数据驱动安全
2016-10-15仇新梁
仇新梁
未来大数据应用能否迅速地推广,取决于安全。如果不安全,数据的开放程度会大打折扣,我们换了一种思路研究安全,现在把它拆分开,形成以数据为中心的解决方案。
第一,基于大数据的防御系统的研发;第二,针对二进制恶意代码的检测;第三,机器学习的方法检测入侵;第四,高级持续性威胁取证。目前,这是困扰我国的核心问题。
数据驱动逻辑就是这样的,我们把安全分为两部分:一个是传感器,传感器采集安全的基础数据,通过数据处理和分析,通过建模获取了我们所认为的危险信息;另一个是安全分析的平台。安全传感器现在覆盖到硬件,操作系统的软件系统,还有网络层和应用层。在数据处理方面,有一个专门针对于安全系统的处理平台,采用了机器学习等技术。跟传统采用的分析方法不同的是,我们希望把攻击整个链条表示出来,让攻击不再是专业的、看不懂的事情。
目前,我们对安全还存在一些误区和不确定系统,在网络层现在大部分无法感知到它的应用是什么。网络攻击过程中涉及到从网络层、应用层到操作系统整个层次,这个过程有可能是由多种组成的,正常访问也可能是入侵方法。我们要采用各个层次的数据进行识别。
在安全领域,真正有效的方式还是解决入侵。一个恶意程序进入到系统中并不可怕,可怕的是他拿恶意程序分享一些事情。
现在政府应用各种各样的数据,大家为了安全起见封闭在一个网络里。物理隔离是基本国策,因此,美国想实现跨网攻击,就运用相应配套的东西。跨网攻击不是天方夜谭的东西,美国针对跨网攻击有一些计划。
今天我们分享一个产品—EDR系统,它是终端产品。EDR系统采集数据于终端,依据大数据平台内嵌的机器学习模型,识别恶意行为,提供主动防御与响应能力。
目前,端点安全没有引起足够的重视。第一个是因为意识上的差距,现在国外有许多企业在做端点安全,包括思科也在这方面布局。端点安全从硬件解决开始,到系统环境、杀毒,再到动态数据的获取,以及所有网络数据的接获是完整的链条。2013年,斯诺登有一个硬件安全检测工具集,专门针对硬件植入的病毒。2015年,Hacknig Team植入一个代码,提升了硬件植入的层级。我们做了一款专门针对硬件检测的产品,它强调兼容性和覆盖面,支持800多款主板支持,实现了二进制检测。
终端侦测与响应系统,针对这个平台处理数据和分析决策,还有做响应。这套系统能敏感地感知危险。过去我们发现一个病毒植入以后,最常见的可能性是扫描别人,这个扫描动作看似简单,但能把数据看透,不光看到自己的还能看到对方的。一旦感觉到危险,立即跟自己做比较,系统出现异常时,会比较环境的区别。
我们按照数据定义,在学习过程中看到系统中存在哪些人,什么样的系统环境是安全的,这个都是传统的安全定义出来的东西。在响应部分更加有意思,响应变成艺术,变得更丰富,能了解对手到底想获取什么。这样可以采用更加灵活的响应模式。甚至把恶意模式迁移到某个地方,看他在做什么。
数据驱动安全跟传统的安全检测有所不同。拿病毒来说,传统上是通过文件检测,但病毒不敏感,只有知道程序是恶意的,才可能关闭它。现在,我们结合实际应用场景,实现了轻传感器、重分析。因为用户最反感的就是在前端中做太多操作,导致系统不可用。我们相当于把数据指标不断地拖到数据中心,在数据中心进行大规模地分析,这样跟前端没有必然的关系,可降低系统的开销。
让数据感知更加敏感。过去感知东西很简单,现在我们感知东西更加敏感。黑客一不小心的一个操作,就能让整个攻击被发现。还有可以定义更加复杂的规则,大家听了好多大数据云企业做的一些工作,未来能被我们借鉴使用,还有机器学习让危险识别更加可靠。在安全领域里最头疼的一件事,是你把策略放松了,攻击就进来了;缩紧了就无法用了,到处是误警。
我们能让攻击的成本大幅度提高,不是说能100%防攻击,但要攻破这套系统要花很大的代价。举个案例,我们前段时间截获的攻击,有一个很头疼的问题是木马自动渗透。当计算机开放共享,且共享目录可写时,他就在目录箱中写东西,数据就开始暴露了。我们开始检测这个系统环境到底有没有问题时,会发现有一些系统应用程序被劫持了,动态发现有异常东西,有启动项一一对应,通过数据我们继续挖掘。有一个功能—记录执行,我们把木马本体找到了,发现它入侵程序,并且在特定时间内进行扫描。从未知的恶意代码转向已知恶意代码,这是机器学习的一个简单过程,是驱动学习的过程。
我们做一个闭环。从恶意代码开始,通过数据发现他们近期的扫描动作,看哪些信息可能存在感染的可能性,了解更多的跟安全攻击相关的资产。对资产的二次识别,我们能把它的攻击定位到哪些计算机或者资产受到感染,这是数据驱动的过程。
我们是2015年成立的一家公司,经过一年多的努力,把安全做了文本阐述,在攻击方面,在一些领域已经发挥了重大作用。在检测和防御领域,我们已经做到从终端到应用、文件识别系统和自身数据驱动的一些组建。从我们传感器所获取的数据比传统的传感器质量更加优越。最重要的一点,我们拥有数据资产,让更多做大数据分析的企业接触到安全领域,将安全企业的质量和数量大幅度的提高。
安全更多是源自责任。我们做安全时第一要了解安全的本质;第二要做看得见的安全;第三要做有效的安全防御。(根据演讲内容整理,未经本人审核)
