騰訊云上安全“智能流水線”

文|吳俊宇

騰訊安全威脅情報中心負責人程虎的微信不斷涌入一串串代碼消息。

不懂技術的人看不懂這是什么意思，但是他非常清楚，這是一款企業(yè)級病毒正在擴散的威脅情報告警。

他掃了眼手機、劃拉了幾下屏幕，繼續(xù)氣定神閑地吃飯聊天，介紹自己手頭上正在做的工作——騰訊云在安全防護上有一整套“威脅線索發(fā)現(xiàn)-智能情報分析-威脅情報生產(chǎn)”系統(tǒng)。

是的。在云端，他剛在手機上發(fā)現(xiàn)的問題已經(jīng)被分析處理了。

程虎敦厚柔和，在討論技術問題時細聲慢語，邏輯清晰。他不斷用筆在卡片上寫寫畫畫。短短半小時內(nèi)，三張卡片上便畫滿了一張張技術圖。

程虎當然也有精神緊張的時候。

2018年12月14日，騰訊安全威脅情報中心團隊在東莞團建，當天下午微信告警——國內(nèi)一個千萬級用戶產(chǎn)品，公司被黑客入侵，遭到定向攻擊。入侵后黑客把產(chǎn)品的軟件升級服務器攻陷，掛上自己的代碼，使得用戶通過升級通道下載木馬。

更嚴重的問題在于，木馬還會通過永恒之藍漏洞對企業(yè)內(nèi)部進行滲透攻擊，企業(yè)用戶如果中了這個木馬，很有可能企業(yè)用戶會遭遇病毒被二次攻擊。

這個問題極為緊急。

當晚8點，團隊迅速完成了確認分析，并把威脅情報下發(fā)到云安全產(chǎn)品之中，病毒的防治和清理隨之解決，企業(yè)和用戶得以止損。

這種反應速度源于騰訊云的快速反應能力，它讓騰訊和其他企業(yè)級客戶都能夠具備云上安全的威脅情報生產(chǎn)“智能化流水線”。

一

熱帶雨林和消防員

程虎所在的騰訊安全威脅情報中心，主要通過提供各種安全威脅信息，幫助騰訊云以及企業(yè)級客戶預防或處置網(wǎng)絡攻擊，在當下這個企業(yè)級安全問題日趨突出情況下，正在發(fā)揮愈來愈大的作用。

我們的互聯(lián)網(wǎng)公共安全空間如同亞馬遜雨林，它并非時時刻刻處在平靜之中，而是隨時面臨“火災”——“火災”往往是深處暗網(wǎng)、不知所蹤的入侵者所帶來的。按照攻擊目的不同，大概分成三種。

1、植入木馬病毒：單體攻擊，可能是黑客個人行為。比如某些數(shù)字貨幣玩家為了薅羊毛，會把挖礦木馬植入到某些安全措施薄弱的公司服務器。

如以加密數(shù)據(jù)為手段的勒索病毒和利用機器資源挖取數(shù)字貨幣的挖礦木馬。

2、構建僵尸網(wǎng)絡：群體攻擊，可能是黑產(chǎn)公司行為。失陷機器會淪為肉雞，攻擊者控制批量肉雞進行商業(yè)變現(xiàn)。

3、網(wǎng)絡間諜活動/網(wǎng)絡戰(zhàn)：高級戰(zhàn)爭，可能是國家行為。針對高價值目標進行定向威脅，針對商業(yè)組織以竊取商業(yè)信息為目的，也包括針對國家敏感機構的網(wǎng)絡間諜行為。

