以下為演講實(shí)錄:
今天我的報(bào)告的題目是數(shù)據(jù)驅(qū)動(dòng)安全��,包括云計(jì)算安全與大數(shù)據(jù)應(yīng)用這兩個(gè)部分。其實(shí)在前面4月底所在美國(guó)開發(fā)的RC大會(huì)�����,2015RC大會(huì)上面有一個(gè)關(guān)鍵詞叫做改變��,這個(gè)時(shí)代我們其實(shí)面臨一個(gè)變革的時(shí)代���,首先是企業(yè)的IT在改變�����。所謂的互聯(lián)網(wǎng)IT在GNER所出的2015年的趨勢(shì)報(bào)告里面提到IT里面提到越來越多多的傳統(tǒng)企業(yè)會(huì)選擇今天互聯(lián)網(wǎng)IT產(chǎn)業(yè)架構(gòu)��。我們?cè)谛畔踩裁媾R一個(gè)改變的時(shí)代�。在今年RC大會(huì)上面所看到的各個(gè)廠商的產(chǎn)品展示我們能非常清晰地感覺到這一點(diǎn),從過去各種各樣的產(chǎn)品展示各種各樣的盒子�����,在今年展現(xiàn)各種各樣的雜盒子����,各種各樣的網(wǎng)絡(luò)硬件設(shè)備展現(xiàn)的比較少,大家更多的談到我怎么去發(fā)現(xiàn)網(wǎng)絡(luò)中間的安全威脅���,以怎么去獲取外界的情報(bào)等等�����,有了一個(gè)在RC的總裁它在演講里面甚至提出來說我們現(xiàn)在處在一個(gè)什么時(shí)代����,我們是在地圖之外航行����,我們沒有一張航海圖可以告訴我們什么地方有暗礁什么地方有水流����,我們是要在前進(jìn)中自己選擇未來的正確的路在哪里��,這是改變。
對(duì)于今天開云計(jì)算大會(huì)大家應(yīng)該有一個(gè)非常清晰的感受�����,在云計(jì)算這個(gè)概念我們過去說了好多年以后今天它已經(jīng)是遍地開花�����,不僅僅是互聯(lián)網(wǎng)云計(jì)算�,還有政府到各個(gè)企業(yè)都開始踐行云計(jì)算���。
在云計(jì)算時(shí)候其實(shí)我們的安全情況是什么樣子����,我們是更好了還是更糟了?其實(shí)我們想想云計(jì)算有沒有解決我們什么樣的安全問題?傳統(tǒng)的安全問題其實(shí)一個(gè)都沒有解決�����。但是因?yàn)樵朴?jì)算我們又新引入了一些新的系統(tǒng),不管是從MVALM還是OpenStack還是Paas����、Saas還是Iaas,整個(gè)復(fù)雜度都提高了���,如果說作為按照角度來說你可以攻擊的點(diǎn)增加了���,攻擊面增加了,你的系統(tǒng)脆弱性��,整個(gè)系統(tǒng)脆弱性肯定會(huì)提高�����。而且因?yàn)橐粋€(gè)系統(tǒng)中間組建增加,一個(gè)系統(tǒng)的安全認(rèn)證會(huì)變得更加困難���。這是一個(gè)。
還有一個(gè)是今天的世界在有了云計(jì)算之后企業(yè)可以更加鏈家更加快速的來獲得計(jì)算機(jī)資源��,它的信息化程度越來越多�����,越來越多的數(shù)據(jù)會(huì)在云計(jì)算時(shí)代里面���,就像馬云說的我們進(jìn)入TB時(shí)代���。數(shù)據(jù)會(huì)被人篡改的目標(biāo)。在這個(gè)時(shí)候除了把你系統(tǒng)和數(shù)據(jù)拿走或者是篡改之外還有��,大家知道在中國(guó)搞跨一個(gè)網(wǎng)站之外�,把管理網(wǎng)絡(luò)的管理員把網(wǎng)線把它拔了。這個(gè)工程師是不是可靠��,他的行為是不是能夠得到有效的管控?這個(gè)里面就提出來像云計(jì)算安全可控和審計(jì)監(jiān)控這方面我們做得夠不夠。
