騰訊云上安全“智能流水線”

文|吳俊宇

騰訊安全威脅情報(bào)中心負(fù)責(zé)人程虎的微信不斷涌入一串串代碼消息。

不懂技術(shù)的人看不懂這是什么意思,但是他非常清楚,這是一款企業(yè)級(jí)病毒正在擴(kuò)散的威脅情報(bào)告警。

他掃了眼手機(jī)、劃拉了幾下屏幕,繼續(xù)氣定神閑地吃飯聊天,介紹自己手頭上正在做的工作——騰訊云在安全防護(hù)上有一整套“威脅線索發(fā)現(xiàn)-智能情報(bào)分析-威脅情報(bào)生產(chǎn)”系統(tǒng)。

是的。在云端,他剛在手機(jī)上發(fā)現(xiàn)的問(wèn)題已經(jīng)被分析處理了。

程虎敦厚柔和,在討論技術(shù)問(wèn)題時(shí)細(xì)聲慢語(yǔ),邏輯清晰。他不斷用筆在卡片上寫寫畫畫。短短半小時(shí)內(nèi),三張卡片上便畫滿了一張張技術(shù)圖。

程虎當(dāng)然也有精神緊張的時(shí)候。

2018年12月14日,騰訊安全威脅情報(bào)中心團(tuán)隊(duì)在東莞團(tuán)建,當(dāng)天下午微信告警——國(guó)內(nèi)一個(gè)千萬(wàn)級(jí)用戶產(chǎn)品,公司被黑客入侵,遭到定向攻擊。入侵后黑客把產(chǎn)品的軟件升級(jí)服務(wù)器攻陷,掛上自己的代碼,使得用戶通過(guò)升級(jí)通道下載木馬。

更嚴(yán)重的問(wèn)題在于,木馬還會(huì)通過(guò)永恒之藍(lán)漏洞對(duì)企業(yè)內(nèi)部進(jìn)行滲透攻擊,企業(yè)用戶如果中了這個(gè)木馬,很有可能企業(yè)用戶會(huì)遭遇病毒被二次攻擊。

這個(gè)問(wèn)題極為緊急。

當(dāng)晚8點(diǎn),團(tuán)隊(duì)迅速完成了確認(rèn)分析,并把威脅情報(bào)下發(fā)到云安全產(chǎn)品之中,病毒的防治和清理隨之解決,企業(yè)和用戶得以止損。

這種反應(yīng)速度源于騰訊云的快速反應(yīng)能力,它讓騰訊和其他企業(yè)級(jí)客戶都能夠具備云上安全的威脅情報(bào)生產(chǎn)“智能化流水線”。

熱帶雨林和消防員

程虎所在的騰訊安全威脅情報(bào)中心,主要通過(guò)提供各種安全威脅信息,幫助騰訊云以及企業(yè)級(jí)客戶預(yù)防或處置網(wǎng)絡(luò)攻擊,在當(dāng)下這個(gè)企業(yè)級(jí)安全問(wèn)題日趨突出情況下,正在發(fā)揮愈來(lái)愈大的作用。

我們的互聯(lián)網(wǎng)公共安全空間如同亞馬遜雨林,它并非時(shí)時(shí)刻刻處在平靜之中,而是隨時(shí)面臨“火災(zāi)”——“火災(zāi)”往往是深處暗網(wǎng)、不知所蹤的入侵者所帶來(lái)的。按照攻擊目的不同,大概分成三種。

1、植入木馬病毒:單體攻擊,可能是黑客個(gè)人行為。比如某些數(shù)字貨幣玩家為了薅羊毛,會(huì)把挖礦木馬植入到某些安全措施薄弱的公司服務(wù)器。

如以加密數(shù)據(jù)為手段的勒索病毒和利用機(jī)器資源挖取數(shù)字貨幣的挖礦木馬。

2、構(gòu)建僵尸網(wǎng)絡(luò):群體攻擊,可能是黑產(chǎn)公司行為。失陷機(jī)器會(huì)淪為肉雞,攻擊者控制批量肉雞進(jìn)行商業(yè)變現(xiàn)。

