圆桌对话:剖析2014年的安全大事件

摘要: 在《剖析2014年的安全大事件》专场,绿盟CSO赵粮担任主持人,安全宝CEO马杰、安天实验室首席架构师肖新光、知道创宇CTO杨冀龙参加,各位嘉宾回顾了今年被誉为心脏出血的OpenSSL“Heartbleed”安全漏洞、破壳漏洞、典型DDoS攻击、APT攻击等安全事件及警示反省。

安全宝

钛媒体注:由《商业价值》与钛媒体正式合并成立的BT传媒,首次联合CSDN主办Challenge—— “2014 技术商业500人论坛”今日继续在北京举行。在《剖析2014年的安全大事件》专场,绿盟CSO赵粮担任主持人,安全宝CEO马杰、安天实验室首席架构师肖新光、知道创宇CTO杨冀龙参加,各位嘉宾回顾了今年被誉为心脏出血的OpenSSL“Heartbleed”安全漏洞、破壳漏洞、典型DDoS攻击、APT攻击等安全事件及警示反省。

赵粮:大家下午好!接下来,有请三位嘉宾上台就坐,他们是:安全宝CEO马杰;知道创宇CTO杨冀龙;安天实验室首席架构师肖新光,网名叫江海客。咱们这一节讨论的题目是“剖析2014年的安全大事件”,首先,请三位嘉宾分别介绍一下自己最近在忙什么,用简单的几句话简单介绍一下。

马杰:最近几天,还真的是特别的忙,我都不知道为什么,可能快到年终了,干坏事的黑客们觉得也该挣点钱了,最近用户中间连续的出现被攻击的情况,关注朋友圈的可能会看到,我们通宵帮CSDN做防御工作,还有游戏,不同行业的都有,年终的事情确实非常多。反过来看,今年整年也没闲着,基本每个月都有各种各样的安全事件在发生。

杨冀龙:我今年发现真是我一辈子以来最忙的一年了,其实感慨都差不多,今年的安全事件真是发生的太多了,马杰已经讲过了,我不讲了。我还有一个忙的事情,就是忙着见VC,安全火了,以前搞煤、矿、水利和地产的都投到安全领域了,说明整个社会重视安全了。

肖新光:让我想起人民日报70年代一篇论文,叫“一座座火山喷发,一顶顶皇冠落地”。从安全角度,我们忙着做一定的转型,从纯反病毒引擎供应商变成能为用户提供纵深解决方案的团队。今年陆续在一些报告中展示了我们对威胁的一些发现和态势方面的东西,我们会继续做开放的东西。

主持人:下面,请老杨和安天分别介绍一下自己的业务。

杨冀龙:在互联网领域里,我们公司是最高搞安全的公司,在安全领域,是最早搞互联网的,随着电商、P2P、游戏大量的发展,以前互联网上没有数据资产,当然不需要安全,现在数据资产多了,而且装备、游戏币、金融交易开始多了,安全越来越重要了,我们致力于为互联网公司提供专业的安全解决方案,也是基于云的,我们有一个款产品上面有76万网站,对全球黑客进行追踪和定位,追踪完以后分析黑客的行为,也是大数据处理的问题,定位之后服务于整个防御系统,我们大概是做这个方向。

马杰:创业之前,原来在瑞星做了十年,跟海客老兄之前就非常熟,平时瑞星360这样的名字听到的多一些,安天是一家存在非常久的而且一直专注于做后台病毒和引擎技术的纯技术型公司,而且做的非常值得我们尊重。我做很多年反病毒之后,我觉得网络安全到后面跟病毒结合的越来越多,后来看到这可能是一个大的方向,2011年成立了安全宝,这是由创新工场投资的专门做网络安全防护的公司,防止黑客入侵,这两天有幸帮CSDN也在做安全方面的工作。我特别奇怪,这些黑客打点有钱的还可以理解,打CSDN干吗呢,可能知道蒋总个人太有钱了。我们做的工作是帮助网站解决网络安全问题。

主持人:我今年自己跑了很多场校招,我跟同学们讲网络安全就是一个战场,今天很奇怪,我去了几场,每天早上去的时候都遇到重大的安全事件,我每天早晨都得备课,然后给同学们讲,请三位谈谈网络安全公司在一次重大事件中一般怎么响应?