我們現(xiàn)在面臨傳統(tǒng)的IT系統(tǒng)可能更大的面臨安全挑戰(zhàn)�。在這種情況下怎么辦?云計(jì)算系統(tǒng)肯定是以更大的態(tài)勢(shì)得到廣泛應(yīng)用,我們?cè)趺崔k?我們得到的思路第一個(gè)是縱深的防御線路���。這個(gè)是最近一兩年在整個(gè)信息安全防御情況下巨大的改變����,由過去城墻防御轉(zhuǎn)化到系統(tǒng)防御�,我希望構(gòu)建一個(gè)難以支撐的城墻,但是城墻一旦被突破基本上可以被屠城����。為什么我們今天有所改變?因?yàn)榻裉烀苤\攻不破的城墻,尤其是當(dāng)你的數(shù)據(jù)有吸引力的時(shí)候�,各種各樣的攻擊工程,城墻是一定可以被打破的��,但這時(shí)候防御就轉(zhuǎn)換到塔斯防御����。我在前面知道攻擊者來了,并且知道攻擊過程中層層防御消耗進(jìn)攻力量���,甚至有機(jī)會(huì)可以去反致��。后面講云計(jì)算怎么樣構(gòu)建最深防御�����。
系統(tǒng)有沒有發(fā)現(xiàn)漏洞是一定的���,你如果自己不主動(dòng)挖掘漏洞���,等著攻擊者來挖掘你的攻擊漏洞,這是很差的����。第二個(gè)像去年XP停服了之后一系列事件證明給大家��,我們可以讓漏洞難以成功�����,漏洞在��,但是我可以讓它的漏洞利用難以成功���,這個(gè)時(shí)候在云計(jì)算系統(tǒng)里面我們這個(gè)思路是不是可以同樣能夠起作用��。同樣漏洞在但是漏洞利用難以成功�。
第三個(gè)是我們要關(guān)注數(shù)據(jù)安全,以及最后一點(diǎn)我要做好最壞的打算��,如果我被攻破了怎么辦����。就像上個(gè)禮拜所發(fā)生的一系列事件,如果你不為你可能發(fā)生最壞的問題做打算����,最后出了事故就會(huì)特別迷盲。像前面獨(dú)頁(yè)的漏洞��,我相信今天還有很多人沒有被這個(gè)漏洞攻破����,你沒有被攻破只是因?yàn)闀r(shí)間和概率的問題。這是防御��。我們?cè)趺醋?第一點(diǎn)�����,我們可以對(duì)宿主機(jī)OS安全加固��。第二件事情我們對(duì)VMM可以進(jìn)行安全防護(hù),不管是KVM還是VMWARE等安全防護(hù)��,而對(duì)于管理系統(tǒng)是不是可以加漏洞加固它��。還有各種各樣的多租戶安全����,今天很多廠家提出這樣的思路,比如說多種流量監(jiān)測(cè)等等架構(gòu)問題���。安全審計(jì)�,過去幾年里云計(jì)算重視程度不高��,這里面第一個(gè)就是要預(yù)防云計(jì)算的服務(wù)商它在工作中間做什么事情����,有沒有人對(duì)你的虛機(jī)快照�����,有沒有對(duì)訪問你的某個(gè)文件��,云計(jì)算是不是自主可控�,不是服務(wù)商自主可控���,而是你租戶你是主人,當(dāng)你的租客被別人訪問的時(shí)候你是不是可控�����,這個(gè)在云計(jì)算里面我們覺得亟待加強(qiáng)�。以及虛擬機(jī)OS的安全,這方面國(guó)內(nèi)有很多人做���。這里面不可能跑特別多的軟件��,所以虛擬機(jī)相對(duì)比較少��。
還有就是我們找出漏洞比較少�����,攻擊者實(shí)時(shí)的過程中不希望被人發(fā)現(xiàn)�����,如果他在攻擊過程中被人暴露問題清除出去了���,所以就要部署清灌����。任何一個(gè)公司安全能力再?gòu)?qiáng)��,你獲取資源都是有限的�,這個(gè)時(shí)候你可以采購(gòu)第三方的威脅情報(bào)�,他是專業(yè)的威脅廠商�,除了你的信息之外他可能知道很多企業(yè)攻擊是誰攻擊的手段是什么等等這些,在這個(gè)過程中間能夠看到你所遇到的這次威脅在本次大背景當(dāng)中是什么樣的威脅�,以及自己的威脅����,在盡可能的范圍之內(nèi)收集更多的業(yè)務(wù)數(shù)據(jù)�。去年互聯(lián)網(wǎng)大會(huì)上說不是TB數(shù)據(jù)�,以及結(jié)構(gòu)化數(shù)據(jù)還是非結(jié)構(gòu)化數(shù)據(jù),是說你收集了多少范圍的數(shù)據(jù)����,你的業(yè)務(wù)有多細(xì)�,大數(shù)據(jù)講范圍廣時(shí)間長(zhǎng)業(yè)務(wù)細(xì)這個(gè)過程的挖掘才有意義。
