各位来宾,下午好。非常高兴今天能够在这个讲台上和大家分享最近这些年来我对数据泄密方面的一些思考和方面。我叫吴鲁加,从事信息安全行业大概有十几年的时间了,在最近7年里,把主要的精力都放在数据泄密这方面。
今天,我汇报的主题分三个部分,一是简单描述一下我们目前所处的现状,对这个现状做一个简要分析,以及我们的解决方案和思路。首先一个比较凄惨的现实,不管我们知道或者不知道,我们的企业或者我们单位的网络,都存在着很多很多的漏洞,我们可能已经泄密了,或者说至少存在着泄密的可能性。在跟很多用户的交流过程中,用户会问到我想解决泄密问题,应该怎么办?我们提出来,首先是场景,我们需要从每个特殊的应用场景出发来考虑我们的泄密问题,一个是数据,像金融、运营商这个地方来说,可能是用户的信息,对于制造业可能是各种各样的二维或者三维的设计图纸,这个是数据,就是我们需要保护的信息是什么,这是企业需要第一步搞清楚的。其次是人,这个人从两个方面来考虑,第一方面我们刚才提到的这些敏感数据、敏感信息,都有人在使用、阅读、甚至加工处理,通过正常合法合规的流程再流向下一个环节。另外还有一类人,对这些数据有心窥探的,这部分的人都有意图接触这些数据,甚至有能力接触这些数据。第三是环境,就是人、数据、环境,最终组成了场景,环境是什么概念?就是这些人接触数据的时候所使用的,不管是网络也好、设备也好这些相关的东西。
今年的上半年发生了一个现实的事例,我在一个QQ群里头,QQ群里有一些小黑客在聊各种各样的事件。有一天我突然看到有人聊起我们一家服务的对象,他们公司的信息,这家公司是一家比较知名的制造业企业,那帮小伙子们,从他们聊天的信息看,他们实际上已经渗透进了网络,而且取得了比较高的权限和取得了比较多的信息,包括他们近期做的这些项目的信息。我联系了几个朋友,同时又和我们一家客户一起,我们分别对这件事情进行分析,最终才发现,这件事情首先数据丢了,而且丢了很多,丢的这些数据里头有部分比较重要的项目,甚至是整个项目的图纸。我们仔细聊下去才发现,原来最初导致这些事情发生的初始的原因,仅仅是这个黑客在大范围扫描的过程中,他非常偶然的发现了这家公司的信息,很不幸,它的服务器和邮件服务器居然在同一台机器上。当然,这家公司邮件使用并不是特别频繁,所以黑客并没有办法直接取得大量的敏感信息,它就悄悄潜伏下来,每天阅读邮件,终于有一天他们发现在邮件里有这家企业的通讯录,有很多人员的邮件、电话、信息,于是它就搞清楚了,哪些人是研发人员,也搞清楚了研发人员最近在做什么样的项目。于是他们伪造,告诉几个特定的研发人员,说公司内部有一个工具需要升级,所以发邮件给他们,升级工具,其实这种大多数人都不会有任何的疑惑,所有的人都相信,就按照他的说法去做了,最终机密就泄露了。当然,最终这件事情造成的影响不是太大,通过私下的渠道取得了联系,做了很多工作,最后损失几乎没有,而且这件事情给这家公司,给我们都带来了一些教训。这种在我看来已经是蛮不错的黑客攻击的一些方式了。前两天在新闻到看到中国的黑客,比如说他使用了Q邮箱和163邮箱接收图纸,这个病毒不知道什么原因,它攻击,只在非常小的小国家里头来传染,但是即便如此,这只是其中的一个邮箱,就已经有10多万封的邮件,根据国外的分析厂商在分析的过程中,他们打开看了好几个邮箱,几乎所有的邮箱都是爆满的,收获都非常大,因为它所抓的,它会用很多关键字做检索,然后把相关字的信息和图纸全部上传,所以类似于这种病毒应该说是更专业的团队所做的。所以在泄密的过程中有一个新挑战,在赛场上有了一个新的玩家,一个是国家队,国家参与,也有职业队,可能是各种专业的黑客团队,可能是一些民间的团队,这些都是职业半职业的队伍。同时,我们面对着很多新的环境,比如说移动互联网目前已经特别特别流行,比如说社交网络,像微博等等一些新兴社交网络的出现,以及云计算,IPV6这一系列新的环境变化。还有新手段,新手段指的是很多的攻击已经开始彼此关联了。我前一段时间跟别人交流的时候,特别喜欢用的一个例子,就是我拿出600多万的帐号,比如我去张三这家公司,我就检索一下,这几百万帐号里面有没有他们公司员工的帐号,只要是比较大的企业,我还基本上都能在里面找出20来个,他们的员工注册CSDN帐号的信息,甚至在最极端的情况下,拿着这些信息和他们的邮箱信息再做匹配。这个是什么概念?就是说一个CSDN的事件,它不仅仅影响CSDN这样一个社区,而会影响更多的企业。
国家队的出现,这是2011年的时候,美国发布了一个网络空间的国际战略,这个是美国以非常正面的形象站出来说,我对网络空间的领土有特别重要,特别高度的认知,我要保护它这样一个正面参与的形象。其实这个配图是美国的媒体揭示了美国参与一系列病毒之后,美国媒体的配合,他们一方面在非常正面的提出我要保护网络空间,另一方面同时在以病毒各种各样的形式侵害其他人的网络空间。这个是刚才我们提到的关联性特别强的一个网站,用户之间的密码信息。