3、網(wǎng)絡(luò)間諜活動(dòng)/網(wǎng)絡(luò)戰(zhàn):高級(jí)戰(zhàn)爭(zhēng),可能是國(guó)家行為。針對(duì)高價(jià)值目標(biāo)進(jìn)行定向威脅,針對(duì)商業(yè)組織以竊取商業(yè)信息為目的,也包括針對(duì)國(guó)家敏感機(jī)構(gòu)的網(wǎng)絡(luò)間諜行為。

亞馬遜雨林火災(zāi)是如何發(fā)現(xiàn)并得以解決的?

一個(gè)重要的手段是,巴西國(guó)家空間研究所的衛(wèi)星熱力圖。這是去年亞馬遜雨林大火時(shí)的一張熱力圖。

亞馬遜雨林的火災(zāi)是常態(tài),一部分火災(zāi)會(huì)在自然條件下自然消失殆盡,只需要時(shí)時(shí)刻刻在衛(wèi)星數(shù)據(jù)以及現(xiàn)場(chǎng)勘探密切觀察。

一部分泛濫的火災(zāi)才需要?jiǎng)佑萌肆錅纭?/p>

比如去年亞馬遜大火,巴西軍方便在北部亞馬遜地區(qū)部署了約4.4萬(wàn)名士兵以及兩架C-130運(yùn)輸機(jī)參與滅火。

通俗解釋,程虎這樣的安全專家類似消防專家。他們?nèi)粘Mㄟ^(guò)“威脅線索發(fā)現(xiàn)-智能威脅分析-威脅情報(bào)生產(chǎn)”系統(tǒng)時(shí)時(shí)檢測(cè)每一個(gè)安全威脅所處在狀態(tài),通過(guò)云端產(chǎn)品對(duì)攻擊進(jìn)行智能化的自動(dòng)抵御,當(dāng)發(fā)現(xiàn)無(wú)法自動(dòng)防御的新危機(jī)才會(huì)通過(guò)緊急會(huì)議、動(dòng)用人工力量緊急處置。

為何要形成這種自動(dòng)檢測(cè)、自動(dòng)分析以及人工經(jīng)驗(yàn)再進(jìn)行研判的流程?

1、企業(yè)應(yīng)用中報(bào)警非常多,準(zhǔn)確度也低。

攻擊源情報(bào)會(huì)過(guò)期,網(wǎng)站或者網(wǎng)站服務(wù)器被黑客攻擊入侵之后還會(huì)再去攻擊他人,隨后這些漏洞被修復(fù),導(dǎo)致過(guò)期情報(bào)的誕生。如果實(shí)際無(wú)風(fēng)險(xiǎn)的誤報(bào)警過(guò)多,會(huì)大大降低整個(gè)系統(tǒng)的可用性,令安全運(yùn)維人員陷入疲勞。

2、通過(guò)人工分析來(lái)生產(chǎn)精細(xì)化威脅情報(bào),必然會(huì)導(dǎo)致產(chǎn)能不足。

精細(xì)化情報(bào)需要較強(qiáng)分析功底,把威脅進(jìn)行定性。然而客戶在運(yùn)用威脅情報(bào)的時(shí)候告警非常多,往往造成運(yùn)營(yíng)壓力比較大。

每天的告警量是幾千到幾萬(wàn),一個(gè)運(yùn)營(yíng)人員的處理能力在一百左右,顯然,不太可能完全依賴人工,導(dǎo)致運(yùn)營(yíng)分析的研判壓力非常大。

威脅情報(bào)生產(chǎn)“智能化流水線”

