周鸿祎：协同是网络空间安全的出路

网络安全是当今世界、国家、企业和个人都需要面对的问题，在网络威胁面前没有幸存者。应对网络安全威胁是大家共同的责任。

　　传统安全时代的网络安全就好像古代冷兵器时代的战争，边境防御修一道长城，基本能完成大部分防御。

　　但现在网络安全到了热兵器时代，特别是处于现代战争时代，没有突破不了的边境线，建了一个长城照样会有飞机和导弹越过，所以在这个时代保护网络安全最重要的能力，第一是及时发现、快速甄别的能力；第二是发现和甄别后，迅速组织内部资源以及协调各组织之间的资源进行打击和防御的能力。

　　现在安全行业都在讲协同，关于协同我想通过三个故事与大家分享。

解决网络安全问题需要协同

　　今年是美国总统大选年，总统大选一直是美国大事件，美国人写美国史一般都是以美国总统大选为主线。这次希拉里所在的民主党的邮件泄露事件是一个大事件，邮件泄露后曝出的各种丑闻让希拉里和民主党很被动，如果最终影响了美国总统大选结果，这对美国和世界都将产生重大影响，所以邮件泄露事件有成为“可载入历史史册的大事件”的可能。

　　有关邮件是如何泄露的有各种说法，现在看起来希拉里自己很不严谨。用自己的个人邮箱，这种基于公有系统的邮箱都基于相同的架构和体系，很容易被攻击，所以邮件泄露不是小概率事件。

　　这件事也直接促使美国总统奥巴马在7 月26 日发布了一个总统令：PPD-41，建立美国国家网络攻击指挥响应链。这个总统令中最值得关注的是以附件的形式专门发布了《美国网络事故协同方案》，制定了政府对网络事件调查、预防和处置响应的协同原则。明确了政府各部门在网络安全事件响应的分工和责任，以及响应流程。

　　总统令规定：针对事件成立网络响应小组，由总统特别助理兼网络安全协调员；美国司法部直接负责指挥响应针对美国的网络威胁；国土安全部将按要求立即帮助机构和企业平息网络或“资产”威胁；政府在网络事件处理中和民间机构、企业和公众进行互动和协同。

　　奥巴马之所以发布这个总统令，是因为在安全事件处置中需要提高现在处置的速度，任何一方单独做都没有办法做到很高的效率，任何一方占有的能力和情报都是比较片面的，只有大家一起协同起来才有可能做到更高的效率。

　　从这个总统令可以看出，美国对于政府在网络安全中的地位。政府要在网络安全中扮演非常重要的角色，同时政府应起到一个协调者的作用，通过政府领导和指挥，协同企业等民间安全能力，共同应对网络威胁。

　　现在国家对网络安全很重视，当我们的网络遭遇境内外有组织的攻击时，应该向美国学习，政府不能只考虑政府部门的能力，也应该把民间的公司、企业、安全企业、科研院所甚至很多个人力量融合进来，才能更好地解决安全问题。如果政府还是按照计划经济时代，闭门造车的模式，缺乏外部数据和能力协同，那么就会形成安全上供给不足，整个行业成本很高，不仅产业不能健康发展，也会大大降低国家的安全防御能力和水平。

政府应成为协同民间安全力量的领导者

　　我们希望政府能重视与民营企业在数据和能力方面的合作，在网络安全中政府起到一个领导者和指挥者的作用，融合民营企业的能力和数据，提升国家网络安全能力。

　　360 作为全球性的网络安全企业，这次从纽交所回归，就是为了加强与国内产业网络安全能力方面的协同合作。

　　我们呼吁政府大力扶植和重视民营企业，把整个安全产业链条都做好做精，促成良性竞争，形成共同目标，更好地保护网络安全、保护国家安全。

　　国家在国防装备发展中大力推进军民融合，而美国在网络安全领域就一直在走军民融合的道路，雷神是美国的网络安全国防承包商，它就是一家民营公司，这个公司先后收购了Websense 、黑鸟等多家公司，它的安全能力强了，美国国防网络安全水平自然就会提高。在这点上美国模式值得我们学习——在网络安全领域推进军民融合。

安全同样需要“企业与企业的协同”

　　近年来，网络威胁越来越靠近钱，无论是网络诈骗、勒索软件还是今年以来连续发生的黑客攻击银行事件，目标都直接指向了钱。

　　2016 年2 月5 日，孟加拉国央行被黑客攻击导致8100万美元被窃取。攻击者获取了孟加拉国央行SWIFT 系统操作权限，利用恶意软件篡改了SWIFT 报文，向孟加拉央行在纽约联邦储备银行发出了35 笔转账申请、总价值9.51 亿美元的转账要求，其中被拒绝了30 笔；4 笔金额共8100 万美元转到菲律宾；1 笔2000 万美元转到斯里兰卡——非牟利组织（因中间银行发觉组织名字拼写有误而中止）。这个事件全世界都很关注。银行被攻击丢失钱是小事，最重要的引发公众对银行的信任危机，这有可能引发全社会恐慌，造成挤兑等严重的社会和经济危机。

　　此外，越南先锋银行、厄瓜多尔、索纳莉银行等多家银行也先后遭受到了类似的攻击。

　　这几起银行攻击事件中，攻击者的攻击目标明确、攻击战术都是获取内部权限或者入侵内部网络，精通银行内部业务流程，跨国协同攻击，攻击技术和手法都是使用了恶意软件。在孟加拉央行这个事件中，其中一个非常重要的环节，就是黑客用恶意软件攻击了打印机，使打印机出现故障，由于没有协同和威胁情报，银行依旧按照传统的方式杀毒然后修好打印机，所以孟加拉银行造成了后面的损失。

