以下為現(xiàn)場速記。
主持人:各位CIO們大家下午好!我們的精彩演講將繼續(xù)。
今天,各位CIO們坐在這里討論如何適應(yīng)快速變化的市場、如何應(yīng)對日益縮減的IT費用,而一股黑暗勢力正悄悄向我們靠近,他們從不見光,但行動比光還快;他們從不開會,但分工明確、技術(shù)高超,吞噬著企業(yè)的營銷費用,占用著寶貴的帶寬資源。對于電商來說,如果安全和風(fēng)控做不好,那掙的肯定沒有賠的多,那么安全和風(fēng)控如何做呢?我們請到了這方面的高手--餓了么信息安全專家榮文佳,他將為我們分享威脅情報閉環(huán)。請大家掌聲有請!
餓了么信息安全專家 榮文佳
榮文佳:大家下午好!我是來自餓了么的榮文佳。本次也是非常榮幸能夠參加全國消費品CIO大會。今天我想跟大家分享的議題是《淺談威脅情報閉環(huán)》,當(dāng)然了,我不知道大家有沒有關(guān)注安全方面,其實最近幾年威脅情報是比較火的,但是大部分在外面進(jìn)行分享或者說一些議題和資料都沒有講到如何閉環(huán),講的更多的是一個大的生態(tài)或者一些架構(gòu)。今天我分享的主要內(nèi)容也主要是我們的情報工作,到最后是如何進(jìn)行落地、如何進(jìn)行閉環(huán)的。
首先介紹一下餓了么,餓了么從創(chuàng)業(yè)到加入阿里新零售、新生態(tài),餓了么以科技賦能餐飲行業(yè),推動餐飲行業(yè)和本地生活服務(wù)的快速發(fā)展。餓了么有2.6億用戶,340萬在線餐廳,300萬騎車。面臨這么龐大的服務(wù)人群,我們也面臨很多問題,比如說在線服務(wù)包含著訂單接單,我們可能會面臨DOOS的攻擊等,可能會造成我們的服務(wù)中端。在服務(wù)活動方面,比如說我們的優(yōu)惠新人滿減和紅包活動,可能會面臨相互刷單和套利等,因為不是完完全全商戶補貼,更多的是餓了么補貼。
剛才講到2.6億用戶,我們至少存在2.6億用戶的姓名、地址和手機號碼,這個也更是黑產(chǎn)所關(guān)心的內(nèi)容,所以可能面臨黑客入侵、數(shù)據(jù)泄漏的風(fēng)險。最后是UGC,主要包含菜品,菜品會有一個名字,用戶還可以對他點的外賣進(jìn)行一些評論,這里面還會包含圖片,也包含政府監(jiān)管的涉黃、涉包、涉恐的風(fēng)險。
今天我們講的是威脅情報,我想先從情報入手,大家先看一下什么是情報。這是我從維基百科上看到的情報的一個定義,情報是指被傳遞的知識或事實,是知識的再激活。可能大家看到這個概念就覺得一臉懵B。我總結(jié)了一下,情報具有知識性、傳遞性、效用性,一條信息過來之后,如果這三點都不能滿足或者任何一點不滿足,它就不能形成情報。
什么是威脅情報呢?我列舉了兩張圖片,這兩張圖片里包含的內(nèi)容是我9月份的時候剛剛監(jiān)控到的。左邊這張圖片里面包含著專車訂單、火車票訂單、酒店訂單、用戶身份證正反面、機票訂單等,里面包含著很多用戶的信息,具體涉及的量大概是1億左右,并且是9月份實時更新的。當(dāng)然我只抽到這一條,我們可以看到這個用戶在國外的敏感操作是什么呢,他每個月都會更新一批,并且被上傳到國外的網(wǎng)站上。這就說明這些信息不管是從各個渠道拿來的,最終會進(jìn)行一些販賣,或者在新的渠道比如說右邊這個,大家可能知道華住前段時間遇到信息泄漏的問題,幾個億的用戶信息,住客訂單信息、同住人等等。