說(shuō)白了,這就是套智能化滅火設(shè)備。

2018年,《日本經(jīng)濟(jì)新聞》便報(bào)道,日本東北大學(xué)教授田所諭等人開(kāi)發(fā)出一款能懸浮在空中進(jìn)行滅火的機(jī)器人Dragon Fire Fighter,可應(yīng)對(duì)人無(wú)法靠近的火災(zāi)情況。

有句話怎么說(shuō)來(lái)著,只有非常努力看起來(lái)才毫不費(fèi)力。

網(wǎng)絡(luò)安全過(guò)去給大家的印象是“黑客攻擊”、“網(wǎng)絡(luò)大神”,來(lái)無(wú)影去無(wú)蹤。攻擊方和防守方需要在網(wǎng)絡(luò)空間中高手過(guò)招。但技術(shù)進(jìn)展飛速的今天,網(wǎng)絡(luò)安全也流水線化了。

安全體系流水線的出現(xiàn)不僅提高了工作效率,降低人工成本,還以最大限度的自動(dòng)化模式來(lái)配合產(chǎn)品生產(chǎn)。

如果我們深入底層去探究就會(huì)發(fā)現(xiàn),騰訊安全有一套自己的專業(yè)處理方案。

1、處于最底層的大數(shù)據(jù)后臺(tái)。安全大數(shù)據(jù)可以經(jīng)過(guò)大集群算法中臺(tái)清洗和分析,及時(shí)輸出有效的威脅線索,進(jìn)而智能分析系統(tǒng),進(jìn)行威脅定性分析和威脅情報(bào)生產(chǎn)。

2、威脅分析/情報(bào)生產(chǎn)自動(dòng)化體系,這個(gè)屬于威脅情報(bào)中臺(tái)。威脅情報(bào)生產(chǎn)從威脅線索發(fā)現(xiàn)到威脅的智能分析,到威脅情報(bào)的生產(chǎn)都是自動(dòng)化的,利用威脅情報(bào)來(lái)做安全運(yùn)維服務(wù)。對(duì)高級(jí)威脅有專項(xiàng)的研究小組,新攻擊武器的專項(xiàng)防治小組。研究小組和防治小組的產(chǎn)品成果都會(huì)被應(yīng)用到威脅情報(bào)中。

對(duì)安全大數(shù)據(jù)進(jìn)行自動(dòng)化的清洗、挖掘和分析,產(chǎn)出威脅情報(bào),為業(yè)務(wù)前臺(tái)的安全產(chǎn)品提供安全防護(hù)能力。

我們不妨去看看,騰訊安全在實(shí)際攻防中的一些場(chǎng)景。

早在2017年,騰訊安全檢測(cè)到一場(chǎng)大規(guī)模DDoS 網(wǎng)絡(luò)攻擊席卷全國(guó),單個(gè)IP遭受黑客組織攻擊的流量規(guī)模高達(dá)650G,參與攻擊的源地址幾乎覆蓋了所有省市運(yùn)營(yíng)商的骨干網(wǎng)絡(luò)。

接到情報(bào)檢測(cè)系統(tǒng)的警報(bào)后,騰訊安全迅速展開(kāi)研究并發(fā)布溯源分析報(bào)告,鎖定攻擊方為臭名昭著的“暗云”黑客團(tuán)伙。他們把木馬深埋在電腦磁盤中,形成僵尸網(wǎng)絡(luò)發(fā)動(dòng)大規(guī)模網(wǎng)絡(luò)攻擊。

安全警報(bào)迅速拉響后,騰訊云率先完成云端防御布局,并把情報(bào)同步到國(guó)內(nèi)安全行業(yè),幫助云計(jì)算友商及時(shí)定位安全問(wèn)題,減少對(duì)云上租戶的影響。

2019年5月一個(gè)清晨,微軟發(fā)布遠(yuǎn)程代碼執(zhí)行漏洞安全公告CVE-2019-0708。黑客可利用該漏洞遠(yuǎn)程獲取計(jì)算機(jī)的控制權(quán)限,存在著極大的安全隱患。

