安全狗创始人陈奋为你科普云安全 | 拓扑秀第二期干货
『拓扑秀』是拓扑社下的一档线上活动,每期邀请一位嘉宾,以语音或文字形式,分享和交流企业级服务领域的热点及趋势。
本文为12月3日拓扑秀第二期,安全狗CEO陈奋的线上分享实录,由拓扑社稍作编辑。
安全狗正式上线于2013年,提供服务器、网站应用、数据及服务一站式云安全解决方案;目前公司已经拿到了B轮千万美金投资,华软投资CSIC领投,A轮投资方IDG跟投。目前云安全平台的用户已经超过15万,保护的服务器(包括云服务器)累计已经超过200万。
用户群体主要为企业用户,包括互联网金融行业、电商、游戏以及众多创业型公司。陈奋本人有10多年的安全行业从业经验,原来在国内安全上市公司美亚柏科担任安全研发总监、技术专家等职位;团队成员都来自一线安全公司和互联网公司安全团队,包括美亚柏科、华为、绿盟、360、百度等。
— 线上分享内容 —
安全这个话题一直都比较火,那么现在企业的安全状况究竟怎样呢?
安全属于比较苦逼的行业,也属于技术性的行业,属于基础设施服务。可以毫不夸张的说目前企业安全状况不容乐观,随着企业互联化加速安全问题日趋严峻,除了大家经常看到的各种安全事件报道外,还有很多不为大家所知的安全事件每天都在发生。我们每天捕获到的攻击超过10亿次;最夸张的服务器被超过10个不同黑客控制做肉鸡;因被黑客攻击入侵导致企业业务濒临破产事件时有发生。中国的地下黑色产业链规模远远超过中国安全市场的规模,导致不少安全技术者走向黑产。我提到的那个被10个黑客黑的服务器,黑客还在服务器上相互协商:你不删除我的东西我就不删除你的。就是糟糕到这种地步,用户可能都还没察觉。
安全狗做的是云安全领域,那么什么是云安全?一直在说安全大数据,有没有比较直观的例子来解释下呢?
安全目前已经是安全技术发展最重要的一种趋势和模式,未来的IT基础设施都将上云(不管是公有云、私有云还是混合云),安全的未来必然在云上。
云安全我认为有几种场景模式:
(1)云计算平台的安全:这个是一个非常大的议题,主要包括2个重要部分:
云计算平台本身的安全性:需要解决物理层面安全、大网络层面安全、虚拟化层面安全(多租户隔离、虚拟化软件层面的安全问题、宿主机的安全加固)、安全运维审计、灾备、稳定性监控等;这块核心的需要靠云计算产商来建设整套的体系,特别是公有云产商
云计算用户的安全性:虽然上云了,但是传统的安全问题依然存在,同时又产生了一些新的安全问题,而且攻击更集中化;这块第三方安全产商就有较大的发挥空间
(2)基于大数据系统构建的新一代安全平台:利用大数据架构来分析各个通道来源的安全日志和数据,进行深入挖掘分析,发现攻击事件和安全趋势;利用SAAS模式进行运营
(3)基于CDN构建的WEB云安全防护系统:这个属于比较单个方向的安全系统,只解决WEB应用安全问题,采用CDN模式可以进行策略、数据集中管理和分析。
我们目前主要方向在第一点和第二点来构建我们的云安全体系,我举几个大数据分析的场景:
我们拿针对攻击IP的一个大数据分析来做例子,这个可是我们第一次对外公布这个分析例子。目前我们每天捕获到的攻击黑IP超过20万个,下图是针对一段时间内攻击IP的活跃度分析(这个就是通过数据处理后再进行可视化展示)。
▲最活跃的IP几天时间内攻击次数超过千万次
▲基本每天都在进行大量的攻击
这个就是通过大数据分析后得出的可视化的结果。我们每天大概会分析到超过20W个云端黑IP名单,会同步给我们保护的用户。
我再举一个用户被入侵后的大数据分析场景:
▲通过我们平台帮黑客入侵轨迹还原的案例(平时如果用户通过手工分析,估计要几天都分析不完;通过我们的数据分析,几分钟之内就完成分析)
分析利用时间线进行梳理,最后发现黑客先是通过网站的一个漏洞上传了一个后门,然后通过利用系统的一个漏洞获得了管理员的权限和密码,同时黑客利用美国的机器登录了用户的服务器。(用户平时都是在国内登录服务器,可以通过这个数据分析马上确认这台服务器已经被黑客入侵)
大数据分析的魅力就在这里,原来很多需要人工做的(可能还做出不来),利用数据分析后就可以快速的得到结果,并可以可视化的去展示,这个是在安全上的一个应用场景。
现在网站被攻击已经形成了一种常态,这在互联网信息化转交易化的趋势中其实会对企业影响非常大,本来速度很快的网站可能访问就会变得很慢,也会非常的不稳定,这其实是很不利于企业的业务的。那么,安全狗有哪些方法能保证企业的业务安全呢?
