天空衛(wèi)士楊明非:核心數據資產的管理和保護
責編:mhshi |2017-06-15 13:41:47。
首先,談到安全離不開有關政策或國家大的趨勢,最早1999年,政府就開始建設中央信息化安全領導小組,那時候從國家層面上還只是國家總理級別來掛這個帥,去組織這個小組。小組在后面基本沒有做太多在信息安全方面的事情,當然,我們也有等保以及各種各樣安全手段在出,但沒有提高到國家安全戰(zhàn)略角度。2010年開始,胡主席上臺以后,提出一個非常響亮的口號,讓很多在安全界的人都覺得非常振奮,提出“沒有網絡安全就沒有國家安全”,這一下子就把整個安全提高到了國家級別的高度上,習主席也是親自掛帥做網信辦的組長。從網絡安全來說,我們一下子感覺到提高到這么高的角度。
國際形勢。
前面邵處提到愛恩斯坦計劃(einstein),美國70年代、80年代軍隊、國防部就開始做這個einstein計劃,做了很多東西,前面花了60億美金做國防、軍隊安全系統(tǒng)建設上,對人民幣來說好幾百億,花費是巨大的。最后得到的效果,在美國也發(fā)生過數據竊取事件,最典型的是美國國家政府聯邦人事管理局的很多數據被竊取了。我們看到的是公開的,包括這次的WannaCry病毒,起因是美國國家軍火庫被盜了,里面一個代碼拿出來做個小小的東西,這只是他軍火庫里一個非常小的東西就造成如此軒然大波。可想而知,如果其他東西都放出來的話會造成什么樣的影響。因為他花的60億美金建立的安全系統(tǒng),發(fā)現這個東西不管用。
怎么處理呢?這就涉及到商業(yè)操作的問題,美國現在新花了10億美金重新搭了一個蓋子,美國排名前三的軍火商雷神(Raytheon),它本來是一家軍火商,愛國者導彈和薩德系統(tǒng)里面以雷達著稱,其中有很大一塊,雷神是個大氣團,其中有一塊是做和IT信息相關的,原來是以大數據分析平臺為主,收購了美國一家公司Websense,收購之后把兩塊合到一起,大數據分析平臺加上DLP技術(內容分析技術,原來Websense做的),把兩個數據包在一起,給原來做愛因斯坦計劃的,又花了10億美金做了蓋子。這個蓋子是什么呢?無論你怎么進來的,我不軌再讓你數據出去。他原來花60億美金大量建設在外部的防護上,現在新的APT攻擊手段出現之后,它的防護已經完全失效了,它就重新建了一個蓋子,我不讓你出去,你進來了,不管你怎么進來的,我不讓你出去。國外的形勢都是這種發(fā)展。
國內形勢。
現在從國家立場上,為了加強國家網絡安全角度,最近有很多發(fā)生在我們身邊的各種各樣數據泄露,每個人遇到騷擾電話,現在最受歡迎的就是360、騰訊手機管家,一打電話過來我就知道這是騷擾電話,這是一個廣告等,這是因為我們個人自己身邊的信息被泄露出去了,包括大的刑事案件。《網絡安全法》在去年底發(fā)布,在今年6月1號開始正式實施,我已經看到有幾個根據《網絡安全法》判的案。因為《網絡安全法》里定義,超過50條,交易金額超過5000元就可以按照犯罪入刑去定義。《網絡安全法》定義里有4個地方,6個非常重要的細節(jié)都提到了,對于關鍵基礎設施,不管是金融還是政務,國家關鍵基礎設計上必須要保護用戶自己數據本身的安全,這已經進入法律的保護。
這種形勢下,這些數據是怎么出去的?我們又拿出一份國外的報告,因為中國國內信息泄露還沒有權威的報告,Verizon是一家美國的運營商,每年都會發(fā)這么一個信息數據泄露的安全報告,已經累計發(fā)的10年,2017年發(fā)了十周年紀念版。從中可以看到很多數據是怎么出去的,既有以黑客的方式竊取的,還有很大一部分是由于內部人員主動和被動的泄露方式。泄露方式有內部的泄露。使用手段很多都是通過現在新的社交、黑客攻擊手段,都會造成數據泄露。行業(yè)來說金融是個很大的目標,當然醫(yī)療也是很大的目標。今天最多的方式是通過郵件和其他手段,不像以前是通過攻擊你的防火墻繞過防火墻,現在繞過防火墻的方法非常多,非常有手腕。還有很多是內部人員去泄露,前段時間在有些網站里抓到的內鬼案,非常得多。
數據泄露情況這么嚴重,我看到在座有很多做安全的老兵。我個人,剛接觸電腦時,所謂講安全,那時候只要談安全,在我的鏡像KVR版、瑞星殺毒,我裝個殺毒軟件就叫做安全,因為那時候電腦都沒有聯網,只是防止從軟件拷進來有病毒就叫安全了,后面是防火墻,再往后WAF、IPS各種各樣的東西,這個東西越堆越多,安全管理也會越來越復雜,今天APT攻擊出現的時候基本就防不勝防了。
