楊紹波 瑞星終端安全技術總監
大家都一直討論說網絡層面,但其實從IT角度包括近幾年對OT角度的理解,終端的安全白名單方式做主機安全,做的所謂主機安全,往往把終端的概念相對是忽略的,或者說不夠重視,這也是為什么我今天可疑的來談終端安全,因為我們公司肯定不只是做終端安全,另外大家感受一下終端安全到底有新思路,到底有沒有價值?我先拋一個IT行業的理念,安全是非絕對的,所以不管前面架多少道墻最終都可以進來,被加密被其他的方式進來,但最終總得干壞事,就要落到終端上就要回歸本質,其實在IT領域有一個理念,最終在終端的最后一道防線能夠發現真正的本質在哪里,所以終端是非常重要的。
第二個關于國內的情況我們收集一些信息和我們接觸的情況,中國現在是全球網絡攻擊的最大受害國,換言之今天不管是作為安全專家還是愛好者還是各個部委的領導去引導整個體系的發展來說,對于咱們每一個人來說責任都是任重而道遠的。自2011年以來網絡攻擊增長15倍,其中30%是針對國家的基礎設施,這也是提醒我們的警鐘讓我們更注意。怎么樣的東西做安全會有價值?說瑞星你是為了給自己說好話,我拿了第三方也是全球的分析報告分享一下。這個報告叫做全球工業控制系統網絡安全的狀況,首先它的采樣,已經采集了21個國家的數據還是有一定的代表性,另外還有訪談和調查有359次的訪談,其中有三分之二是中型以上的組織,尤其是中國人口或者工業整體的體量還是比較大的,我覺得也是更接近于現實。它所接觸的人并不是不懂的人或者是占在邊緣上的人也不是,有一半是最終責任人,我相信他應該是很關注這個事情的。
整個的文章不能說研究的非常透徹,我分享兩個類型的數據,第一個認知的安全和實際安全的威脅,到底哪一些威脅在工控網絡安全怎么樣,做完所有的東西也解決不了所有的安全問題,我現在做的安全解決方案覺得是現實的問題還得面對,這個不是我編造的數據。普通認知惡意軟件簡單回顧一下,之前出現的很多事件,最終被抓出來的還是病毒最終造成破壞,所以說惡意軟件就會有防火墻中間的管理手段等等協議的分析,但是惡意軟件發現是最終干壞事的本體。第二個是第三方威脅,第三個外部的蓄意破壞。實際情況下最終統計出來第一名確實是惡意軟件能夠占到53%,第二名是APT,APT最終來說也是回歸到最終落地。第三個內部的人為錯誤,這個我覺得對于我們的觸發也是比較大的,之前提出人的思想包括之前的專家也提過最終要有人好好的操作,同樣的道理操作不好人犯錯占的比重也很大。
哪一些手段是有效的?之前大家的感受實際過程當中哪一些是對我們的工控安全是相對有效的措施?左邊是大家曾經認知右邊是實際的,實際終端的防惡意軟件占最大的比重67%,當然像咱們國內來說普遍性接受的是類似于白名單的方式,這個我也非常的了解這種機制。其二很多人說為什么不敢用帶引擎類的防病毒,當然帶引擎類會有另外一種形式存在,包括前天也有一家公司來和我做交流,說不敢用我們升不了級,他說我是內網環境不能升級殺毒軟件用不上,我一度的懷疑是不是沒有引擎的公司也是嘗試在傳播這個概念?瑞星以做IT為主,80%是內網用戶,我們做黨政軍包括中辦國辦他們會連互聯網嗎?難道他們都不升級了嗎?不是的。上一次也簡單的談過這個問題,升級不是問題,包括打補丁也不問題。但是我們已經做了20多年,我最近也接觸了很多現實細節的東西更重要或者是一些差異性。第二個安全意識的培訓特別的有效,我曾經個人的理解我認為這個是放第一的,包括為什么國家要出臺政策標準,迫使人也要對這個問題特別的重視,人不重視什么東西都很難做下來,實際比終端占的比重沒有小太多,國家是有政策的,不管是網絡安全法還是等保,人員本身的意識和安全能力的提升非常的重要,這一點對公共領域來說比IT領域差太多,IT領域往往是人不夠,很多人有意識但是不夠,這個我不說具體的單位名稱,其中有一個單位就說我覆蓋全國也有幾百萬臺的終端,我到一個市級單位的級別上一個人干IT運維還得干其他的業務,你覺得我干的過來嗎?但是回頭說工控領域不僅僅是沒人的問題,更多是沒有這方面的意識。第三個入侵檢測防御也不細解釋,給大家感受一下。所以這排前三名的終端安全意識跟防御,我認為安全意識是第一重要的,有了這個意識后面的東西才能更好的落地下來。
