府和企業側進行業務輸出。
三
授人以魚和授人以漁
基於雲資源的攻擊也在成為趨勢。
道高一尺魔高一丈,這就像矛和盾,不斷基於新技術升級。
騰訊安全情報數據顯示,雲資源作為攻擊源的比例已佔國內所有攻擊源的45.55%。和與傳統攻擊路徑相比,雲資源攻擊表現出更為多元、複雜和脆弱的特性。
傳統攻擊主要是針對個人,但是現在基於雲資源的攻擊則是更廣泛,騰訊雲安全所承載的壓力也愈來越大。
打開騰訊安全官網會發現,個人應用安全已經只是右下角小小的兩段文字而已。
儘管騰訊仍然是個人安全軟件用户量最大的廠商,但大量基於雲的企業級安全產品已經成為主力。
的確,企業安全網絡的脆弱性在今天顯得異常突出。我們不妨把企業比作成是棟房子,這棟房子有密碼鎖,有保安,有狗洞,還有客人進出。
1、弱口令:房子的密碼鎖,有些不懷好意的的黑客會猜到密碼鎖的數字;
2、安全漏洞:房子的狗洞可能不單可以進狗,被人敲開後還能鑽進一個人;
3、社會工程學的突破:家裏有保安其實也不一定安全,因為不懷好意的黑客可能會利用保安的心理弱點進入大門,電影《哪吒》裏死守大門的結界獸被哪吒頻頻矇混過關,其實就是哪吒利用社會工程學攻破結界獸心理防線的結果。
4、供應鏈:企業一般會有供應鏈合作伙伴,自家沒問題合作伙伴可能出了問題,這就像你家來個客人,一不留神可能小偷也跟着客人進了門。
騰訊安全威脅情報中心會把遇到各式各樣的安全問題進行數據分析、分類處理,展開數據建模。
給到企業級客户的雲安全產品主要分成兩種。
一種是直接輸出威脅指標,稱為應用級情報,客户直接用在他們安全產品裏面進行攔截。
一種是運營級情報,將騰訊安全威脅情報中心的模型、算法和規則內置在安全產品中,通過威脅檢測系統、安全運營中心等為企業提升安全水平。
如何理解這兩種雲安全產品呢?我們常説一句話,叫“授人以魚不如授人以漁”。
第一種其實就是“授人以魚”,直接告訴企業級客户答案,什麼會威脅你的安全。
第二種其實就是“授人以漁”,企業可以通過模型、算法和規則慢慢自己搞清楚什麼會威脅自家安全。
一般有些企業就直接用騰訊安全威脅情報中心提供的運維服務。
有些大型互聯網企業,則是會自建團隊,會跟他們一起指導先把算法、模型、規則搭起來,幫助企業級客户將“魚竿”不斷升級。
在這種情況下,企業客户也能逐漸獲得和攻擊者展開攻防對戰的能力,不斷磨礪自家的安全能力。
企業安全在雲的助推之下正在成為未來中國數字化的重要一環。
浪潮已經來臨,一條安全自動化流水線將是幫助中國數字化升級守住大門的定海神針。