　　上述这些事件中，最早的索纳莉银行被攻击是发生在三年前，由于没有银行间的威胁情报共享，安全企业间也没有威胁情报共享，所以后续又出现这么多银行被攻击。

　　孟加拉央行攻击事件曝光后，我们国内的几个银行客户马上不断地向我们咨询，希望了解这个事件的真相，大家都很担心类似的攻击发生在自己身上。360 在自己的威胁情报系统， 以及BAE 的情报、SWIFT 组织的一些数据和情报的支撑下，组织国内多家银行的业务专家参与，成功对这个事件进行了溯源，了解了攻击手法、攻击使用的恶意软件和攻击目标、流程，甚至追溯到了幕后的组织。

　　360 在自己的威胁情报系统， 以及BAE 的情报、SWIFT 组织的一些数据和情报的支撑下，组织国内多家银行的业务专家参与，成功对这个事件进行了溯源，了解了攻击手法、攻击使用的恶意软件和攻击目标、流程，甚至追溯到了幕后的组织。

　　然后就此生成了威胁情报，把威胁情报下发到银行的安全系统后，可以对类似的攻击进行响应。截至目前，我们国内的银行客户还没有遭受类似的攻击。这个故事说明企业间协同的重要性。因为没有协同，索纳莉一家银行的问题，会变成多家银行共同的问题。

网络安全不应有旁观者

　　我们呼吁企业与企业之间协同，包括安全企业与安全企业之间的合作、安全企业与客户之间的合作，以及客户与客户之间的合作。

　　美国安全企业之间的协同相对较好，一家企业做好一两个产品就能安身立命。而国内安全产业盘子很小、毛利很低、竞争激烈，逼迫所有厂家所有产品都要做，哪怕是一两千人的企业，分散到各个产品线上，哪个产品都不能做得特别好，因为每家都只想着把别家排斥在外面，什么东西都用自己的，不管好不好。

　　所以我们呼吁安全产业同行们，大家都谋求自己各自的定位，各自术业有专攻，将自己的所长做好做精。然后通过数据和能力协同，提高安全效率，解决安全人员供给严重不足的矛盾。降低整个行业的生产成本和运营成本，使行业形成良性竞争，这样大家才能有比较好的利润，产业才能健康。过去安全企业跟客户只是卖产品和卖服务的关系，是一种买卖关系，这种安全效率很低。我们希望安全企业和客户之间通过分享情报和能力，帮助客户培训安全人才，一起提升客户的安全防御能力。

　　360 在国内拥有广大的企业客户群，包括金融行业用户。我们希望在客户与客户之间创造一种合作机制，建立一个基于“威胁情报共享”的协同体系。谁被攻击了，发现攻击者用了什么样本，要共享出去，让其他人马上响应如何处置，不让更多人成为牺牲品。

安全产品的数据和能力协同

　　现在的安全防御无论是沙箱还是防火墙，每种技术只能解决有限的问题。要真正解决安全问题，就要把包括大数据、云计算、人工智能等所有技术融合协同起来。360 和我们多个合作伙伴已经建立了一套完整的协同防御体系，在这套体系内终端安全和下一代防火墙等多种产品实现了数据和能力的协同。

　　在威胁情报驱动下的预测、检测、响应、溯源一体化的安全防御体系中：威胁情报本身就是数据协同的结果，威胁情报的来源既有来自360 的数据，也有来自谷歌等其他安全机构的，多维数据协同持续产生有价值的威胁情报；我们的威胁情报既可以下发到终端产品，也可以下发到防火墙等边界产品进行响应；不仅可以下发到360 的产品，也可以下发到客户系统中其他安全厂商的设备和系统。

　　下面是这套协同防御体系针对一个C&C 威胁的响应过程，其中很好地体现了威胁情报驱动的产品协同。

　　360 威胁情报平台推送一组C&C（木马控制端）域名给360 下一代防火墙，防火墙检测到有内网某计算机产生了对此域名的解析行为，通过360 NG Soc 系统发出告警并联动防火墙执行了实时阻断。

　　当然这还不够，安全运维人员介入排查，通过可视分析系统，从NG Soc 中查找天擎终端检测与响应系统所收集的应用程序行为日志，检索疑似感染木马的计算机的进程行为信息，找到了恶意代码获取执行的进程链信息，经过分析发现了一种新型的免杀方法。

　　通过 NG Soc 分析平台所记录的各类网络连接及数据交换的元信息，回溯木马植入过程，发现攻击者从原来邮件中直接包含EXE 文件的方式转换为通过发送DOC 文件利用Office 漏洞来释放恶意代码，体现了对手攻击方式的新变化。通过天眼系统的连接可视化分析系统，确认受感染的终端是否与关键服务器存在可疑的连接和数据交换以评估入侵程度。

360 推出威胁情报共享工程

　　上面三个故事阐述了三个层次的协同：政府与企业的协同、企业之间的协同、产品中的安全能力和数据的协同。

　　为了更好地解决网络安全问题和推动产业协同，360 率先走一步，推出360 威胁情报共享工程，将陆续开放自己的数据和能力。首先开放的是360全球网络扫描实时监测系统，在这个系统中，可以实时了解全网恶意扫描源，然后对这些恶意扫描源封堵处置，降低系统被攻击的概念。通过开放共享威胁情报，释放公司价值，让整个安全产业基础越来越好，这是一家领导企业的态度和能力。

　　我们希望通过威胁情报共享工程将这些数据和能力开放给金融机构，帮助金融企业更好地保护网络安全。目前360已经与建设银行等多家金融机构建立了全面的战略合作伙伴关系，将协同安全的理念在金融领域逐步落地。

（文章来源：《金融电子化》杂志）

扫码即可手机
阅读转发此文