以下為演講實錄:
今天我的報告的題目是數(shù)據(jù)驅(qū)動安全����,包括云計算安全與大數(shù)據(jù)應(yīng)用這兩個部分。其實在前面4月底所在美國開發(fā)的RC大會�����,2015RC大會上面有一個關(guān)鍵詞叫做改變���,這個時代我們其實面臨一個變革的時代��,首先是企業(yè)的IT在改變��。所謂的互聯(lián)網(wǎng)IT在GNER所出的2015年的趨勢報告里面提到IT里面提到越來越多多的傳統(tǒng)企業(yè)會選擇今天互聯(lián)網(wǎng)IT產(chǎn)業(yè)架構(gòu)�。我們在信息安全也面臨一個改變的時代����。在今年RC大會上面所看到的各個廠商的產(chǎn)品展示我們能非常清晰地感覺到這一點���,從過去各種各樣的產(chǎn)品展示各種各樣的盒子����,在今年展現(xiàn)各種各樣的雜盒子�,各種各樣的網(wǎng)絡(luò)硬件設(shè)備展現(xiàn)的比較少����,大家更多的談到我怎么去發(fā)現(xiàn)網(wǎng)絡(luò)中間的安全威脅,以怎么去獲取外界的情報等等��,有了一個在RC的總裁它在演講里面甚至提出來說我們現(xiàn)在處在一個什么時代��,我們是在地圖之外航行�����,我們沒有一張航海圖可以告訴我們什么地方有暗礁什么地方有水流���,我們是要在前進中自己選擇未來的正確的路在哪里���,這是改變。
對于今天開云計算大會大家應(yīng)該有一個非常清晰的感受���,在云計算這個概念我們過去說了好多年以后今天它已經(jīng)是遍地開花�,不僅僅是互聯(lián)網(wǎng)云計算��,還有政府到各個企業(yè)都開始踐行云計算。
在云計算時候其實我們的安全情況是什么樣子���,我們是更好了還是更糟了?其實我們想想云計算有沒有解決我們什么樣的安全問題?傳統(tǒng)的安全問題其實一個都沒有解決����。但是因為云計算我們又新引入了一些新的系統(tǒng)���,不管是從MVALM還是OpenStack還是Paas��、Saas還是Iaas�,整個復(fù)雜度都提高了���,如果說作為按照角度來說你可以攻擊的點增加了��,攻擊面增加了�,你的系統(tǒng)脆弱性�,整個系統(tǒng)脆弱性肯定會提高�����。而且因為一個系統(tǒng)中間組建增加���,一個系統(tǒng)的安全認(rèn)證會變得更加困難���。這是一個�。
還有一個是今天的世界在有了云計算之后企業(yè)可以更加鏈家更加快速的來獲得計算機資源�,它的信息化程度越來越多,越來越多的數(shù)據(jù)會在云計算時代里面����,就像馬云說的我們進入TB時代。數(shù)據(jù)會被人篡改的目標(biāo)��。在這個時候除了把你系統(tǒng)和數(shù)據(jù)拿走或者是篡改之外還有����,大家知道在中國搞跨一個網(wǎng)站之外,把管理網(wǎng)絡(luò)的管理員把網(wǎng)線把它拔了����。這個工程師是不是可靠,他的行為是不是能夠得到有效的管控?這個里面就提出來像云計算安全可控和審計監(jiān)控這方面我們做得夠不夠��。
我們現(xiàn)在面臨傳統(tǒng)的IT系統(tǒng)可能更大的面臨安全挑戰(zhàn)����。在這種情況下怎么辦?云計算系統(tǒng)肯定是以更大的態(tài)勢得到廣泛應(yīng)用�����,我們怎么辦?我們得到的思路第一個是縱深的防御線路����。這個是最近一兩年在整個信息安全防御情況下巨大的改變���,由過去城墻防御轉(zhuǎn)化到系統(tǒng)防御�,我希望構(gòu)建一個難以支撐的城墻�����,但是城墻一旦被突破基本上可以被屠城����。為什么我們今天有所改變?因為今天密謀攻不破的城墻,尤其是當(dāng)你的數(shù)據(jù)有吸引力的時候���,各種各樣的攻擊工程��,城墻是一定可以被打破的,但這時候防御就轉(zhuǎn)換到塔斯防御�。我在前面知道攻擊者來了���,并且知道攻擊過程中層層防御消耗進攻力量,甚至有機會可以去反致���。后面講云計算怎么樣構(gòu)建最深防御��。
系統(tǒng)有沒有發(fā)現(xiàn)漏洞是一定的����,你如果自己不主動挖掘漏洞�,等著攻擊者來挖掘你的攻擊漏洞,這是很差的�。第二個像去年XP停服了之后一系列事件證明給大家,我們可以讓漏洞難以成功��,漏洞在����,但是我可以讓它的漏洞利用難以成功,這個時候在云計算系統(tǒng)里面我們這個思路是不是可以同樣能夠起作用�����。同樣漏洞在但是漏洞利用難以成功。
