硅谷安全教父加盟了滴滴给你带来了一点防止

2019年04月12日 来源:

HAY!16 超混合现场活动的个单词就是“H”液压油泵
,代表黑客(Hacker)。虽说这个概念的意义已经比原来的要广泛许多,但作为以黑客打头的一场活动,没有一个正正经经熟悉黑客的大神是不合适的。滴滴出行······

HAY!16 超混合现场活动的个单词就是“H”,代表黑客(Hacker)。虽说这个概念的意义已经比原来的要广泛许多,但作为以黑客打头的一场活动,没有一个正正经经熟悉黑客的大神是不合适的。

滴滴出行信息安全战略副总裁、滴滴研究院副院长弓峰敏博士就是这样一个“名门正派”出身的 Hacker。他被誉为硅谷安全创业教父,在络及安全研发领域有着三十多年的经验,加盟滴滴之前是 AssureSec 联合创始人兼 CEO。此外,弓峰敏博士是世界络安全公司 Palo Alto Networks的联合创始人,还是多家新兴安全公司的创始人或重要高管,其中三家企业已成功上市或被收购,他也是非常成功的连续创业者和硅谷天使投资者。

弓峰敏博士在络安全圈的资历颇深,一个多月前加入滴滴的时候,许多络安全领域的从业者都表达了惊喜之情。在此之前中国的活动,他曾以首席科学家身份参加历年的中国互联安全大会。这次由 PingWest品玩主办的 HAY!16 活动,我们有幸邀请到了弓峰敏博士,这是他在回到中国加盟滴滴之后的首次登台亮相。在活动上,弓峰敏博士分享了“安全挑战与实践”的主题演讲,以下是经整理后的演讲实录:

谢谢大家,非常荣幸有机会今天跟大家分享,我想要跟大家讲的是“安全挑战与实践”,大概会分这样几个方面,首先大概说一下例子,也不会走到太细的细节,今天我们面对的是怎样冷酷的现实,我会解释一下我们所说的挑战主要在哪些方面。然后稍微看一下为什么会出现这种状况,面对这样新的挑战,我们需要什么样新的实践。

关于络安全话题,大家可能听到过很多例子。

比如雅虎,5 个亿的用户信息被偷掉了,前一阵子美国的 Verizon 要买雅虎,事情发生后 Verizon 还是要买,但就要砍价了,而且不是砍一点。现在美国大选很热,服务器被黑掉以后很多邮件信息曝露了,基本上大家认为这个事情跟俄罗斯黑客有关。还有,孟加拉出现的银行系统,由于信息被盗,有人直接在美联储银行要求转钱,当时有 8000 万已经转走了,如果没有及时发现,可能会有更大损失。另外一个例子,在美国一个诊所的文件系统被讹诈软件感染,诊所面临需要花钱来解决安全问题才能继续运营,要不然就无法继续为病人提供服务。

这些都是直接受害者,间接受害者就更多了,比如零售店出现的户头信息被盗,几百几千万用户的信息都被偷了。还有一些色情站,很多原来在站上注册的人,可能没有干什么出格的事情,但出事以后他们面临很大的社会压力。

热播剧《黑镜》S03E03《Shut Up and Dance》,由于个人隐私信息被黑掉而暴露的一连串阴暗事件 事件发生后,私有信息、信任度都受损,而事件发生后直接受害者和间接受害者能得到的补偿都微不足道。比如在美国,你去一家店,刷卡之后可能信息被盗,店铺会告诉你我帮你管住两年信用卡的信息,但谁知道两年之内盗信息的人会不会用这张卡呢?

可悲的是,盗取信息的人往往并不是用高级的手段。孟加拉事件是从钓鱼邮件开始,被一个远程控制的恶意软件感染,感染以后从他们这儿偷到了做银行之间转款的户头访问权限,其它地方也频频发生讹诈软件事件,它的手段也越来越高级,不光光是直接通过邮件感染用户,可能还会利用代码的形式到你的服务器上,你可以想像一个公司的邮件系统如果被破坏,整个影响的就不是一个人 PC 机的问题了。

发生的种种事情,花了大量的钱,为什么还没有搞定这个事情呢?我们拿安全产品来看,个是扫描器,漏洞扫描,它自己本身就不具备规则;还有防御系统,本来布一个防就可以睡大觉,但也可能出现别人使用的加密技术是他不能搞定的,防御系统为什么没有生效,可能软件没有升级,规则没有更新;还有防火墙,作为更高级的产品,它同样有很多方面搞不定。

有一个高级威胁攻击,用的技术往往是沙箱技术,络异常检测技术,同样也有问题。我们听到过一些案例,当事情发生后大家问为什么没有发现,厂商调查一番回来告诉我们,实际上我们的系统是有预警的,但你们没有看到。从用户的角度来说,为什么你预警了我们没看到,难道跟厂商没关系吗?所以这实际是一种借口。

常见溯源结果(借口):

