亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

摘要：在當下互聯(lián)網飛速發(fā)展的時代，網絡環(huán)境愈加復雜，網絡安全邊界愈加模糊，黑客攻擊愈加頻繁和復雜，傳統(tǒng)的網絡安全防護手段正在逐漸失效。怎樣提升安全監(jiān)控以及迅速響應能力，是下一代安全的落腳點。青藤云主機自適應安全平臺，更加注重主機層面的監(jiān)控與迅速響應，確保安全最后一共里不被黑客攻陷。

崔晶煒????青藤云安全高級VP

我們自己更準確的定義是云時代的主機安全。我自己和我們公司認為主機安全應該是企業(yè)安全建設的最后一公里。我今天會介紹為什么要做主機安全，為什么主機安全是最后的一公里，為什么安全的最后一公里對企業(yè)有非常重要的意義。

青藤云創(chuàng)立于2014年8月份，在過去將近4年時間，我們非常欣喜地看到中國的網絡安全產業(yè)的迅猛發(fā)展。我相信在座各位都有類似的感受。

因為我每天在接觸甲方，從安全的從業(yè)人員到安全處處長、互聯(lián)網行業(yè)的安全總監(jiān)。從甲方來看，有更多專職的安全崗、有更多安全的管理崗位，像我昨天去一家大型國企，去年他們的安全從運維的處室里剝離出來，成立了專門的安全處。安全越來越受到甲方的重視。有的時候安全也是不好做的，有可能承擔背鍋俠的角色。

從乙方的角度來看，雖然沒有官方數據，但我感覺在過去3-4年，中國的網絡安全市場至少翻了一番。我自己個人預測未來這一增速可能更快，也就是每三年翻一番，每年的增長速度可能會達到30%，甚至更高。

為什么網絡安全會這么熱？一方面是有合規(guī)性的導向，我們國家去年出臺了《網絡安全法》。另外一方面，安全和威脅永遠是聯(lián)動在一起的，為什么安全被提升到這樣的高度？因為我們受到的攻擊和來自內外的威脅越來越多。

為什么威脅會越來越多呢？因為產業(yè)互聯(lián)網化和業(yè)務更加數字化。我們這家公司服務了很多大型的企業(yè)客戶，尤其是互聯(lián)網金融行業(yè)和金融行業(yè)。我以這兩個行業(yè)作為對比。在10年前，20年前，無論你是作為個人去存款，需要拿著身份證去柜臺辦理，填一個單子，把獻存進去，選擇定期或者活期。你個人去銀行借款基本是不可能的事情。如果是企業(yè)去借款，也需要很長的流程和審批。現(xiàn)在有了互聯(lián)網金融、P2P，你個人的借款、貸款或者企業(yè)的貸款、借款都是數字化進行的。從你的身份識別開始，填一個驗證碼、密碼，再加上指紋識別、面部識別，這些都是數字化的。再到你的信用評估，完全都是在線上進行的。再到你的錢款的發(fā)放，或者借貸的完成，完全都是在線上完成的。

過去你有1萬塊錢只有3%的定息利息，資金周轉是非常慢的。現(xiàn)在1萬塊錢，通過互聯(lián)網金融的手段，這1萬塊錢在一年之內會被周轉出去50次、100次，甚至更多次。如果是短期貸、現(xiàn)金貸、小額貸，它的利息也是相對比較高的。在資金周轉率越來越高、業(yè)務數字化的情況下，你的身份識別、信用評級、款項的發(fā)放和流向，在虛擬世界里，你對外曝露的風險越來越大。

在這樣的環(huán)境下，威脅越來越大，如何做好安全呢？

從我們的企業(yè)來說，我們一直在思考攻防不對等的問題。傳統(tǒng)的安全，如果是大型的企業(yè)，你有非常充足的人力和錢財，你要了解誰來攻擊你，你要了解黑客的威脅，要了解到相當高的高度。要把傳統(tǒng)的設備堆完才能做到防。如果是相對中小型的企業(yè)，你也要對黑客的世界和內部的企業(yè)做適當的了解。在現(xiàn)在的情況下，整個黑產的世界是非常猖獗的。被朋友圈刷屏的A站和摩拜被偷庫了。在云化的時代，企業(yè)的數據越來越多、個人的數據越來越多，這樣的事情防不勝防。你要了解黑客世界的難度越來越高，難度是呈現(xiàn)幾何級的增長。