有意識國家出臺什么政策,之前鄒主任也提到這個問題我也不細說了。另外等保2.0鄒主任比較規范的解釋,我談談怎么樣理解這個事情,首先提了五大方面,我把它小的歸納一些哪一些東西是可能做的,實際上抽取一些新的,比如說剛剛提到的垃圾郵件刻意不去點,在工控領域用郵件的還是偏少一些,邊界防護訪問控制入侵防范惡意代碼防范可信認證安全審計,我當時也看完可信認證現在目前最難操作的確實是可信認證,現在確實有一些單位從軟件的識別,以前叫證書現在所有人運行要求用什么樣的可信機制,但是網絡層面怎么樣是有一些困難的,再一個就是安全審計和可行性驗證還有數據保護,包括數據完整性以及加密什么的。再一個還有關鍵信息隱藏不要求網絡里面不能看到機器的信息,還是要分區過濾要求把這些區進行保護,我就說壟斷的稍微提取一下可能認為也是干貨。
從我工作的角度或者我考慮的角度怎么樣考慮這個事的?實際上給大家分享的。其實這個東西本身是在IT領域里面比較成熟,我現在的這些考慮都是綜合的環境下我認為是有價值的,大家覺得現在有一些抵觸,但是最終還是會慢慢完善健全起來的,第二個防病毒惡意代碼防范,我們認為的干貨點里面,還有放火墻,以前傳統大概的邊界認為網絡與網絡之間或者機器與機器之間建立邊界,最終包括我們給國家大的部級單位,重新定義的網絡邊界防護是要從終端做的,而不是以前靠純粹的網絡層怎么劃分都可以,最終回歸本質是加密的網絡或者怎么樣。不落地到端上有可能識別不到一些真實的東西來,哪怕是IT領域對于加密傳輸等等不到端內不可以做不太好或者功能有很大的缺失,再一個漏洞補丁,它對應也是入鏡防范也有關系的,再一個行為審計里面包括了訪問控制和安全審計,再一個資產管理它其實包括的是身份界別和安全審計,它包括對應到等保2.0提到的東西。其中還提到我們要管理,管理第一個要有集中管控三權分立,集中管控前面分操作管理安全管理審計管理,其實在國家的之前等級保護約定其實就是三權分離對各自也有一些相對概括的定義,還有網絡的支持,這種網絡我們對它IPV4、IPV6更復雜包括其他的動態,這些現在我們的產品里面或者是現在設想發明里面是全部都是支持的。再一個工程模塊化,咱們也是按需選用實際的環境來考慮的,而且能夠遠程的動態裝卸。
一個國家也一直在提國產管控,這里有必要給引擎來說一說。第一個我們的引擎現在不光是我們自己用,我不介意的說現在也有做純工控安全的一些公司,其實他們最終也來用我們的引擎,后來還有工具箱模式,外面的審計模式拿一個U盤提什么等保檢查箱最終還是要用引擎,他們現在找到我們瑞星,瑞星的引擎到底怎么樣?可能有一些不太了解我們也總結一下全面先進、高效強悍。全面什么意思?我們的識別能力各平臺包括現在的國產平臺,包括展臺外面有做國產的機器,我們全部支持。
第二個我們的技術體系很先進,我們在幾年前就用到人工智能的技術來進行識別,平臺支持主流通用國產的都可以,技術方向已經用人工智能化云化檢測文件混合都可以,再一個運營模式剛剛南開的教授也講到我們做無人化,我們的運營已經早就做到了95%以上是無人化的運營,高效就是自動無休因為有先進能夠達到高效,還有普遍的認為防病毒引擎指的是攔截已知威脅,其實不是的,在N年前馬上就有動態啟發等等,本身就能做很多的未知威脅的識別,再加上現在有一些新的行為檢測靠動態的檢測其實也能處理很多未知的威脅檢測,像APP就得靠這種。再一個強悍,識別能力我們是比較自信說我們是全球領先國內最強,怎么證明?這也是前不久5月份做新品發布會做的圖,而且當時技術人員說我們是不是不能打其他的友商的名字,最后決定我們就打出來,我們敢對這個事情負責任,不是我們的數據是我們從第三方平臺拿的數據,瑞星在全球來說我們排的比較靠前,這個我們排第三,在國內排第一。第二名第二名怎么樣,之前關注我們公司的信息很早看到這個圖,今天再次分享一下,正因為我們有這樣的成績,前面的能力也好,最終達到強悍,所以不管是我們行業還是工控還是做系統后臺的服務器他們都來找到我們,所以我們有能力不光服務好我們的用戶,我們幫助我們的朋友怎么樣來一起把這個行業建設做的更好。
正因為前面更多是一些理念概念性的東西,具體我們能做什么樣的東西?其實很多我們已經提出了好幾大模塊,稍微提到我認為比較特別一點的,但是可能偏技術性有一些不太感興趣,比如說常規的就不提了,換言之病毒的掃描檢測不僅僅是拿一個引擎去掃就OK的,我們有很多新的技術,不是單一的平臺檢測匹配。特別的技術比如說變頻查殺這個也是很有用的,大家擔心我們的東西對它的資源占有很高,如果有時間分享一下前天和人家交流的特別敏感,包括綠色殺毒裝不了怎么辦,我們做成綠色盤去廠家使用,甚至有廠家想買我們的U盤殺毒不賣給他,因為發現有一些機器不能裝的,但是他又要想發現,我們的產品帶了隨便做出來不用買,他們就說你們能不能賣我幾個,再一個防勒索特別的重要,我們有更好的防勒索的方案。
