客服熱線:
手機版
二維碼
7月25日,2019網絡安全分析與情報大會在北京舉辦,作為中國威脅情報領域規模最大的的行業盛會,大會吸引了來自政府機關、金融、互聯網、安全等各個領域的一線安全專家,分享企業信息安全和威脅分析研究成果和落地實戰案例。金山云安全負責人孟偉受邀出席,發表了《情報的協同應用及情報使用的創新方法》的主題演講。
金山云安全負責人孟偉在大會上發表演講
在演講中,孟偉表示,云環境下,用戶業務形態愈發多樣化,造成攻擊的形式也更加多元化,傳統的規則匹配、統計分析及機器學習的方式已經越來越難適應新時期業務需要,金山云通過將威脅情報能力集成到現有的安全產品(高防、WAF、主機安全、威脅感知等)中,與現有的檢測防御機制協同工作,消除誤報,從而盡可能降低漏報、減少安全的運營成本,為用戶提供更加高效、精確的安全防護。
情報協同來高效保障云平臺安全
隨著信息技術的高速發展,業務上云已經成為產業發展的必然趨勢,與此同時,業務威脅、網絡攻擊和數據泄露等安全事件,對企業安全能力提出了更加嚴峻的挑戰。高效利用多維度情報信息,構建更加穩固的安全能力,成為新時期安全能力的提升方向。在利用情報保障云平臺安全的產業實踐上,孟偉分別從入侵檢測、風控、DDoS防護三個維度進行介紹。
在利用情報進行入侵檢測方面,“傳統的入侵檢測方式是將收集到的數據經過規則匹配、統計分析,甚至是機器學習的方式來檢測是否被入侵, 這種方式策略太嚴格漏報會增多,策略寬松誤報會很多,”孟偉講到,“金山云通過將經檢測后的數據,再進行一次情報查詢,能夠大幅提升報警準確率,同時可以聯動資產系統自動給資產負責人告警。”
在利用情報進行風控方面,面對一些利用云計算資源進行灰黑產等行為,通過將風控系統與Passport進行聯動,Passport將用戶注冊信息的如源IP、用戶名統一進行威脅識別后返回風險級別,根據不同的風險級別來做不同的舉措,從而實現風控效率的最大化。
在利用情報做針對CDN節點的DDoS防護方面,傳統的做法是采用二分法的方式,需要多次調度,效率較低;通過結合情報信息,分析7層請求日志,對來源IP用情報判斷,優先調度、二分法調度同時進行,極大地降低了調度次數,提升業務敏捷性。
綜合情報信息構建立體化云安全體系
云安全作為一套復雜的系統,威脅情報在其中提供了一項非常有價值的判斷維度,讓之前需要投入大量資源或者無法有效解決的場景,實現在輕資源投入的情況下達成業務目標。在保障業務安全上,金山云通過將情報集成到WAF、云主機等產品中,為云上用戶輸出安全能力,提前發現合規風險。
在WAF方面,面向惡意網絡攻擊,金山云通過將WAF聯動情報API,對來源IP進行風險判斷,依據風險大小來直接阻斷來源IP或者限制對某個具體URL的訪問,根據客戶運營反饋的誤殺率調節阻斷的風險值,多次調節后,實現服務恢復正常并且誤殺率處于可接受范圍。
在主機安全方面,通過將netstat的遠端地址用情報庫來判斷是否為遠控地址,講變更文件的hash值采集上來利用情報判斷是否正常文件被替換成了惡意文件等措施,大幅降低了誤報率,提高了報警的準確率。
此外,面向日益嚴峻的合規性問題,妥善利用情報,能夠盡早發現合規風險。對于發垃圾郵件被封、爬蟲業務被封、接入未備案域名被封等風險問題,通過將情報作為重要維度來識別云上用戶的業務是否合法合規,提前預防,保障云上資源的純凈性。
“威脅情報只是給我們提供了一個判斷的維度,怎么在復雜的場景中將情報利用起來,通過技術分析對業務風險進行識別,讓情報成為我們做出決策的依據,這才是最終目的,”孟偉講到,“通過綜合運用情報資源,將業務場景與情報進行有機結合,讓情報為業務所用,可以實現事半功倍的效果。”