杨冀龙:我简单跟大家分享一个有点意思的故事吧,今年有一个安全漏洞叫心脏出血涉及到加密系统,互联网上一切有钱的地方和一切有重要系统的地方都是加密系统,出漏洞以后影响面很大,我们发现这个问题之后一大早马上紧急打电话,我说得赶紧处理,他们说已经在处理了,我赶紧跑去公司,发现他们正在看,网上也出现了漏洞的检测代码,分析之后改良了一下,然后上线,上线之后我们在数据库里筛选最可能的目标,大概筛出来3亿个可能目标,然后实时扫描,大概4个小时之后出了一个结果,我们发现全球受影响的是243万IP地址,我们看数据的时候,微博上更火爆,微博上已经开始爆出支付宝的用户名、余额宝的余额等等,微博上已经开始播放了。那天给安全界朋友打电话,发现要么在买硬盘的路上,要么在买硬盘。

像非常大的电商网站登陆系统每刷一千次能够刷到一个人的用户名和密码,黑客用了很多集群,我问他们刷多少次,他们说刷了30多亿次,问题非常严重,4小时之后我们拿到了全球武装清单,然后马上筛选中国的,筛选出来之后,第一时间给了国家的信息安全应急响应中心,告诉他们整个范围,他们拿到数据之后很惊叹,说国家很多重要信息系统都受到影响了,我们马上派人去他们单位跟他们现场对,他们开始挨家打电话和发红头文件。另外,大量互联网企业出现了问题,但是很少有人知道,当时联系了CCTV的记者,CCTV非常关心,马上组织了晚间报导,我记得白岩松主持的节目,谈安全,我很惊诧,我说白岩松还能谈安全,应该是中国历史上第一次在CCTV高度上重视了网络安全问题。

病毒以前是很重视的,对于漏洞的重视应该是有史以来第一次。这个漏洞出现之后,CCTV大量报导了,我们认为大部分企业应该修复了,我们发现其实不是这样的,第二天看的时候,还是有很多没有修复,我每天看一次,看了7天,第一天修复率是40%,第二天36%,第三天33%。从全球来说,号称网络应急水平很高,以后国家之间的战争有两个,不可能真刀真枪的干,平常的战争就是两个,一个是筋肉战,一个网络安全战,各个国家号称网络很安全,响应漏洞都不行,国家的防御能力肯定不行,我们当时想知道各个国家之间的能力,对比了一下第三天和第一天数据,全球漏洞修复率40%,最高的是新加坡59%,美国49%,排全球第七位,也很强,中国18%,比较弱一点,好在还是不错,比印度好,印度17%,比埃塞俄比亚好多了,埃塞俄比亚是3%,比台湾也好,台湾是12%,中国排102位。

主持人:跟足球差不多。

杨冀龙:美国金融企业包括互联网金融、游戏厂商、电力、电信、石油、能源网站都第一时间修复漏洞,VPN系统和邮件系统都受影响了,第一天都修复了。日本也差不多是这个情况。中国第一天修复的是谁呢?第一天修复的是腾讯、百度、淘宝,中国电力、电信、能源这些系统大概在一个月之后都还没开始修复,电信好点,电信一个礼拜之后开始有动静,通过一个漏洞,能够看到更多的事情。

肖新光:刚才,赵博士提到我们今年做的几个响应,我们觉得做的还可以的是破壳的漏洞,破壳漏洞最开始能够响应的比较快,刚才老杨谈到我们有一个组织,在这个组织中,我们有一些判断,未来的社会应急体制可能不简单的有传统的自上而下的响应,可能有些安全厂商和团队之间横向的SNG沟通机制。

漏洞已经存在很长时间,开始考证有十年,后来据说可能有二十年,但是一直没有暴露出来,当时在一个群里,当时是凌晨,在北美一个研究员发了一条消息,他说热闹了,他说有漏洞,发一个消息的研究员是很重量级的研究员,我们分析可能是比较严重的事情,我们内部有一个A级响应,就是最高级别的相应,我们叫“1234”,“1”是指一小时开始启动应对,“2”是指同时打赢两场局部战争,两个组互不的的分析;“3”是指三个支点;“4”是安全研发跨越哈尔滨、北京、武汉和深圳,我们叫四地可以协同响应,当时把人叫起来凌晨开始做这个事情,第一天发了第一篇,从当时的角度来看,之前的心脏出血是创宇做的,很棒,我们研判时候,认为这是三年来最严重的漏洞,我们研判Bus时候,觉得是比心脏出血更严重的情况,分析报告出来之后,迅速的做了承包和分享。

