大安全时代面临新威胁大挑战 记录2017防御的点滴回顾
360首席安全官谭晓生在2016年的中国互联网安全大会上发表了题为《我有病,你有药吗?》的主题演讲,他谈到如果把互联网安全比做一场战争,破解人员和信息安全工程师便分为攻防两方。作为漏洞挖掘人才因为显而易见的成绩容易被人们所铭记,而防守型人才的则很难被关注到。在360公司,就有一支这样的防御型队伍,他们7*24小时保障着公司的安全稳定运行。
360信息安全部成立于2007年,成立之初主要是防御黑客的攻击,走过十个年头,随着公司业务的不断扩大,信息安全部被赋予了更多的责任。
一、公司业务时刻面临威胁入侵,我们该如何超前防御?
360在早期也曾购买过一些安全产品,用于发现安全威胁,但最后发现并不好用。无奈之下,就开始自己搞,以至于后来很多人都说360信息安全部自带孵化气质,不仅孵化了很多好用的安全工具,还培养了很多明星安全团队及安全研究员。接下来,就为大家介绍两款比较成熟的安全扫描工具。
1、天相-web安全服务
面临威胁入侵,我们该如何超前防御?天相是一款基于360后端大数据系统获取的漏洞样本,主动探测用户暴露出来的服务风险,同时支持资产信息和漏洞的扫描,曾入选2015年blackhat军火库。他可以结合多维度的大数据和资深安全人员的经验,探知资产边界,甚至是连运维都不明确的资产,并结合多种手段深度检测资产潜在的风险。通过天相对资产进行探知和安全检测,可以实时发现潜在的威胁,明确资产安全状态,知己知彼,百战不殆,通过预先检测的方式,我们可以应对大部分安全威胁。
2、显危镜-app安全服务
我们要求产品在发版上线前,必须经过信息安全部的安全审核,审核不通过,产品就不能上线,但是360公司有上百款APP,光是检测就要花费大量的人力和精力。在这种情况下,负责移动安全的同事就整出一个叫“360显危镜”是一款Android应用漏洞扫描平台,它集成在产品软件生命周期的安全服务,针对应用汇编代码的静态安全扫描及动态分析的方式进行漏洞测试,使得漏洞测试更加精准,目前涵盖了几十种常见类型的安全风险检测和导出组件,嵌入于产品上线前的安全审核流程,进行自动化漏洞扫描,可以帮助业务自行进行安全测试,快速定位漏洞细节,对产品提供安全风险评估和修复建议,实现APP应用的安全管理。现在这个平台已经开放给所有的业务团队,通过这个平台他们先进行自检,自查不到问题后,再到我们这里进行代码层的安全审核,这样在最大限度保障产品安全性的同时,也提高了产品上线的时间。
二 企业内部安全风险无处不在,我们该如何应对挑战?
即使再完善的系统,再严苛的条例对行为进行约束,仍然可能因为人的因素,而变成最大的漏洞,被黑客攻击。2017年7月,我们联合无线电安全研究部在公司内部搞了一次钓鱼演习活动。利用诱人的“一元兑换星爸爸”活动标题,在不到一个小时的时间里,有80多位同事中招,在钓鱼页面输入了自己的邮箱信息。
这次活动的目的是为了让公司内的同事切身感受到公共WiFi热点的危险性。如果是不怀好意的黑客,他策划的会更加逼真,在企业周围建立钓鱼WiFi,利用一个完整的情景骗局让大家放下防备(可能大家也根本没有防备),以此来获取各位的敏感信息及域账号等,再利用真实的账号连入企业网络。这时候,他就可以如入无人之境,你和公司的敏感信息就这样泄露出去了,给公司带来不可估量的损失。
这次钓鱼测试,也让我们深深的反思,公司明确的规定:禁止在办公区域连接非内部热点,避免因连入钓鱼WiFi导致域账户密码及个人信息泄露的泄露。但这冷冰冰的安全条例,很少会有人主动的去看,所以在2017年,我们在推广信息安全条例方面花了很多心思,比如将条例与星座相结合制成卡贴、明信片、制成漫画通过海报、电子屏、邮件同事不断的向员工渗透,希望能提高所有同事的信息安全意识。
三、做好日常安全运营,与黑客赛跑从容面对“想哭”
2017年5月12日,“WannyCry”勒索蠕虫病毒瞬时爆发,传播速度之快,造成影响之大,来势凶猛令人乍舌。但在这场这场“史无前例”的网络灾难面前,我们交出了集团内部机器“零”感染的完美答卷。
“WannyCry”远远没有普通人想象的那么高深莫测,“WannyCry”只是利用了一个“影子经纪人”黑客组织放出的“永恒之蓝”漏洞,才让他有了如此强大的破坏力能力。如果WannyCry是一颗可以爆炸的弹头的话,那“永恒之蓝”,就是能载着这颗弹头飞往任何地方搞破坏的火箭。
其实,影子经纪人公开发布出“永恒之蓝”漏洞之前,微软就已经对当前流行的Windows版本的发布了补丁。只要动动手指,安装上微软的补丁,就可以将“WannyCry”阻挡在大门之外。那个时候是2017年3月14日。距离WannyCry爆发还有58天。