安全是一個(gè)7乘24無休的處理��,攻擊者不會(huì)說你休息他就不攻擊。眾包平臺(tái)可以借鑒�����,當(dāng)你打開你的大門打開各地的白帽子���,甚至讓第三方參與的時(shí)候���,你的安全程度就會(huì)發(fā)現(xiàn)新的漏洞以及加強(qiáng)的可能性就要大很多。360去年年底的時(shí)候成立一個(gè)360云綜合事業(yè)部�����,我們做云計(jì)算安全基礎(chǔ)研究�����,包括云計(jì)算研究系統(tǒng)漏洞以及加強(qiáng)云計(jì)算�,還有私有云系統(tǒng)正在開發(fā)安全加固,這塊我們下來希望用戶能夠控制自己云計(jì)算的安全策略�����,當(dāng)云計(jì)算里面發(fā)生風(fēng)吹草動(dòng)的時(shí)候能夠第一時(shí)間得到通知�。
還有一個(gè)7乘24小時(shí)的云服務(wù)���,包括你遇到DDOS攻擊,我們有云情報(bào)服務(wù)等等的東西�。在云情報(bào)來說我們看到中國(guó)和國(guó)外的一些區(qū)別,在美國(guó)這邊做云服務(wù)似乎更多的是合作和公有云的市場(chǎng)�,合作和AWS,在美國(guó)有市場(chǎng)提供各種各樣的服務(wù)����,但是在中國(guó)云服務(wù)弄不好又走到零和博弈的狀態(tài),大家都是拼命的在市場(chǎng)上廝殺�,希望大家所有云服務(wù)都是我的,從Iaas到Saas到Paas所有服務(wù)都是我的��,這個(gè)里面云不應(yīng)該是云廝殺��,應(yīng)該是云共贏��,不管是華為還是阿里我覺得沒有一家企業(yè)能夠掌控從云計(jì)算的基礎(chǔ)到安全到各個(gè)應(yīng)用方面的威脅����。對(duì)于安全是這個(gè)市場(chǎng)里面所有的敵人,大家應(yīng)該共同聯(lián)合起來抵御云計(jì)算安全問題����。
對(duì)于云計(jì)算威脅,今天我們是在一片森林里面找出來一片樹葉�����,流量越來越大�,網(wǎng)絡(luò)應(yīng)用越來越多,攻擊混雜中間�,大家知道你的電腦不知道被掃描了多少次,如果它給你僅僅是威脅高知����,你怎么著出來真正有威脅攻擊,這個(gè)從海量攻擊里面找出來真正有威脅的攻擊��,解決這個(gè)問題���,我們的解決辦法是什么?用空間換時(shí)間�����,一定是有代價(jià)的���。時(shí)間是換什么?換我發(fā)現(xiàn)威脅和進(jìn)行處置的時(shí)間?���?臻g是什么?空間是以數(shù)據(jù)的存儲(chǔ)量和計(jì)算能力去來?yè)Q的���。我要存更長(zhǎng)的時(shí)間數(shù)據(jù),存更大范圍的數(shù)據(jù)�����,存更細(xì)膩的數(shù)據(jù)�����,我用算法對(duì)它進(jìn)行判定來找出來異常來發(fā)現(xiàn)攻擊���。這思想已經(jīng)有非常大的轉(zhuǎn)換�,不是有什么樣的軟件和安全定義放到我的系統(tǒng)之外我的系統(tǒng)就安全攻擊就進(jìn)不來的�,不是的,是怎么樣轉(zhuǎn)換到快速的發(fā)現(xiàn)攻擊����,怎么樣處置給我留下足夠的時(shí)間。
剛剛提到威脅情報(bào)���,威脅情報(bào)在今天你從海量的數(shù)據(jù)里面去找出來真的哪個(gè)是攻擊情報(bào)非常重要����,比如這個(gè)IT地址它的冗余是什么樣的,過去這個(gè)IP地址是不是頻繁攻擊��,這個(gè)域名是不是木馬控制端的域名�����,這個(gè)域名的擁有者用這個(gè)手機(jī)郵箱注冊(cè)的人���,過去他家里的有沒有用這個(gè)域名干過壞事兒。大家知道寫程序員也是比較懶的�,他用大量木馬改木馬,這個(gè)時(shí)候你知道木馬在傳播過程中源頭是誰��,這些都可以發(fā)現(xiàn)�。
