亚信安全资深安全顾问 曹同玥

 

精密联动,智能运维,智慧护航

 

曹同玥:亚信这个名字可能不是特别响亮,亚信安全也是2015年的时候才开始被大家所了解到,我大概花几分钟的时间介绍公司的发展历程和背景。

亚信集团是亚信安全的上级集团,它1993年就成立,也一直做我们国家的电商运营,在1993年的时候就帮助电信承建国家第一个互联网,一直到2000年涉及安全,它涉及的安全和传统的安全不太一样,实际上是基于运营商的大量人员、信息的业务,所以它比较关注两块,一个是身份认证,可能一个省几万运营商的领域,他每天上班第一件事是打开我们的平台,在我们的平台上去审计相应的行为,这是一块;另外一块实际上第一个就是有海量的数据出现应该是在运营商的领域,我们有大量的数据,大的省有上亿的用户,他们对这些信息事件相对来讲是比较敏感的,所以我们在这一块有非常大的投入,我们给他们做了很大量基于数据安全的功能。亚信安全在2015年的时候收购了当时非常出名的安全公司叫趋势科技,收购了整个中国区的业务包括代码、知识产权的东西,才成立了一家子公司叫亚信安全,专门开始做这个领域。一直到现在。趋势和亚信原来的业务是完全不一样的,在安全的名声也比亚信大很多,趋势可以理解为是传统的防病毒、防攻击的名气非常大,后来趋势科技在全球的服务市场占领率一直在第一位,包括APP治理方面基本上排列千位,这是亚信安全的大概背景。

实际上我们讲数据安全这是很大的概念,到底我们都做些什么?可能我们和传统的数据安全公司不太一样,我们并没有用很通用的产品可以去做防泄密、做数据加密,我们并不是这样体系化的东西。我们是非常高度定制化,非常深入为我们的用户做数据的治理。所以第一环通常会建立整个的数据安全管理与分析平台,在这个平台上制定标准,做相应的操作;接着再开始根据我们的实际情况,我们有了平台,有了很多的调研情况开始去加深我们对数据的管控过程和整个数据的生命周期,从数据的生产过程、传输过程一直到最后的流通、销毁都有相应的技术做处理,比如最基本的数据被产生出来,这是非常难以做数据安全治理,因为我们要知道哪些数据是敏感的,哪些需要做严格管控的,那就需要我们有数据发现的能力;最后一个是数据的加密,数据的防泄密是比较常见的。这几年被大家逐渐接受的数据就是脱敏数据,给第三方做分析或者跟第三方做交互都是比较常见的技术。最后一个比较重要的就是数据的溯源能力,我们的数据实际上除了存在企业内部,我们可能会在外部做流转,在流转过程中被谁使用了、被谁访问了、被谁转发了,这些都要有跟踪的标记,这些一起贯穿数据的生命周期,是我们数据安全体系的一个比较好的组成。另外大家做数据安全治理,一般来说不是特别重视或者是忽略的环节实际上是数据的计算环境。举个例子,我花了很多的精力建立我的数据安全体系,但是就像我中了勒索病毒,他把我的数据直接加密了,那花大成本做了数据安全体系直接受到了影响,所以数据的计算环境本身也是非常重点的内容。今天我主要讲基础的防护能力,这一块也是来自于收购过来的趋势科技的技术。

首先我相信大家很认可“没有绝对的安全”。我们作为安全从业者一直和攻击者不断地博弈,我们的技术也在不断地更新换代。但是我发现这件事情做起来越做越累,因为每天处理的安全事件层出不穷,基本上就是不断增加人力,来自于专业的研究机构的报告可以看到每天会有部署,大家在建设信息系统都有采购大量的软硬件的安全设备和安全技术,实际上他给我们用各种各样的技术提升我们安全防护能力的同时,也带来一个问题就是运维人员每天要面对安全事件、安全报警。在这样一个客观存在的情况下我们思考有没有好的处理办法或者思路?我们继续遵循相应的法律法规,把一些经验做一些总结和归纳。我们国家不管是《网络安全法》还是《国家网络安全事件应急预案》都有相应的要求。没法避免我们可能出现更大的网络安全事件,但是我们对这些事件重要的是处理能力、恢复能力甚至是提供服务工作的能力,所以把过去的经验整理了这样一个架构或者思路,我们命名为精密编排的事件响应机制,在重大安全事件发生之后首先要有一个标准的预案,我要知道什么样的事件出现之后用什么样的方式让这个预案去处理,让这个事情的影响是最小的;在处理过程中不可避免要使用到一些专业工具;还有很重要的就是人,不管是企业内部培养还是用外部的供应商的方式,我们要有安全的响应专家。这三个缺一不可,有了这三个才可能把这件事情的影响降到最小。

