3
史中 編輯
大數據、威脅情報,這兩個詞匯聽起來非常性感。在我們的想象中,掌握大數據的人就像先知和上帝,俯視我們所不能完全理解的事態,精準地預言我們將要面臨的危機。然而,對于大數據的利用是非常考驗功力和技巧的。很多學藝不精的團隊稍不留神就可能把威脅情報搞成“擺攤算卦”。
本期硬創公開課我們請來了白帽匯的創始人劉宇,白帽匯擁有一樣獨門武器,那就是NOSEC大數據平臺,可以匯總諸多白帽子網羅的獨特情報。像黑客一樣去思考,就是他們的自我要求,今天就請劉宇來聊聊白帽匯在真槍實彈的對抗中,究竟如何把大數據究竟轉化成有用的威脅情報。
劉宇,白帽匯聯合創始人。2004年畢業于湖南大學計算機通信學院。擁有微軟MCSEC,MCDBA,MCP證書,從事信息安全行業7年。2009年與趙武(zwell)一起成立諾賽科技,負責穿山甲,竭思,億思的銷售與推廣。億思是全球第一款在線Web應用安全掃描平臺,2011年擁有幾萬企業用戶。2015年,作為聯合創始人創立白帽匯。
Q:白帽匯是什么意思呢?和大數據威脅情報有什么關系呢?
白帽匯,顧名思義,是白帽子匯聚。
我們覺得白帽子和企業是相互服務的關系:
我們的NOSEC大數據平臺上的情報可以幫助白帽子更好地挖掘漏洞;
同時白帽子提交威脅情報到NOSEC,這些威脅情報為企業信息安全提升而服務。
這就是我們“匯”字的含義。
Q:威脅情報是怎么出現的?
安全由一個公司來完成,這在很早期,還沒有互聯網公司前是可行的。你的安全,用一個殺毒軟件就可以搞定。比如:國內的瑞星、江民、金山,國外的諾頓、卡巴斯基、小紅傘、Avast 等等。到了現在,技術的發展這么迅猛。安全,尤其是企業安全就不再是殺毒軟件就足夠的事情了。
講最直白的例子:
十年前阿里巴巴還沒有正規的安全團隊,你和淘寶說:有人刷單。人家保準罵“你有病”,而現在,阿里巴巴的安全團隊明確將“有人刷單,某個人提供刷單服務”當成威脅情報,并且還會獎勵情報提供者金錢。
從殺毒軟件,到現在“威脅情報”,這種變化是沒人可以預計的,都是隨著業務發展,技術變化,慢慢養成的安全需求。
【白帽子提交的威脅情報/ 圖片由 NOSEC 平臺提供】
Q:什么是威脅情報呢?不用會死嗎?
SANS 研究院對威脅情報的定義是:針對安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標、所收集的用于評估的應用的數據集。
幾年前,我們將漏洞看做唯一的威脅信息安全的途徑,而實際威脅企業的太多方面,漏洞只是其一。還有比如:釣魚郵件,員工的個人信息,密碼習慣等等。根據我們的調研,目前許多的漏洞非直接來源于IT資產的漏洞,而是企業員工個人信息等。通過員工與企業相關的郵箱,OA,VPN賬戶入侵,再入侵到企業服務器。
威脅情報還有一個相關的詞——社會工程學。也是到目前為止,全球最牛的安全人員——凱文·米特尼克使用的最重要手段。他不是挖漏洞的高手,但是是社會工程學方面,他是最牛的人。他每天去撿廢紙,通過這些企業倒出的廢紙,黑掉那些企業。
所以,毫不夸張地說,社會工程學可以獲得企業的很多機密情報,比如:打電話欺詐獲得root密碼,通過釣魚郵件獲得員工帳號密碼等等。
威脅不只是漏洞,還有企業泄露的人員通訊錄;企業上傳到網盤的記事本;企業的一段代碼,甚至是垃圾堆里的廢紙。所有的一切威脅企業信息安全的都是威脅情報。
Q:是否能舉一些例子,講講真實世界的威脅情報究竟是什么樣子的?
企業最希望了解外面的攻擊者在干什么。
哪些人?
什么目的?
針對我的哪些業務?
做了什么?
還想做什么?
這些都是威脅情報提供的。
比如前段時間,我們發現了當當和小米的訂單數據泄露。這個不是漏洞,而是一個信息安全事件后的數據泄露。我們第一時間告訴當當和小米。這個事情發生了,他們了解到這個事件,首先要做的是保護用戶,通知用戶保護自己帳號,提醒可能的電話詐騙等等。然后再尋找自己的信息安全問題。當然我們也會告訴當當和小米,你有哪些漏洞可能導致數據泄露。
【小米用戶收件人地址和電話信息泄露/ 圖片來自 NOSEC】
Q:誰需要威脅情報呢?