在威脅情報(bào)商來說我們360有80億的文件樣本,其中有好幾十億都是壞的程序����,每天還新增500萬樣本,我們?nèi)蛴凶畲蟮淖》繋?kù)���,一個(gè)程序運(yùn)行的時(shí)候訪問了哪個(gè)資源訪問了哪個(gè)IP�,360客戶安全衛(wèi)士這個(gè)東西訪問了很多東西,訪問了哪個(gè)IP�,會(huì)把它捕獲到我們的程序上,這個(gè)程序有程序行為�����,訪問了多少敏感資源等等�����,這些防御數(shù)據(jù)庫(kù)也是抓最后這程序是不是惡意程序的依據(jù)����。360還有云服務(wù),就像一個(gè)木馬有控制端���,它需要解析����,但是這個(gè)域名解析非常難�,它需要訪問控制端就需要解析木馬域名,誰沒事兒解析它的域名��。基本上是木馬的作者會(huì)訪問這個(gè)云�����,這時(shí)候是DVOS的解析�����。還有我們360也做搜索業(yè)務(wù)�,這是最大的350億次網(wǎng)頁(yè)的數(shù)據(jù)�����,這個(gè)時(shí)候如果我要找到過去他歷史上這個(gè)頁(yè)面長(zhǎng)什么樣�,這個(gè)頁(yè)面有沒有下載木馬,在網(wǎng)址庫(kù)里找到����。以及目前有總數(shù)超過4萬的漏洞庫(kù),什么網(wǎng)站在什么系統(tǒng)漏洞都在這里頭都有���。
還有我們是典云計(jì)算服務(wù)器����,到這個(gè)季度我的服務(wù)器都是4萬臺(tái)最廉價(jià)的服務(wù)器搭建出來的�����,有兩千個(gè)TB群兩,我Hadoop最大的單機(jī)群600多萬臺(tái)���,有非常廉價(jià)的處理能力�����。有了存和算的能力你怎么有效的算����,這里面就是在算法上能夠有什么樣的演進(jìn)����。我們是在2009年的時(shí)候開始用機(jī)器學(xué)習(xí)算法開始對(duì)靜態(tài)文件算起來,我拿它進(jìn)行比對(duì)我就知道概率文件有多少是壞的����,2009年就這樣做的,后來用算法判定網(wǎng)頁(yè)等等東西����,到現(xiàn)在判斷于一個(gè)網(wǎng)頁(yè)流量,拿一個(gè)算法它就告訴我這個(gè)是不是攻擊。我們現(xiàn)在成功的把深度學(xué)習(xí)做流量正常預(yù)測(cè)�����,在去年除了GPU多路應(yīng)用基礎(chǔ)之上�����,今年我們開始在異構(gòu)計(jì)算上面進(jìn)行探討�����,怎么能夠把CPU和GPU怎么聯(lián)合有效的運(yùn)行計(jì)算�����。
這個(gè)是可視化能力��,很多東西是展示給領(lǐng)導(dǎo)看的�����,領(lǐng)導(dǎo)看到上面有花花綠綠的圖象��,做各種各樣的箭頭打來打去看上去挺熱鬧的�����,這個(gè)對(duì)于領(lǐng)導(dǎo)看可以���。但是我們做可視化目的是為了發(fā)現(xiàn)����,不是展現(xiàn)給領(lǐng)導(dǎo)看����。給領(lǐng)導(dǎo)看很簡(jiǎn)單,但是發(fā)現(xiàn)不容易����。比如我下面展示這張圖背后有一個(gè)幾千億條的龐大數(shù)據(jù)庫(kù),這個(gè)數(shù)據(jù)庫(kù)要求你在毫秒級(jí)�,最多對(duì)幾百億幾千億條數(shù)據(jù)關(guān)聯(lián)關(guān)系,然后再展示在這張圖表上����,一般情況下你會(huì)面臨非常大的屏幕。當(dāng)這個(gè)數(shù)據(jù)對(duì)它挖掘然后再展示它的關(guān)聯(lián)數(shù)據(jù)���,關(guān)聯(lián)數(shù)據(jù)馬上展示圖片�����,這個(gè)工具幫助安全分析人員來快速進(jìn)行分析�,因?yàn)槿藢?duì)這個(gè)圖表對(duì)圖形圖象敏感程度遠(yuǎn)遠(yuǎn)高于對(duì)于數(shù)據(jù),雖然都是幾百億條上千億條數(shù)據(jù)���,你看里面的數(shù)字關(guān)聯(lián)就要大的多�����,這是我們可視化能力��。
