作者 | 楊冀龍
正文共4246字,建議閱讀時間12分鐘
我和我的網安之路
在網際網路與人們生活關系如此密切的今天,網絡像水、電一樣走進千家萬戶,成為生活必不可少的一部分。網絡安全引發的問題日益普遍,其危害性愈發嚴重,維護網絡安全已經上升為國家安全戰略。“我和我的網安之路”是對國内網絡安全大咖的系列專訪,他們中有國内頂級網絡安全學者、著名白帽子、CTF挑戰賽冠軍、名校教授、權威測評機構專家、青年創業者等。通過傾聽一線網安從業者真實的聲音,向大家呈現當今網絡安全世界的生動景象。
第24篇 雲安全踐行者之路
本期嘉賓:楊冀龍,北京知道創宇資訊技術股份有限公司創始人之一,目前擔任公司COO兼CTO,負責公司技術路線、核心技術團隊建設及産品線規劃。國内原創資訊安全經典暢銷書《網絡滲透技術》的作者之一,著名安全組織XFOCUS的核心成員,擅長漏洞發掘和安全軟體研發,發現過大量AIX、Solaris、HP-UX漏洞。
索引
雲安全踐行者楊冀龍:雲作為數字産業化、産業數字化的天然承載者,步入了快車道和雲2.0時代;使用雲架構的安全産品來防護雲的安全,一定會成為雲最主要的防護手段;當雲防禦體系擁有這種“上帝視角”的時候,很多攻防的對抗就顯得相對容易了許多,可以很快發現攻擊者的痕迹并進行幹預;基于大資料的向前防禦體系不但可以将防線提前,将戰場轉移至更加開闊的網際網路,更可以通過大資料積累把全網協同能力發揮出來;最終目标,是将網絡安全轉化成安全網絡,讓每個網絡、業務系統在接入時就可以享受到安全純淨的輸入流量,而不用再擔心網絡裡是否有“雜質”。
目錄
- 01 雲發展進入快車道
- 02 雲安全的演變
- 03 對抗的本質和上帝視角
- 04 基于大資料的向前防禦體系
- 05 網絡安全應轉化成安全網絡
01 雲發展進入快車道
十幾年前,當AWS證明了雲是可行的業務之後,越來越多的行業巨頭齊聚雲市場,雲服務成了家常菜,全世界都流行不自己維護伺服器,把運算和存儲放到雲上。但每個新事物都會有個成熟的過程,這十年來,很多業務對雲的态度從懷疑、擔心到逐漸嘗試,直到國家發展戰略正式提出了“數字中國”概念,政務雲、金融雲、能源雲、交通雲等各式各樣的雲應運而生,雲作為數字産業化、産業數字化的天然承載者,步入了快車道和雲2.0時代。
02 雲安全的演變
有了雲,自然離不開雲的安全,雲的特點是讓使用者可以更便捷的通路及應用,同樣對于黑客來說,攻擊路徑也更加簡短和直接。
随着網際網路技術的廣泛應用,網絡空間威脅和風險日益增多。主要表現在:網絡攻擊高發頻發,攻擊組織性與目的性更加凸顯;高危0day漏洞數量上升,資訊系統面臨的漏洞威脅更加嚴峻;資料安全防護意識薄弱,大規模資料洩露事件頻發;網絡攻擊自動化程度不斷提升,技術對抗更加激烈;集團企業業務系統安全問題依然突出,新技術應用帶來新的安全隐患。
十五年之前,Web應用防火牆(WAF)剛在國内發展起來,大量的WAF被買來放入内網邊界作為抵禦Web應用攻擊的防線。而随着雲的發展,越來越多的業務上雲,越來越多的業務需要安全保護,我們會突然發現硬體的WAF無從部署,不知道怎麼融入到雲體系内發揮其作用。同時我們也發現了一個重要問題,硬體安全産品放入内網後,基本就降低了它的生命力,無法随着時間的推移而不斷積累它的能力。是不是有個熟悉的場景:競測和招投标PK的時候,友商之間比誰的防護政策種類多、條目多,你說有1000條規則,我就敢寫有2000條,等到了實際中标後産品上線的時候,卻因為怕誤攔截隻敢開最小組合的政策包,也許隻有100條規則被用了起來,适配無誤後,這台硬體防護裝置可能就此不會再有人關注,即使時常有政策的更新推送也基本不會被應用。反正我的一個客戶,現在仍然在用7年前購買的硬體WAF而從來沒有更新過,竟然這個WAF仍然一絲不苟的在服役。
