在演讲中,孟伟表示,云环境下,用户业务形态愈发多样化,造成攻击的形式也更加多元化,传统的规则匹配、统计分析及机器学习的方式已经越来越难适应新时期业务需要,金山云通过将威胁情报能力集成到现有的安全产品(高防、WAF、主机安全、威胁感知等)中,与现有的检测防御机制协同工作,消除误报,从而尽可能降低漏报、减少安全的运营成本,为用户提供更加高效、精确的安全防护。
7月25日,2019网络安全分析与情报大会在北京举办,作为中国威胁情报领域规模最大的的行业盛会,大会吸引了来自政府机关、金融、互联网、安全等各个领域的一线安全专家,分享企业信息安全和威胁分析研究成果和落地实战案例。金山云安全负责人孟伟受邀出席,发表了《情报的协同应用及情报使用的创新方法》的主题演讲。
金山云安全负责人孟伟在大会上发表演讲
在演讲中,孟伟表示,云环境下,用户业务形态愈发多样化,造成攻击的形式也更加多元化,传统的规则匹配、统计分析及机器学习的方式已经越来越难适应新时期业务需要,金山云通过将威胁情报能力集成到现有的安全产品(高防、WAF、主机安全、威胁感知等)中,与现有的检测防御机制协同工作,消除误报,从而尽可能降低漏报、减少安全的运营成本,为用户提供更加高效、精确的安全防护。
情报协同来高效保障云平台安全
随着信息技术的高速发展,业务上云已经成为产业发展的必然趋势,与此同时,业务威胁、网络攻击和数据泄露等安全事件,对企业安全能力提出了更加严峻的挑战。高效利用多维度情报信息,构建更加稳固的安全能力,成为新时期安全能力的提升方向。在利用情报保障云平台安全的产业实践上,孟伟分别从入侵检测、风控、DDoS防护三个维度进行介绍。
在利用情报进行入侵检测方面,“传统的入侵检测方式是将收集到的数据经过规则匹配、统计分析,甚至是机器学习的方式来检测是否被入侵, 这种方式策略太严格漏报会增多,策略宽松误报会很多,”孟伟讲到,“金山云通过将经检测后的数据,再进行一次情报查询,能够大幅提升报警准确率,同时可以联动资产系统自动给资产负责人告警。”
在利用情报进行风控方面,面对一些利用云计算资源进行灰黑产等行为,通过将风控系统与Passport进行联动,Passport将用户注册信息的如源IP、用户名统一进行威胁识别后返回风险级别,根据不同的风险级别来做不同的举措,从而实现风控效率的最大化。
在利用情报做针对CDN节点的DDoS防护方面,传统的做法是采用二分法的方式,需要多次调度,效率较低;通过结合情报信息,分析7层请求日志,对来源IP用情报判断,优先调度、二分法调度同时进行,极大地降低了调度次数,提升业务敏捷性。
综合情报信息构建立体化云安全体系
云安全作为一套复杂的系统,威胁情报在其中提供了一项非常有价值的判断维度,让之前需要投入大量资源或者无法有效解决的场景,实现在轻资源投入的情况下达成业务目标。在保障业务安全上,金山云通过将情报集成到WAF、云主机等产品中,为云上用户输出安全能力,提前发现合规风险。
在WAF方面,面向恶意网络攻击,金山云通过将WAF联动情报API,对来源IP进行风险判断,依据风险大小来直接阻断来源IP或者限制对某个具体URL的访问,根据客户运营反馈的误杀率调节阻断的风险值,多次调节后,实现服务恢复正常并且误杀率处于可接受范围。
在主机安全方面,通过将netstat的远端地址用情报库来判断是否为远控地址,讲变更文件的hash值采集上来利用情报判断是否正常文件被替换成了恶意文件等措施,大幅降低了误报率,提高了报警的准确率。
此外,面向日益严峻的合规性问题,妥善利用情报,能够尽早发现合规风险。对于发垃圾邮件被封、爬虫业务被封、接入未备案域名被封等风险问题,通过将情报作为重要维度来识别云上用户的业务是否合法合规,提前预防,保障云上资源的纯净性。
“威胁情报只是给我们提供了一个判断的维度,怎么在复杂的场景中将情报利用起来,通过技术分析对业务风险进行识别,让情报成为我们做出决策的依据,这才是最终目的,”孟伟讲到,“通过综合运用情报资源,将业务场景与情报进行有机结合,让情报为业务所用,可以实现事半功倍的效果。”