也就是說���,這是一個(gè)系列的免費(fèi)開放,從360全球?qū)崟r(shí)掃描監(jiān)測系統(tǒng)到相關(guān)的數(shù)據(jù)�、能力。這一舉措����,360稱之為“威脅情報(bào)共享工程”。不同的是���,這一次��,是企業(yè)級(jí)市場。
360為何在此時(shí)宣布這一舉措��?這一次的免費(fèi)開放�����,會(huì)帶來哪些影響?要理解這一點(diǎn)��,我們必須對(duì)實(shí)時(shí)掃描監(jiān)測�����、威脅情報(bào)等當(dāng)前的網(wǎng)絡(luò)安全相關(guān)問題有所了解����,才能做出一定的判斷。
實(shí)時(shí)掃描監(jiān)測是什么
在網(wǎng)絡(luò)安全產(chǎn)品中��,有一種自動(dòng)檢測本地或遠(yuǎn)程主機(jī)安全弱點(diǎn)的程序�����,能準(zhǔn)確發(fā)現(xiàn)掃描目標(biāo)存在的漏洞�,這種掃描有善意掃描與惡意掃描之分。如果是惡意掃描���,則往往是發(fā)起網(wǎng)絡(luò)攻擊的前奏�。
這種程序��,業(yè)界稱之為掃描器����。其工作原理����,是通過掃描器向目標(biāo)計(jì)算機(jī)發(fā)送數(shù)據(jù)包����,然后根據(jù)目標(biāo)反饋的信息來判斷對(duì)方的操作系統(tǒng)類型、開發(fā)端口�、提供的服務(wù)等敏感信息,據(jù)此發(fā)現(xiàn)存在的漏洞�����。
當(dāng)然��,如前所述��,掃描有善意與惡意之分�,具有雙重特性。比如���,通過掃描能夠發(fā)現(xiàn)系統(tǒng)漏洞,發(fā)現(xiàn)漏洞才能打補(bǔ)丁�����,有了補(bǔ)丁之后網(wǎng)絡(luò)才能強(qiáng)壯,所以這是網(wǎng)絡(luò)安全必需的過程�,這就是善意的。
一方面���,每天平均任意時(shí)刻差不多有三萬個(gè)掃描器對(duì)全球網(wǎng)絡(luò)進(jìn)行掃描���,如果放在一個(gè)月或者更長的時(shí)間來看,全球掃描器的數(shù)量應(yīng)該在幾十萬個(gè)�����,每天對(duì)全球網(wǎng)絡(luò)執(zhí)行自動(dòng)掃描�。
另一方面,通過防火墻設(shè)置��,可以自動(dòng)攔截特定IP的掃描動(dòng)作(拒絕該IP)���,這樣就能獲知哪些IP在執(zhí)行掃描功能���,從而可以實(shí)現(xiàn)對(duì)該掃描器的跟蹤和定位。這對(duì)于網(wǎng)絡(luò)安全公司來說非常重要�����,因?yàn)檫@些是重要的安全情報(bào),即威脅情報(bào)��。
據(jù)稱�����,此次免費(fèi)開放的360全球網(wǎng)絡(luò)掃描實(shí)時(shí)監(jiān)測系統(tǒng)�,可以實(shí)時(shí)了解全網(wǎng)惡意掃描源,然后對(duì)這些惡意掃描源封堵處置��,降低系統(tǒng)被攻擊的概率�。
APT泛濫,威脅情報(bào)驅(qū)動(dòng)的安全體系地位凸顯
多年來��,高級(jí)持續(xù)性威脅(APT)已經(jīng)愈演愈烈��,成為安全界關(guān)注的主要方向之一���。而由于其潛伏性�����、持續(xù)性����、攻擊特定目標(biāo)以及遠(yuǎn)程操作���、高速演變等特性�����,使得APT的防范也沒有定式�����,這給企業(yè)應(yīng)用帶來很大的困惑��。