我舉個小的例子,我的一個大學(xué)同學(xué)現(xiàn)在在開一個公關(guān)公司,公關(guān)公司大家都知道經(jīng)常會涉及到一些投標(biāo)的操作,他就發(fā)現(xiàn)他連續(xù)3個case的標(biāo)的金額都比另外一家競爭對手的金額高個幾百塊錢,并且內(nèi)容里面其實大概是一致的。他就很納悶,他先進(jìn)行內(nèi)部查看,他內(nèi)查了一下,也排除了內(nèi)部員工作案的可能,跟我說了,我說這樣吧,我通過技術(shù)手段幫你排查一下。最后結(jié)果發(fā)現(xiàn)什么呢?他們公司不大,就10個人,10個人里面有5臺電腦被種上了遠(yuǎn)程控制的木馬。他們的標(biāo)書還沒有到打印店打印或者在網(wǎng)上進(jìn)行傳輸,在寫的時候信息已經(jīng)被泄漏出去了。我只是估算了一下,大家的企業(yè)里面可能也或多或少面臨這些問題,只是這些事情還沒有浮在水面上。
剛才說了威脅情報的案例,什么是威脅情報呢?上面是國際通用的對威脅情報的定義,我們也同意不看它,我們也不翻譯了。我們來總結(jié)一下,威脅情報就是基于證據(jù)而產(chǎn)生的知識。主要是兩點,現(xiàn)存的或正在出現(xiàn)的對資產(chǎn)的威脅或危害,可為相應(yīng)決策提供信息,符合這兩點就是威脅情報。威脅情報的最主要功能是第二點,可以為相應(yīng)決策提供信息。威脅情報是如何對相應(yīng)決策提供信息的呢,我們后面慢慢來看。
說完了威脅情報的概念,威脅情報包含哪些,哪些又是在我們獲取的或者說想要了解的威脅情報的范圍之內(nèi)呢?分為三類,技術(shù)情報、業(yè)務(wù)情報、輿情情報。技術(shù)情報比較簡單,比如說傳統(tǒng)的DOOS防御,我們的傳統(tǒng)加固或者木馬殺毒軟件,還有平臺上所存在的外部漏洞,這些屬于技術(shù)情報。業(yè)務(wù)情報是餓了么這邊直接可能會遇到的一些問題,包含刷單套現(xiàn)、業(yè)務(wù)規(guī)則的跳過,這是跟業(yè)務(wù)息息相關(guān)的。輿情情報是公關(guān)部門所關(guān)注的信息,比如說品牌負(fù)面信息,像餓了么遇到的是虛假店鋪、套證、假證,可能還會存在一些外部的信息泄漏,比如說華住前段時間遇到的問題一樣。
這是黑客攻擊殺傷鏈Kill Chain,我分析了很多黑客攻擊的行為和國際的標(biāo)準(zhǔn),總結(jié)出殺傷鏈總共分為7步。首先對一個目標(biāo)開展供給的時候,他首先會對這個目標(biāo)進(jìn)行一些弱點調(diào)研,他會看這個公司可能大概會有哪些弱點。知道弱點之后就會進(jìn)行一些無敵操作,就是黑客攻擊的供給軟件,再通過各個途徑進(jìn)行武器投遞,這個時候可能會獲得系統(tǒng)的部分權(quán)限,通過一些命令和控制,達(dá)到一個橫向攻擊的操作,比如說一套非常邊緣的系統(tǒng)權(quán)限,這套系統(tǒng)可能會在內(nèi)網(wǎng)或者辦公網(wǎng)里面,再通過其它的一些漏洞進(jìn)行擴展。比如說一開始拿到小的權(quán)限,后面他關(guān)心文件服務(wù)器、郵件服務(wù)器,尤其對于上市公司來說,這是非常核心的數(shù)據(jù)。他拿到這些之后最終要干什么呢?他要做到數(shù)據(jù)竊取。中間第四步是持久化的操作,他要保持這個權(quán)限,每天企業(yè)的文件和郵件都是在新增的,他拿完數(shù)據(jù)之后你還不知道,什么時候你這邊出了一些很重要的東西的時候,他再次進(jìn)行竊取,所以這是黑客攻擊的殺傷鏈。