亞馬遜雨林火災是如何發(fā)現(xiàn)并得以解決的？

一個重要的手段是，巴西國家空間研究所的衛(wèi)星熱力圖。這是去年亞馬遜雨林大火時的一張熱力圖。

亞馬遜雨林的火災是常態(tài)，一部分火災會在自然條件下自然消失殆盡，只需要時時刻刻在衛(wèi)星數(shù)據(jù)以及現(xiàn)場勘探密切觀察。

一部分泛濫的火災才需要動用人力撲滅。

比如去年亞馬遜大火，巴西軍方便在北部亞馬遜地區(qū)部署了約4.4萬名士兵以及兩架C-130運輸機參與滅火。

通俗解釋，程虎這樣的安全專家類似消防專家。他們?nèi)粘Ｍㄟ^“威脅線索發(fā)現(xiàn)-智能威脅分析-威脅情報生產(chǎn)”系統(tǒng)時時檢測每一個安全威脅所處在狀態(tài)，通過云端產(chǎn)品對攻擊進行智能化的自動抵御，當發(fā)現(xiàn)無法自動防御的新危機才會通過緊急會議、動用人工力量緊急處置。

為何要形成這種自動檢測、自動分析以及人工經(jīng)驗再進行研判的流程？

1、企業(yè)應用中報警非常多，準確度也低。

攻擊源情報會過期，網(wǎng)站或者網(wǎng)站服務器被黑客攻擊入侵之后還會再去攻擊他人，隨后這些漏洞被修復，導致過期情報的誕生。如果實際無風險的誤報警過多，會大大降低整個系統(tǒng)的可用性，令安全運維人員陷入疲勞。

2、通過人工分析來生產(chǎn)精細化威脅情報，必然會導致產(chǎn)能不足。

精細化情報需要較強分析功底，把威脅進行定性。然而客戶在運用威脅情報的時候告警非常多，往往造成運營壓力比較大。

每天的告警量是幾千到幾萬，一個運營人員的處理能力在一百左右，顯然，不太可能完全依賴人工，導致運營分析的研判壓力非常大。

二

威脅情報生產(chǎn)“智能化流水線”

說白了，這就是套智能化滅火設備。

2018年，《日本經(jīng)濟新聞》便報道，日本東北大學教授田所諭等人開發(fā)出一款能懸浮在空中進行滅火的機器人Dragon Fire Fighter，可應對人無法靠近的火災情況。

有句話怎么說來著，只有非常努力看起來才毫不費力。

網(wǎng)絡安全過去給大家的印象是“黑客攻擊”、“網(wǎng)絡大神”，來無影去無蹤。攻擊方和防守方需要在網(wǎng)絡空間中高手過招。但技術進展飛速的今天，網(wǎng)絡安全也流水線化了。

安全體系流水線的出現(xiàn)不僅提高了工作效率，降低人工成本，還以最大限度的自動化模式來配合產(chǎn)品生產(chǎn)。

如果我們深入底層去探究就會發(fā)現(xiàn)，騰訊安全有一套自己的專業(yè)處理方案。

1、處于最底層的大數(shù)據(jù)后臺。安全大數(shù)據(jù)可以經(jīng)過大集群算法中臺清洗和分析，及時輸出有效的威脅線索，進而智能分析系統(tǒng)，進行威脅定性分析和威脅情報生產(chǎn)。

2、威脅分析/情報生產(chǎn)自動化體系，這個屬于威脅情報中臺。威脅情報生產(chǎn)從威脅線索發(fā)現(xiàn)到威脅的智能分析，到威脅情報的生產(chǎn)都是自動化的，利用威脅情報來做安全運維服務。對高級威脅有專項的研究小組，新攻擊武器的專項防治小組。研究小組和防治小組的產(chǎn)品成果都會被應用到威脅情報中。

對安全大數(shù)據(jù)進行自動化的清洗、挖掘和分析，產(chǎn)出威脅情報，為業(yè)務前臺的安全產(chǎn)品提供安全防護能力。

我們不妨去看看，騰訊安全在實際攻防中的一些場景。

早在2017年，騰訊安全檢測到一場大規(guī)模DDoS 網(wǎng)絡攻擊席卷全國，單個IP遭受黑客組織攻擊的流量規(guī)模高達650G，參與攻擊的源地址幾乎覆蓋了所有省市運營商的骨干網(wǎng)絡。

接到情報檢測系統(tǒng)的警報后，騰訊安全迅速展開研究并發(fā)布溯源分析報告，鎖定攻擊方為臭名昭著的“暗云”黑客團伙。他們把木馬深埋在電腦磁盤中，形成僵尸網(wǎng)絡發(fā)動大規(guī)模網(wǎng)絡攻擊。

