天空衛(wèi)士劉霖：數(shù)據(jù)資產(chǎn)的保護(hù)和管理

來源：數(shù)據(jù)觀 時間：2017-06-06 16:50:10 作者：

2017中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會于5月25日-28日在貴陽市舉行，本屆數(shù)博會聚焦大數(shù)據(jù)的探索與應(yīng)用，展示了大數(shù)據(jù)最新的技術(shù)創(chuàng)新與成就。在2017數(shù)博會“大數(shù)據(jù)網(wǎng)絡(luò)應(yīng)用安全技術(shù)高峰論壇”上，來自北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司CEO劉霖就目前信息安全防護(hù)中存在的問題，分享了他關(guān)于信息安全看法。

?

北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司CEO 劉霖

以下為演講全文：

各位來賓，各位朋友，大家好！非常榮幸能夠在這兒與諸位前輩和專家交流和分享看法。

威瑞森發(fā)布了2017數(shù)據(jù)泄露調(diào)查報告，2017年的數(shù)據(jù)泄露報告是一份“10周年報”，統(tǒng)計結(jié)果主要基于威瑞森公司在過去十年里從65家不同的組織獲得的泄露數(shù)據(jù)。這份最新報告總共分析了42068個安全事件以及來自84個國家的1935個漏洞。該報告指出，住宿餐飲業(yè)POS數(shù)據(jù)泄露肆虐。這些數(shù)據(jù)泄露大多是機(jī)會性的，受經(jīng)濟(jì)利益驅(qū)動，通常涉及惡意軟件和黑客威脅團(tuán)伙的活動。侵入耗時很短，而發(fā)現(xiàn)耗時和控制耗時往往長達(dá)數(shù)月之久。

最突出的攻擊方法之一，是Web應(yīng)用攻擊，這也是金融保險業(yè)、信息行業(yè)和零售業(yè)里最常見。“在利用昂貴的零日漏洞和復(fù)雜的APT進(jìn)行攻擊之前，攻擊者總是會優(yōu)先找尋企業(yè)IT基礎(chǔ)設(shè)施中的薄弱環(huán)節(jié)。 “今天，大部分大型企業(yè)和政府，都可以通過攻擊他們的Web和移動(后端)應(yīng)用，輕易入侵?！?/p>

這種攻擊方法隨著第三方云服務(wù)及云應(yīng)用的普及而不斷增長，黑客利用這些云服務(wù)和應(yīng)用侵入可信第三方，然后獲得公司企業(yè)數(shù)據(jù)的訪問權(quán)。DBIR與谷歌的研究結(jié)果相同，均認(rèn)為2016年網(wǎng)站黑客活動增加了32%，

而應(yīng)用安全成為了企業(yè)首要問題，應(yīng)被當(dāng)做高優(yōu)先級事務(wù)加以解決。

在調(diào)查的幾萬個安全事件中，內(nèi)部威脅占25%，75%是外部攻擊導(dǎo)致。在外部攻擊中，51%的網(wǎng)絡(luò)攻擊涉及到有組織有計劃的犯罪集團(tuán)。18%的外部攻擊涉及國家背景。

在勒索軟件方面，和去年的報告數(shù)據(jù)相比，勒索攻擊次數(shù)上升了50%。勒索軟件本身也變得越來越高級，報告中表示：我們不斷發(fā)現(xiàn)勒索軟件的新品種以及新攻擊特性，許多不再是感染之后立即加密數(shù)據(jù)，而是潛伏在系統(tǒng)中，瞄準(zhǔn)高價值的數(shù)據(jù)。

此外，報告還交代了這些情況：66%的惡意軟件是通過釣魚郵件傳播的；73%的數(shù)據(jù)泄露事件的動機(jī)是出于經(jīng)濟(jì)目的，也就是為了錢；21%的數(shù)據(jù)泄露涉及到內(nèi)鬼或者網(wǎng)絡(luò)間諜，網(wǎng)絡(luò)間諜活動已經(jīng)成為一種普遍存在的威脅。