扫描器 (scanner):零日没扫到 入侵防御设备 (IPS):人家用文档 exploit扭蛋机厂家
,还加密了 主机保护软件呢 (AV,HIPS):软件没来得及升级, AV 规则库没跟上 下代防火墙有吧 (NGFW):人家没有利用软件漏洞,有员工被钓鱼了 上月装的 ATP 设备呢 (Sandbox,NBAD):说应该有过报警,你们竟然没看到?我们要去刨根问底,到底怎样才能改善我们的技术手段。

这张图上内容很多,我主要是想指出一点,误导的问题,紫色的部分是Action,有攻击的人到某一个阶段以后就想做具体动作,要么偷走你的信息,要么对你的业务造成直接威胁,比如转你的钱,做这件事情之前他会做一系列的动作,这个动作需要花时间,而且在空间上也是分布的。包括它想要做什么事情,可能会预先做一些调查,一系列的动作,还是要偷你的东西。在 Action 没有发生之前,很多环节都有补救的办法,但往往以前我们的很多产品重点放在除了 Action 以外的很多阶段上。

威胁者要做一件事,他的攻击目标是不变的,可能是对着你的业务流程和数据,但在这个过程中他有 N 多个步骤,不是一定要一步步走下去,而且不是所有步骤都是必须的,这就是我说的误导的原因。他的路径是万变的,以前很多技术和工具看法是被误导的,因为我们总是在看中间的过程而忘掉了终我们要看到的目标。

总结一下这个概念,攻击者会有很多招数,他可以利用社会工程来跳开对很多软件漏洞的依赖,他可能用很多规避手段谁知道互联网广告投放的基础知识
。这些规避手段今天我们用的防毒技术、络防火墙技术是看不到的,如果他们选定了目标,那他们一定是下定决心有耐心搞这个事情,而他们会花很长时间,我们的工具没有耐心放在里面,所以基本上看不到。

你去看所有黑产,他们在很大程度上已经利用了络共享的资源来做攻击,这一点在我们做络防御工具开发时往往没有更好地利用。

对于保卫者来说新的挑战是,攻击一定是不择手段的,他看到的目标在那儿,他不在于珠宝放在哪一个皇宫,他是盯着那个去的,所以一定是防不胜防的状况,你很难建一个别人攻不破的门,但同样,道高一尺魔高一丈,他也有可能不经过门。

另外就是打持久战。

是高级的博弈,因为黑产已经形成了相对完整的利用络的生态系统,除非我们在络防御、工具也以生态系统的方式去对付他们,一开始就很难打平手,所以我们一定要以业务为中心去建保护目标,业务为中心可能包括统一业务的、数据的安全,用户信息的安全和业务流程的安全。

这张图从左边看,实际上是以前历史上各种安全工具,当然,还不是包罗万象的,它们做下来以后有一个演进过程,今天我要说的演进状况就是中间这个橘红色的箭头,里面已经形成了一个产业链,从基本的工具开发到恶意软件、到它的发布,甚至有人做僵尸的运营,其他人可以利用它做攻击,它有生态链产业链的概念。我们谈防护技术,早期我们想的是在主机上部署各种软件。后来有了络,我们在络上做防护产品,包括邮件关、Web 安全关等。现在有很多人用云,在云的状况下是不是又出现了新的安全问题,又有人去做产品,就要解决云的问题。实际上这些着眼点和方法都在一定程度上是相对的,没有很好的生态系统的概念,没有这样的概念,我们去“打仗”就有对我们不利的地方。

我总结了几个主要的方面,一是我们今天看到的“移动万物互联”,它给我们带来的挑战更大,已经不仅仅是我们的了,还可能是各种等各种东西;

“工资消费一键”,我觉得这是很好的发展,相比美国可能更先进,但它之后面临的安全隐患是什么,大家不见得想得清楚。

从技术发展来看这个闹剧,确实是“古今虚实穿越”,但进入到互联,考虑到安全,它本身带来了很多现实和络空间的安全威胁,它有一个互动的关系。

另外一点,提出“安全欲见云烟”的概念主要是想说,在基本的安全问题没有解决时,大家又被云……不说是误导,起码精力会分散到云,大家认为云是新的问题,但显然我们要解决的基本问题仍然存在,我们解决了那些问题,云的问题也会迎刃而解。

如果你去看今天,我们已经到了安全问题全局化的状况,它会危及每一个人,显然它会跨越空间,我们已经知道,从互联各种威胁事件的发生来看,很多人是跨界的。另外一个会影响到后面日常生活怎样做的理念,络空间的安全问题和威胁,实际上和物理空间走到一起了,早确实是影响到一些企业,它早只是一些有技术的人想展现他的能力,想看看你的站,后来变成了一些泄密事件,有一些生意损失,影响到的还是企业。

走到中间,过去几年我们看到了很多,比如 Post 机的问题,不但有了直接受害者,公司,还有大批间接受害者,这些受害者个人身份被盗,这个身份又拿来做欺诈活动。

再往下走到右边,历史上有过这样的事情,国家之间因为相对敌对的关系,他们利用了络空间和物理空间的互动,来做攻击动作。我们看到英国有个案例,一个年轻人被讹诈,这个讹诈信息说你做了什么犯罪的事情,我们是警察,这个年轻人想不通,抵受不住这种压力,自杀了。这个事情就是络空间和物理空间的结合,不是直接的攻击,但却造成了人身的损害。

我要强调的是,物理空间和络空间安全威胁的问题需要一起考虑,因为它会影响到我们每一个人,不光光是企业级的安全问题。我观察了一下,企业确实被络犯罪彻底震醒了,很多民被络团伙的黑产欺诈震醒了,国家在某种程度上被斯诺登的一些状况震醒了,那我们如何做?