以上四條相加�����,最終我們要做到的其實(shí)就是讓安全威脅在IT管理人員眼中是可以看到的,他可以感知到的這樣一個(gè)信息�。你看到安全威脅你才能夠有效地對(duì)它進(jìn)行防御,而你看到的能力其實(shí)就是根據(jù)你所掌握的信息量來掌握的�,你基于大數(shù)據(jù),你基于海量數(shù)據(jù)量分析才有效地幫他找到網(wǎng)絡(luò)攻擊�����,而不是看到的噪聲。如果你給他看到兩個(gè)的的確確的攻擊����,去偽存真。在整個(gè)安全威脅里面我認(rèn)為它是拼圖游戲�,大數(shù)據(jù)幫助你把每一片圖片找出來,完整的幫你恢復(fù)攻擊的場(chǎng)景怎么回事兒�����。
目前我們已經(jīng)部署了多少終端提供多少防護(hù)之類的�����,它的做法就是在企業(yè)里面會(huì)部署一些流量采集設(shè)備和信息采集設(shè)備��,把它企業(yè)不希望泄露出來的這些信息在本地進(jìn)行計(jì)算�����,然后再聯(lián)到外部IP部署平臺(tái)����,把你運(yùn)行情況和PV都收集過來進(jìn)行關(guān)聯(lián)分析,這個(gè)時(shí)候它就告訴你哪個(gè)IT從什么時(shí)哪個(gè)網(wǎng)站下載什么��,你終端受控了攻擊者是誰,造成什么樣的后果��,還有其他哪些單位遇到這樣的事情����。這個(gè)改變是什么呢?改變就是過去單位我把自己網(wǎng)絡(luò)邊界管好就OK了,今天是跳出整個(gè)互聯(lián)網(wǎng)范圍之內(nèi)來看我這個(gè)單位安全的問題�。過去比較多的看網(wǎng)絡(luò)流量,我在邊界上網(wǎng)絡(luò)LBS網(wǎng)絡(luò)流量是什么東西���,今天會(huì)把終端信息�,域名信息�,云里面的情報(bào)信息結(jié)合起來來做。今天當(dāng)你面臨海量的信息時(shí)一定是靠一個(gè)高度自動(dòng)化的系統(tǒng)而不是完全靠人工去做���。
過去我們比較講安全攻防�����,是講安全的專業(yè)人員����。今天除了安全攻防人員之外我們需要更多的數(shù)據(jù)分析人員��,他要熟練能夠掌握各種各樣的分析算法分析計(jì)算��。除了我們安全專家還需要大數(shù)據(jù)專家����,我們進(jìn)入云計(jì)算和大數(shù)據(jù)時(shí)代,從研究一片樹葉走到研究一片森林�,在云計(jì)算這個(gè)時(shí)代,覺得這個(gè)趨勢(shì)肯定是無法逆轉(zhuǎn)的�����,對(duì)我們整個(gè)世界的發(fā)展會(huì)起到非常重大的作用��,但是我們一定要認(rèn)識(shí)到云安全威脅更大�����,安全威脅解就是云計(jì)算本身�����,你云計(jì)算本身架構(gòu)解決了�,你才能夠把大數(shù)據(jù)安全威脅做到。它的解析也在云里面���,也就是我們要從端到云里面去����。謝謝大家。
主持人:謝謝譚總����,剛剛我感覺云計(jì)算安全的問題是所有用戶都關(guān)注的問題,無論是個(gè)人用戶還是企業(yè)用戶都非常關(guān)注的���,另外剛剛譚總還總結(jié)了云計(jì)算安全的新問題新情況�����,并且提出了360新的解決思路和應(yīng)對(duì)方法��,非常好����。特別有意思的是說剛剛譚總是以改變這樣的主題詞來開始他的演講�,大家還記得不記得2008年美國(guó)奧巴馬就是用改變這個(gè)詞贏得總統(tǒng)。我也希望云計(jì)算大會(huì)贏得這樣的創(chuàng)新思維來贏得云計(jì)算更大的成功��,謝謝譚總。好�,各位今天我們上午演講的部分既有院士學(xué)術(shù)思想報(bào)告�����,又有很多專家創(chuàng)新思維和創(chuàng)新思路����,應(yīng)該是一場(chǎng)非常好的高營(yíng)養(yǎng),高蛋白的技術(shù)大餐��,但是時(shí)間已經(jīng)過了12點(diǎn)了���,我想每個(gè)人肚子差不多也餓了�����,下面是我們的午餐時(shí)間��。請(qǐng)大家盡情享用我們提供的盒飯�����,謝謝!