第三個是我們要關(guān)注數(shù)據(jù)安全���,以及最后一點我要做好最壞的打算�,如果我被攻破了怎么辦����。就像上個禮拜所發(fā)生的一系列事件,如果你不為你可能發(fā)生最壞的問題做打算�����,最后出了事故就會特別迷盲��。像前面獨頁的漏洞��,我相信今天還有很多人沒有被這個漏洞攻破���,你沒有被攻破只是因為時間和概率的問題��。這是防御�����。我們怎么做?第一點�,我們可以對宿主機OS安全加固。第二件事情我們對VMM可以進行安全防護�,不管是KVM還是VMWARE等安全防護����,而對于管理系統(tǒng)是不是可以加漏洞加固它。還有各種各樣的多租戶安全�����,今天很多廠家提出這樣的思路�����,比如說多種流量監(jiān)測等等架構(gòu)問題����。安全審計,過去幾年里云計算重視程度不高�,這里面第一個就是要預(yù)防云計算的服務(wù)商它在工作中間做什么事情,有沒有人對你的虛機快照�,有沒有對訪問你的某個文件,云計算是不是自主可控����,不是服務(wù)商自主可控�����,而是你租戶你是主人����,當(dāng)你的租客被別人訪問的時候你是不是可控��,這個在云計算里面我們覺得亟待加強�����。以及虛擬機OS的安全����,這方面國內(nèi)有很多人做。這里面不可能跑特別多的軟件����,所以虛擬機相對比較少。
還有就是我們找出漏洞比較少���,攻擊者實時的過程中不希望被人發(fā)現(xiàn)��,如果他在攻擊過程中被人暴露問題清除出去了���,所以就要部署清灌���。任何一個公司安全能力再強,你獲取資源都是有限的����,這個時候你可以采購第三方的威脅情報�,他是專業(yè)的威脅廠商,除了你的信息之外他可能知道很多企業(yè)攻擊是誰攻擊的手段是什么等等這些����,在這個過程中間能夠看到你所遇到的這次威脅在本次大背景當(dāng)中是什么樣的威脅,以及自己的威脅�����,在盡可能的范圍之內(nèi)收集更多的業(yè)務(wù)數(shù)據(jù)���。去年互聯(lián)網(wǎng)大會上說不是TB數(shù)據(jù)��,以及結(jié)構(gòu)化數(shù)據(jù)還是非結(jié)構(gòu)化數(shù)據(jù)��,是說你收集了多少范圍的數(shù)據(jù)��,你的業(yè)務(wù)有多細(xì)�,大數(shù)據(jù)講范圍廣時間長業(yè)務(wù)細(xì)這個過程的挖掘才有意義。
安全是一個7乘24無休的處理�����,攻擊者不會說你休息他就不攻擊�����。眾包平臺可以借鑒���,當(dāng)你打開你的大門打開各地的白帽子���,甚至讓第三方參與的時候,你的安全程度就會發(fā)現(xiàn)新的漏洞以及加強的可能性就要大很多����。360去年年底的時候成立一個360云綜合事業(yè)部,我們做云計算安全基礎(chǔ)研究�����,包括云計算研究系統(tǒng)漏洞以及加強云計算���,還有私有云系統(tǒng)正在開發(fā)安全加固�����,這塊我們下來希望用戶能夠控制自己云計算的安全策略�����,當(dāng)云計算里面發(fā)生風(fēng)吹草動的時候能夠第一時間得到通知��。
還有一個7乘24小時的云服務(wù)�����,包括你遇到DDOS攻擊��,我們有云情報服務(wù)等等的東西�。在云情報來說我們看到中國和國外的一些區(qū)別�����,在美國這邊做云服務(wù)似乎更多的是合作和公有云的市場�����,合作和AWS,在美國有市場提供各種各樣的服務(wù)�����,但是在中國云服務(wù)弄不好又走到零和博弈的狀態(tài)���,大家都是拼命的在市場上廝殺�,希望大家所有云服務(wù)都是我的����,從Iaas到Saas到Paas所有服務(wù)都是我的,這個里面云不應(yīng)該是云廝殺�,應(yīng)該是云共贏,不管是華為還是阿里我覺得沒有一家企業(yè)能夠掌控從云計算的基礎(chǔ)到安全到各個應(yīng)用方面的威脅��。對于安全是這個市場里面所有的敵人��,大家應(yīng)該共同聯(lián)合起來抵御云計算安全問題�。