重要的一点,做安全时我们往往考虑到 IT 的发展、考虑到威胁的发展、考虑到业务的发展,但大家往往忽视我们每个人对安全的认知和实践,这恰恰是我今天要强调的,人还是一个决定性因素。

回到安全实践的时候,一定要有一个现实目标,定下这个目标,再利用比较好的安全实践去做。从安全的角度,一定要用不间断的监控排查和及时处理,比如你希望产品能够支持情报的共享和基于 API 的设计,公司一定要有好的流程,再限度地利用自动化,一个闭环系统,这当然是一个抽象的东西。

回到公司和个人的实践。从个人角度来说,以前我们很多系统自己不用打开都会自动更新,这个习惯一定要改变,让它自动打补丁;第二,我们用移动络时,装的软件很多时候都是不知道底细的,而且装软件时软件向我要权限,能不能给它,是可以说不的;,如果有技术手段你一定要看一看,晚上放到身边,你什么都没做,但你一定要知道你的在跟谁交谈,如果你有技术手段,希望你去看一看。

从企业的角度,刚才我提到的全新方法论的概念,一定要聚焦到核心业务的保护,当有了明确目标以后,一定要在公司里选一个你认为现在的流程,按照统一的流程实践,在实践过程中一定要有一个闭环,一定要看到底做了什么,有没有效果,再做不断更新。

非常感谢大家的时间。

黑客络安全云安全滴滴出行移动安全hacker

相关文章
  • 卤焖猪肘的做法
    卤焖猪肘的做法

    卤焖猪肘的做法这道焖猪肘我去年做的好几次没传,今年我儿子又想吃了叫我做,可有点忘记了, 有去看了别人的菜谱学习一下⺁,现在我就把它传上菜谱,想做时可以看自己了,不用找别人的菜谱… 主料猪肘1个辅料美味鲜酱油4汤匙草菇老抽半小...

  • 定年夜饭留心3件事
    定年夜饭留心3件事

    定年夜饭留心3件事-沈建龙刘佳佳  元旦将至,我市预订年夜饭非常火爆。从往年投诉来看,年夜饭纠葛主要集中在质量、价钱、饭菜卫生、效劳等4个方面。由于消费者在预订年夜饭时,普通只与饭店商定总价及菜肴道数和品名,常常无视对每道菜肴的价钱、规格...

  • 报料40岁男女公交车上赤脚疯狂亲热组图
    报料40岁男女公交车上赤脚疯狂亲热组图

    报料:40岁男女公交车上赤脚疯狂亲热(组图).g-btn, .galleryList-btn, .mask_btn span, .pop_iv_bg, .contextDiv span{ background:url( no-repeat 0 0; display:inline-block }.gallery { width:640px; overflow:hidden; margin:0 auto 20px; position:relative; text-align:center; font-size:14px }#galleryPicWrap { width:100%; position:relative; z-i...

  • 上市公司财务安全降至五年差房地产业排第
    上市公司财务安全降至五年差房地产业排第

    上市公司财务安全降至五年差 房地产业排《经济参考报》与商务部研究院信用评级与认证中心日前联合发布的《中国非金融类上市公司财务安全评估报告(2013年秋季)》(以下简称《报告》)显示,2013年上半年我国上市公司整体财务安全水平继续下降,为近5年来...

  • 阿里汉国安若不胜将无缘压力在对手一方
    阿里汉国安若不胜将无缘压力在对手一方

    (搜狐体育 徐江 9月19日 报道)北京时间9月19日,中超联赛焦点战役北京国安和天津泰达赛前发布会召开,在发布会上,天津泰达主帅阿里汉出席,阿里汉直言国安如果主场不能取胜,将失去夺冠的希望。谈到即将开始的比赛,阿里汉说:“两支球队的比赛会很精彩...

  • 广州一小贩拒绝执法狂砍城管7刀或致其毁容图
    广州一小贩拒绝执法狂砍城管7刀或致其毁容图

    17日晚10时许,广州市城管委在天河区人民医院会议室临时召开紧急会议,天河区车陂街道城管执法中队副队长张德华在会上向媒体描述小贩砍人经过。劝导执法却被刀砍据张德华称,昨日下午2时许,该城管执法中队队员苏家权和钟泳德两人在东圃大马路与中山大道...