吴鲁加:企业如何进行数据安全防御
来源:腾讯
腾讯科技讯 3月19日消息,在为期两日的网讯网络安全技术峰会上,深圳大成天下信息技术有限公司的吴鲁加分享了他在企业数据安全的研究成果。
以下为吴鲁加讲演实录内容:
主持人:大家早上好!昨天的议题包括了网络游戏安全等议题,可以说是内容丰富。相信今天议题也是非常值得期待。我们知道现在的网络攻击不再仅仅是顽童的游戏,更多更专业的商业黑客也介入其中,通过对企业内网的不断渗透,获得更大的价值和利益。一方面是企业不断购置新的软件设备抵御黑客,另一方面,企业内网入侵事件频频出现。下面我们有请在安全领域有着多年实践经验的专家吴鲁加先生来给我们一个答案吧。
吴鲁加:各位朋友,大家好!非常感谢腾讯主办的这次安全峰会,这次峰会的主题是安全跟沟通。因为我们最近几年一直都在做内网安全方面的工作,所以我想这次这个交流的主题定位在企业内网安全的实践和思考。在开始之前先做一个自我介绍,虽然站在这个讲台上,但是实际上我不从事技术方面,包括研究、开发这些工作很长时间了。实际上现在更多的只是一些点和面上的东西。目前我们做的一家公司是大成天下,主要的方向是在终端和数据安全方面,目前还是有一定的经验和实践案例的,产品包括两款:超级巡警、铁卷。
今天上午我想跟大家交流的提纲大致是这样的:首先我们面临哪些问题?目前企业界通常是怎么应对这些问题?根据这些东西做一些发散,把一些技术的点罗列出来。最后进行归纳。
最开始我们面临的问题,我这边基本上都是以图片来展示(图),这些都是在网上直接找到的新闻,比如新浪上的新闻,google报告恶意网站有上升的势头。这副图大家都可以看到一个非常非常明显的上升曲线。同时声称中国恶意网站占到总数的67%,这个比例是一个比较可怕的比例。像昨天方兴提到的Web2.0时代我们有很多的攻击,实际说这种攻击目前已经逐步流行起来了。比如百度空间的蠕虫,利用百度空间漏洞传播的蠕虫。包括校内网的蠕虫。这些在目前都已经出现。也就是说Web2.0时代这种恶意的攻击已经是初见端倪了。
另外,除了类似蠕虫、挂马之外的攻击之外,还包括一些表面上看起来没有什么危害的,这个页面不带任何木马、病毒,但是它实际上是一个欺诈页面,就是俗称的钓鱼。这边的一些统计数据是从06年12月到07年12月,新的钓鱼网站数量统计,应该说这个数量虽然已经是一个疯狂上涨的趋势。
在SNS、BLOG出现的各种各样的信息泄露事件,这种事件也是越来越多。这边有一个杀毒软件厂商做过一个实验,他在Facebook注册了一个帐号,添加200人为好友,这200人中有87人接受了好友请求,其中有82个人把所有的个人档案共享出去了,其中包括一些数据,比如生日、邮件等等。这些实际上会带来一些信息的泄露。同时很多人有写BLOG的习惯,这个可能会泄露很多信息,这种也是安全问题。
像应用程序方面的漏洞,这边举了几个例子。像联众、realplay等等,这些都越来越多的影响了用户的安全。再有就是员工的跳槽或者说设备的失窃以及最近沸沸扬扬的陈冠希的事件,这实际上都是由于各种各样的原因导致的数据的泄露。大家最熟悉的可能就是黑客、病毒的攻击,中了各种各样的招,所以出现了问题。这边再有的例子就是客服、后台的数据库。这是一位朋友跟我交流的,也是属于Web2.0公司,他提到过在他们公司里有很多呼叫中心人员,这些客服人员有一定权限读取数据库信息,并且能把数据库信息导出做一些处理和统计,这些权限对客服人员是必须的,但是他们实际上发生过这种情况,因为在这个领域竞争比较激烈,所以同行就会采用类似商业间谍手段来收买一两个客服人员或者甚至找一两个人去应聘客服,最后可以非常轻易的把一些关键用户,假设类似移动每个月消费3000元以上的用户列表打出来直接带走,实际上会带来非常大的损失。这就是客服和后台数据库我们面临的一些问题。