當然，現(xiàn)在的安全行業(yè)衍生了一些新的產品，在幫助企業(yè)和客戶去了解黑客的世界。比如，威脅情報廠商、威脅情報聯(lián)盟。

另外一方面，我們認為作為企業(yè)的安全從業(yè)人員，或者企業(yè)的CIO、CEO，應該把你企業(yè)內部的安全資產搞得更清楚一些。但我認為這一點現(xiàn)在做得不好。在座各位都知道，之前的安全上的都是傳統(tǒng)的邊界防護產品，你幫企業(yè)做的就是在管理資產的外面搭一層防火墻，再加上IDS、IPS或者是WAF，對于保護的內部資產的內容，你是不知道的。這就好比你筑了一座城墻，你對城里面的財務究竟有多少、保護了多少棟樓，你是不知道的。從青藤的角度，我們認為這很可怕。一方面你要增強對黑客世界的了解。另一方面，我們也要增強對企業(yè)內部數字資產，或者是從安全角度定義資產的了解。

我們的答案，認知黑客、認知自己，兩個方面都要做到。青藤的產品是幫助企業(yè)的安全從業(yè)人員更好地認清自己，認清我們需要保護的資產。

我剛剛舉了一個城墻的例子。云是一個趨勢，從物理的數據中心到虛擬化，現(xiàn)在會有公有云、私有云或者混合云。傳統(tǒng)的邊界防護手段在這個時代沒有那么有效。因為在傳統(tǒng)的時代，你的數據中心在哪里，你是非常清晰的。在你的數據中心外圍放一個防護的設備，那就叫防火墻，相當于是一座城墻。但是，在云的時代，你的虛擬的服務器在哪里，可能各個地方都會有。搞一個地圖沒有太大的意義，因為里的資源池是動態(tài)的。在這樣動態(tài)的技術架構下搭城墻就沒有那么有效。這是一個方面。

第二個方面，黑客的攻擊手段越來越高明。傳統(tǒng)的時候，你利用一些黑白規(guī)則把黑客擋在外面，但現(xiàn)在的黑客有更高級的攻擊手段，更善于偽裝自己。基于邊界的安全防護在這種情況下不是那么有效。

我們換一種視角，黑客從城墻進來，無論城墻在哪里，無論道路在哪里，最終企業(yè)的安全資產在什么地方？你的ERP、應用或者是很多系統(tǒng)是建在服務器操作系統(tǒng)之上的。有沒有可能把承載這些應用系統(tǒng)或者是企業(yè)核心資產的小顆粒做一個細顆粒度的防護，或者是對這些細的應用系統(tǒng)進行清點？以前我們做的是城墻和外圍防護，現(xiàn)在有沒有可能細顆粒度到防護城里的每一棟樓，或者防護每一棟樓里的每一個房間。你可以在每一個房間設一些頭發(fā)絲，設一些特征毛點，或者是一系列的指標。可以舉一個人體免疫力的例子。如果你要防止病毒，你不知道知道外面的病毒有多少種，你要知道身體出不出問題可以建立一系列的指標。比如，體溫是不是正常、頭發(fā)是不是掉了、心臟是不是感到不舒服。你可以通過了解房間內部設立一系列的指標。如果這些指標發(fā)生細微的變化，你知道可能是有病毒攻進來了。

這是我們的理論，我們想將這個視角轉化為對內外指標的持續(xù)監(jiān)控和分析，相當于對城市里的每一個區(qū)域的每一棟樓的每一個房間設立一系列的指標。不管外界病毒攻過來的過程是怎樣的，只要它攻進來，必然會觸發(fā)內部指標的細微變化，我們捕捉這些變化，并且分析這些變化。這就是我們倡導的自內而外的自適應安全理論。

剛剛我提到云化的時代。過去物理的服務器比較簡單。現(xiàn)在我們認為絕大部分資產仍然在你的業(yè)務負載之上。這個業(yè)務負載可能是物理的服務器，也可能是虛機，也可能是云主機。現(xiàn)在的互聯(lián)網和嘗鮮的行業(yè)也在用容器的技術，物理機、虛機、容器是承載應用系統(tǒng)或者真正的數字資產的基礎。我們做的就是業(yè)務負載平臺的保護。