對于云計算威脅,今天我們是在一片森林里面找出來一片樹葉���,流量越來越大��,網(wǎng)絡(luò)應(yīng)用越來越多�,攻擊混雜中間,大家知道你的電腦不知道被掃描了多少次���,如果它給你僅僅是威脅高知�,你怎么著出來真正有威脅攻擊�,這個從海量攻擊里面找出來真正有威脅的攻擊,解決這個問題��,我們的解決辦法是什么?用空間換時間��,一定是有代價的���。時間是換什么?換我發(fā)現(xiàn)威脅和進行處置的時間����?�?臻g是什么?空間是以數(shù)據(jù)的存儲量和計算能力去來換的����。我要存更長的時間數(shù)據(jù)����,存更大范圍的數(shù)據(jù)���,存更細(xì)膩的數(shù)據(jù),我用算法對它進行判定來找出來異常來發(fā)現(xiàn)攻擊���。這思想已經(jīng)有非常大的轉(zhuǎn)換����,不是有什么樣的軟件和安全定義放到我的系統(tǒng)之外我的系統(tǒng)就安全攻擊就進不來的�����,不是的����,是怎么樣轉(zhuǎn)換到快速的發(fā)現(xiàn)攻擊,怎么樣處置給我留下足夠的時間��。
剛剛提到威脅情報��,威脅情報在今天你從海量的數(shù)據(jù)里面去找出來真的哪個是攻擊情報非常重要����,比如這個IT地址它的冗余是什么樣的,過去這個IP地址是不是頻繁攻擊,這個域名是不是木馬控制端的域名��,這個域名的擁有者用這個手機郵箱注冊的人��,過去他家里的有沒有用這個域名干過壞事兒�。大家知道寫程序員也是比較懶的,他用大量木馬改木馬��,這個時候你知道木馬在傳播過程中源頭是誰�����,這些都可以發(fā)現(xiàn)��。
在威脅情報商來說我們360有80億的文件樣本�,其中有好幾十億都是壞的程序,每天還新增500萬樣本�����,我們?nèi)蛴凶畲蟮淖》繋?,一個程序運行的時候訪問了哪個資源訪問了哪個IP��,360客戶安全衛(wèi)士這個東西訪問了很多東西���,訪問了哪個IP�����,會把它捕獲到我們的程序上�,這個程序有程序行為,訪問了多少敏感資源等等����,這些防御數(shù)據(jù)庫也是抓最后這程序是不是惡意程序的依據(jù)。360還有云服務(wù)����,就像一個木馬有控制端,它需要解析����,但是這個域名解析非常難,它需要訪問控制端就需要解析木馬域名�,誰沒事兒解析它的域名?��;旧鲜悄抉R的作者會訪問這個云����,這時候是DVOS的解析。還有我們360也做搜索業(yè)務(wù)��,這是最大的350億次網(wǎng)頁的數(shù)據(jù)�����,這個時候如果我要找到過去他歷史上這個頁面長什么樣���,這個頁面有沒有下載木馬�����,在網(wǎng)址庫里找到����。以及目前有總數(shù)超過4萬的漏洞庫�����,什么網(wǎng)站在什么系統(tǒng)漏洞都在這里頭都有�����。
還有我們是典云計算服務(wù)器��,到這個季度我的服務(wù)器都是4萬臺最廉價的服務(wù)器搭建出來的����,有兩千個TB群兩,我Hadoop最大的單機群600多萬臺��,有非常廉價的處理能力�。有了存和算的能力你怎么有效的算,這里面就是在算法上能夠有什么樣的演進��。我們是在2009年的時候開始用機器學(xué)習(xí)算法開始對靜態(tài)文件算起來�����,我拿它進行比對我就知道概率文件有多少是壞的�����,2009年就這樣做的����,后來用算法判定網(wǎng)頁等等東西,到現(xiàn)在判斷于一個網(wǎng)頁流量����,拿一個算法它就告訴我這個是不是攻擊�。我們現(xiàn)在成功的把深度學(xué)習(xí)做流量正常預(yù)測�,在去年除了GPU多路應(yīng)用基礎(chǔ)之上,今年我們開始在異構(gòu)計算上面進行探討���,怎么能夠把CPU和GPU怎么聯(lián)合有效的運行計算�。