用户经常会面临多重类型的攻击, 比如前面我提到的入侵会影响整个系统,以及DDOS攻击会影响网站稳定运行。我们的云安全服务平台,目标是能提供一站式的服务来解决这些常见问题。
安全狗的云安全服务平台将安全和运维管理融合,提出“云安全,新运维”的理念,帮助用户将安全变成日常业务管理的一部分。平台提供了包含:
(1)风险扫描识别和修复功能(包括漏洞补丁、弱密码、权限风险、应用配置风险等)
(2)网络安全、网站安全、系统安全多点联动防御体系,可以阻挡针对网络扫描探测、暴力破解,针对网站的SQL、XSS等各种类型攻击,以及针对系统的提权、后门病毒等攻击;同时提供了安全大数据统计分析功能,帮助用户更快速的感知安全态势;
(3)登录监控、进程监控、系统性能监控、日志监控分析等常用的运维监控功能(能帮用户监测业务稳定性);
(4)跨多公有云及混合云的统一安全管理平台,同时支持手机APP和微信服务号的移动式管理。
所以我们是把针对黑客会用到的各种攻击防御手段融合在一起,并借助数据分析的能力,帮助用户保障业务稳定性问题。另外我们SAAS模式的云安全服务还有一个优势可以提供7*24小时安全托管服务,我们的安全团队就是用户的安全团队,Safedog as a service也是我们云安全服务的理念。安全是一个动态的过程,不是说用了产品就解决一切问题。这是一个与攻击者不断斗争的过程,需要专业的服务。
陈总给我们介绍了很多防御手段,那么,有没有一些案例能够为我们展示这些方法是如何实施的?
使用安全狗来说对于用户来说非常简便,只需要注册一个账号并在自己的服务器上安装我们的安全软件就可以接入我们的云安全服务。
我举个实际的业务场景,我们有一个客户(国内一家大型的上市地产公司)在构建自己的互联网业务,原先考虑自建机房并购买大量的安全硬件设备来建立自己的安全体系;后来一算如果要这么做的话,一个成本非常高而且周期很长,同时还需要自己配备安全人员。后来找到我们,通过我们的云安全服务平台和腾讯云的接口,快速的搭建了一套包含各个层面安全防御的体系(纯软件化)。整个周期缩短到一周以内。我觉得这个就是未来IT基础建设的场景,完全云化。
目前安全狗的客户中,哪个行业的客户比较多?比较容易受到的攻击有哪些?
安全狗目前有大量的忠实粉丝用户,用户群体主要为企业用户,包括互联网金融行业、电商、游戏以及众多创业型公司。比较容易受到的攻击,我举几个比较有意思的,常见的攻击就不说了。
很多网站面临恶意注册的问题,是指攻击者利用网站注册功能安全漏洞,注册大量垃圾账号,导致系统增加大量无用数据。 这个属于一种业务攻击。黑客之所以注册一大堆账号,其实归根到底还是有利可图,目前这块也已经有一个完整的黑色产业链。
所以很多网站现在为了对付这种恶意注册,就增加了各种验证码,以及手机短信验证;比如我们经常用的12306的验证码被大家骂过很多次,但确实也是为了对付这些攻击者。总的来说道高一尺魔高一丈,攻击者总会想出各种办法,比如应对手机短信验证码,就有这样的设备:
▲可以插好多手机卡发短信
针对这种类型攻击我们就需要用到数据分析的能力,比如哪些手机号码经常是被黑客使用的直接用黑名单过滤掉哪些IP或者特征是攻击者经常用来恶意注册的,通过数据分析和比对可以快速识别和过滤。
安全狗的核心技术理念是什么?
我们定义我们自己的核心技术理念,主要有3个方向:
(1)为云计算时代安全而生:安全狗的所有产品技术研发全部围绕着用户使用云计算平台中所要构建安全体系而设计的。
(2)基于大数据架构的安全数据分析:这个是我们最重要的安全基础,通过大数据的关联分析能够帮助用户发现更多的安全问题。前面已经有举过例子了。
(3)软件定义安全,构建多层次的纵深防御体系:我们所有的防御模块都是软件化或者虚拟化,这些防御模块彼此间又是相互联动。就好比家庭的防盗系统,有一层围墙监控,还有一层防盗门监控,后面可能还有房间监控,一层又一层。我们的防御也是这样,让攻击者越往里面攻击越困难。
有什么建议想要跟创业者分享呢?
网上已经很多这方面的分享,IT桔子上也有很多这方面的干货文章,我就不班门弄斧。我给创业者的建议就是一定要优先考虑安全保障措施 :),选择安全狗这样的云安全服务平台性价比高,又安全又省心(又打了一次广告)
— 部分现场Q&A —
IP伪装主要指什么?
这个主要有几个场景, 一种是黑客攻击你的网站或服务器的时候,他会找很多傀儡机(也叫肉鸡)来做跳板(也就是代理),这样到你服务器的IP就不是黑客真是的攻击IP。有经验的黑客甚至可能连续用好几台肉鸡做跳板,一层又一层, 让你无法去溯源。
另外一种场景还可能伪装成搜索引擎(如百度)的蜘蛛来欺骗你,让你认为好像是正常的访问。
您认为企业级安全行业的核心竞争力是什么呢?
我认为到目前云安全阶段,数据的能力是非常重要的,谁掌握足够的安全数据就能够防御更多类型的攻击(当然原来的安全技术积累、人才的积累都很重要)
– END –