APT防不勝防�����,對(duì)企業(yè)來說�,必須要提升相應(yīng)的檢測和應(yīng)急響應(yīng)能力�。可是����,這個(gè)能力怎么來��?這就是需要部署威脅情報(bào)驅(qū)動(dòng)的安全產(chǎn)品���。而這些產(chǎn)品的前提,是要有對(duì)APT的感知��、留存�、分析、響應(yīng)����、共享的能力。
從流程上看���,應(yīng)對(duì)APT���,必須要依靠行為檢測進(jìn)行分析,從而交付給用戶可執(zhí)行和操作的分析結(jié)果�。因此威脅情報(bào)未來在安全保護(hù)方面起到越來越重要的作用。但威脅情報(bào)卻不是單一的防守方能夠獲取和維護(hù)的�����,所以現(xiàn)在出現(xiàn)了安全威脅情報(bào)市場��,有專門的人士、公司和組織建立一套安全威脅情報(bào)分析系統(tǒng)�,獲得這些情報(bào),并將這些情報(bào)賣給作為防守方的企業(yè)和組織���。
專家認(rèn)為,當(dāng)前威脅情報(bào)一般包括信譽(yù)情報(bào)(“壞”的IP地址���、URL����、域名等���,比如C2服務(wù)器相關(guān)信息)�����、攻擊情報(bào)(攻擊源����、攻擊工具���、利用的漏洞�����、該采取的方式等)等����。一般而言,CERT���、安全服務(wù)廠商�����、防病毒廠商��、政府機(jī)構(gòu)和安全組織發(fā)布的安全預(yù)警通告���、漏洞通告、威脅通告���,就屬于典型的安全威脅情報(bào)�����。
從威脅情報(bào)的種類看�����,一般有四種�����。第一種是商業(yè)威脅情報(bào)��;第二種是開源社區(qū)提供的安全威脅情報(bào)���;第三種是協(xié)作類威脅情報(bào),比如美國和新西蘭�����,還有澳洲���、美國�����、英國之間協(xié)作性的情報(bào)��;第四種是內(nèi)部威脅情報(bào)�,也就是企業(yè)自身產(chǎn)生的威脅情報(bào)。
在演講中����,周鴻祎表示,360公司已經(jīng)和多個(gè)合作伙伴共同建立了一套完整的協(xié)同防御體系���,這是一個(gè)在威脅情報(bào)驅(qū)動(dòng)下的預(yù)測���、檢測、響應(yīng)����、溯源一體化的安全協(xié)同防御體系。
360要開放的�,就是這個(gè)一體化的體系和方法?��!拔覀円蚕M麑⑾嚓P(guān)情報(bào)和能力與同行分享����,其他安全廠商的設(shè)備將來也可以協(xié)同使用360的威脅情報(bào)�����。”周鴻祎說���。
顯然���,今天的網(wǎng)絡(luò)安全市場,威脅情報(bào)及相關(guān)的安全數(shù)據(jù)�����,是一個(gè)安全廠商的商業(yè)價(jià)值所在���,而360把他們公開了。
應(yīng)對(duì)網(wǎng)絡(luò)安全����,開放共享呼之欲出
7月26日,美國總統(tǒng)奧巴馬發(fā)布了一個(gè)總統(tǒng)令:PPD-41�����,建立美國國家網(wǎng)絡(luò)攻擊指揮響應(yīng)鏈�。這個(gè)總統(tǒng)令中最值得關(guān)注的是以附件的形式專門發(fā)布了《美國網(wǎng)絡(luò)事故協(xié)同方案》,制定了政府對(duì)網(wǎng)絡(luò)事件調(diào)查、預(yù)防和處置響應(yīng)的協(xié)同原則�。明確了政府各部門在網(wǎng)絡(luò)安全事件響應(yīng)的分工和責(zé)任,以及響應(yīng)流程�����。
