网络空间中似乎所有人都在被攻击着。「网络分两种,受了攻击能看见的网络和受了攻击看不见的网络。」
被发现,总有一方被消灭。
——《三体》黑暗森林法则
在今天上午的中国互联网安全大会上,360 董事长兼 CEO 周鸿祎以《三体》中的黑暗森林法则作为演讲的结尾。与去年的「用户信息安全三原则」强调个人信息安全不同,今年周鸿祎选择了《看得见的安全》作为演讲题目,并将重点放在「看见」上:
「安全不是产品,不是防火墙、IPS、扫描老三样,更不是密码,而是一种能力。看见是安全最重要的能力。」
愈演愈烈的攻击与安全事件
DDoS 又称分布式拒绝服务攻击,通过将多个计算机联合起来作为攻击平台,对一个或多个目标发起攻击,从而成倍地提高拒绝服务攻击的威力。
黑客通过网络控制大量「肉鸡」对目标主机一起发送并没有实际作用的数据包,从而导致正常访问该页面的用户无法打开页面甚至主机崩溃。
在演讲现场,周鸿祎展示了一幅 DDoS 实时攻击的可视化图像。通过实时监控时间、强度、次数等维度的全球攻击数据,就可以对每个发起攻击或者被攻击的点进行实时分析和追踪,还可以分析到 DDoS 攻击时间幕后的 IP。
每一点表示一个攻击目标,位置越高表示次数越多强度越强
同时这套系统可以实时追踪监控几千个全球活跃的 DDoS 主控,使其发现了主控间的联系。看起来毫无关联的主控会聚合在一起发动攻击共同打击同一个目标,有时也会进行交叉攻击。「但是在这个系统上看到的这一切,网站和企业是无法看到的。不知不觉中带宽就会被占用,正常服务受影响甚至瘫痪。」
在虚拟的网络空间中,发现 DDoS 攻击之间千丝万缕的联系只是「看见」带来的部分效果,「看见」也正在影响了企业的安全防御。以婚外情网站 AshleyMadison 遭遇的安全事件为例,大量用户数据和公司内部数据泄漏引发世界范围内的恐慌,370 万用户信息被公开甚至引发用户自杀。
「在这个事件中 AshleyMadison 是被动的,并不知道自己被黑、也不知道谁黑的,根本无从防范。」
2013 年美国曾经指控中国 5 个军人对美国进行网络攻击,美国网络安全公司 Mandiant 一份长达 60 页报告详细的揭秘了 61398 部队,该公司对 61398 部队进行了长达 6 年的一些网络行为追踪。国家只有看见,「才能有安全话语权。」
「每天都会有企业和机构被黑,每天都会有信息泄漏,国家、企业、网站、个人没有人能幸免。
今天安全的被描述为糟糕、失陷、黑暗,都是源于看见能力的缺失。
看见才能意识到威胁;看见才能防御;看见才能有安全感。」
数据是「看见」的基础
「所有网络行为都会形成痕迹,有痕迹就有数据,安全大数据是形成看见能力的基础;有了数据还要有数据连接能力,数据分析和挖掘能力,结合安全经验,才能形成看见能力。」
为了逃避检测,恶意网站通常会不断变化地址,不同的恶意网站有时会共用同一个 IP 地址。曾有某恶意网站先后用过数十个 IP,分布在俄罗斯、墨西哥、智利、美国等不同的国家,通过快速变化地址、地域很难对其进行快速的识别和拦截。
将所有数据组合起来,就能发现恶意网站之间的联系。通过建立中国第一个威胁情报中心,360 能够发现类似恶意网站,监测变化进行拦截。周鸿祎表示成立 10 年的 360 目前拥有超过「13 亿个安全探测点,积累了 60 亿 DNS 解析记录,URL 库日查询 300 亿 URL,日处理 100 亿 URL,日拦截 1.4 亿 URL 用户访问钓鱼网站数」。
那么安装 360 产品的个人终端也在13亿侦测点之列,360 是在公开表明自己正在被收集用户信息么?在专访中周鸿祎对极客公园表示手机的数据都是公开的解析域名和恶意域名数据,并不涉及用户隐私数据。
目前 360 已经与包括美国火眼等多家安全公司达成合作,以数据交换为基础的合作使得一旦发生攻击,双方能快速发现攻击数据来自哪里。包括亚马逊、Facebook、Twitter、汇丰银行等全球企业、大学和机构都在分享这一威胁情报中心提供的数据和威胁情报。
在今日上午前美国国家安全局局长基思·亚历山大(Keith B Alexander)同样提到,通过大数据对整个网络空间中正在发生的行为和行为模式进行侦测和识别,就能迅速发现网络空间中的异常行为,实现防御。
基思·亚历山大表示网络安全事件正在对各个国家产生影响
「网络分两种,受了攻击能看见的网络和受了攻击看不见的网络。」在今年早些时候 Black Lotus 发布的报告显示,64% 的平台提供商受到 DDoS 攻击影响,66% 的托管解决方案提供商和 66% 的 VoIP 服务提供商受到影响。
愈演愈烈的 DDoS 和 APT 攻击使得今天的网络安全状况变得愈发复杂,不再是单一终端面临的问题,需要快速的反应能力和安全力量间的协作,也许这正是周鸿祎不断在今年的互联网安全大会上强调「看见」的原因。
对于 360 的未来周鸿祎似乎很乐观,「看见决定企业安全、决定国家安全,下一个伟大的安全公司一定是诞生在具备看见能力的企业中。」
题图为周鸿祎接受媒体专访