前面罗列出了一些面临的问题,这些问题应该说林林总总。它实际上并不仅仅局限在某个领域,而是通常我们在内网里头会遇到的或者说比较难以解决的。目前大家是如何解决这个问题呢?这两个图是我在微软网站上直接载下来了,首先如果我们做一个界定的话,微软本身定义了生成防护的模型,从策略、过程、意识开始,在把这些东西明确后,走到物理安全、边界安全、内网安全,最后到主机、应用程序、数据安全。我的主题里把所有网络思想意识、安全策略这方面都忽略掉了,我们把沟通主题局限在主机、应用程序和数据,也就是说刚才我提出的这些问题基本上也都落点在这三个范畴里。这三个范畴里的问题再来界定一下他们的安全我们希望能做到怎样呢?这是一个比较常见的说法。就是说在一个提供服务、应用程序和正常网络架构安全环境中我们要提供高的保密性、可用性和完整性,也就是说我们实际上并不会考虑把这个数据非常非常严格的保护起来,但是它的可用性丧失了,三者是缺一不可的。这是我们希望讨论的。
讨论之前,这边是网上可以看到的一篇文章《微软如何面对每个月100000次的攻击》,这个是在前端的边界、内网方面做的防护,如果有兴趣的朋友可以先去看一看。后面过到目前大多数企业执行的安全策略。我这边有几个案例,像这个案例是惠普如何做安全的,他们做了一个东西,IDA,这个软件起什么作用呢?左边这个是软件管理和监控工具,通过服务端可以监控每一台主机上安装上什么样的软件,然后允许他安装什么软件和不允许他安装什么软件,右边是补丁分发的系统,这都是惠普自己的。同时他们安装了SEP11,它其实是在防病毒、反间谍软件、防火墙、入侵防护方面做了控制从个人端基本安全上做控制。这是他们的一些基本界面(图)。另外在部分重要的机器上,爱森哲除了采用上述方式之外,他们还做了一些额外防护,加密。等于全系统的加密,从启动开始就直接加密,整个硬盘都做起防护。这个是惠普或者爱森哲这样做的。
目前我们大多数的公司就我们目前所接触到的很多公司,实际上都还没有在内网里做这些工作,大多数企业基本上就是防病毒软件来希望拦截所有内网安全问题。这边有几幅图,我跟几个朋友说要过来做一次交流的时候,他们跟我说正好手里有几幅图,或许可以当做演示的材料,实际上可能真是确有其事。这些都是号称在外面有一些兜售原代码的人在做的一些操作。甚至我自己都遇到过一次,我们有一个同事跟我说有人在网上叫卖我们产品原代码,就是铁卷源代码,这个时候比较紧张,纳闷怎么会发生这种情况。
于是让这个同事跟对方去聊,你总得证明它是铁卷的原代码,我们才会买。最终我们采集了证据实际上不是我们的源代码,而是我们竞争对手的源代码。我们竞争对手也是做数据安全的,自己的信息和源代码在外面兜售,但是这种情况绝不少见。
即便我们采用上述方法来做防护的时候,可能还会有一些隐隐担忧,该做的都做了,为什么还不放心呢?怎么保证员工不会有意或者无意的泄露各种紧密。可能有一个比较尖锐的问题,为什么用了杀毒软件,还会中毒。各种各样的技术都得上来,否则的话,中毒是必然的。
因为有漏洞、木马或者商业化的免杀出现,我们有没有办法防御所有的入侵和Oday。这是另外一个想法,我们现在所做的大多数防护工作都在事前、事中,我们所做的防火墙、防病毒或者入侵检测或者刚才提到的任何的一些东西,要么防止黑客进来做了层层防御,如果黑客进来的时候我希望第一时间发现黑客,但是事实上或者说从目前情况分析的话,我觉得情况未必都能如此理想。也就是说,这种事后的工作实际上也是蛮需要做的。但是目前这块应该是缺乏的,我们被入侵以后,黑客潜伏下来后我们应该做些什么操作。甚至我们定位了以后,我们应该怎么操作。这个时候我们是没有太多的考虑到的。可能更多的是我们直接把它移交到防务部了,这个不归我们信息安全部门管了,大家向玛丽祷告了。