做第二轮分析时候,那天是9月30号,从惯例来看,十一前下午全员放假,内部小组叫弹头,他们一直到晚上12点多发出第二天,他们在报告中写进把我的工作献给我的战友、我的亲人、我的祖国。很长时间之后发了第三篇,把威胁的演变关系和很多东西讲了一下,很多有些人很奇怪,说媒体不关注这个事情了,你们为什么还搞,第三篇对安全恶意代码系统做了总结,过去来看,这是盲点,很多人以为Linux上没有病毒,有很多盲点,很多时候安全团队要把一件事情打透,不能说出一个热点我跟一个热点,创宇在心脏出血方面跟了很久,我们对破壳跟了很久,有时候打透也是一种威慑,是安全厂商和安全业界的能力体现,对于攻击方,就是一种心理震慑。我特别佩服以色列人,时至今日还在追随纳粹的战犯,这点非常重要。

马杰:我讲讲微观的事情,讲讲很玩的事情。我们今年有一个不算大的案例,但是很有意思,有一个非常知名的P2P金融网站第二天一早要宣布上亿的融资计划非常成功,有一个盛大发布会,前天下无不断的遭到Dos攻击,黑客留了一个QQ号,他们也不知道怎么应对,我们跟他们开始聊,让我们安全人员跟他们聊了很长时间,首先,他说是有人花钱让我打的,你们在这扛着,我没打成,我还给雇主退了2万块钱,这里面有几个有意思的信息:第一,是同行业的人雇他打的;第二,退了2万块钱,这么大的攻击才2万块钱,我常说Dos攻击在中国真是价格便宜量又足,绝对绝对比任何行业的服务好,经常饱死。2万算贵的,算流量比较大的攻击,小流量的攻击,就是1G左右,其实打谁都够了,低至500块就可以找一个,价格便宜量又足,绝对良心品质。我说:“你这么打,你还敢留QQ号,你不怕我们抓你吗?”他说:“我也怕,所以我决定呆在国外不会去了。”没说具体在哪,东南亚某个国家,他说不跟你们聊了,我游泳去了,生活挺好。他没打下来,我们一直扛着,第二天我们说别打了,你也打不下来,你也拿不到钱,我们也不能下班,何必呢,没办法抓呀,最后只能讲和了。

我们看一些细节,第一,Dos攻击在中国属于价格便宜量又足,为什么呢?Dos攻击,像这种流量型的攻击,有几个部门是可以控制的:第一,运营商,但是,运营商对这个事的反映通常不积极,我以小人之心揣度一下,攻方也得运营商花钱,守的一方也得运营商花钱。另外,可以对这些事情进行管制的是网监部门,对他们来说,一方面是有现实困难,攻击是匿名的,地址是伪造的,要想溯源,不是不可以,但是很困难。除了这些之外,还有报案的案值认定问题,像这样一次Dos攻击,如果去报案,报案起点很低,只要3000块钱损失就可以报案,如果真的报案,警察会按照流程问,首先问服务器坏了吗?服务器如果没坏,那不能算,我说公司有损失,做P2P金融的,公司一天流水好几千万,那损失大了,警察说你得找评估机构,这个事我们说了不算,评估报告得一两个月才能出来,金额定不了,你找各种理由凑够3000元了,警察办案也没什么动力,明明是案值可能上千万的案子,最后定值,3000元的损失,办案民警也没什么动力,从各个方面来讲,解决这种问题需要全社会的推动。

主持人:我在校招备课中,也用到Dos一个信息,讲到非常周到的服务,比如建议你一个月给我1万,如果不给,我就继续加强攻击,如果给的话,可以打折扣,你的竞争对手如果买,我就不卖给他了。在灰色市场部分,国内也很难,再加上跨国,的确是风险很小,但是收益比较明显。

马杰:前段时间我们帮一个做礼品的网站防御,年终都是大家买礼品的时候,黑客直接勒索,要的钱非常少,说给一千块钱就不打了,我说不是非要收你这个钱,我说你要屈服一次,他可能还会来,无论如何,我们一起合作,前面一次、两次扛住了,以后他们就不来了。

主持人:刚才,老杨讲到在响应过程中有一个时间表,我们要不断的监视,使互联网逐渐回到稳态。我经常反思我们公司响应的情况,几个小时之内基本可以完成分析,你有了补丁,有了插件和更新以后,怎么让数万台、数十万台、数万用户得到部署?发现这个过程非常漫长,讲到这儿,我想问三位嘉宾一个问题,在三位安全事件的响应过程中,感觉到我们的体系中有哪些不足或者可以改进的地方?