2009年左右,美國有一家叫Cloudflare的雲服務公司成立,做雲防火牆、DDoS 防護、CDN等業務。到了2019年,它已經占有全球16%以上的CDN市場。Cloudflare能做什麼?它可以讓你的網站成為永遠打不死的小強。不但可以讓你的網站通路速度更快,還能抵禦絕大部分的網絡攻擊,智能過濾可疑流量,隐藏你的真實網站IP位址。讓許多中小網站十分頭疼的DDoS攻擊在Cloudflare面前都是小菜一碟。
更不得了的是,Cloudflare還特别的便宜,大家都能用得起,免費服務就可以防禦大部分DDoS攻擊。便宜是一方面,配置還十分簡單,隻需要修改域名的DNS解析指向,在Cloudflare背景就可以一鍵開啟防護。即使隻是一個個人普通的網站,也可以做到銅牆鐵壁。
歐美國家網站普遍使用Cloudflare,如果要去攻擊這些網站将會非常痛苦,實際上對絕大多數人來說是根本不可能的,所有攻擊都是考慮怎樣繞過Cloudflare直接攻擊源伺服器,但是如果配置正确源站也很少會暴露。Cloudflare還支援IPv6解析,要掃描IPv6是不可能完成的任務。懂點技術的話,在伺服器上配置好防火牆,隻允許Cloudflare的IP清單使用80和443端口,這樣就完全解決了暴露源站IP的問題。Cloudflare有專門用于源伺服器與CDN網絡之間雙向TLS加密的方法。即隻能由Cloudflare的CDN與源伺服器之間進行通信。
當感受到Cloudflare和傳統WAF之間的能力差距之後,我看到了一個趨勢和場景,使用雲架構的安全産品來防護雲的安全,一定會成為了雲最主要的防護手段,雲也将是隔空和黑客對抗的直接戰場,雲的安全也将取決于誰能更好的利用雲的特性,誰能更快的使用大資料的來發現蛛絲馬迹,誰能夠協同更多的資源和力量。也正是因為看到了這個方向,我聯合創立的安全公司知道創宇裡投入了大量研發力量進行了雲防護相關的研究和産品開發,做出來一款可以真正和黑客隔空對抗的、可以随着時間的推移不斷增加其經驗和能力的“活的”雲防護産品“創宇盾”。
03 對抗的本質和上帝視角
我經常在思考,攻防對抗的核心能力是什麼?思考下來,攻防對抗其實就是人的智慧在對抗,脫離不了攻防者的經驗和思路,而安全硬體裝置就是希望能夠将人的經驗固化為機器可操作的指令,是以有了規則。但是人的經驗和智慧是随時在變化的,攻防的對抗也在不斷更新,你來我往,不亦樂乎。那麼機器規則能不能實時的跟進這種更新和變化呢,目前肯定是不行的。時至今日,大家都在提AI,在我看來AI還不能替代人的經驗,現在最有效的“人工智能”,應該還是人工+智能的模式,我們經常開玩笑地說:“有多少人工,就能有多少智能”。智能通過大資料、深度學習等技術得出輔助決策資料,供人來判斷和使用,而這些資料會随着時間的推移不斷積累和反應,直到發生質變,産生高次元的視角和能力。
知道創宇雲防護體系的核心,正是由一群極其富有經驗和想象力的年輕人組成的“積極防禦小組”,這個小組一直保持着精英小隊的模式,人人精通攻防技術,熟悉大資料分析和各種深度學習算法,同時也擁有海量的資料,這些大資料經過分析和提煉後,給積極防禦小組提供了更高次元的決策依據。比如積極防禦小組可以通過一個IP線索,找到曆史上這個IP在什麼時間,通路過什麼系統,從哪裡進行的通路,做過哪些操作,是否有過攻擊行為,使用過哪些攻擊工具或者漏洞,攻擊過哪些系統等等;再比如,當出現一個0day的時候,我們可以發現知道創宇雲防禦體系保護下的100多萬系統有多少正在受到攻擊,有多少系統已經被攻破了,還可以知道0day公開之前,誰用過這個漏洞進行過攻擊。以上這種一覽無餘的視角我們叫做“上帝視角”。
