10月13日,2016中国保密大会在青岛召开,360公司创始人兼总裁、360企业安全集团董事长齐向东在大会做主题演讲时表示,泄密问题已经成全球性的安全挑战。中国作为 APT 攻击的主要受害国,国内多个省、市受到不同程度的影响。为了解决失密窃密事件频发的问题,我们需要构建安全保密的新体系。
在刚刚过去的十一假期期间,美国正式指控俄罗斯政府窃取和披露美国民主党全国代表大会以及一系列机构和要员的电子邮件,俄罗斯是否真的是黑客攻击的幕后黑手,这个可能无法确定,但有一点可以确定:数据泄密带来的影响已经严重影响到一个国家的政治和国家安全。
360企业安全集团董事长齐向东在保密大会发表主题演讲
泄密已成全球性的安全挑战
从全球看,窃密泄密事件呈高发态势。根据美国电信运营商Verizon发布的《2015年Verizon数据泄露调查报告》,2014年有79790家公司被黑导致数据泄漏;2122家公司公开确认信息被窃取;500强企业超过半数遭遇过数据泄露事件。
根据2016年的报告,2015年的数据泄露事件比2014年增长48%,达到3141起;安全事件涨幅超过25%,超过10万次。
美国政府问责局(Government Accountability Office, GAO)报告的数据同样十分惊人,报告称,自2006年以来,美国联邦政府的网络安全事件增长1300%。网络复杂性和动态程度极高、并呈现技术多样化,通常在地理上分散,这使得难以保护联邦网络。
回顾今年以来美国联邦机构遭遇的数据泄露事件:
2016年2月,美国国税局披露,有超过70万个人的纳税人个人信息被泄露。2015年5月份,国税局首次报道了这次数据泄露事件,并表示其影响了114000个账户。这个数字在今年2月份扩大到了多达72.4万个账户。
同样是在2016年2月,黑客攻击了美国联邦调查局、国土安全部,窃取了9,000名国土安全部员工和20000名联邦调查局员工的信息。
可以说,即使是对美国这种网络安全技术走在世界前沿的国家,数据泄密的形势同样非常严峻。
APT攻击主要受害国 中国泄密形势不容乐观
2016年年初,360威胁情报中心发布的《2015年中国高级持续性威胁(APT)研究报告》显示,中国是APT攻击的主要受害国,国内多个省、市受到不同程度的影响。
根据该报告,截至2015年11月底,360威胁情报中心监测到的针对中国境内科研教育、政府机构等组织单位发动APT攻击的境内外黑客组织累计29个。另据齐向东透露,在360追日团队跟进的72个安全事件中,其中55个APT攻击。攻击行业以科研教育、政府机构为主。
在2015年和2016年,360天眼实验室发现和披露了多个针对中国的APT组织。其中包括海莲花组织(APT-C-00)、摩诃草组织(APT-C-09)、索伦之眼组织(APT-C-16)、DarkHotel(APT-C-06)等。
其中,海莲花组织的发布,受到海内外的广泛关注。相关报告被业界称为中国“首份”“符合标准”的APT攻击研究报告,海内外媒体纷纷进行了报道。有美国国家“智库”之称的美国外交关系协会、以及中国外交部都对这份报告进行了回应。改变了长期以来我国在网络间谍上被西方国家单方面指责和攻击的局面。
根据360安全人员从代码层面的分析,我国的科研、政府、能源、军工行业是海外APT组织的主要攻击目标。这些APT组织对于电脑中包含2016、2015这些年份的文件,或者包含军工、涉密、保密字眼的Word文档、PPT文档,都极为有兴趣,进行打包外传;有的APT组织则是不分文档类型,只要是电脑的文档就会打包发送出去。总之,这些APT组织兴趣各异,但导致了相关部门的数据泄密。
事实上,除了这些已经公开的黑客组织,360的安全人员还在跟踪其他的海外APT组织,并与国家的相关部门合作,及时发现各类安全事件,为国家的保密工作做出自己的贡献。
形势变化令传统安全手段应对乏力
根据美国运营商Verizon的报告,黑客组织侵入一个机构,最短只需要用几秒、几分钟时间,长得也不过几个小时,数据也往往在数小时内被窃取,但我们发现被入侵、数据别泄露,以及采取措施缓解损失,需要多久呢?可能是在几天、几周之后,长的可能几个月之后。或者根本就不知道出现了失窃密事件,直到第三方发现告知才采取行动。
政府等机构每年都投入巨资,但却没有办法解决数据泄密的问题,部署的安全设备成了摆设。为什么会出现这种情况呢? 齐向东认为,过去很多时候防护的思路就是不断垒长城,所谓外部威胁,用更多的墙把它挡住,这种思路在现在尤其像新的云计算、移动化这样的环境下,其实不奏效。
齐向东指出,在互联网+时代,万物互联,安全形态已经完全不同,首先网络安全的范畴被扩展,安全设备要防护的不再仅仅是PC,还有打印机、复印机等各种终端,还有联网的核电、核工业,以及正在出现的各种新型系统。其次传统的安全边界下在在失效,移动、云计算的部署改变了IT形态,数据已经突破了传统的安全边界。第三是具有针对性的高级威胁增加,这主要包括APT、零日漏洞、针对性攻击,而攻击者明显对于相关的行业很熟悉,攻击的持续时间会很长,而且用了很多精力来进行伪装。
齐向东表示,很多基础设施安全的对手并不是小黑客,而是国家级的黑客组织。
360如何快速发现数据泄露事件?