我们从源头分析,用户可能做哪些娱乐工作呢?这边列了很多,上网、聊天、游戏、交友、下载、看电影、听音乐、网络视频、在线视频等等,这些都是企业用户没有办法完全禁止在企业网里做这些事情。但是做这些事情面临的风险,实际上我们目前做的防范措施都是有缺失的。用户用电脑做什么工作,这边也列出了他会做的工作,这些工作也是他必须能够满足的,也就是实际上无论他们做正常工作还是做娱乐休闲操作,这些是常规应用,这些应用我们必须满足他,满足之后,我们必须防止攻击者在里面窃取源代码、窥探用户。
这边是一个简单的小归结:刚才说了那么多应用、那么多风险,实际上在内网部分现在我们没有控制到的,包括应用程序漏洞、包括挂马、钓鱼、SNS欺诈。还有员工本身可能带来的危害、风险。这边既然发散看来了,就罗列一些目前部分安全保障措施,包括审计、加密、备份、防护、升级。
审计这块,现在有一些公司做了网络审计方面的操作,在内网上做各种各样的审计,来分析他安装了什么样的软件,浏览过什么样的网页之类的,并且有一些统计视图。审计另外有一些文件操作的一些产品,可以根据文档类型来确定用户打开或者编辑、修改、删除、重命名等等,对文件做的所有操作都能够定义出来,这个时候实际他适宜于内部高精密的网络、高精密的单位。
加密这块目前的思路也比较多,包括磁盘加密,PGP,或者链路加密、应用加密、数据加密。数据加密的话,这里可以先做一个简单的演示,实际上大家应该可以看到我的PPT右下角有一个小锁,这个锁是什么概念呢?实际上表示了我这个PPT文档是受加密的,但是我打开或者编辑这个PPT又没有任何干扰。比如我现在新建一个Office Word文档,关闭之后我们可以看到这个数据带了一个加锁的图表,但是我们也可以正常打开编辑。
我们用二进制来看,他已经和普通OFFICE文件头不一样了。这就是我们加密最简单的应用。比如说他可以把文件直接另存,假设我们另存成JPG文件,当前幻灯片保存是JPG文件,这个时候也可以看到下方也有一个小锁,我们试图打开这个文件是失败的。我这个控制端是一个比较特殊的,我可以自行解密。解密完后我们可以看到内容是正常的,所也这些解密操作都会有信息存放在自己电脑里,当我回到企业内网之后就能够马上把这些数据同步到服务器上,也就是说我在外面做了什么操作都会保存回去。这种保存操作也就是尽量的底层、尽量的往磁盘空的处理头写。采用这样的技术,就可以做到我们刚才提到问题的防护。
比如数据库存取保护。还有刚才说的客服问题,如果我们把客服人员采用的数据库程序加入到我们受保护的进程里,实际上通过各种各样的应用程序所导出的excel、PDF之类的文件实际上都会加密,并不会轻易被一些恶意用户拿走。另外这边是采用类似的技术对源代码进行保护的一种方案。实际上在用户端采用类似技术对源代码进行保护,但是最大的问题在于比如SVN服务器,在这种情况下我们希望数据是明文存放,这样会更安全一些。如果数据明文存放,而用户又有服务器帐号,他们就可以直接比如自己装一个虚拟机,跑到内网里把明文文件取出来,导致数据泄露。这个我们也有一些解决方法,通过SSL隧道来做这样的事情,链路上也是加密的,网络层通过一些应用程序来防止没有装客户端的用户直接连到SVN服务器上。同样这边都是一些简单的例子(图),图形图像文件的保护,所有的图片、电影文件只要一传递到服务器上,都会马上的被直接加密。加密完后只有在本机上才可以阅读,类似于我现在把电脑里这个PPT直接拷出去的话,目前只有在我们电脑可以阅读和我们公司同事上阅读,直接传出去的话,它的内容也都是加密的,是无法直接打开的。这个也是类似的(图),像这种就是加密的保护方案。
备份这块,有一些比较有趣的解决方案。比如apple出的小的无线的盒子,我觉得蛮有意思的。它的设备很精巧,可以和机器上的应用程序配合起来,只要一回家或者一到公司就可以把机器上的数据做好备份。如果是企业级的,管理员可以设定备份数据。假设我的电脑坏了,我可以通过买一台新的笔记本电脑,输入密码,什么也不用管,最后我新的电脑在半天之后就和我原来那台电脑所有的内容都一模一样了。这种备份的方法或者策略也是蛮不错的。