马杰:回想一个事件,我曾经做了十年的反病毒,当年冲击波、震荡波几个病毒出来的时候,当时各家公司反映速度都是比较快的,但是,最后怎么给大众传播这个工具,我们当时提供免费的专杀工具,在海龙门口乌央乌央的人排队领取光盘,海龙保安和警察帮助维持秩序,现在不至于这样了,在整个社会联络机制上,我觉得还是有很多缺乏的地方,公司做的事情,有时候我们发现很多问题,你找到公司和企业的时候,这个机制现在没有很好的建立起来,我们手上拿着一堆被黑的网站,我们找不到人,还在朋友圈里问认识不认识,如何告知和如何找到是两层的事情。

以前做反病毒的时候,拿到样本是非常重要的事情,在反病毒圈子里,不管工作上和商业上如何竞争,病毒样本互相交流是非常通常的机制,我觉得这是非常好的行业横向合作的典范方式,在技术层面上互相不保留,样本互相交流,尽快解决问题。在网络安全情况下,大家是不是也能有更多横向的交流机制,互相的分析,不管哪家公司,把自己的分析报告公开出来都是非常开放的心态,老杨他们也做了很多工作。从问题发现到通报到互相横向研究上的合作,最终这些机制能连接在一起才能是有效的机制。

杨冀龙:我跟大家分享一个小故事,以前都是靠光盘,后来发现互联网上有自动升级,新光他们做破壳漏洞时候,我们发现一个防火墙厂商在中国有1.2万台防火墙可以直接进去获得系统权限,可以随便执行任何操作,防火墙有点不一样,只有重要厂商才用防火墙,一般企业不会考虑防火墙,另外,防火墙本身在网关出口处,防火墙攻破以后,进入内网就很容易。晚上12点多的时候,公安部一个同事说是国内的防火墙厂商,马上给厂商打电话,厂商响应非常快,晚上1点多就响应了,说可以通过远程升级解决,厂商非常负责,出了一个安全补丁,然后测试,等了一天,一天之后升级包上线,第三天监测的时候,全中国1.2万台里面98.3%都修复完了。

第二个故事,Dosuz论坛,他们的应急响应非常快,打补丁需要管理员手工点,并不是每个管理员都那么快,我们公司跟马杰他们公司做的产品有点类似,比如网络安全防御,我们的技术人员在网络流量包上可以做虚拟补丁,一个小时之后上线虚拟补丁,在很短时间内可以实现大批量安装。转向网络安全之后,我们公司联合了腾讯、百度等很多国内顶级公司成立安全联盟,大家共同分享相关数据,我们的样本库里有24亿条恶意URL,每天比较活跃的钓鱼网站、欺诈网站大概30多万,内部随便分享,还有很多病毒引擎,百度搜索引擎结果里,有时还提示是有风险的,告诉你安全联盟提醒你该网站存在后门或者存在漏洞或者存在病毒,QQ里发个消息,有时会告诉你不安全。

肖新光:作为一个安全厂商,在应急响应过程中有很多挑战,从社会网络治理能力到IT治理能力来说,我们还是偏弱的,从事实上来看,构成了比较复杂的挑战。大家可能听说美国有一个公司叫“火眼”,主要针对定向攻击做高质量的防护,我们想已知辨识能力很弱的产品为什么还会如此有效?平时不出事,出事即大事,能够单独锁定高等级的威胁,是比较有效果的,这个产品是对中国禁售的,假设把“火眼”放在我们的网络环境里,每天可能有大量事件,网内到处都是病毒,包括很古老的蠕虫还在网上内部,会饱和掉这个事件,会使这样类型的产品到国内会水土不服,整体的治理环境非常差,治理环境中,还混杂着很多论象,那天我们捕获一个样本,打下来之后下载多个杀毒软件,最早一不小心中一个病毒,后来一不小心中了一个杀毒软件,为什么呢?分帐,装一台就可以谋利,是社会治理的途径。

