為什么做威脅情報(bào)？李秋石表示，是得益于之前包括從業(yè)務(wù)，到產(chǎn)品，再到項(xiàng)目，整個(gè)過程中發(fā)現(xiàn)情報(bào)對(duì)于風(fēng)險(xiǎn)控制流程的重要性。它在每一個(gè)決策、每一個(gè)識(shí)別過程中和分析的過程中，起到非常重要的作用。本次分享圍繞威脅情報(bào)驅(qū)動(dòng)的安全變革、中國(guó)網(wǎng)民與在線業(yè)務(wù)面對(duì)的安全威脅、無線安全案例分享三大部分展開。

威脅情報(bào)驅(qū)動(dòng)的安全變革

李秋石對(duì)于安全的理解有自己獨(dú)特的看法，在這部分他舉了油罐車和外國(guó)航班手冊(cè)兩個(gè)例子，引出了中外對(duì)于安全的態(tài)度和重視程度。

油罐車。90年代的油罐車是解放牌綠色車，上面有安全兩個(gè)字。但這樣的做法只是寄托了大家對(duì)安全的看法，并沒有告知應(yīng)該采取哪些措施來保證它的安全。發(fā)展到現(xiàn)在，油罐車會(huì)標(biāo)注是易爆品，出現(xiàn)問題應(yīng)該用干粉還是泡沫來應(yīng)對(duì)。這是非常可執(zhí)行、可操作的方法，比之前的更直觀、更實(shí)用。

[[166081]]

外國(guó)航班安全手冊(cè)。手冊(cè)細(xì)化到非常細(xì)的細(xì)節(jié)，如在水上迫降的時(shí)，應(yīng)急滑梯怎么和飛機(jī)脫鉤，這在逃生環(huán)節(jié)是非常重要的。如事先就知道如何去脫鉤，就能很快脫離即將沉沒的飛機(jī)，這樣就能保證擁有更多的生存時(shí)間。

如從信息安全角度出發(fā)，要如何操作才能保證我們數(shù)據(jù)不被泄漏呢？目前沒有一個(gè)實(shí)在的方法方式能保證你的數(shù)據(jù)絕對(duì)不會(huì)泄漏，但還是有一套體系可以參考，這套體系有三步：

一：基礎(chǔ)的防御措施，如要有墻，要有足夠的工具，要有足夠的偵測(cè)方法和手段。

二：威脅感知，在第一時(shí)間知道和發(fā)現(xiàn)威脅，發(fā)現(xiàn)有誰在搞你，怎么搞你，為什么搞你，從哪里搞你，誰做了什么，搞了哪些數(shù)據(jù)。

三：事后，數(shù)據(jù)即便被搞了，他也沒法使用，你要用足夠強(qiáng)壯的加密算法來保證你的數(shù)據(jù)安全。

李秋石表示，能做到綜上三步很難，這套非常完整的體系，是要求每一個(gè)開發(fā)人員和每一個(gè)企業(yè)的人，在建造這個(gè)架構(gòu)的過程中能夠把安全在每一個(gè)節(jié)點(diǎn)進(jìn)行控制。這個(gè)對(duì)我們中國(guó)企業(yè)挑戰(zhàn)很大，因?yàn)槲覀冊(cè)谝婚_始肯定要先上線，然后再去完善它，這是中國(guó)互聯(lián)網(wǎng)的發(fā)展現(xiàn)狀。所以這個(gè)平衡永遠(yuǎn)是需要對(duì)資源要進(jìn)行分配。

中國(guó)特色情報(bào)。所謂“中國(guó)特色”主要體現(xiàn)在：第一，其實(shí)古時(shí)候在《孫子兵法》里面就已經(jīng)提出了“知己知彼”，我們今天把它叫做“知彼知己”，這是情報(bào)最有用而且流傳最廣的一個(gè)概念，其實(shí)在我們中國(guó)的歷史文化當(dāng)中就已經(jīng)突出了它的重要性。第二，我們需要有自己的威脅情報(bào)處理能力，因?yàn)楫吘刮覀冃枰凶约鹤灾骺煽氐那閳?bào)平臺(tái)，來幫助我們中國(guó)的企業(yè)去及時(shí)的獲取和及時(shí)的響應(yīng)。李秋石表示，其實(shí)各家企業(yè)都在做大數(shù)據(jù)，數(shù)據(jù)量很大，但如何把它變成可執(zhí)行的，這個(gè)就需要情報(bào)來支持。