剛才說了那么多,黑客攻擊殺傷鏈也分析了這么多,威脅情報可以做什么?或者公司和其他人希望做什么?我這里總結(jié)了4類訴求。首先是黑客活動,需要了解外部攻擊的態(tài)勢。第二是安全漏洞,第三是數(shù)據(jù)泄密,第四是先進(jìn)方案。
比如說某家公司最近要上市,外面的黑客就會想他的預(yù)期發(fā)行股價是多少,真實財務(wù)數(shù)據(jù)是什么,對外的又是什么,這在公司上市之前是完全不知道的。這個時候有可能會被黑客盯上,攻擊者是誰,是否之前攻擊過我們,我們可不可以從之前攻擊的行為進(jìn)行提取,最后達(dá)到我們辨識他的目的。
安全漏洞不過多說了。
數(shù)據(jù)泄密方面,其實99%公司都曾發(fā)生過數(shù)據(jù)泄密事件,具體的數(shù)據(jù)泄密包含著用戶數(shù)據(jù)等,并且其實大家的公司都會跟外部產(chǎn)生一些合作,那就會產(chǎn)生我的合作靠不靠譜,我的合作伙伴看了數(shù)據(jù)之后是如何保護(hù)這些數(shù)據(jù)的,這也是希望威脅情報可以做到的一個事情。
先進(jìn)方案方面,比如今天上午貝因美黎總說提到的防偽追溯系統(tǒng),我們需要關(guān)心比如說像安全方面,其他公司針對某類防御是怎么做的。我們知道他是怎么做之后,對自己內(nèi)部的一些安全防范措施進(jìn)行改進(jìn)。比如說防偽,我們的防偽是怎么做的,我們參照貝因美黎總的方法再進(jìn)行改進(jìn)自身的產(chǎn)品,通過威脅情報是有可能做到的。
威脅情報可以做一些什么呢?它可以達(dá)到什么效果呢?這里我把威脅情報進(jìn)行橫向分析和縱向分析,橫向分析分為向上向下、向前向后,向上支持業(yè)務(wù)安全,向下推動安全研究,向前調(diào)查事件原因、向后推動業(yè)務(wù)改造加固
當(dāng)然這一塊說得可能比較模糊,我舉一個案例,假設(shè)餓了么要推一個紅包業(yè)務(wù)被刷,把情報報告拿出來之后可以起到什么作用,向上是支持業(yè)務(wù)安全,告訴業(yè)務(wù)部門這個業(yè)務(wù)被刷了,你這邊是不是要做一些策略上的調(diào)整或者進(jìn)行止血,停止發(fā)放,先研究問題在哪里。向下推動安全研究,我們看這種事情沒有見過,我們是不是可以對他進(jìn)行研究,之后再出一個統(tǒng)一的安全解決方案來防御這一類的事情。向前調(diào)查問題原因,這是比較大的,比如說這個問題我們存在了多久,是因為什么產(chǎn)生的,之后我們是否需要調(diào)整,包括組織架構(gòu)或者技術(shù)方案進(jìn)行解決,向后推動業(yè)務(wù)改造加固,其實和向前調(diào)查原因是一個概念。
縱向分析主要分為三層:數(shù)據(jù)層、關(guān)系層、事件層,這三層都是誰在關(guān)注呢?數(shù)據(jù)層當(dāng)然是數(shù)據(jù)分析的同事在關(guān)注,他們關(guān)注什么呢?他們關(guān)注的是我們所提供的內(nèi)容,比如說剛才說到的案例紅包被刷,刷了多少數(shù)據(jù)。關(guān)系層是老板來看的,看這個問題到底存在哪兒,到底是技術(shù)問題、還是業(yè)務(wù)問題等等其他方面的問題,他會根據(jù)這個對整個大局進(jìn)行調(diào)整。