正如前面所提到的,截至2015年11月底,360威胁情报中心监测到针对中国境内科研教育、政府机构等组织单位发动APT攻击的29个黑客组织,帮助相关机构溯源攻击事件,降低了数据泄露的损失。
360是如何帮助政府和企业快速发现数据泄露的?
据齐向东介绍,这里面有个安全理念的转变。面对新型、频发的高级威胁,可以说没有任何机构是绝对安全的。如果说攻击者一定能穿透现在所有的安全防御体系,安全防护的使命就是能够最短时间内检测到这种攻击,并进行及时处置和响应,将数据泄露的损失降到最低。在攻防失衡的情况下,这是网络安全的务实选择。越来越多的安全人士认为,安全建设的重点已从过去的防护为主转换为以检测与响应为主。
实现快速的检测与响应,掌握丰富的数据非常重要。在现在的背景下,从单个点上都看不出真实的目的,只有把所有的点连在一起,才能看到所谓真实的问题,这就是我们经常说的安全的全貌。一次安全事件所利用的漏洞或者样本,可能在互联网上已经出现过,利用互联网上的海量安全数据,可以更快发现甚至预防安全事件,避免或减少数据泄露。
2015年 360提出了“数据驱动安全”的创新安全理念,其思路就是用大数据的方式来解决当前的安全挑战。一方面是基于海量的互联网安全数据,形成丰富的威胁情报,然后推送给用户的安全设备。另一方面是帮助用户在本地进行全量的数据采集。这样针对本地网络或者终端出现异常状况,可以通过与威胁情报的关联比对,进行识别和发现。在政府和企业内网与终端,出现的任何安全漏洞、数据泄露问题,就可以被及时发现和处置。
基于“数据驱动安全”的理念,360打造了大数据安全分析、新一代终端安全管理系统、新一代智慧防火墙等创新性的产品。尤其是新一代威胁感知系统——天眼,可以实现未知威胁的发现、溯源、分析等功能。2015年,360天眼实验室发现29个海外APT组织,就是这套系统的所建立的奇功。这套系统当然也可以用于保密领域,为我们国家的保密单位、军工和军方单位提供失窃密的监控、追踪和溯源。
齐向东表示,新一代威胁感知系统背后是360多年积累的海量安全大数据。360公司的11亿PC和移动终端,就像安全探针一样,每天收集互联网出现的木马和安全漏洞数据。目前360拥有主防库日志数18.9万亿条,样本总数高达95亿,DNS库解析记录超过90亿条,URL库每天查询300亿。
2016年,360又提出了“安全协同”的理念,并根据协同安全理念,构建起了一套数据驱动的安全协同产品体系,为国家保密提供技术支撑和相应的服务。
齐向东表示,无论是终端还是边界的安全设备,都可以利用威胁情报进行升级“换芯”,基于协同联动的理念,从整体上为预防和发现窃密事件,维护国家的信息安全。
360已做好服务保密业的准备
齐向东表示,对于保密行业,360还是个新兵,但已经从各个层面做好了服务保密行业的准备。就在今年8月,360公司从美国纽交所成功退市,企业安全业务已经是一家100%纯内资的安全企业,可以做到完全的“自主可控”。基于创新的安全理念,360也开发了多款适合保密行业的产品和解决方案,比如360网神的防火墙和网闸产品已经实现了国产化。
据悉,在今年的保密大会上,360展示了一系列的创新涉密安全产品,其中包括360新一代智慧防火墙、360新一代威胁感知系统、360新一代终端安全管理系统、360无线入侵防御系统、360安全邮件系统、360“五合一”移动政务安全办公套件方案等。
360新一代智慧防火墙
齐向东表示,作为国内最大的互联网安全公司,360希望引领传统安全向下一代安全演进的重要方向,360将以安全协同的创新理念,协助构建自主可控的安全保密新体系,为维护国家的信息安全做出自己贡献。今后,360还会继续加大国产化产品的研发和投入,为国家的保密工作做出自己的贡献。