中國(guó)網(wǎng)民與在線業(yè)務(wù)面對(duì)的安全威脅

如上圖，原數(shù)據(jù)包括了IP、事實(shí)、訪問時(shí)間點(diǎn)等，這些加起來都是原數(shù)據(jù)。經(jīng)過情報(bào)的處理和分析，通過分析師、自動(dòng)化和人工處理之后，它會(huì)變成情報(bào)。這些情報(bào)的獲取難度和破解難度也是呈金字塔型的。第一層就是Hash Values，這些非常能夠容易獲取的，而且它變換起來也是非常容易的。逐層遞增，到最高層就是TTPS。TTPS就是工具、技術(shù)和流程。也就是說攻擊者用的是什么戰(zhàn)術(shù)，用的什么技術(shù)和方法。這些東西你獲取了之后，它的變換成本非常高。把這些黑客黑了之后，知道他的手段和方法，再去進(jìn)行一個(gè)變換，成本也是非常高的。

 檢測(cè)和響應(yīng)，是情報(bào)所帶來的最核心的價(jià)值，這是對(duì)企業(yè)能力的體現(xiàn)。關(guān)于這部分，李秋石舉了這樣一個(gè)例子。一名女性車主遭遇跟蹤，跟蹤車輛駕駛員是蒙著口罩，戴著棒球帽，很奇怪。這名女性環(huán)繞朝陽大樂城一圈，這個(gè)車還在跟蹤。之后她并沒有報(bào)案，因?yàn)楸桓櫽泻芏嗫赡苄裕赡苁邱R仔隊(duì)，也可能是你朋友開玩笑，沒有辦法讓警方介入處理。第二天，早高峰時(shí)段，在最擁堵的一個(gè)路段，女士集結(jié)好幾輛車集體行動(dòng)，把跟蹤車輛撞停，直接送派出所。之后發(fā)現(xiàn)跟蹤車上有裹尸袋、鏟子、刀具、逃跑路線圖，樣樣俱全。這個(gè)案例是一個(gè)成功的對(duì)可疑行為的溯源和弄清目的。清目后，警方定要上升到重案層面調(diào)查。這給同樣在這個(gè)小區(qū)，或者是在年底開豪車的群體，是一個(gè)非常可靠的情報(bào)，那就是跟蹤車輛的攻擊手段和技術(shù)。

[[166082]]

針對(duì)這個(gè)案例，如上如畫的黑色的設(shè)備是被一個(gè)塑料袋纏著的，這個(gè)就是一個(gè)GPS定位設(shè)備，是綁在車底下面。換在互聯(lián)網(wǎng)網(wǎng)絡(luò)安全領(lǐng)域就是一個(gè)Wapshell，這個(gè)Wapshell已經(jīng)在你的服務(wù)器駐留很久，但是可能沒有辦法第一時(shí)間發(fā)現(xiàn)，沒有對(duì)汽車的檢測(cè)手段。這個(gè)手段暴露出來之后，大家會(huì)有各種各樣的方法避免這種事態(tài)的發(fā)生。

無線安全案例分享：XcodeGhost事件和戴爾eDellRoot證書事件

[[166083]]

XcodeGhost事件

XcodeGhost事件。 微步在線剛成立不久針對(duì)非常流行的XcodeGhost事件做了一個(gè)溯源分析。是由我們的分析師，包括西雅圖和北京的一起來合作，完成了這次分析溯源。

[[166084]]

Virusbook

Virusbook。之后，衍生了我們第一個(gè)產(chǎn)品叫Virusbook，是為大家分析愛好者免費(fèi)提供的一個(gè)工具，可以對(duì)無線的態(tài)勢(shì)感知。也就是感知整個(gè)無線應(yīng)用的使用情況和訪問狀態(tài)。