傳統(tǒng)的網(wǎng)絡(luò)防御是偏端口，而今天的防御不能只有一堵圍墻，需有更多的精準(zhǔn)技術(shù)。傳統(tǒng)安全技術(shù)大多數(shù)不能智能感知內(nèi)容，不能防止APT攻擊帶來的數(shù)據(jù)泄，也不能防范內(nèi)部人員有意無意的數(shù)據(jù)泄露，因?yàn)檫@些技術(shù)絕大多數(shù)是由外到內(nèi)進(jìn)行防御，不能防御由內(nèi)部產(chǎn)生的問題。一般來說，不論是從攻防的角度，還是從管理的角度，都會認(rèn)為DLP（數(shù)據(jù)防泄露）技術(shù)是APT攻擊最后的一道防線，只有基于統(tǒng)一內(nèi)容安全（UCS）的數(shù)據(jù)防泄露技術(shù)（DLP）才能夠保護(hù)用戶核心資產(chǎn)。

數(shù)據(jù)顯示，現(xiàn)在全球企業(yè)中世界500強(qiáng)80%都使用了DLP，但是在中國1000強(qiáng)企業(yè)中，DLP的使用率卻不到8%。部分企業(yè)認(rèn)為DLP和防火墻一樣就是一個普通安全設(shè)備，不用和企業(yè)流程結(jié)合。有的則認(rèn)為信息安全就是IT部門的事情，其余部門不配合數(shù)據(jù)梳理，甚至拒提交部門數(shù)據(jù)。而有的企業(yè)錯誤的以為 DLP 產(chǎn)品就是加解密產(chǎn)品

DLP技術(shù)是一種什么樣的技術(shù)？它可以跟企業(yè)業(yè)務(wù)線結(jié)合，讓企業(yè)管理制度落地，讓員工的行為可視化。

什么是數(shù)據(jù)防泄密技術(shù)？以統(tǒng)一策略為基礎(chǔ)，采用深層內(nèi)容分析、對靜態(tài)數(shù)據(jù)、動態(tài)數(shù)據(jù)及使用中的數(shù)據(jù)進(jìn)行即時的識別、監(jiān)控、保護(hù)的相關(guān)技術(shù)。

在全面的數(shù)據(jù)識別技術(shù)中，指紋技術(shù)是整個數(shù)據(jù)防泄露里最尖端的，比機(jī)器學(xué)習(xí)、NLP還要強(qiáng)，最重要的東西可以指紋化，變成幾K或者十幾K文件的特征碼，出去幾萬、幾百萬，甚至上千萬外發(fā)數(shù)據(jù)，只要離開這個邊界，不管是終端，還是打印，還是網(wǎng)絡(luò)，都可以做比對。之前只有少數(shù)幾家國外公司掌握有這項(xiàng)技術(shù)，而天空衛(wèi)士則是代表中國企業(yè)掌握了這個技術(shù)，不僅如此，天空衛(wèi)士還對這項(xiàng)技術(shù)做了進(jìn)一步的改進(jìn)，我在這里就其中兩項(xiàng)與大家進(jìn)行分享。

第一是電郵審批流。由于信息化內(nèi)容歸IT部門管，當(dāng)內(nèi)部員工出現(xiàn)不當(dāng)使用數(shù)據(jù)問題時，責(zé)任判定都會歸到IT部門，因此最好是讓管理層直接介入核心數(shù)據(jù)審核流程，在保證企業(yè)核心資產(chǎn)的同時避免影響業(yè)務(wù)系統(tǒng)的工作。

第二是光學(xué)字符識別，通過提取圖片甚至視頻中的文字，識別圖片中的敏感信息。

在面對勒索病毒時，絕大部分人給出的建議是打補(bǔ)丁，但是現(xiàn)在各種病毒都實(shí)現(xiàn)了智能化，有很多病毒一天就能變種多次。而基于DLP技術(shù)的解決方案是在“勒索病毒”刪除原文件之前進(jìn)行內(nèi)容檢測，保證核心數(shù)據(jù)不被刪除。首先DLP終端會監(jiān)控“刪除文件”的動作，然后在文件刪除之前判斷是否包含核心數(shù)據(jù)，一旦發(fā)現(xiàn)刪除內(nèi)容包含核心數(shù)據(jù)則會阻止刪除動作，這樣既可保證核心數(shù)據(jù)不會被病毒刪除。

目前，安全技術(shù)已經(jīng)發(fā)展到了第三代，傳統(tǒng)的網(wǎng)絡(luò)安全需要使用新的技術(shù)、與時俱進(jìn)，DLP技術(shù)已經(jīng)發(fā)展到AD（先進(jìn)的防御系統(tǒng)）這一層。信息資源之間的攻和防促進(jìn)了安全技術(shù)的發(fā)展，機(jī)器學(xué)習(xí)與大數(shù)據(jù)即將結(jié)合，我們叫做ITM（Insider Threat Management），是基于內(nèi)部行為威脅的防御。