另外客户端的防护,这是在座朋友都比较感兴趣的。是不是黑客永远都能领先一步?我们怎么样才能缩短时间差?像Mcafee、趋势都有一些不错的东西,Mcafee收购了一家siteadvisor的小团队。他们能做的是什么呢?当我们用户访问一个网站的时候,或者我直接在google、百度搜索内容的时候,这个时候他有一个类似于网站评价系统告诉你这个网站是安全的或者是有风险的。如果他有风险的话,他是什么样的风险。这是一个非常庞大的数据库,然后Mcafee通过自动的测试,就是说我们做一些程序,这些程序自动去访问网站并且从网站上下载一些程序、安装这些程序,安装完这些程序查看他是否有一些我们定义为恶意操作的这种行为。然后再把这些数据入库,通过这种形式来做。
像google、firefox,用户可以主动告诉网站目前有哪些恶意网站是做了哪些操作之类的,他们把这些数据库同步完后,直接在后台和google做一些通讯,当用户访问到被挂马的网站的话,通过google搜索到,google会给出一些恶意提示,现在IE7、IE8也都有这些功能。我们有一个畅游巡警软件也做着类似的事情,我们希望尽量把时间差给缩短,也就是说希望把siteadvisor这种比较长的回应机制直接嵌入一个引擎,一旦用户访问到恶意网站,我们通过他报给服务器,服务器去检索和判断,当然目前还要加上一些受判断,来判断这个网站究竟是不是恶意网站,如果是就同步到用户,只要有一个用户遇到了问题而且被我们拦截住了,这个时候所有的其他系统再准备访问这个网站的时候都会看到一个大红警报,告诉他这个网站可能存在问题。这是我们希望能够尽量缩短时间差的一种方式。
监控,监控客户端电脑上跑了那些进程、软件,或者允许不允许装哪些软件之类的。
升级,升级和打补丁是最重要的,在内网里更多企业是用SUS来做这些工作的。这是我们的超级巡警(图)我们做上了系统补丁检查和第三方应用程序漏洞检查的工作。可以直接打上补丁,安装最新的版本或者我们应用临时方案,当某个动态库出现安全问题的时候,我们可以自己打补丁或者小功能临时载掉,保证用户安全。360也是做了相当不错的,它的漏洞修复也是能起到同样的作用。
刚才基本上发散的东西说完了。然后剩下的时间也不太多,我简单归总一下。问题出现在什么地方?这个PPT我昨天晚上还稍微改了一下,把方兴所说的新WEB时代说法放进来。现在纵深防御的体系缺乏了对新WEB时代的防护。包括社区蠕虫、恶意代码、层出不穷的木马、表面上没有任何程序危害行为的欺诈。这些我们是缺乏防护的,包括微软整个防御体系里也没有对这方面有特别好的方案。另外一个在目前我们觉得内网里头缺乏的,应该是考虑事前防御、事中应急和分析非常多,绝大多数人都是这样,希望御敌于我们之外。事实上敌人总是能够混进来的,我们对敌人混进来之后如何来做安全保障缺乏一个考虑。这边是绿盟的一个图(图),他们通过桌面保护、终端保护、行为管理以及各种各样细小功能结合一起来做的一个工作。另外从赛轮铁克,他们做了两个工作,一个是端点防护。
对终端保护我们希望做到尽量的快速有效。另外他们做了端点遵从的工作,这个类似于思科也做NAC的事情。只要端点不符合策略,我们就不允许他接入企业网络,这两个加在一起也是比较完整的解决方案。从我们自己角度来说,我们所做的是增强补丁管理工作,通过畅游巡警加强对恶意网站、浏览器安全。通过文档加密这一系列东西来强化事后保障的能力。刚才我们所罗列出来面临的攻击或者员工带来的风险这块,实际上对于面临的包括应用程序漏洞,我们可以直接对于用系统应用补丁来解决,然后对各种欺诈和钓鱼,实际上通过恶意URL识别来做拦截。员工本身会带来风险,员工离职了,把100多G的原代码往外拷或者中毒、丢了设备等等,这个一个可以通过加密来做,二是通过审计来做。防住了这些部分,我们就把这两个大问题解决掉了。