剛才說了橫向分析和縱向分析之后,威脅情報有什么收集體系呢?這是我目前的工作,主要分為6點,當(dāng)然根據(jù)每家公司的情況不同可能會有一些適當(dāng)?shù)恼{(diào)整。
第一是外部交換,這個是比如說我在餓了么做的情報,另外一個人也是我的朋友,他在別的公司做了一些情報,我們就可以進(jìn)行一些信息上的互補和溝通。
第二是檢測異常獲取,大家知道這個系統(tǒng)可能不一定是我們的安全系統(tǒng),可能是運維的同事看到中午的訪問量怎么這么高,提供給我看,結(jié)合別的線索,我就可以發(fā)現(xiàn)是被刷了,這是獲取異常信息之后進(jìn)行重點跟進(jìn)。
第三是人力資源獲取,這個重點講一下,其實很多事情發(fā)生在一線的時候,我們是沒有辦法直接去感知的,情報獲取講究的是快和完整,如果說我們有一些人力資源,因為人力資源往往我們都會布在第一線,比如說像我這邊個人有一些人力資源是專門做黑產(chǎn)和刷單的,另外我這邊還有一些自己的騎手、商家這種人力資源,這些人力資源他們是真實的商家,他們更了解業(yè)務(wù)、更了解一線,通過他們所反饋的信息是最直接的,就是正在發(fā)生或者快要發(fā)生的事情,因為他們了解他們的訴求,比如說商戶刷單套補貼,從人力資源是能最快最完整獲取到信息的,也是我們對于自己工作來講是可以最有效產(chǎn)生工作成果的地方。
第四是公開數(shù)據(jù)獲取,像輿情監(jiān)控系統(tǒng),這個每個企業(yè)可能都會有,輿情監(jiān)控系統(tǒng)會關(guān)注某些關(guān)鍵字。當(dāng)然我們會對QQ群、百度貼吧等進(jìn)行關(guān)鍵詞的監(jiān)控,對一些關(guān)鍵詞高頻分析。當(dāng)然這個時候基本上在公開渠道可以獲取到的時候,這個事件已經(jīng)發(fā)展到中部的位置。
第五是買點監(jiān)控、第六是定點監(jiān)控,這個不多去說,大家可以簡單看一下。
什么才是完整的威脅情報呢?我這里分為核心關(guān)注和輔助關(guān)注。核心關(guān)注是3W1H,主要包含這份威脅情報所涉及到的人員,比如說黑產(chǎn)某個組織或者某個學(xué)生高校的討論群,是他們在群,情報涉及的利用點在發(fā)放的時候邏輯存在一些缺陷,可以造成我們本來想要發(fā)給白領(lǐng)區(qū)域的紅包,高校也可以領(lǐng)。情報涉及的主要問題是他們現(xiàn)在在領(lǐng)這個紅包,后面背后我們某個策略設(shè)置不當(dāng)被領(lǐng)取。情報涉及的問題如何被利用,前面3點已經(jīng)講得差不多了,這一塊是展開的。其實有了核心關(guān)注的3W1H就可以形成一份威脅情報,就可以推動我們進(jìn)行后面的調(diào)研、后面的調(diào)查。
如果說有輔助關(guān)注2W1H就是完整的威脅情報,輔助關(guān)注包含情報涉及的重要時間點,上周三在高校區(qū)域誰在刷單,我們可以拉一批數(shù)據(jù),上周三的時候我們的數(shù)據(jù)是否有一個明顯的波動,把里面涉及到的訂單全部提出來,情報背后涉及的深層次的原因,就是我們前面縱向分析里面的事件層,當(dāng)然跟這個是有關(guān)聯(lián),并不是完整的對應(yīng)。情報涉及的問題已造成的危害程度,這個是定損,它已經(jīng)傳播的區(qū)域有多大,已經(jīng)傳播給多少人,有誰知道了,進(jìn)行了多少止損。這是我們威脅情報設(shè)置的策略,如果全都能做齊是完整的情報,是能輸出情報報告的。