戴爾eDellRoot證書。李秋石表示，戴爾eDellRoot的私鑰是可以被讀取、被破解的。其有一個(gè)很簡(jiǎn)單的密碼，用很簡(jiǎn)單的方法把KPI解掉。病毒開發(fā)者利用這些私鑰已經(jīng)簽署了好幾個(gè)，我們第一時(shí)間接獲了兩個(gè)木馬，并把它做成了LC，去向各個(gè)訂閱者發(fā)布。這就是情報(bào)的作用，發(fā)現(xiàn)事件時(shí)第一時(shí)間發(fā)現(xiàn)它所產(chǎn)生的攻擊行為。所以做深入的分析和溯源的跟蹤后，才能處理解決每一個(gè)威脅，這就是威脅情報(bào)溯源的作用。

[[166085]]

Virubook的安全分析云

Virubook的安全分析云。在這個(gè)案例中，我們之所以能做到是因?yàn)橛蠽irubook的安全分析云，它主要集成了國(guó)內(nèi)外主要的反攻擊分析引擎，包括了靜態(tài)和動(dòng)態(tài)的差強(qiáng)分析。李秋石表示，這個(gè)技術(shù)可能不算是最新和最流行的，但是它仍然是非常非常有效的。它的這些信息和線索對(duì)于情報(bào)，對(duì)有很有經(jīng)驗(yàn)的情報(bào)分析師來講是非常非常重要的。

[[166086]]

沙箱跑出來的信息

Virubook的安全分析云還提供自動(dòng)化的分析報(bào)告，對(duì)于多引擎，對(duì)于每一個(gè)文件和一個(gè)樣本的分析報(bào)告，動(dòng)態(tài)的分析結(jié)果，上圖就是沙箱能夠跑出來的信息和截圖，以及它的有關(guān)的網(wǎng)絡(luò)信息，和威脅有關(guān)的網(wǎng)絡(luò)信息，這個(gè)對(duì)每一個(gè)分析師和分析愛好者來說是非常有用的。

最后，李秋石表示，情報(bào)落地一定要和業(yè)務(wù)關(guān)聯(lián)，希望情報(bào)和真正的信息安全能夠合業(yè)務(wù)安全進(jìn)行關(guān)聯(lián)和結(jié)合，形成一套體系。還有分析師是關(guān)鍵，在整個(gè)體系當(dāng)中真正懂業(yè)務(wù)，懂情報(bào)，懂怎么來調(diào)用手頭工具的分析師是難求的。在泛濫的大數(shù)據(jù)的海洋當(dāng)中，如何準(zhǔn)確精準(zhǔn)的發(fā)現(xiàn)情報(bào)，也是后續(xù)應(yīng)該持續(xù)看到和合作的點(diǎn)。

本文整理自【W(wǎng)OT2015”互聯(lián)網(wǎng)＋”時(shí)代大數(shù)據(jù)技術(shù)峰會(huì)】期間，微步在線 (Threatbook)合伙人李秋石主題為《中國(guó)特色的安全威脅情報(bào)》的演講。

講師簡(jiǎn)介:

[[166087]]

微步在線 (Threatbook)合伙人，市場(chǎng)與業(yè)務(wù)發(fā)展負(fù)責(zé)任人。微步在線是中國(guó)首家安全威脅情報(bào)公司，創(chuàng)立于2015年6月。在此之前，李秋石曾任亞馬遜中國(guó)信息部安全資深項(xiàng)目經(jīng)理，負(fù)責(zé)亞馬遜支付安全與跨境業(yè)務(wù)安全。加入亞馬遜之前，李秋石曾任阿里巴巴集團(tuán)安全部資深安全經(jīng)理，負(fù)責(zé)安全生態(tài)體系建設(shè)和生物識(shí)別項(xiàng)目。李秋石在2007年加入支付寶風(fēng)險(xiǎn)管理部，并作為支付寶安全第一批成員在支付安全領(lǐng)域工作7年。負(fù)責(zé)支付寶安全產(chǎn)品策略，安全生態(tài)數(shù)據(jù)體系建設(shè)。建立了支付寶應(yīng)急響應(yīng)體系，并推動(dòng)成立國(guó)內(nèi)首個(gè)安全支付聯(lián)盟。