360吴云坤:基于叠加演进的思路建立协同联动的防御体系(组图)
中新网6月2日电 6月2日,由国家互联网信息办公室指导,中国网络空间安全协会和天津市互联网信息办公室主办的“网安中国行”系列活动启动仪式在天津举行,360公司等联合中国网络空间安全协会网络空间安全法律与公共政策专业委员会、竞评演练工作委员会和网络治理与国际合作工作委员会等机构共同承办了本次活动。
“网安中国行”是配合《网络安全法》6月1日正式实施而组织的系列活动,来自国家互联网信息办公室、中国网络空间安全协会以及天津市网络安全行业相关主管部门的领导、相关政企机构的网络安全负责人和网络安全领域的企业和专家代表参加了启动仪式和主题论坛。
图:360企业安全集团总裁吴云坤发表主题演讲
360企业安全集团总裁吴云坤受邀在主题论坛上发表了题为“从勒索软件看企业安全的叠加演进”的主题演讲,吴云坤在梳理总结5月份“永恒之蓝”勒索蠕虫攻击事件基础上,分析了网络安全叠加演进的趋势和方向,基于叠加演进的思路开展安全规划,建立基于数据和情报的协同联动的防御体系。
从永恒之蓝看企业网络安全演进
从2017年5月12日开始,不法分子利用2017年4月泄露的NSA黑客数字武器库中“永恒之蓝”工具发起蠕虫攻击进行勒索,受害主机中招后,蠕虫就会在受害主机中植入勒索程序,硬盘中存储的文件将会被加密无法读取。
截止到5月16日勒索蠕虫攻击了全球100多个国家,360威胁情报中心监测发现,国内超30万台机器中招,至少有28388个机构IP被感染。
早在“永恒之蓝”事件发生前的59天,微软已经发布了相关漏洞的安全补丁,包括360在内的全球多家安全机构都发布了相应的安全预警和漏洞修复工具,但是仍然有很多机构遭受影响。
在向数字世界不断进化的过程中,安全的疆域也不断随之演进,“未知”的区域也不断出现,演进的过程是不断叠加且有交集的。
吴云坤从不同演进阶段分析了永恒之蓝事件的内在原因,他认为在基础架构安全、被动防御、积极防御、威胁情报、进攻反制五个不同的演进阶段,都有很多值得反思的地方,比如在积极防御阶段,企业对资产情况不清楚,无持续检测和监控技术,感染情况无法及时感知,缺少响应处置流程及自动化响应手段。
图:360关于“永恒之蓝”病毒传播的专项态势感知
吴云坤称,作为政府、企业等组织机构的安全负责人,需要认清威胁环境的变化,更需要认清安全能力建设的潮流和趋势,为自己的组织构建相应的安全能力。不同的演进阶段关系,应该是叠加演进,安全协同。
用叠加演进的思路构建安全防御体系
在永恒之蓝事件爆发后,360利用自己在安全大数据和态势感知领域的优势,很快推出了“永恒之蓝”勒索蠕虫传播专项态势感知,并以此为基础建立了应急响应体系,同时将态势感知系统推送给了相关主管部门、行业和大型企业,帮助他们及时了解把握蠕虫传播态势,从而做出有效处置和响应行动,有效扼制了蠕虫的进一步传播。
据吴云坤介绍,处置“永恒之蓝”事件中,360先后派出超过2000位安全应急响应人员,为超过1700家政企机构提供了现场支持,为超过2000家机构提供了电话支持, 制作了5000多个工具U盘和光盘,发布了9个版本安全预警通告、7个安全修复指南文档,推出了6个修补工具软件。
吴云坤称,通过“永恒之蓝”事件看,应急处置不单单是“高大上”的分析研判,而常常是基础架构和被动防御的“脏活、累活”,其中人是最重要的因素之一,不同演进阶段都离不开人的参与;不论环境如何演变,基础架构安全始终不容忽视,随着安全的叠加演进,有了安全态势感知的安全情报,基础架构安全要做的反而应该更多。
吴云坤认为,从“永恒之蓝”事件的应急响应看,必须将一系列架构安全和被动防御的基础补充扎实,推动安全运行和维护的操作化,努力为积极防御和威胁情报打好扎实基础。企业应重新审视安全防护体系,基于叠加演进的思路开展安全规划,建立基于数据和情报的协同联动的防御体系。