大數(shù)據(jù)安全是現(xiàn)在全球安全專家們的共識。很多傳統(tǒng)防護(hù)技術(shù)都是“基于規(guī)則”，而這些規(guī)則攻擊者比防御者掌握得還好。基于“基于規(guī)則”的方法往往使用單一性指標(biāo)（Atomic indicator）來檢測攻擊。這樣的指標(biāo)容易收集（如Hash值或IP），但與此同時攻擊者也很容易通過改變這些指標(biāo)來有效地逃避檢測?，F(xiàn)代的攻擊已快速發(fā)展為3M方式（Multi-phased, Multi-asset, Multi-day），攻擊技術(shù)的快速提升直接導(dǎo)致了受害者會遭受巨大損失。

新一代攻擊檢測需要在新的模型下，運(yùn)用大數(shù)據(jù)集合并基于語義（semantic-based)或模式 (pattern-based）對攻擊進(jìn)行檢測。而新一代基于語義或模式對攻擊檢測方法則是面向攻擊者使用的工具、技戰(zhàn)術(shù)和執(zhí)行過程。識別這些內(nèi)容并不容易，但對應(yīng)攻擊者而言也很難改變。將大數(shù)據(jù)、語義模型和KC模型結(jié)合到一起，可以提供有效檢測出現(xiàn)代攻擊的潛能。

在國外這些檢測技術(shù)都已不是新聞。2013年當(dāng)RSA被APT攻擊以后，RSA、EMC和NEU 以EMC企業(yè)網(wǎng)環(huán)境為基礎(chǔ)，聯(lián)合進(jìn)行了大數(shù)據(jù)安全解析實(shí)驗(yàn)，據(jù)稱該實(shí)驗(yàn)在當(dāng)時是實(shí)際環(huán)境下大數(shù)據(jù)安全解析的首例應(yīng)用。實(shí)驗(yàn)環(huán)境為EMC真實(shí)環(huán)境，數(shù)據(jù)量平均每天14億條日志，約1TB數(shù)據(jù)，解析數(shù)據(jù)超過6T。監(jiān)測對象包括EMC所有活躍主機(jī)，工作日規(guī)模為27,000 ~ 35,000臺，周末規(guī)模為9,000~10,100臺主機(jī)。由于缺乏異常行為數(shù)據(jù)，項(xiàng)目采用了非監(jiān)督學(xué)習(xí)的聚類算法。采用PCA(Principal Component Analysis)方法消除特征間的依賴關(guān)系、降低計算維度，同時采用了改進(jìn)的K-means算法，進(jìn)行聚類。

就DLP與大數(shù)據(jù)安全技術(shù)的相結(jié)合的問題，主要是ITM+ DLP的結(jié)合。ITM （內(nèi)部威脅管理）需要大量內(nèi)容的識別技術(shù)和控制技術(shù)，大量終端行為識別，還有內(nèi)部網(wǎng)絡(luò)上各種邊界信息和日志，最后這些都會匯總到由神經(jīng)網(wǎng)絡(luò)構(gòu)建的龐大的智能系統(tǒng)里，同時在這個過程中系統(tǒng)會根據(jù)獲取到的信息不停進(jìn)行各種策略的調(diào)試和調(diào)整，當(dāng)它達(dá)到一定穩(wěn)定程度以后會將結(jié)果給到管理員，例如這個企業(yè)內(nèi)部是否發(fā)生威脅等情報內(nèi)容。這項(xiàng)技術(shù)無法取代人的工作，但是它可以給出精準(zhǔn)的情報，使得工作更有效率。目前，關(guān)于這項(xiàng)技術(shù)國內(nèi)外基本處于同一起跑線上，我們立志早一點(diǎn)把這項(xiàng)技術(shù)做出來，可能到今年年底會給大家一個驚喜。