今天,我們進入了云和大數據時代。前兩天,我在貴陽參加數博會時,和做大數據那邊一聊天,聊的很嗨的是,我們能拿到越來越多的數據,才能做大數據,數據量小了都不能叫大數據,數據量小的都是假的大數據。后面有個問題,當數據量越來越多時,我們需要有個方式和手段去保護數據不被泄露出去,數據給的越來越多時,價值就會越來越提高。
傳統(tǒng)的數據安全技術,我們常用的,不管是做加密的,有做管控的,各種各樣安全手段,實際上在真正運行過程中,這些所謂的內鬼或內部人員泄露信息時發(fā)現都沒有用,我們發(fā)現很多審批是由新畢業(yè)的學生去做審批的事情,他做審批基本形同虛設,相信在很多單位里有這種現象,就是解密之后往外發(fā),一定是新畢業(yè)的學生干。因為真正很有技術背景的,很有能力的人一定不會去做這種事情。
他們的共通點是,在這種技術安全手段里的共通點。
一是無法感知內容。所有的技術里沒有一個技術告訴你,今天你的word文檔里嵌入了一個圖片,包含身份證號和信用卡號,沒有技術能達到這個功能,他無法感知這個內容,因為它們都不具有內容的識別能力。
二是APT攻擊帶來的泄露很談做防護,尤其是以防火墻為代表的,基本過就過了。很多的單位,現在的很多建設是防外不防內,銀行的話來說,內網里是開著敞篷車去運現鈔,就是內網的很多弱口令,沒有補丁,直接把SEC(音)一級直接寫在頁面里,非常常見。
三是也無法防止內部人員泄露,現在很多大的單位里還在使用,說我把U盤關閉,這樣就有數據防泄露手段了。
有了這些手段我們有什么辦法呢?這是我們天空衛(wèi)士在做的事情。
UCS系統(tǒng)(統(tǒng)一內容安全防護),通過對內容安全識別處理,對所存在的整個數據生命周期,數據的創(chuàng)立、數據的使用、數據的傳輸、數據備份一直到數據銷毀,對整個數據生命周期的設計,通過統(tǒng)一的方式,以內容分析手段來做數據方面的安全保護。我們有三大部分引擎,一是針對云的,二是針對數據本身分析的,三是針對安全平臺,如何把數據更快、更有效地、更高速地輸入進來進行分析。這是我們三大引擎重點。三個核心引擎下面可以延伸出來一系列產品,有專門針對代理方式去工作的,可以以數據方式工作的,以防護DLP方式工作的,以云、移動終端的方式去工作的。最核心的是我們針對DLP數據防泄露,就是數據保護部分。
DLP的概念。
很多時候會被誤導,因為在很多場合下,上次我參加RSA大會時發(fā)現一個很有意思的事情,參會的大概500多家廠商,300多家廠商都提到自己的產品,自己做的東西是和數據防泄露相關的。確實本身對數據的保護是現在所有人關心的重點,在談到DLP時,通用的標準是以內容分析手段對使用中的數據,傳輸中的、存儲中的數據進行分析和保護。
傳統(tǒng)DLP的技術構成。
1、對數據的發(fā)現,今天對網絡管理里,特別是談到數據治理時,大部分安全管理人員都有很痛苦的事情,不知道自己的敏感數據在哪里,這是我們調研中或者接觸客戶時發(fā)現最多的事情,不知道自己的敏感數據在哪里,一是不知道什么內容是敏感的,二是不知道敏感的內容究竟在哪里,這是發(fā)現DLP,它會做這個事情,對存儲數據進行分析。
2、網絡DLP,網絡所有純屬的內容做分析,這個用途很廣,有時候對于郵件,對于上網的公司,上網的帶寬,包括上次提到政務云,有三張網,政務外網里,軍隊里也碰到同樣的問題,非涉密,公開的網絡上面,我發(fā)現上面是不是有密切的文件做傳輸,秘密的內容在傳輸。這也是一種分析,DLP對數據的發(fā)現和保護。
3、終端DLP,剛才邵處提到5個,終端云、數據,終端也是很重要的管控接口,數據傳輸通道越來越多。比如今天USB,其實USB是很好的東西,做大容量傳輸時非常得方便,不用走網絡,但如果只是把它簡單地關閉和禁掉的話,這也會帶來其他的問題。今天我們談到的重點,對云上的DLP、數據保護,大部分企業(yè)上云時都有一個痛苦點,擔心我把數據放到云上之后,我的數據被泄露了怎么辦?這里面包含了對云數據防泄露的保護。整個DLP的機制和運行,我通過監(jiān)測和控制兩個手段,首先發(fā)現敏感數據在傳輸;第二我要知道我發(fā)現之后要做什么樣的處理。
