“第八届中国信息安全大会”于2007年4月18日在北京新世纪日航饭店隆重举行。本次大会以“和谐网络&应用安全”为主题,并组织了四场分论坛,主题分别为“安全网络&绿色上网”、“特色产品&行业应用”、“信息安全管理&合规性”以及“业务协同下的应急管理”,以下是本次大会的精彩演讲之一
杜跃进:大家好!我提供一点最新的情况。我用一个很短的时间做一个很简单地报告,只是和大家分享一下一些不一定成熟的想法。我报告的题目叫做“事件处理与网络安全保障”。首先提一个概念,我们这个单位是从事件的角度看网络安全,我们认为这是行业安全的标识。在网络这个行业就是事件是检验是不是安全的唯一标准。因为这反映了事前的产品、技术、预案、投入的资金到底有效没效。我们可能有一些硬性指标100%投入在安全上,这就安全了吗?我们可能顶级的会议用了一个最先进的技术,那就安全了吗?那么安全事件本身决定了所有的一切是不是起到了作用。我刚才在说一些这样的东西。
我们看到的安全事件的数量上来说,其实还是非常多的,因为我们每个月都会公布一项安全事件,每半年和全年都有报告。我们07年1季度,我们看到了大陆地区超过50万个IP的计算机被境外的计算机通过木马在秘密控制。在僵尸网络被控制的是5918个,当然不一定是国内的了。2006年接到找我们求助的事件就达到了570多起,而且攻击就更猖狂了,可以敲诈勒索,让网站都痛不欲生。我们1月份开过一个会,受害者都去了,网页篡改事件很多,恶意代码我们做了一个很小的系统,前3个月我们就发现了3.6万亿不同的新的代码。这些安全事件本身从一个侧面反映了我们的安全并没有像我们想象的那样取得一些防护的效果。这里面还有一个有意思的事情是,我们有面对面访谈的调查,调查的结果和我们通过技术手段得出的结果不一样,很多当事人并不知道。就是你家里进去小偷了吗?不知道。那么面对这样的安全事件应该做什么?我们可以看一下我们在现实社会中的安全事件和虚拟社会的安全事件,我们是怎么样不同对待的。
在现实社会中一类是安全事故,比如说你走在马路上,马路上有砖头把你办了一跤,那么你要看着路。那么虚拟世界有黑客怎么办?不是说你注意就可以了。其实网络安全事件有两大类,有一类是没有目标的,像我们以前的这种病毒、蠕虫,随即找目标,找到你就是你了。还有一种是有目标的攻击,针对花旗银行做的仿冒网站,针对易贝的用户窃取东西,针对我们的奥运网站设的圈套,针对我们的航天航空系统做的僵尸程序。这跟原来的事件是很不一样的,但是我们带对付网络安全事件里面,我们对付不同的情况的时候,我们有区别吗?大家想一下,我们看到的是没有区别的,我受到外面的攻击了,我用防火墙挡一挡。那么现实世界我发现一个贼总想进我家门,我把门加固一点。我发现木马了,我把它清楚掉就可以了。那么我家有一个金库,我家有一个后门可以随便进,我堵上就可以了。你也不管人家是不是偷了钱和按窃听器。
那么这些来源在于我们对于网络安全的威胁缺乏了解,我们看到了以为是病毒、蠕虫,我们把木马当成病毒来处理,我们把僵尸网络当成听听笑话。其实现在的网络安全事件和以前有很大不同。严格来说网络安全事件有三部分,第一部分是谁在攻击你?无目标的不用管,你关心谁写的对你解决这个事件没有关系。但是别人对你做DOS攻击你肯定要管谁在攻击你,他从什么地方来的,为什么要攻击你。那么有作案一方,肯定有受害一方,那么受害一分是谁?他的目标是什么?是想让你的系统瘫痪,还是窃取敏感信息,还是想破坏你的系统。第三个是我们平常打交道的,就是他如何达到他的目标,这里面提到他用了什么样的工具?木马还是蠕虫?他的过程是什么,他怎么样让恶意代码进来,或者是他怎么样达到让你的系统不能对外提供服务的。路径是什么?他是直接进来的,还是经过了几跳,他是拿着自己的帐号取钱还是技术了第三方等等。
我们现在对于很多安全事件的处理,我们只关注了一个要素,就是方法。就好像说,其实有一帮坏人天天拿着箭来射我们,射过来我们挡掉了,再射过来我又挡掉了,我没有想到是不是让他射不过来。最后总也过不来,他跑到背后捅你一刀,总有成功的一天。
网络安全的保护是个三维的结构。在这三维里面完全是围绕着怎么样对抗事件的,比如说纵轴是怎么样做预先的工作来预防事件,包括发生事件时候的发现,横轴就是我通过哪些元素来构造这些能力。关键我想说Z轴,这是我们忽视的。就是我们所有的都做得很好,你都是在按照你的想象构筑防卫的能力,但是你不了解人家的攻击手段。警察要抓小偷都要学习小偷用什么伎俩,所以我们要研究各种新的威胁的手段,通过这种手段你要检验你的预先防范体系行不行,技术平台行不行。比如说你发现一个人在什么地方,一个人在攻击你,你需要切断他,你到哪里切都不知道。