由于多年前我曾到過貴陽，因此貴陽對我來說十分親切。據(jù)了解，貴陽周邊有很多三線企業(yè)，這些企業(yè)的科技工作者們當(dāng)年為了中國的國防和科技事業(yè)奉獻(xiàn)了自己的青春和終身。之所以談到這個，是因?yàn)榭吹浇裉斓闹袊呀?jīng)發(fā)展成為一個數(shù)據(jù)大國，但卻不是數(shù)據(jù)強(qiáng)國，更不是數(shù)據(jù)安全的強(qiáng)國。因此我希望當(dāng)下的科技工作者們，能夠向那些前輩們學(xué)習(xí)，能夠像他們一樣去奉獻(xiàn)自己的聰明才智和熱忱。我本人就是一個三線企業(yè)的子弟，父親是二機(jī)部的老員工，他最后的一個設(shè)計是參與設(shè)計了中國第一個核電站核反應(yīng)的輸送系統(tǒng)，當(dāng)年我父親這一輩的員工工資非常低，跟當(dāng)下做互聯(lián)網(wǎng)工作的收入完全不可同日而語。他們殫精竭慮做出了中國第一個核電站核反應(yīng)輸送系統(tǒng)，不僅自己掌握了相關(guān)技術(shù)，還節(jié)約了大量的資金成本。這樣一項(xiàng)技術(shù)獲得了部里的科技一等獎，但作為獎勵最后卻只領(lǐng)到了一床毛毯。從金錢的角度來說，父親都無疑是失敗的，但從技術(shù)的角度，從貢獻(xiàn)的角度，我認(rèn)為我的父親是我們家族的驕傲，因?yàn)樗麨橹袊目萍歼M(jìn)步貢獻(xiàn)了屬于他的全部力量。

在與全球同行進(jìn)行交流的時候，很多人都覺得目前中國的安全技術(shù)還很落后。但是，另一方面我們也看到，無論是在美國的硅谷，還是在北京的中關(guān)村，都有著中國人的身影，中國人聰明才智是毋庸置疑的。因此對于我們來說，要立志成為“老三線”科技工作者的接班人，把這種奉獻(xiàn)精神、專研精神傳承下去。努力做到人無我有，人有我精，再苦再累絕不輕言放棄。

最后，我們希望可以跟在座的諸位前輩和專家一起努力，為把中國建設(shè)成為一個信息化的強(qiáng)國、網(wǎng)絡(luò)安全的強(qiáng)國而奮斗終身，謝謝大家！

關(guān)于天空衛(wèi)士

北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司（以下簡“天空衛(wèi)士”），成立于2015年1月，是一家以保持與跨國安全公司同樣技術(shù)領(lǐng)先水平為目標(biāo)，以安全自主可控為使命、以全球最先進(jìn)的內(nèi)容安全技術(shù)為導(dǎo)向的信息安全企業(yè)?？偛课挥诒本诒本┖统啥荚O(shè)有大型研發(fā)創(chuàng)新中心，并在上海、廣州、深圳、成都、美國硅谷設(shè)立辦事處，為政府、運(yùn)營商、金融、能源、互聯(lián)網(wǎng)及其他特殊行業(yè)用戶提供內(nèi)容安全產(chǎn)品及解決方案。

天空衛(wèi)士以統(tǒng)一內(nèi)容安全技術(shù)UCS（Unified Content Security）為核心，在數(shù)據(jù)安全、WEB安全、郵件安全、移動安全和接入云安全等領(lǐng)域開展深入研究和研發(fā)，公司現(xiàn)有過百位研發(fā)工程師，已完成旗艦品牌“SecGator? 安全鱷”系列產(chǎn)品（SecGator? UCSS、SecGator? UCSG-DLP以及SecGator? UCSC-DLP）的發(fā)布與應(yīng)用，為組織有效應(yīng)對APT攻擊、釣魚信息、內(nèi)部數(shù)據(jù)竊取等威脅，保護(hù)關(guān)鍵數(shù)據(jù)資產(chǎn)。

天空衛(wèi)士核心管理團(tuán)隊(duì)由國內(nèi)大型互聯(lián)網(wǎng)公司創(chuàng)始人、跨國安全公司在華業(yè)務(wù)骨干組成，核心技術(shù)團(tuán)隊(duì)來自于美國硅谷、跨國安全公司在華研發(fā)中心、大型互聯(lián)網(wǎng)及知名網(wǎng)絡(luò)安全企業(yè)。天空衛(wèi)士在發(fā)展過程中得到了各界的大力支持，360企業(yè)安全集團(tuán)和華創(chuàng)資本是我們的投資股東，各級領(lǐng)導(dǎo)和行業(yè)專家也對天空衛(wèi)士的發(fā)展提出了寶貴的意見和建議。

?

責(zé)任編輯：唐艷