第二,大量传统安全环节和效果本身就不是按需采购的,我们经常报导上写老三样,防火墙、反病毒、打补丁,事实上不是老三样有没有用的问题,是老三样根本没有真正变成我们的企业能力或者社会能力,我估计卖出去的30%的防火墙需加过电还在库房里的情况是有的,有的病毒库半年升级一次,不怕敌人拿病毒入侵他,反而怕厂商出问题,在这样的治理环境下,势必意味着处在非常低下的水准,势必总幻想通过一劳永逸的方法解决问题,寻找安全永动机。目前来看,在安全领域中,还有很多转动的基础工作没有到位,完全靠新生哪一个厂商或者新生哪一个技术是不可能的,后续更多的要建立起一个综合的机制,否则安全厂商在这样一个非常恶劣的环境下其实也是很难作业的,并不是社会的网络状况越差安全需求越高,安全状况之差,其实已经到了安全厂商本身也很难为用户提供系统而高效服务的程度了。

主持人:这是另外一种形式的拒绝服务,洞太多,补不过来,问题太多,修不过来。昨天凌晨,索尼被入侵,导致的是德勤的数据被泄露,德勤是国际上比较有名的,这个事情在圈子内引起了很多争论,到底什么样的安全才是更实战的安全,由于时间关系,今天来不及讨论这个话题了,后面还有很多争论或者讨论。最后,我再问三位嘉宾一个问题,现在已经是今年最后一个月了,很快进入2015年了,在2015年,三位嘉宾怎么看待攻防焦点这个问题?

肖新光:每年我们都会发关于恶意代码和威胁的扑克,每年大王就是最严重的威胁,小王是可能会有后续影响的威胁,今年这套扑克里,选择的大王是APT,持续性威胁,或者持续性的定向性攻击;小王我们用的是威胁的泛化,今天看到的是无所不在的,包括智能化方式不断的扩展,未来以APT为核心的威胁形式特别是无所不在的到达各位所在的每一个厂商、每一个企业、每一个社会单元甚至高价值个人的这种形式,同时,又有更多的关联的从移动、从智能家具、从穿戴式硬件变成APT手段,我觉得这个趋势是必然的,也是不可逆的,也应该是安全工作者持续关注和研究的一个重点。

主持人:海客,我看到你戴了一个智能手环,明年会出几件这样的安全问题吗?

肖新光:我觉得这应该是必然的,今年已经出了一些,方向是不可逆的,同时,我也相信应用的发展,我不希望群民出现安全恐慌。

杨冀龙:我最近看到一个现象,凡是说到的数据,黑客也是大数据,我觉得明年黑客大数据是一个很大的趋势。微软有一个项目叫人立方,建立人的关系查询和身份查询。我发现中国的四个黑客组织都有一套在线身份、电话、QQ号、用户名、家庭地址、客户习惯的信息,很多网站黑你的目的不一定非要用你的数据,可能把你数据拿去以后建立他自己的互,未来这是很大的方向,你被黑了,不一定需要你,跟索尼被黑导致德勤泄露是一回事儿。

马杰:正好在年底,我可以对明年做一个预测,明年一定会发生重大安全事件。去年在类似的同样时间说过同样的预测,大家觉得没有什么好笑的,大家今天觉得好笑,觉得安全意识在进步,事实的安全在教育大家。刚才两位讲的是前沿的工作的问题,我讲一下微观的看法,在微观上,明年会有哪些进步呢?我觉得整个安全还是在进步,价格便宜量又足的Dos攻击上,我觉得有非常多的创意型企业身受其害,明年会有很多厂商推进这方面的进步。至于有什么新的安全威胁呢?我觉得要拭目以待,一定有大的安全事件发生。

本文系钛媒体原创,转载请注明出处、作者和本文链接
分享到:

第一时间获取TMT行业新鲜资讯和深度商业分析,请在微信公众账号中搜索「钛媒体」或者「taimeiti」,或用手机扫描左方二维码,即可获得钛媒体每日精华内容推送和最优搜索体验,并参与编辑活动。

商业价值
商业价值

《商业价值》杂志为你报道更创新、更智慧、更可持续的商业。微信公众号:bvmagazine

评论(0

Oh! no

您是否确认要删除该条评论吗?

分享到微信朋友圈