以我們為例,白帽匯的威脅情報得到新浪、小米、當當、華為等互聯網公司的重視。還有BAT的漏洞,這些都是經過我們團隊驗證的。
但是需要威脅情報的遠遠不止這些大企業。對于企業里的員工,使用企業服務的客戶,在聽我說話的每一個人,也需要威脅情報。比如之前發生的CSDN信息泄露,攜程信息泄露,網易郵箱信息泄露。這些都讓每一個在互聯網混超過幾年的人都非常緊張,趕緊去改密碼,趕緊查自己的開房數據有沒有泄露。其實,我想告訴所有人一個事實,你只要使用了互聯網,你的信息就很可能被泄露了。
想想你用的哪一個APP不是問你要通訊錄讀取權限,有的輸入法申請的權限跟殺毒軟件的權限一樣,你不裝又不方便。所有程序把我們的通訊錄,短信,系統設置權限統統拿走。以至于當我們收到釣魚短信,裝惡意App時,毫無警覺得就裝上了。因為這些惡意App和常見的App權限是一樣的。
此時,一定會有人笑我,講了太多App行業的內幕。實際上造成這些現象的內幕是,用戶根本不懂得保護自己隱私,企業想要你的一切信息,連女性的生理期都想要。(哈哈笑)
總結一下:
企業可以關注威脅情報,提升企業的信息安全
個人可以關注威脅情報,對保護自己隱私有幫助。
Q:怎么用大數據做威脅情報呢?
收集到一堆的數據,對企業來說無任何意義。威脅情報里有一個重要的情報來源就是對于安全大數據的分析,一大堆數據不能算情報。
我們NOSEC大數據平臺有幾塊。企業IT資產透視、全球網站檢索、NOSEC威脅情報。除此以外,還有:子域名庫,URL庫,Emai地址庫,全球網站指紋庫,這些都是花了許多精力積累起來的,不斷更新。
Q:這么多種類的大數據,有哪些是構成威脅情報不可或缺的呢?
有很多,我可以舉兩個例子。
企業 IT 資產透視
很多企業不了解自己資產。例如有多少服務器,多少IP,每個服務器跑啥業務。他們想搞清楚,但是一直沒能搞清楚。有個巨大的公司告訴我們:前段時間他們發現1個 1Day 漏洞,想給自己的服務器打補丁。但是這個過程非常緩慢,打了三天才終于把所有服務器打完。
這時候肯定有人會問:為什么打個補丁要這么長時間呢?把全部服務器找出來,一并打了不得了?
原因就在于他們對自己的資產并不熟悉。這也是我們在做的事情,讓企業了解和掌握自己的資產,對每個資產打標簽,檢索出企業泄露的員工信息。這種情況下,企業 IT 資產的數據就變得非常有用,它可以為企業防患安全風險,遇到風險也可以及時補救。
全球網站檢索
安全行業的朋友知道 Shodan(撒旦),這是一個全球的服務器端口指紋系統。它可以識別這個端口跑的是Http,還是 Mysql,還可以進一步知道是什么版本。
我們做了一個『全球網站檢索』,只針對 Http協議、Web 應用層。把全球的web服務指紋收集起來。這樣就能標識出一個網站在哪個端口,使用哪一種 Web Server,哪種編程語言,哪種開源框架(如:CMS等)。通過這些功能,可以找到全球在線的 Squid 代理服務器;全球有哪些網站使用了 Jquery;全球有哪些在線H3C路由器;哪些網站使用了GeoTrust證書;哪些網站掛了某一種木馬;哪些網站使用了CloudFlare的 CDN 等等。
這些大數據,對于探測企業面臨哪些威脅,都是必不可少的。
【全球網站檢索/ 圖片來自 NOSEC 平臺】
Q:企業拿到威脅情報之后,有哪些應對的措施呢?
這個根據情報的不同類型,需要采取不同的措施。
泄漏事件:企業需要第一時間知道發生數據泄露事件。比如當當和小米的訂單泄露事件。我們通知給受害企業,企業第一時間準備公關,查漏補缺。
漏洞威脅:對于漏洞等威脅情報,提交給客戶,他們收到后,可以修復漏洞。我們還會將一些著名的黑客團隊習慣的攻擊手法,打標簽,讓企業對頂級的黑客團隊有所掌握,首先防患。
Github代碼泄露:還有部分github的數據泄露事件,包含企業的服務器ip,帳號和密碼,這些威脅情報企業得知可以改密碼,換服務器等等。
總之,威脅情報,是企業知己知彼的一個重要途徑,關起門來做信息安全,是與時代背離的。技術每天變化,威脅情報能讓企業信息與黑客信息同步,為信息安全建設提供巨大幫助。而且隨著技術的發展,威脅情報能夠提供的幫助,會越來越強大,甚至超過我們的想象。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
專題