所以新形势下我们可以看到两个关键词,一个是潜伏,这些黑客已经不会满足我攻进来以后,我做一个破坏,实际上他们都是潜伏下来,等待着最好的时机来获取最多的数据。另一方面是定向爆破,他并不会满足于我们一次一批的用户,而是经过长期的分析,他分析出究竟哪些数据是他最关注的,然后通过定向爆破的方式,我只针对这个用户,只针对这一群用户来下手,这个时候对整个网络,对绝大多数人几乎是没有影响的,所以他被发现的机率最低。这个都是现在数据泄密方面的一些新的态势。我们现在作为信息安全人员,或者管理者,我们非常狼狈,就是我们经常处在这种状态,在救火,总是等到火烧起来了才知道,我们没有办法提前做一些工作。想要解决这个状态,其实业务确确实实跟很多安全管理员交流下来,他们也确确实实觉得相当的困扰,为什么呢?我们的数据就是这么复杂的管道里面,错综复杂,我们怎么样才能知道哪个地方发生了泄露呢?确实这个压力相当大。这是国外的一个小漫画,同时还有很多做信息安全人的一些误区,就是建立了很多马西诺防线(音),我们觉得这个安全措施是OK的,但是实际上攻击者或者黑客,他们的思维就不从这个方向来走,他们完完全全绕过了我们各种各样的安全设计。这个时候怎么办呢?站在我们的角度,我提一些观点和大家来探讨。首先第一个观点是需要全面,甚至是全员的持续监控,这个是我们发现数据泄密的一个非常有效、有价值的手段。这个可能跟很多人的理念相违背,我跟很多人交流的时候大家都提到,你要全面监控,你要上设备很简单,我随时都买了,但是你如果说希望全程监控,这个难度就非常大。这个是宰相刘罗锅里的主題曲,里面有一句是“天地之间有杆秤,拿秤砣是老百姓”,所有的终端所有的用户当他发生数据行为泄露的时候,他们自身是一定有感知的,现在的问题只是说,怎么样能让这些老百姓之间相互通讯,终端和终端之间相互通讯,终端和终端之间各种各样的问题能够体验和汇聚,这个是最核心的,同时这也是不可或缺的。防泄密。从管控、加密、权限、审计、虚拟化的方向来做。终端与网络探针,比如说某个用户中了木马,一些特质木马的时候,所发生的各种程序运行,有各种其他日常行为的时候,实际上网络上是很难发现,或者几乎没有办法。
刚才我们提到全员全面的监控是必须的,但是这个时候我们在这么做的时候,跟很多大企业了解这件事情的时候,我们觉得最大的阻力就是怎样淡化用户被窥探的感受。企业文化注重信任和自由,他们想要做的就是防黑客、防木马以及笔记本丢失。我们要把保护的数据约束在了一个所谓的工作目录底下,简单来说就是我设定一个特殊的目录,这个目录你只要丢到这个目录里的文件,它的安全由企业帮你保障,你如果不丢进来,我也不会去对它做窥探或者加密,所以数据是只保护工作目录。比如说当我在非常短的时间内,我同时打开了30个文档,这不是正常人的常规行为,就会有一个新的提醒,比如弹出一个小的框子,告诉用户你读取文件的频率很高,这个事情是不是你做的,如果不是,可以向管理中心来举报,这样的话用户的接受度就高多了。观点二,要做可视化运营。所谓可视化运营,很多企业把很多东西买进来以后放到那儿,并没有太多的去看,尤其对这个产品,不会根据用户的需求或者环境来做调整,在我们的观点里面,实际上当一套系统搭建在用户的网络环境里头,比如我每天会有一些事情让管理员做。比如今天我认为今天在我们整个网络里头,我们有10件事是可能泄密,我按照我判断的高危等级我列的,你把它处理完以后就OK了。我们对终端和网端都会有大量的数据监控,相当于让用户可以非常清晰地看到变化,然后通过这个变化来找到异常。在提到运营的时候,可能在座的有一些互联网公司,互联网公司对运营会更有感觉一些,所谓的运营在我理解需要持续改进。现在我们的互联网企业其实在学习一些东西,每家企业都有每家企业的特点,每家企业的数据都有每家企业数据它督导的价值,然后我们在企业里面部署了一些特征,这些数据需要有人长期的去解读,同时形成适合这些企业的策略,最终这些策略,包括研发团队,包括用户一起反馈,形成一个闭环,其实这也是PDCA的一个过程,这样才能做好这项工作。
目前其实已经出现了一些问题,比如数据库防泄密、移动终端防泄密、社交网络防泄密、云端防泄密,未来会出现更多数据泄密的问题。所以我们的理解,首先我们在新形势下面临着很多新的挑战,要解决这个问题,第一是需要全面持续监控,同时要坚持可视化运营,来运营数据创新。
这是《谍中谍4—不可能完成的任务》里的一幅剧照,我们的管理员可能就像阿汤哥这样,在一个几百层的高楼上,面临着非常错综复杂的状态,而且表面上看起来我们的任务几乎不可能完成,但实际上每次从这个电影的结局上来看,都还能够顺利地把任务完成,我觉得我们管理员也还是有机会,非常好的解决好数据的问题,谢谢。
(责任编辑:)