對于傳統(tǒng)的DLP部分具體產品不再單獨聊。
今天我們談到的都是UCS。UCS叫統(tǒng)一的內容安全保護,涵蓋了整個今天大部分企業(yè)生態(tài)環(huán)境,在這個生態(tài)環(huán)境里有自己的數據中心,有自己的辦公,在一些大型企業(yè)里還有很多分支機構,很多企業(yè)現在開使用SaaS,Office365,有很多移動終端,不管今天的政務云、行業(yè)云、私有云,各種各樣的云,這是今天IT組成大的環(huán)境,我們談到UCS時,這是我們很傳統(tǒng)的部分,網絡DLP,部署所有的網絡接口,對所有的流量進行檢查。
對應用的安全有兩個模式,反向DLP模式,原來是上網的,反過來去用,對應用進行保護,我們和很多大的企業(yè),和一些科技公司做這個事情,反向DLP對網站返回內容的檢查具有獨一無二的功能;我們也參加了近期國家大的項目里,高密集項目里,給他做這個事情。
對應用的檢查,我們現在獨家提供Web Service Inspector云服務,部署在云里,針對整個云環(huán)境提供SaaS服務。對于很多的公有云,我們也和一些運營商、行業(yè)私有云做合作,通過運營商網絡提供更多的SaaS服務給中小企業(yè),以前SaaS服務很多企業(yè)不知道,還有就是太貴,將來我們會以云的方式,和運營商進行合作,把它推到更多幾十人的小型企業(yè)提供更多的DLP服務。
我們還另外關注數據治理有一系列支撐工具,會加速DLP部署。
下一代數據防泄露模式。
DLP走到下一代會變成什么樣子。現在我們已經在做開發(fā),把下一代模式做完,我們的目標是瞄準美軍最后加的蓋子,這里面有大數據行為分析技術。這里面有兩點,現在談到安全大數據時,都有一個缺憾,我和Detex(音),美國做UEBA的廠商聊過,他們有個缺憾點,可以用各種手段收集各種行為,比如對文件的增刪改,在終端上看他做了什么樣的事情,網絡上分析他有多少個連接行為,這個缺憾是什么呢?他們不知道傳輸的數據是什么,傳輸的內容是什么,真正要做用戶行為分析,只有把用戶在傳輸了什么數據,再加上用戶的行為,今天往外發(fā)一個文檔,只是網絡管理信息,我只是發(fā)了一個內容,你不知道我發(fā)的這個內容行為是好還是壞。所以談到UEBA,對內容和行為兩條一定要一起去做,這也是我們下一步要做的未來方向。
大數據分析案例。
大數據行為分析時,它是解決掉傳統(tǒng)安全行為里都是以策略為驅動的,就和防火墻一樣,沒命中策略,就是說如果我命中這個策略就過了,叫策略分析,以前我們做的DLP里,這也都是以策略為驅動的,命中了敏感文件就認為你是犯法的,新的策略分析和APT攻擊很難去,因為APT供給是3M,面向很多目標,很長的時間,很多的資產可能都被涉及到里面。3M一下去,面向防護的策略很難做防護。下一代安全做到一定是行為加上內容的方式。
2013年,RSA、EMC和美國東北大學一起做的案例分析,他抓了EMC公司自己兩周的數據,通過這個數據(非監(jiān)督行為學習),用聚類算法把所有相關因素全部都抓到一起,對中間網絡行為傳輸數據出現的峰值和問題點它抓出來,當時它得到一個非常好的效果,發(fā)現了484個事件,只有8個事件當時在他安全設備上,WAF、防火墻上發(fā)現。通過SOC核實之后其中25%是真實的惡性事件,得逞沒得逞另外一說,里面還有39%是屬于違規(guī)事件,當然還有未能識別的原因,不知道它為什么會出現這么一個東西。這代表著將來網絡安全發(fā)展的趨勢,通過行為加上前面所談到的內容,這是我們將來會再去做的一個主要方向。
今年底我們會推出一整套,DLP超越傳統(tǒng)安全的,除了很大的覆蓋之外,我覆蓋了云,覆蓋的應用,覆蓋了網絡,覆蓋了終端,在這之外會加上整個內部行為分析,通過這個內部行為分析之后,達到整體的目的是防范內部的威脅。有25%的數據泄露實際是來自于內網,內部人員,這個比例在真實世界里會更高,我們看到實際是50%以上內部人員造成的泄密。DLP今天做的是什么呢?所有的攻擊加上最后一層蓋子,不管是SQL注入還是Webshell方式,我們會防止真正的數據泄露出去。