過去大家都說安全的工程師，我們希望能夠幫助打造一個安全產業(yè)，讓更多的安全的工程師變成安全的分析師。怎么讓安全的工程師逐漸成長為安全的分析師？一是甲方的安全從業(yè)人員更好的了解企業(yè)內部安全視角的資產。再舉剛才的例子，一個房間里究竟有幾個花瓶、幾個保險柜，安全人員應該更清晰的了解這些內部情況。二是活動。還是舉剛才的例子，會有什么樣的人進房間來搬這些花瓶和保險柜。三是關系。如果你管理上萬個房間、上萬臺主機、上萬臺服務器，這些服務器不是相互孤立的，這些服務器內部的各種系統(tǒng)和各種數據有相互調用的關系，這個房間的花瓶會搬到另外一個房間。我們希望有一種軟件或者有一個平臺能夠幫助安全人員更好地分析各個房間之間的關系，或者各個業(yè)務系統(tǒng)之間的連接關系，或者系統(tǒng)和數據之間的連接關系。如果安全的從業(yè)人員可以把內在的這三點做好、理解好，第一個是安全角度的資產，第二個是內部的活動，第三個是內部的連接關系，安全人員從工程師上升為分析師絕對不是難事。這是我們希望打造的理念，也是青藤的產品實現(xiàn)的功能。

自內而外，從了解我們自身的業(yè)務系統(tǒng)來說。我再從外在威脅來介紹。

這是典型的黑客攻擊路徑。黑客一般都會在外部做一些信息收集，收集一些關于甲方的目標信息數據，可能是收集一些郵件、聯(lián)系人，為攻擊做好準備。準備好了攻擊和武器會進行刺探掃描。利用相關的漏洞鉆進來，會上傳一個shell，控制了服務器進行反向連接，會做提權，把自己的權限提高，安裝后門。可能會潛伏在里面做一些內網的掃描滲透。為了防止自己的痕跡被北方發(fā)現(xiàn)，會做擦除日志的工作。傳統(tǒng)的安全對這些也會有一些應對措施，但不是那么有效。青藤的理念和技術可以幫忙提升最后這個閉環(huán)的效率。

傳統(tǒng)的安全，在信息收集方面，社工這個事是很難防的，它不是技術的問題，而是管理和流程的問題。黑客給你發(fā)過來一個郵件，你打開或者不打開，企業(yè)內部的人員，財務人員或者人力資源部門是不是有這樣的意識？這是很難防范的。我們的理論，防社工很難防，可以什么都不做。刺探掃描、漏洞利用、上傳shell，傳統(tǒng)的安全工作都是在這個區(qū)域進行對抗。但是遇到的問題什么？在你上了這么多的安全設備之后，對于大型企業(yè)來說，你每天會收到上萬條日志告警，有黑客撩了你上萬次，你可以打出一個很長的報告，每天跟領導匯報一下防住了1萬次的攻擊。但是，對于內部的甲方或者是領導來說，你擋住了1萬次的攻擊，這一點不重要，你能告訴我這1萬條里面有多少條是有效的、有多少條是值得關注的、有多少條是根本不需要關注的。在傳統(tǒng)的安全設備中，根本沒辦法判別這些東西。如果有1萬條，天天都是“狼來了”。很多安全人員最后就是皮了，這些日志告警什么都不是，因為確實很難防。

但是，總歸有漏網之魚。如果越過了這些，真正到了服務器這一層，這個事情就非常可怕。傳統(tǒng)的設備漏掉就漏掉了，真的當黑客到了服務器這一端，反而傳統(tǒng)設備是不知道的，這個事情變得非常可怕。今天爆發(fā)的A站和摩拜是典型這樣的事情，黑客控制了服務器，做了偷庫。在傳統(tǒng)安全設備防不了的情況下，怎么樣防？可以看得出來。在傳統(tǒng)安全設備對抗不了的區(qū)域，服務器安全才是核心安全。在服務器上，你不能出事。如果真的有一次嚴重的事故，必然是一次大的事故。

怎么樣防呢？我們會有一些答案。我們來做一些場景化的例子。這些例子都是在主機層面的，也就是安全的最后一公里。為什么這是安全的最一公里？因為你企業(yè)最重要的資產都在服務器上。