騰訊云安全情報(bào)團(tuán)隊(duì)第一時(shí)間收到了情報(bào)檢測(cè)系統(tǒng)推送的漏洞預(yù)警,當(dāng)時(shí)正在吃早飯的團(tuán)隊(duì)成員chad,立刻在工作群里拉響警報(bào),啟動(dòng)應(yīng)急預(yù)案,將情報(bào)發(fā)給相關(guān)團(tuán)隊(duì)。

10點(diǎn)10分,漏洞預(yù)警在騰訊云官網(wǎng)發(fā)布,為了進(jìn)一步通知所有騰訊云用戶,chad他們又通過(guò)短信、郵件、站內(nèi)信等方式輪番通知,務(wù)必要讓騰訊云用戶提高警惕。

10點(diǎn)30分,騰訊云安全運(yùn)營(yíng)中心對(duì)外發(fā)布了詳細(xì)的漏洞分析報(bào)告,并為用戶提供完善的防御方案和建議。

同時(shí),騰訊云業(yè)務(wù)團(tuán)隊(duì)正在根據(jù)情報(bào)緊鑼密鼓地對(duì)騰訊云自身的服務(wù)器和產(chǎn)品進(jìn)行修復(fù)和驗(yàn)證。

不到24小時(shí),騰訊云上所有用戶新創(chuàng)建機(jī)器都確保不會(huì)受到漏洞影響。

程虎氣定神閑,靠的就是騰訊云這套完整的威脅情報(bào)生產(chǎn)智能化流水線。

用戶看不到背后有多驚險(xiǎn),然而恰恰是這種快速反應(yīng),讓企業(yè)在攻防中取得優(yōu)勢(shì)——用戶毫無(wú)感知,其實(shí)也恰恰是一個(gè)合格安全團(tuán)隊(duì)真正的價(jià)值所在。

就像是個(gè)老司機(jī),能讓你在車?yán)锸媸娣笥X(jué)。

事實(shí)上,網(wǎng)絡(luò)安全自動(dòng)化、智能化已經(jīng)成了全球互聯(lián)網(wǎng)巨頭都在普遍嘗試的東西。亞馬遜首席技術(shù)官、副總裁Werner Vogels2019年在CSS上就公開(kāi)提到:

我們應(yīng)該很大程度上盡可能把安全操作都進(jìn)行自動(dòng)化,這樣才可以讓客戶以自我保護(hù)的方式更好地保護(hù)自己。

大數(shù)據(jù)后臺(tái)和威脅情報(bào)中臺(tái)的能力被抽象出來(lái),一點(diǎn)點(diǎn)累積到業(yè)務(wù)前臺(tái)。針對(duì)政府和企業(yè)側(cè)進(jìn)行業(yè)務(wù)輸出。

授人以魚(yú)和授人以漁

基于云資源的攻擊也在成為趨勢(shì)。

道高一尺魔高一丈,這就像矛和盾,不斷基于新技術(shù)升級(jí)。

騰訊安全情報(bào)數(shù)據(jù)顯示,云資源作為攻擊源的比例已占國(guó)內(nèi)所有攻擊源的45.55%。和與傳統(tǒng)攻擊路徑相比,云資源攻擊表現(xiàn)出更為多元、復(fù)雜和脆弱的特性。

傳統(tǒng)攻擊主要是針對(duì)個(gè)人,但是現(xiàn)在基于云資源的攻擊則是更廣泛,騰訊云安全所承載的壓力也愈來(lái)越大。

打開(kāi)騰訊安全官網(wǎng)會(huì)發(fā)現(xiàn),個(gè)人應(yīng)用安全已經(jīng)只是右下角小小的兩段文字而已。

盡管騰訊仍然是個(gè)人安全軟件用戶量最大的廠商,但大量基于云的企業(yè)級(jí)安全產(chǎn)品已經(jīng)成為主力。

的確,企業(yè)安全網(wǎng)絡(luò)的脆弱性在今天顯得異常突出。我們不妨把企業(yè)比作成是棟房子,這棟房子有密碼鎖,有保安,有狗洞,還有客人進(jìn)出。