我们今天只是讲事件和威胁,我们看一下我们现在安全事件威胁的变化。很多的威胁类型,我们可以看得到的是,原来传统的没有目标的病毒、蠕虫占得越来越少,这个从04年可以看得出来,05年已经确认了。但是为了获取一定利益的混在一起的方法越来越多,这也是我们06年确认的,我们现在也在做很多地下产业链的调查,这个数目也是非常惊人的。那么威胁类型是混在一起,有一些攻击是有代码的。你靠防火墙和杀毒软件就可以解决问题,但是有一些没有恶意代码。比如说社会工程学方法和DDOS攻击等等。为什么会有这样变化?有很多其他的客观因素导致的,一个是环境的变化。现在的网络跟以前的网络很大的不同是可用的资源很多,互联网是大金库。很多人在窃取别人的信用卡的帐号到处在倒卖,现在倒卖的价格越来越低了,因为现在这种信息越来越多了。以前大家不会觉得你敲诈我访问量没有那么大,你爱敲诈不敲诈,你爱公布就公布吧。
从03年开始我们看到大量的蠕虫,已经不再是传统的蠕虫了,进到你的系统之后都开始往后面发信息。那么发信息的目的是什么?攻击者可以控制你,比如说03年3月份的蠕虫入侵你他没有利用漏洞,而是利用管理上的弱点。进入之后会向控制服务器建立联系,当时前两天就4万人被控制。现在所有的威胁类型,像僵尸网络、间谍软件、木马、在线身份窃取都不是这个威胁本身带来危害的,而是通过这个木马背后的人想要达到目标给你带来的危害。谁在控制木马是偷你的信息,还是利用你的计算机干别的事情。
因为现在有太多的挣钱的机会,所以大家开始通过互联网这个安全事件来获得利润,才产生了变化,由于这些变化从技术的层面上来说,我们看到有很多的技术特点的变化。第一个就是有目标的攻击,这意味着你原来的大撒把式的获取恶意代码的手段不是那么灵了,我永远只是针对一个特定区域的,这样的攻击方法在别的地方做不到。那么,有可能你再到处去升级产品,对你这儿就是不适用,隐蔽性不再是为了炫耀自己。所以很多人不知道,他会在你的机器里面埋伏很长的时间。他专门等着你上工商银行的时候才记录一点东西,其他的时候没有任何的反映。所以现在经常说黑人怎么样,大家就打断你,说犯罪组织吧,很多是有组织的。它形成了一个产业链是互相上游下游的。
复杂化,代码的组合还是攻击的过程的组合都变得越来越复杂。所有这些变化,我们研究他的目标都是我刚才说的,你要反过来看你的安全措施是不是能够应对这些东西。其实我最后的部分是由于刚才介绍的东西,我们只是反省一下我们日常的工作有没有哪些需要改进的地方,或者是我们觉得可能有疑问的想法。一个就是反省我们对应急响应的理解,很长时间以来大家认为应急响应就是PDRR里面一个环节。说着急了才找我,什么事情也解决不了,因为应急响应是事先要了解很多的东西,做好很多的准备。我们拿放火举例子,这样的房间事先经过消防的检查,这个材料怎么样,消防通道有多少。如果没有做好,我在哪哪哪,消防车都进不来,你这里应该有泡沫灭火还是气体灭火。应急响应是有常态工作的,是事件处理,不要等到变成了危机事件急了才相应的。我们看一下计算机组织的服务,是从风险评估就开始的。那么事件处理和响应也不是一个安全保障的环节,它是和其他的环节形成一个臂环,影响到其他的环节。因为威胁是会变化的,通过处理来体会到的,你要来调整你每一个环节。不是说我把木马清除掉就清除掉的。你原来不是有防火墙吗?所以你要调整,所以事件处理是要发现调整其他的所有环节的。
事件处理本身其实就是网络安全保障一个日常工作的体现,我们很多的企业用户买了一对产品,风险评估做完了往那一放就没有事了,这不行,你需要每天有人在工作。那些产品、技术、方案是你干这些工作的工具。包括现在的IPS,我不认为可以替代我们的工作。从世界上看,计算机安全都体现了有计划的前期的事件处理的想法,而不再是说到了紧急的状态才做工作。
我们看一下现在的威胁是什么?应急预案有没有能力落实,你的响应是多少,人家让你瘫痪的速度是多少,你识别一个威胁代码的时间是多少,人家攻击你的代码是多少等等。
很多的时候更加危险的是来自有目标的攻击,但是在这种安全事件中,我们的对手不是恶意代码本身,灰鸽子本身有什么问题?这里面装了灰鸽子没有人联系上,这没有问题,危险是后面控制它的人,他的目标是什么。