勒索掃描功能也是比較完善的,其中提一點同樣的內網環境我們依然能夠幫助大家比較快速高效把補丁打下去,這個問題不要因為是內網環境就覺得是不可行的,包括驗證組我可以先驗證一下再全網實施推廣怎么樣。放火墻的功能本身做的邊界入侵防御等等,本身我們做了九大類的上網防護聯網防護還做了管理類的功能,其中具體的比如說做行為控制規則,這個就能做到訪問工作邊界的管理,以及自定義黑白名單等等。網絡準入本身的端內發現它已經達到了一定的危險級別,我們就讓這個端不能夠去聯網,剛剛提的之前怎么樣?我們控制在一個小的網絡范圍里面,但其實在網絡范圍里面還能夠傳染的,我們能夠做到終端級別,這個終端達到什么樣的威脅讓它感染不上。再一個審計可能有一些不同行業環境,有一些重視有一些不是很重視,如果是U盤口或者是操作站其實還是挺重要的,我們在外設的管控上面和U盤的管控或者是非法網絡上面我們現在做的也是非常深入,已經有很多的用戶在使用我們這種功能,這個是把U盤的準入使用記錄準入的分組智能設備識別已經做的是很好了。
資產管理要能夠探測資產信息,本身裝的軟件情況,以及機器本身的性能情況,包括后續的分發等等,資產管理功能也是在里面有的。另外一個剛剛我提了一句,我覺得從長遠來看我認為工控領域很多東西還是要國產化的,至少我們目前的國產化領域上首先是非國產化通用的操作系統,再一個國產的平臺芯片上面龍芯、兆芯全都支持,另外有的廠擔心設備,瑞星不管從引擎層到產品層全都是支持的,操作系統什么中標麒麟等等我都全部支持的,再還有國產數據庫不是每一個系統都會關心,但是我們也是全支持什么達夢、神通、南大通用,國家是強制規定一定不允許使用別的,我們都把路走開了。
集中管控是怎么考慮的?第一個我特別提出來就是可運維,以前的東西放到那里不太可運維,最終什么效果也不好,怎么做到可運維可管理,點比較多第一個分區,可運維要做到自動化,人不夠,人的意識形態沒上升,我能做到自動化的運維。再一個安全檢測要加白名單模式,白名單模式是有效的,但是它對于一些新進來的東西更新也比較麻煩,或者進來的東西難道就不帶威脅嗎?我們用這個業務系統一個新版本進來了,新版本是不是就能說已經帶病毒進來了,我覺得你們很多人比我的感受跟深,至少我碰到好幾個用戶,我們沒辦法,我們開發就帶病毒,分發給用戶就是帶病毒進去的,難道我們就沒有辦法嗎?加入白名單我們就認為它是白了?我認為白名單模式是很有必要的,但是在它的前面還是要經過安全檢測的,這里面話題可以很多,后面會把分區檢測給大家試一下,我構思的也會把以后的體系怎么樣來建設。在入侵防御防控再一個EDR,其實EDR不只是在IT領域OT領域上也是有效的。再就是情報支持數據分析未知發現,這個大家可能會聽過安全大腦的概念,這個東西會比態勢感知再往前一步的東西,大家以后可以會慢慢的感受到,我今天說的情報就是數據分析,安全大腦下一步的概念東西會相關聯,這個終端防控體系怎么樣的分層,他們是管理體系本身也奧進行一級二級,這里不非常的細講了,之前看過架構的體系。所以怎么樣做出服務器怎么做處理,中間再加放火墻怎么樣,但是本身要分級管理的,其中有一個帶寬只有兩兆大小業務系統已經用了90%,你們上其他的系統我要過等保4.0我必須上,我上了之后本身要采集日志,采集日志可能業務就不行了,怎么辦?物理層面規劃層面包括限速上面我們確實都已經有所考慮的,兩兆帶寬還是單臺機器是一個環線上面N臺機器可以共享兩兆帶寬。最后分享一下這個圖分區管理可運維自動化。
這個我認為做終端做安全不是終端也是可參考可借鑒可探討,第一個分區,這個區不是指用戶的業務區,甚至是我們作為安全體系來說分為三大區域,第一個導入學習區,第二個叫測試觀察區,第三個叫生產運營區,我們要進任何新的東西任何體系進行首先要進入學習區或者我要檢測先跑一遍,我再看怎么樣,再一個就是我們要看錄完這個東西是不是真的能夠跑的怎么樣,所以這個是觀察區要測試,然后再自動到生產運營區這個東西最好是不用人工參與,但是適當的人工參與是要的。這個設備和安全產品放在那不動就自動的把它運轉起來的,所以這個是分區可維護自動化的概念,我們瑞星體系也會按照這個思路和模式去做。