首先提到预案。预案实际上是亚信安全最有价值的一点,我们会遵循一系列的国外模型,整个预案基本上是按照这七个章节设计。这些预案不是完全标准化的模板,实际上会基于实际的场景去做很多的调试和应对。这么多年也就整理归纳出六七十个预案,每个预案实际上是一份几十页的word文档,这是我们非常核心的一些东西,说实话一个word文档是很难保证它的知识产权的,这本身是一个预案,这些预案和我们的实际场景相结合,当在安全运行过程中出现某些安全事件的时候不用到处去做安全预案,可以根据我的预案快速响应。

第二个是安全响应专家。很多的航空公司和机场这两年慢慢开始这一块,都有培养专门的安全专家。

另外使用工具。这个工具实际上各个厂商都有相应的工具,我们收购了趋势科技非常好的专利和安全技术,实际上整个安全技术的发展也是有它自己的体系的,发展到现在已经到了比较高级的阶段。最传统的防护能力这是在2010年之前比较常见的,各种防火墙、防病毒的软件,2010年开始大家逐渐开始注重事件的发生等等,现在开始做一些响应的工具,所以这是目前的发展阶段,会有各种各样的工具组成,时间关系就不讲这些工具的具体功能。

举一个小的例子,某个民航某次挖矿病毒的顺序,挖矿病毒占了大量的资源导致业务终端或者是业务运行的时候就知道它是挖矿。整个处理过程如果比较顺利的话大概需要花十几个小时去进行根治,这是常见的说法,首先这个电脑运行比较慢需要人去分析运行慢的原因,有病毒,然后把样本提交给厂商进行分析,同时自己做恢复、清楚、修复等手段,最后研究是不是只有这一台机器中了,是不是它用病毒做挖矿的计算呢,所以我需要花很多的时间去处理,最后大的集团做的清除之后这个时间十几个小时是属于非常顺利的情况。实际上我们处理安全事件的时候基本上都会有一些期望,比如第一我能不能在挖矿病毒发作之前我极早地发现,另外我现在中了挖矿病毒是确诊之后,我能否很快看出这是哪种类型的挖矿病毒?它不是有强烈的传播性?因为它传播性强及时把这个区域做一个隔离,还是说现在是不是只有这两台机器在挖矿,需要一系列的工具和预案同时专业人员的配合才能够查出来。

这个是类似挖矿的一个图。从准备阶段就是如何去准备这样的流程,人员能力、工具能力去做一个准备,及早地发现,如何快速分析;分析就是确诊这是一个已知的挖矿还是未知的挖矿;另外是定量分析,如果一台机器中和一百台机器中,一千台机器中性质是完全不一样的,我们采取的预案是不一样的,如果只中一两台我采取遏制的手段把影响降低,最后做一个优化,一系列的动作在预案中以文字的方式罗列出来,操作人员可能有人员的更替,那我根据这个预案就把这个事情给做完。整个体系按照一系列的产品工具来做,这些东西当然是用自己的工具比较顺手,在很多的重保项目都会用各种安全厂商的工具,会有一系列的相应交互,时间关系不去展开,也欢迎大家会后和我们做交流。

最后,就用简单的图总结一下精密编排安全体系的优势价值。首先是依法合规,因为我们国家从《网络安全法》开始就对事件进行处置有了非常高的要求。第二个有这样的体系真正帮运维省钱省力,提升我们的运维效率,让我们的运维工作变得高效便捷。

我今天就讲到这里,谢谢大家。

 

【PDF】精密联动,智能运维,智慧护航

 

 

中国民航报社 版权所有 京ICP备05024158
如有意见和建议,请惠赐E-mail至 news@caacnews.com.cn
./t20191030_1284303_sj.html