最后再闲聊一下,说一说360的一些划时代的改变。前几天看新闻里头,360他们的产品线,包括我们现在所知道的安全卫士、保险箱、漏洞管理、软件管理,还有未来马上要推出来的浏览器,这个我们在新闻上都看到了。360的商业模式或者说在客户端安全保护模式实际上做得相当得不错,而且它的推广模式做一定程度上改变了目前客户端安全防护的迟缓的效应。比如管理链条是怎么做的,他通过帮助用户装软件,通过软件管理快速帮用户装软件,这个有非常好的引导,都是受过认证安全的软件。在一定程度上帮助用户删软件,当软件出现漏洞或者风险,我们可以删除或者用同类软件替代。通过浏览器让用户少中毒,其实我还不知道360浏览器是什么效果,说不定跟我们的畅游有一点点类似。这个应该说都是希望能够让用户少中毒,尽量的缩短和黑客的时间差的一些手段,然后帮助用户删除病毒和木马,如果删不掉,又想用东西的话,还有保险箱。一环一环扣的比较紧密,通过这个能做不少事情。目前我们能够看到的盈利模式,比如推卡巴、Windows优化大师,从中长期来看,通过软件管理、漏洞管理、软件百科能够很大程度掌握客户端话语权。整个生命周期都希望管起来。本身以免费策略打破杀毒软件收入循环,也是蛮有意思。前面是安全软件的推广平台,后面会是一个装机软件平台。
最好的保障是我们希望做到无声的安全,电脑装后,安全这些东西应该默认带好,对用户没有任何干扰,如果我们希望得到好的关注,又希望经常的干扰一下用户,比如金山产品、360产品,都会时不时弹出一些信息,告诉他最近有什么新闻、事件,这个通过统计效果是非常好的,能够带来大量的点击、流量和反馈,这种情况又跟这种“无声安全”的策略有一些冲突。整个来说,我觉得360这一系列的东西其实在客户端也是补全了刚才我们所描述的客户端对新的Web时代缺乏防护的这一环,但是也有我的一些困惑吧。时候也到了,谢谢大家!看看有什么咱们可以一起交流的问题可以一块聊一聊。
以下为现场问答:
问:铁卷这部分做透明加密的时候,本身对明文文档有没有一个备份机制,假如铁卷出现BUG,我的文件会不会丢失?
吴鲁加:目前备份还没有做。在我们想做的范畴里,已经标成蓝色是我们做好的(图),这个备份还没有标,就是我们还没有完全做好。实际上这是必须考虑的。对密钥这块我们有一个强制备份的机制。我们也有密钥代管的服务。
问:你的机器已经被感染了,你还不知道怎么删除它,那为什么用户还会希望接着用它的网络银行?我不是很理解用户已经知道自己不安全了,还想接着使用一些很敏感的数据呢?
吴鲁加:这个我觉得其实是这样的,昨天方兴也提到过这个问题,或者说普通用户,至少在我们的调查里头,我们有这样一些员工到网吧这些地方去做一些调查,包括跟自己亲朋好友做各种各样的沟通,实际上应该说绝大多数用户他们对挂木马或者对病毒是没有特别多概念的。在中了毒后,之所以像保险箱这种东西在一定程度上大行其道也有这个原因,用户认为总有病毒杀不掉,然后我总会中毒,我机器上已经装了正版杀毒软件了,我总会中毒,但是我还是必须用网银、还是必须上QQ、玩游戏,这种中国大部分普通网民的一个常态。这个可能360的朋友也会有一些见解,因为360保险箱在市场上占有的份额也是相当大。
问:你好!您刚才提到google和Firefox挂木马上有合作,他们合作具体方式、技术方案?
吴鲁加:不是google和firefox他们合作,而是国外有一个非盈利组织stopbadware。他们对恶意URL做一个标准的数据库,Google直接引用数据库的内容。你在google上搜索可以看到如果一个网站曾经被挂过木马或者曾经存放过恶意软件,google会有一个提示。如果你仍然是比较固执要访问这个网站的话,实际上google不会一下子把你带到这个网站上,而带到一个定制页面,告诉你这个网站不安全,然后为什么不安全,这个组织认为他有什么问题,如果你还要继续访问,你可以把链接拷贝下来继续访问。也就是google规避了它的风险,规避掉了把用户带到不安全的网站的问题。
主持人:非常感谢吴鲁加带来的精彩演讲,下面是茶歇时间。15分钟再准时回来,继续下面的议题。