奧巴馬之所以發(fā)布這個(gè)總統(tǒng)令����,是因?yàn)樵诎踩录幹弥行枰岣咛幹玫乃俣龋魏我环絾为?dú)做都沒有辦法做到很高的效率���,任何一方占有的能力和情報(bào)都是比較片面的����,只有大家一起協(xié)同起來才有可能做到更高的效率�����。
從這個(gè)總統(tǒng)令可以看出美國對(duì)于政府在網(wǎng)絡(luò)安全中的定位和在網(wǎng)絡(luò)安全中扮演的重要角色��,同時(shí)政府應(yīng)起到一個(gè)協(xié)調(diào)者的作用���,通過政府領(lǐng)導(dǎo)和指揮�����,協(xié)同企業(yè)等民間安全能力����,共同應(yīng)對(duì)網(wǎng)絡(luò)威脅。
周鴻祎表示���,今天��,國家對(duì)網(wǎng)絡(luò)安全很重視���,當(dāng)網(wǎng)絡(luò)遭遇境內(nèi)外有組織的攻擊時(shí),應(yīng)該向美國學(xué)習(xí)�,政府不能只考慮政府部門的能力,也應(yīng)該把民間的公司���、企業(yè)、安全企業(yè)�、科研院所甚至很多個(gè)人力量融合進(jìn)來,才能更好地解決安全問題���,所以政府應(yīng)成為協(xié)同國家和民間安全力量的領(lǐng)導(dǎo)者�。
這是一個(gè)網(wǎng)絡(luò)安全的政府協(xié)同的典型例子。而實(shí)際上��,在大量網(wǎng)絡(luò)安全事件中���,企業(yè)與企業(yè)的協(xié)同已經(jīng)更為凸顯�。在列舉孟加拉國央行安全事件以及美國UTRS聯(lián)盟之后�����,周鴻祎說:“我們可以看到企業(yè)間的協(xié)同對(duì)于安全的重要性�����,這不僅指安全企業(yè)間的協(xié)同�,還有安全企業(yè)與客戶之間的協(xié)同,以及企業(yè)客戶與企業(yè)客戶之間的協(xié)同合作�。”
過去�,從技術(shù)角度講安全,這是一種術(shù)�����;但是�,今天的安全不能單純的依靠技術(shù)����,他需要協(xié)同和合作����。“這是一種道����。”
對(duì)于協(xié)同合作����,中國工程院院士、中國互聯(lián)網(wǎng)協(xié)會(huì)理事長鄔賀銓則表示:開放合作是全球網(wǎng)絡(luò)行業(yè)發(fā)展的重要方向之一�。當(dāng)前網(wǎng)絡(luò)威脅越來越大,從政府到企業(yè)都表現(xiàn)出了強(qiáng)烈的聯(lián)動(dòng)和協(xié)同的意愿��,單一的政府部門和企業(yè)如果不能進(jìn)行數(shù)據(jù)的共享和情報(bào)的共享�,幾乎無法更好地解決現(xiàn)在的網(wǎng)絡(luò)安全問題。
綜上所述��,在網(wǎng)絡(luò)安全愈演愈烈的今天���,建立一個(gè)全方協(xié)同與合作的機(jī)制���,已成為安全界的共識(shí)。作為目前中國為數(shù)不多的有能力建立數(shù)據(jù)和威脅情報(bào)共享體系的企業(yè)���,360毅然推出“威脅情報(bào)共享工程”�����,從360全球網(wǎng)絡(luò)掃描實(shí)時(shí)監(jiān)測系統(tǒng)的免費(fèi)開放開始���,陸續(xù)開放自己的數(shù)據(jù)和能力,這是值得贊賞的�。不過,“威脅情報(bào)共享工程”能否形成安全的洪荒之力����,恐怕還有待于安全界的齊心協(xié)力,但是����,它需要建立在一個(gè)完善合理和利益共享的商業(yè)規(guī)則基礎(chǔ)之上。