這個例子是我們去年幫助一個大型的互聯(lián)網客戶發(fā)現(xiàn)的。這是一個視頻直播類的大型互聯(lián)網客戶，主機的數量是數千臺。去年7月份，在某一天的凌晨，我們系統(tǒng)告警，發(fā)現(xiàn)黑客利用漏洞往外傳數據。被我們產品的“反彈shell”功能捕捉到了。我們的安全工程師和分析師服務于很多客戶，晚上有人加班，我們的安全人員很快收到了郵件告警。基于我們的平臺，我們對“反彈shell”的目標服務器進行了深入分析，是哪一臺服務器建立反向連接。我們發(fā)現(xiàn)了另外兩個內核級的后門。在傳統(tǒng)的安全概念，無論是黑客，還是安全專家，如果你在系統(tǒng)內部發(fā)現(xiàn)了內核級的后門，基本上就可以放棄了，要么你的數據已經被偷走了，要么你就必須得把服務器關掉，或者是進行格式化。

我們收到告警以后，這個事情確實非常大，我們的服務人員給客戶打電話。經過幾個小時的排查，我們發(fā)現(xiàn)了具體的情況和木馬的特征，對整個內網和所有電腦展開了排查。經過產品的溯源，再加上配合客戶的人工響應，發(fā)現(xiàn)這是一次典型的社工事件。最開始是黑客在2月份的時候給人力資源部門發(fā)了一封郵件，有一個附件，點開了就進來了。3月份的時候，黑客又滲透到財務部門，把財務的數據都拿到了。這就非常可怕。在2、3月份的時候就進來了，而且進了兩個關鍵的部門，拿到了所有的人力和財務的數據。但是，這不是它的最終目標，它的最終目標是想拖走企業(yè)服務器上的那些客戶的數據。它潛伏了半年多。

在半夜1點多給客戶打電話的時候，客戶的第一個反應是他們有內鬼。經過排查，我們發(fā)現(xiàn)不是內鬼，是一次典型的社工事件，半年多的時間。到了7月份的時候，人力資源有所有人的名單。研發(fā)在IT部門的安全意識相對薄弱一點，在7月份的時候又滲透到研發(fā)系統(tǒng)，拿到了所有系統(tǒng)的口令和密碼，一直到真正的核心資產服務器上。進入核心的服務器，對外傳數據的時候，很幸運，因為客戶裝了我們的軟件，被我們的“反彈shell”功能發(fā)現(xiàn)了，我們捕捉到了。

這樣一個事件對于傳統(tǒng)的安全產品是根本處理不了的。我們分析了傳統(tǒng)的殺毒軟件，根本處理不了，很可能查不出來結果，還會被認為是一次內鬼事件，還可能出現(xiàn)拖庫事件，但我們很容易的處理了。

第二個案例是云主機經典網絡上的內網攻擊。這是一個政企類的客戶，事業(yè)單位。他們用了某云的經典網絡的云主機。因為他們有些非核心的應用用了國內大型的云上主機。在座各位知道，云主機有VPC，也有經典網絡。客戶裝的云主機的數量不多，大概就是十幾臺。在這十幾臺上都裝了我們的軟件。我們的軟件會有這樣一個特點，會幫它掃描有哪些租用的主機沒有安裝監(jiān)控軟件。他們的同事跟我們說不對，他們就這十幾臺主機，怎么我們發(fā)現(xiàn)了數千臺主機都沒有安裝青藤的軟件？這不是我們的問題，這是經典網絡的問題。云上的經典網絡就是大的網絡，中間沒有任何隔離。所有這些機器都可以相互PIN到，可以相互訪問。這是一個小的機群，如果在座各位用公有云和經典網絡，一定要小心一點，這些網絡并沒有隔離措施，云上的主機都可以被訪問到。如果企業(yè)比較核心的內容放在上面，這是比較可怕的事情。

這些客戶在使用這些云主機，漏洞管理是安全人員很大的工作，把漏洞堵住了，安全效能就會提升上去。我們發(fā)現(xiàn)很多主機上存在redis未授權訪問漏洞，我們用軟件非常方便的排查定位，并且修復了漏洞。