1、弱口令:房子的密碼鎖,有些不懷好意的的黑客會(huì)猜到密碼鎖的數(shù)字;

2、安全漏洞:房子的狗洞可能不單可以進(jìn)狗,被人敲開(kāi)后還能鉆進(jìn)一個(gè)人;

3、社會(huì)工程學(xué)的突破:家里有保安其實(shí)也不一定安全,因?yàn)椴粦押靡獾暮诳涂赡軙?huì)利用保安的心理弱點(diǎn)進(jìn)入大門,電影《哪吒》里死守大門的結(jié)界獸被哪吒頻頻蒙混過(guò)關(guān),其實(shí)就是哪吒利用社會(huì)工程學(xué)攻破結(jié)界獸心理防線的結(jié)果。

4、供應(yīng)鏈:企業(yè)一般會(huì)有供應(yīng)鏈合作伙伴,自家沒(méi)問(wèn)題合作伙伴可能出了問(wèn)題,這就像你家來(lái)個(gè)客人,一不留神可能小偷也跟著客人進(jìn)了門。

騰訊安全威脅情報(bào)中心會(huì)把遇到各式各樣的安全問(wèn)題進(jìn)行數(shù)據(jù)分析、分類處理,展開(kāi)數(shù)據(jù)建模。

給到企業(yè)級(jí)客戶的云安全產(chǎn)品主要分成兩種。

一種是直接輸出威脅指標(biāo),稱為應(yīng)用級(jí)情報(bào),客戶直接用在他們安全產(chǎn)品里面進(jìn)行攔截。

一種是運(yùn)營(yíng)級(jí)情報(bào),將騰訊安全威脅情報(bào)中心的模型、算法和規(guī)則內(nèi)置在安全產(chǎn)品中,通過(guò)威脅檢測(cè)系統(tǒng)、安全運(yùn)營(yíng)中心等為企業(yè)提升安全水平。

如何理解這兩種云安全產(chǎn)品呢?我們常說(shuō)一句話,叫“授人以魚(yú)不如授人以漁”。

第一種其實(shí)就是“授人以魚(yú)”,直接告訴企業(yè)級(jí)客戶答案,什么會(huì)威脅你的安全。

第二種其實(shí)就是“授人以漁”,企業(yè)可以通過(guò)模型、算法和規(guī)則慢慢自己搞清楚什么會(huì)威脅自家安全。

一般有些企業(yè)就直接用騰訊安全威脅情報(bào)中心提供的運(yùn)維服務(wù)。

有些大型互聯(lián)網(wǎng)企業(yè),則是會(huì)自建團(tuán)隊(duì),會(huì)跟他們一起指導(dǎo)先把算法、模型、規(guī)則搭起來(lái),幫助企業(yè)級(jí)客戶將“魚(yú)竿”不斷升級(jí)。

在這種情況下,企業(yè)客戶也能逐漸獲得和攻擊者展開(kāi)攻防對(duì)戰(zhàn)的能力,不斷磨礪自家的安全能力。

企業(yè)安全在云的助推之下正在成為未來(lái)中國(guó)數(shù)字化的重要一環(huán)。

浪潮已經(jīng)來(lái)臨,一條安全自動(dòng)化流水線將是幫助中國(guó)數(shù)字化升級(jí)守住大門的定海神針。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2020-01-13
騰訊云上安全“智能流水線”
安全威脅情報(bào)中心負(fù)責(zé)人程虎的微信不斷涌入一串串代碼消息。不懂技術(shù)的人看不懂這是什么意思,但是他非常清楚,這是一款企業(yè)級(jí)病毒正在擴(kuò)散的威脅情報(bào)告警。

長(zhǎng)按掃碼 閱讀全文