360集团信息安全部从2016年就一直在跟进影子经纪人黑客组织的一举一动,在微软官方放出补丁的第一时间,信息安全部网络安全团队,就协同天擎团队,对公司所有办公电脑进行了静默补丁安装。但微软系统永远都有不尽人意的地方,部分版本老旧,管理终端覆盖不到的个别终端,只能通过自己手动安装补丁的方式来进行补丁安装。对于非技术岗位的同事,我们提供了连小学生都能看懂的“补丁攻略”,保证绝对的“零”风险点。那个时候还没有“WannyCry”,信息安全部仅靠着灵敏的嗅觉,和对安全的“执着”,强迫症一样的修复着“永恒之蓝”漏洞。
不仅仅是灵敏的嗅觉和执着,一双锋利的“眼睛”也是抵御“WannyCry”的必要利器。360信息安全部的威胁检测平台,在这次防御行动中,也起到了至关重要的作用。在5月12日病毒爆发后,拿到样本的第一时间,根据样本特征在信息安全部的威胁检测平台上配置了相应检测条件,避免有个别“漏网之鱼”。在病毒爆发后5个月,依然第一时间检测出了几起从分支办公区试图感染内部的威胁行为。
但一双锋利的“眼睛”还不够,还要有一个强有力的拳头。信息安全部还有一个重量级武器“降云”系统,在未知终端发起攻击时,无法第一时间定位到的位置情况下,可以第一时间切断该终端的网络通路,把敌人蒙在鼓里,让他无法为非作歹。
敏感的嗅觉,锋利的眼睛,强有力的拳头,正是因为360信息安全部拥有这样的网络安全防御体系,才能在“WannyCry”全球肆虐的时候从容的应对。
信息安全部制作的安全意识海报
四、构建安全共同体
这是一个万物皆可破的世界,谁也不敢说自己的系统是绝对安全的,我们能做的就是在黑客之前发现每一个安全威胁,然后在被利用之前封堵掉。2012年,我们推出了漏洞奖励机制,是国内第一家为白帽子提供现金奖励的企业。2013年360SRC正式成立,迄今已有上千名白帽子加入360SRC。
在360SRC三周年庆典上,老周为黑客精神正名,他说:“人才是网络安全的核心因素”,黑客这个词在社会上存在很多误解,其实真正的黑客是热爱技术、追求突破的一群人。白帽子帮助企业发现漏洞,为网络安全做出很大贡献,这类人才应该受到国家和企业的重视。360一直注重对安全人才的培养,除了招揽安全人才加入360以外,360还通过各种比赛和项目吸引年轻人,鼓励他们把黑客技术运用在网络安全建设上。2016年360SRC一共发出上百万元奖金,白帽黑客已经成为360安全力量的重要补充。
老周在360SRC三周年活动上为黑客精神正名
2017年2月,我们对外发布了360 IoT安全守护计划,把公司旗下硬件新品第一时间免费提供给知名黑客团队和安全专家进行测试,如果发现严重漏洞将获得单笔最高36万元的现金奖励。在运营的过程中,通过IoT安全技术课堂和48小时黑客马拉松破解大奖赛的形式吸引相关人才加入,另外希望通过我们的技术分享,能够帮助他们提高技术能力。促进整个行业的向上发展。
向外拓展,协同外部的力量帮助我们提高360产品的安全性。而360本身就是一家安全互联网公司,和其他企业不同的是,在360公司内部有大批安全工程师、研究员,如何调动这部分同事的积极性,让他们也加入到公司的安全运营中呢?2017年8月底,我们在公司内部发起了“360为爱守护计划”,鼓励公司内部的同事在发现与公司相关业务的漏洞或威胁情报的时候报告给我们,我们将依据SRC漏洞评估标准进行估价,然后将这部分费用捐赠给公益项目。12月底,我们将第一笔公益基金捐给了甘南藏族自治州夏河县的牙利吉乡办事处中心幼儿园的孩子们。
安全面前,没有旁观者,通过这样的内外联动,为我们的防护体系又多加了一层保护罩。
360为爱守护计划首期捐赠
五、能力越大责任越大
经过几年的发展,360信息安全部已经形成一套自己的安全防御体系,并且积累了丰富的安全运营和对突发安全事件应急处理经验。所以,在2017年也对外提供了很多安全服务支持工作。例如了承担“一带一路”国际合作高峰论坛注册系统安全保障工作,由于会议规格高,我们在时间紧,任务重的情况下,圆满完成任务,受到上级主管部门的肯定和表扬;圆满完成党的“十九大”网络安全保障工作。负责网络空间协会官方网站安全保障工作,从网站上线前的渗透测试到漏洞挖掘,将安全隐患消灭在上线之前,保障了协会工作的顺利正常开展;与北京市公安局合作,共同开展防范电信网络诈骗犯罪研究,共同打击治理电信网络违法犯罪,提升防范效能,维护网络安全。发现及破解仿冒最高人民检察院网页298个,假冒公安部网页159个,手机木马控制端服务器11个,VOS线路服务器15个获取话单16.4万余条,在假冒网页发现台湾犯罪嫌疑人大量登陆IP,成功拦截被骗北京事主383个,拦截金额2230万元。与深圳警方深度合作,打击新型电信诈骗,仅用2周的时间就破获一起跨境电信诈骗案,并将犯罪嫌疑人抓捕归案。
360信息安全部追求极致的安全,即使危害再小,我们也认为这是有意义的。细节决定成败,当细节做到极致时,产品安全,企业安全才能达到新的高度。