我們有一些商用的客戶，現(xiàn)在管理的客戶的主機數量，最大的單個客戶有上萬臺主機，在運營商和金融行業(yè)都會有。我們的產品是分布式的架構，對于框架和資產的清點是非常方便的。我們的軟件會定時清點一遍每臺主機上的資產，而且會做到分級、分權管理，包括集團公司、子公司都可以一目了然的目前使用的服務器和主機從安全的角度資產是什么樣的情況。第一，做到心里有數，我管的錢和資產究竟是什么樣的情況。第二，在資產出現(xiàn)風險的時候，你能夠快速的定位。比如，清除了一個Struts2漏洞，你管著上萬臺主機，怎么快速定位這些漏洞，怎么快速定位哪些機器上有這些框架，哪些機器上有這些漏洞，用青藤的產品可以非常快速的定位這些資產。我們也回來提供幫助，做相關的漏洞資產的導出和修復。

最后再舉一個場景化的實例。黑客干活都是趁大家下班以后。這是能源行業(yè)的客戶。安全駐場人員在下午下班時間接到產品告警，發(fā)現(xiàn)了“反彈shell”和“Webshell”，迅速的進行排查。安全人員使用了安全日志操作審計，檢查黑客操作的每一條命令，發(fā)現(xiàn)歷史記錄被黑客清空了。因為黑客總想隱藏自己的痕跡。但是，青藤有一個審計功能，所有黑客入侵的痕跡都被記錄下來。我們不慌不忙的看到了黑客是怎么進來的。黑客利用系統(tǒng)漏洞進行了提權，安裝和修改了一些文件，裝了rootkit系統(tǒng)后門，并且發(fā)現(xiàn)了多個系統(tǒng)后門和被篡改的關鍵位置文件。

最后我們分析出來黑客入侵的路徑就是strust2漏洞，黑客上傳webshell后進行提權及安裝后門操作。我們的報告可以完整的還原黑客是怎么進來的，我們該怎么樣進行響應。我們的系統(tǒng)也試圖進行自動化的響應，但從安全的角度，不僅在中國，在全球范圍內，對黑客事件沒有辦法完全做到自動化的響應。

我還要強調一個“微秘端”，我們在安裝了軟件的每一臺機器上虛開一個端口，這個端口對于已經進來的黑客掃其他機器是非常有幫助的。它可以大大提高內網誘捕黑客的幾率。

對于企業(yè)來說，傳統(tǒng)的安全設備必須得上。從最后的效果來講，要講安全的最后一公里，對企業(yè)來講最重要的就是服務器，因為服務器是承載企業(yè)最重要資產的負載。如果能在服務器做好安全，相當于開啟了“上帝視角”，你能夠縱覽全局，你能夠知道安全資產，能夠快速定位漏洞，能夠很清晰地還原每一次黑客入侵事件。資產清點做到完全自動化，我們的軟件設定每天做一次全量掃描。如果你管著上萬臺的主機、10萬臺的主機都沒有問題，全量掃描的時間也就是幾分鐘，對系統(tǒng)資源幾乎沒有消耗。如果有實時的入侵，也可以相對輕松的做響應分析。

青藤的產品不僅想服務于客戶，我們還想服務于甲乙方的安全人員。我們希望甲乙方的安全工程師都能夠從工程師的角度變成安全分析師，幫助安全行業(yè)進一步的提升。

我們會在主機層面采集很多數據，所以我們也會新開了功能，對在主機上采集到的珍貴數據進行大數據分析和機器學習，希望幫助甲方把安全提升到新的高度。

我們服務了很多的大型商用客戶，上萬代的主機并發(fā)，做到了穩(wěn)定可靠。產品本身也是非常安全。我們的軟件是絕對的綠色進程，如果是跟別的軟件有沖突，我們可以做自殺打卡機制，對系統(tǒng)資源最小的耗用。同時，我們的軟件做到了對人最低的要求，非常簡單易用。

我們現(xiàn)在有三個功能模塊，資產清點、風險發(fā)現(xiàn)、入侵檢測。我們今年會開發(fā)三個功能，日志安全、安全基線、快速任務。我們希望這是一個平臺級的產品，把很多能力開放給安全從業(yè)人員，讓大家做更多自由的發(fā)揮。

我們現(xiàn)在已經有很多大型的客戶，在互聯(lián)網、金融、運營商和政府行業(yè)。

最近剛剛有一家美國媒體把我們評為全球前十位的云安全初創(chuàng)公司。過去一年之內三度入選Gartner報告。入選全球最酷安全廠商是非常難的。我們的投資方，A輪是寬帶資本，B輪是紅杉資本。我們認為主機安全是安全的最后一公里，希望有更多的機會跟大家交流。