情報的處理流程,剛才說到閉環(huán),怎么閉環(huán)?首先各種線索積累在一起,我們會進(jìn)行處理。從多方面過來的情報線索肯定會有重疊,也肯定會有無效的,所以我們進(jìn)行細(xì)致的處理、去重和分析,處理好之后分析并輸出結(jié)果,輸出成一份威脅情報報告。按照我們之前的橫向分析和縱向分析里面所涉及到的人或部門進(jìn)行情報傳播,傳播好之后他們一定會反饋結(jié)果,根據(jù)他們反饋的問題的方向或者結(jié)果的一些方向,我們來進(jìn)行情報方向的調(diào)整和規(guī)劃。調(diào)整和規(guī)劃好了之后,繼續(xù)進(jìn)行情報收集,這個時候整個處理流程就閉環(huán)了。
這是一份完整的威脅情報實踐的閉環(huán)架構(gòu),上面這一塊主要是分為三部,比如說信息員的發(fā)現(xiàn),像我們之前說的有哪些信息員,現(xiàn)在是6個部分,可以對各個信息員進(jìn)行管理,管理之后通過他們那邊爬取到的信息或者提供的信息再來進(jìn)行采集和分析。最后再由情報運營的同事分發(fā)形成報告或者說跟之前的事件進(jìn)行關(guān)聯(lián)。但不只是我剛才說的這三點,后面包含很多,比如說信息員發(fā)現(xiàn)這里主動掃描、被動發(fā)現(xiàn),另外還有合作方提供的信息,比如說乙方,我們提供某些情報服務(wù),他們給我們提供信息。信息員采集信息更復(fù)雜一點,比如說數(shù)據(jù)爬取怎么爬,每個都是不一樣的。數(shù)據(jù)清洗,每個數(shù)據(jù)都是不一樣的,再進(jìn)行關(guān)聯(lián)。情報運營除了輸出一份報告,假如說業(yè)務(wù)方或者說其他傳播的人覺得從他們的角度來看可能會有一些其它方面的發(fā)現(xiàn),這個時候我們要給他們提供一個查詢服務(wù),他們提供一些關(guān)鍵字,我們可以反饋給他們一些內(nèi)容。統(tǒng)計服務(wù),數(shù)據(jù)輸出。這些信息這三步大的最終會在情報平臺上進(jìn)行展示,情報平臺主要包含信息員管理、信息員獲取、最終進(jìn)行一個情報輸出。
因為工作上某些系統(tǒng)涉密的原因,信息系統(tǒng)在這里就不給大家看了。這是我們的威脅情報態(tài)勢感知系統(tǒng)架構(gòu)圖,雖然不是那么細(xì),但是按照這個是可以做得出來的。做這套系統(tǒng)的時候,我們秉承三個概念A(yù)BC,大家知道是哪個ABC嗎?A是AI人工智能,B是大數(shù)據(jù)Big data,C是Cloud云,通過ABC把這個概念融合進(jìn)去之后,首先我們通過網(wǎng)上獲取到的一些代理服務(wù),從互聯(lián)網(wǎng)上爬取數(shù)據(jù),爬取數(shù)據(jù)之后輸入到情報系統(tǒng)里面,再進(jìn)行大數(shù)據(jù)進(jìn)行清洗,通過人工智能的語義分析和事件歸類進(jìn)行處理,處理好之后進(jìn)行展示。這套系統(tǒng)最核心的點是在人工智能上,我們現(xiàn)在都講究產(chǎn)品輕量化,盡可能的避免人工去做一些事情。雖然說現(xiàn)在人力成本處理分析這些服務(wù)可能會到某些三四線城市的人來進(jìn)行分析,而我們的目的是避免人工干預(yù),讓系統(tǒng)輸出結(jié)果,這個地方人工智能起到了很大的作用。
我今天的分享就到這里,謝謝大家!
京公網(wǎng)安備 11010502049343號