當雲防禦體系擁有這種“上帝視角”的時候,很多攻防的對抗就顯得相對容易了許多,可以很快發現攻擊者的痕迹并進行幹預。基于我們長達數年的分析、跟蹤和積累後,現在我們的黑客資料庫裡已經躺了33萬黑客的資料,這些黑客都做過什麼,用過什麼工具,有什麼特征,用過哪些IP位址等等,都被我們标記了出來,并且在近幾年的國家網絡攻防演練中,黑客資料庫對溯源都發揮了重大作用。2020年的演練過程中,我們不但溯源到了紅隊的攻擊人員,還溯源到了隐藏在演練攻擊流量裡的真實境外黑客。當我們将這份溯源報告上報給國家監管部門後,得到了高度的嘉獎和1000分以上的單個溯源報告得分。
04 基于大資料的向前防禦體系
向前防禦這個概念,就是要将防線推到我的資産邊界之外,在前線進行快速、直接的防禦,有點類似于籃球戰術裡的高位逼搶。其實在美國網軍的戰術裡,就多次提到“forward defense”,他們将防線推到自身網絡覆寫範圍之外,甚至直接在對手的地盤上直接防禦和反擊。
為什麼要提向前防禦概念,首先,内網相對來說更像一個灰盒狀态,越是大型政府、企業越是如此,雖然運維人員有内網拓撲圖,但是實際上内網經常是錯綜複雜的,包括網絡裝置、安全裝置、資料、政策配置、人等等,每一個因素都可能導緻内網産生不可預知的變化,這也給了黑客更多的藏身之是以及實施攻擊的便利條件,在内網做攻防基本等同于捕風捉影,即使能夠捕捉到對手的痕迹,也可能會為了一個堡壘機、一個伺服器的權限争奪開展肉搏巷戰,何其慘烈;其次,如果黑客已經進入内網,往往意味着邊界防禦已經被突破了,可能黑客已經被拿到了權限、賬号密碼及資産清單,此時再進行防守,相當于亡羊補牢,難度可想而知;最後,向前防禦不但可以将防線提前,将戰場轉移至更加開闊的網際網路,更可以通過大資料積累把全網協同能力發揮出來。黑客在外部做攻擊嘗試時,一定會有痕迹及特征留下來,隻是看防禦者能不能發現,比如黑客使用了同樣的漏洞利用代碼在其它類似網站上進行過攻擊嘗試,比如黑客攻擊過同行業的其它業務系統等等,隻要能夠在外部利用大協同、大連接配接、大資料的特點發現蛛絲馬迹,就可以定位黑客,并按照防守者的意願全網攔截或者進行攻擊誘捕及溯源。
雲防禦的最新應用和優勢,正是使用了向前防禦的理念,可以想象,當某集團所有面向網際網路開放的業務系統都被雲防禦安全罩包裹在公網時,所有的攻防邊界都将在安全罩的最外層進行,這個安全罩的外層越大,接觸面也就越大,那麼可以感受到攻擊的範圍也就越廣,也越迅速。
05 網絡安全應轉化成安全網絡
雲業務已經成為了一大産業,并已成為了像阿裡、騰訊、華為這類巨無霸公司新的發展驅動力,可以預見,雲安全也将相輔相成地成為最重要、對抗最直接、發展最快的一塊安全陣地。我們希望,安全也能夠成為必需品而非奢侈品或者附加品,雲的安全能夠成為淨水器一樣的裝置,給業務帶來純淨的流量,讓“水”這個生存的必要條件可以更安全、更可靠。
是以,我們的最終目标,是将網絡安全轉化成安全網絡,讓每個網絡、業務系統在接入時就可以享受到安全純淨的輸入流量,而不用再擔心網絡裡是否有“雜質”,我相信,雲防禦終究可以達到這個目标。
-End-
策劃:Calvin 采集:楊安 編輯:阮丹陽