這個是可視化能力����,很多東西是展示給領(lǐng)導(dǎo)看的,領(lǐng)導(dǎo)看到上面有花花綠綠的圖象�,做各種各樣的箭頭打來打去看上去挺熱鬧的,這個對于領(lǐng)導(dǎo)看可以�����。但是我們做可視化目的是為了發(fā)現(xiàn)��,不是展現(xiàn)給領(lǐng)導(dǎo)看���。給領(lǐng)導(dǎo)看很簡單��,但是發(fā)現(xiàn)不容易�����。比如我下面展示這張圖背后有一個幾千億條的龐大數(shù)據(jù)庫���,這個數(shù)據(jù)庫要求你在毫秒級,最多對幾百億幾千億條數(shù)據(jù)關(guān)聯(lián)關(guān)系�,然后再展示在這張圖表上,一般情況下你會面臨非常大的屏幕����。當(dāng)這個數(shù)據(jù)對它挖掘然后再展示它的關(guān)聯(lián)數(shù)據(jù),關(guān)聯(lián)數(shù)據(jù)馬上展示圖片�����,這個工具幫助安全分析人員來快速進行分析���,因為人對這個圖表對圖形圖象敏感程度遠(yuǎn)遠(yuǎn)高于對于數(shù)據(jù)��,雖然都是幾百億條上千億條數(shù)據(jù)���,你看里面的數(shù)字關(guān)聯(lián)就要大的多,這是我們可視化能力�。
以上四條相加,最終我們要做到的其實就是讓安全威脅在IT管理人員眼中是可以看到的���,他可以感知到的這樣一個信息�。你看到安全威脅你才能夠有效地對它進行防御,而你看到的能力其實就是根據(jù)你所掌握的信息量來掌握的��,你基于大數(shù)據(jù)�����,你基于海量數(shù)據(jù)量分析才有效地幫他找到網(wǎng)絡(luò)攻擊����,而不是看到的噪聲。如果你給他看到兩個的的確確的攻擊����,去偽存真。在整個安全威脅里面我認(rèn)為它是拼圖游戲����,大數(shù)據(jù)幫助你把每一片圖片找出來,完整的幫你恢復(fù)攻擊的場景怎么回事兒����。
目前我們已經(jīng)部署了多少終端提供多少防護之類的,它的做法就是在企業(yè)里面會部署一些流量采集設(shè)備和信息采集設(shè)備,把它企業(yè)不希望泄露出來的這些信息在本地進行計算���,然后再聯(lián)到外部IP部署平臺�����,把你運行情況和PV都收集過來進行關(guān)聯(lián)分析���,這個時候它就告訴你哪個IT從什么時哪個網(wǎng)站下載什么����,你終端受控了攻擊者是誰,造成什么樣的后果��,還有其他哪些單位遇到這樣的事情�����。這個改變是什么呢?改變就是過去單位我把自己網(wǎng)絡(luò)邊界管好就OK了���,今天是跳出整個互聯(lián)網(wǎng)范圍之內(nèi)來看我這個單位安全的問題���。過去比較多的看網(wǎng)絡(luò)流量,我在邊界上網(wǎng)絡(luò)LBS網(wǎng)絡(luò)流量是什么東西,今天會把終端信息�����,域名信息����,云里面的情報信息結(jié)合起來來做。今天當(dāng)你面臨海量的信息時一定是靠一個高度自動化的系統(tǒng)而不是完全靠人工去做�����。
過去我們比較講安全攻防����,是講安全的專業(yè)人員。今天除了安全攻防人員之外我們需要更多的數(shù)據(jù)分析人員�����,他要熟練能夠掌握各種各樣的分析算法分析計算�。除了我們安全專家還需要大數(shù)據(jù)專家,我們進入云計算和大數(shù)據(jù)時代�,從研究一片樹葉走到研究一片森林,在云計算這個時代���,覺得這個趨勢肯定是無法逆轉(zhuǎn)的��,對我們整個世界的發(fā)展會起到非常重大的作用��,但是我們一定要認(rèn)識到云安全威脅更大��,安全威脅解就是云計算本身��,你云計算本身架構(gòu)解決了��,你才能夠把大數(shù)據(jù)安全威脅做到����。它的解析也在云里面���,也就是我們要從端到云里面去����。謝謝大家���。
主持人:謝謝譚總��,剛剛我感覺云計算安全的問題是所有用戶都關(guān)注的問題����,無論是個人用戶還是企業(yè)用戶都非常關(guān)注的,另外剛剛譚總還總結(jié)了云計算安全的新問題新情況�����,并且提出了360新的解決思路和應(yīng)對方法��,非常好����。特別有意思的是說剛剛譚總是以改變這樣的主題詞來開始他的演講,大家還記得不記得2008年美國奧巴馬就是用改變這個詞贏得總統(tǒng)���。我也希望云計算大會贏得這樣的創(chuàng)新思維來贏得云計算更大的成功����,謝謝譚總����。好,各位今天我們上午演講的部分既有院士學(xué)術(shù)思想報告���,又有很多專家創(chuàng)新思維和創(chuàng)新思路��,應(yīng)該是一場非常好的高營養(yǎng)��,高蛋白的技術(shù)大餐����,但是時間已經(jīng)過了12點了,我想每個人肚子差不多也餓了�����,下面是我們的午餐時間�����。請大家盡情享用我們提供的盒飯��,謝謝!