那么在这里面同时可以想像得到的,如果是这种情况下,我们的对手不是别人编辑出来的病毒本身,不是他植入到你计算机里面的木马本身,那么我们的对手是人。这个是人的话,我们有没有可能编写一套东西,不管是联动还是软件、硬件,就可以跟人对抗?我觉得有可能,黑客帝国描述的就是这个情况,人都是被计算机控制的,但是我们等到那一天的时候,我们这些人就可以休息了,等着产品来做了。但是,现在还不行,因为你是跟人对抗。
另外我们在很多的情况下,对于处理安全事件的时候,我们也不区分受攻击对象的情况。比如说DDOS对一般网站做攻击,可能连续攻击半年,你可以慢慢扛着追查攻击者。但是对于奥运会直播的时候,我能不能扛半年?我一天都扛不了,在这种情况下,同样是一种攻击、流量,但是对于不同的用户、受害者,一定会以完全不同的策略。你是扛着还是先检测危机?这都是不一样的。一个木马在一个普通用户计算机里面,还是在一个公司的计算机里面,你发现这个木马是连到我们的竞争对手,或者是来自一个敌对国家的有组织的系统的。如果有这样的信息之后,你的事件处理是不是一样的。我们任何情况下根本连区别都不区别的。
拿一个具体的案例来说,他是一个很小的省的企业,给用户提供DNS解析服务的,他在今年4月4日的时候受到了DDOS的攻击,他的设备不够先进。怎么办呢?把外省的解析攻击过滤掉了,可以了。8天之后从内部又来了,最后发现攻击来自网吧,网吧的机器是重启之后就没有了,所以不知道了,结论是这个网吧感染病毒了,对我们发起攻击,方案是把我们的服务器做大一点,做强一点。这是很多企业的通用的做法,可是我现在讲这么多,你回忆一下第一步就是不对的。第一步不可能是一个无目标的攻击导致这种情况,你是一个小省的,没理由大省的用户把你设成缺省的DNS,所以第一步就判断错误。他把外面的隔离掉之后觉得没有问题了。
第二步的结论也是错误的,我把这个服务器做大一点,假设你一共24个用户,你需要1兆的流量就够了,但是你为了应付攻击你做了1G的流量,而且攻击可以很低成本的让你新的投资又抵抗不住。我们现在DDOS真实的流量可以达到12G,所以我认为是思路上的问题。另外就是盲人摸象和各管一摊,我们现在都开始意识到一个大型的网络系统,不能只看单点的问题。你要把不同的地方做综合的分析,分析离你更远的地方。最有效的办法是通过公安部门把他们轰到省以外,国门以外。所以你把这个木马清除掉了,可能还有后门留在那里。
还有我们自己的资源抵抗不了来自外部的资源,我们在坐的是受到法律制度和边界限制的,对于攻击者来说是一切限制都没有的,是一个不对等的对抗。所以你不要靠自己解决所有的问题,你需要寻求合作。但是合作的时候就有问题了,全世界存在着问题,多部门合作的问题,法律效率的问题。有制度、法律、边界的合作,你怎么样对抗人家的合作?不是说完全没有办法,只是提出问题让大家思考。
说了这么多,对于中小企业或者是个人用户怎么办?我们的核心目标是保障国家网络安全的,那么对于中小企业和个人用户也是讨论的热点。
我觉得一时没有很好的办法,我只是提了一点。第一是让中小企业或者是个人用户掌握更多的基础安全知识,要不断地了解新的问题,不要老觉得外面说的东西跟自己没有关系,不要觉得你不用网络就没有问题了,银行也在用,你的钱一样丢掉。不要网上买奥运会开幕式的票,你的钱可能会被偷走。但是建立专业队伍成本太高了,但是可以通过购买服务加以补充。有一些专门对外提供服务的公司,他靠量,我有很多的用户,他可以养活自己,你养活不了他。在2000年互联网最发达的时候,美国在线安全专家到中国来做报告,我问这样的专家有几个?他说只有一个,为什么?养不起,更不要说中小企业了。不可能买非常昂贵的设备,有一些小网站说黑洞挺好的,但是我买不起。所以这个时候要调整战略,并且把重点抓最核心的东西。
安全是一个度,并不是绝对的安全,只是说最不能承受的损失花1块钱就可以了。当然不是说我花1块钱买100块钱的东西。你要注意不要被冒充的专业组织骗了。
最后是我们从今年1月份得到一个启发,通过积极的大家分享,如果有安全事件,你可以保留个人隐私的东西,可以促进像互联网协会这样的,掌握更多的情况,推动全社会的重视。像现在的流氓软件也是因为全社会重视了之后有了压力,有关部门才有更大的力度你解决问题。谢谢 | 