安全警報迅速拉響后，騰訊云率先完成云端防御布局，并把情報同步到國內(nèi)安全行業(yè)，幫助云計算友商及時定位安全問題，減少對云上租戶的影響。

2019年5月一個清晨，微軟發(fā)布遠程代碼執(zhí)行漏洞安全公告CVE-2019-0708。黑客可利用該漏洞遠程獲取計算機的控制權限，存在著極大的安全隱患。

騰訊云安全情報團隊第一時間收到了情報檢測系統(tǒng)推送的漏洞預警，當時正在吃早飯的團隊成員chad，立刻在工作群里拉響警報，啟動應急預案，將情報發(fā)給相關團隊。

10點10分，漏洞預警在騰訊云官網(wǎng)發(fā)布，為了進一步通知所有騰訊云用戶，chad他們又通過短信、郵件、站內(nèi)信等方式輪番通知，務必要讓騰訊云用戶提高警惕。

10點30分，騰訊云安全運營中心對外發(fā)布了詳細的漏洞分析報告，并為用戶提供完善的防御方案和建議。

同時，騰訊云業(yè)務團隊正在根據(jù)情報緊鑼密鼓地對騰訊云自身的服務器和產(chǎn)品進行修復和驗證。

不到24小時，騰訊云上所有用戶新創(chuàng)建機器都確保不會受到漏洞影響。

程虎氣定神閑，靠的就是騰訊云這套完整的威脅情報生產(chǎn)智能化流水線。

用戶看不到背后有多驚險，然而恰恰是這種快速反應，讓企業(yè)在攻防中取得優(yōu)勢——用戶毫無感知，其實也恰恰是一個合格安全團隊真正的價值所在。

就像是個老司機，能讓你在車里舒舒服服睡大覺。

事實上，網(wǎng)絡安全自動化、智能化已經(jīng)成了全球互聯(lián)網(wǎng)巨頭都在普遍嘗試的東西。亞馬遜首席技術官、副總裁Werner Vogels2019年在CSS上就公開提到：

我們應該很大程度上盡可能把安全操作都進行自動化，這樣才可以讓客戶以自我保護的方式更好地保護自己。

大數(shù)據(jù)后臺和威脅情報中臺的能力被抽象出來，一點點累積到業(yè)務前臺。針對政府和企業(yè)側進行業(yè)務輸出。

三

授人以魚和授人以漁

基于云資源的攻擊也在成為趨勢。

道高一尺魔高一丈，這就像矛和盾，不斷基于新技術升級。

騰訊安全情報數(shù)據(jù)顯示，云資源作為攻擊源的比例已占國內(nèi)所有攻擊源的45.55%。和與傳統(tǒng)攻擊路徑相比，云資源攻擊表現(xiàn)出更為多元、復雜和脆弱的特性。

傳統(tǒng)攻擊主要是針對個人，但是現(xiàn)在基于云資源的攻擊則是更廣泛，騰訊云安全所承載的壓力也愈來越大。

打開騰訊安全官網(wǎng)會發(fā)現(xiàn)，個人應用安全已經(jīng)只是右下角小小的兩段文字而已。

盡管騰訊仍然是個人安全軟件用戶量最大的廠商，但大量基于云的企業(yè)級安全產(chǎn)品已經(jīng)成為主力。

的確，企業(yè)安全網(wǎng)絡的脆弱性在今天顯得異常突出。我們不妨把企業(yè)比作成是棟房子，這棟房子有密碼鎖，有保安，有狗洞，還有客人進出。

1、弱口令：房子的密碼鎖，有些不懷好意的的黑客會猜到密碼鎖的數(shù)字；

2、安全漏洞：房子的狗洞可能不單可以進狗，被人敲開后還能鉆進一個人；

3、社會工程學的突破：家里有保安其實也不一定安全，因為不懷好意的黑客可能會利用保安的心理弱點進入大門，電影《哪吒》里死守大門的結界獸被哪吒頻頻蒙混過關，其實就是哪吒利用社會工程學攻破結界獸心理防線的結果。

4、供應鏈：企業(yè)一般會有供應鏈合作伙伴，自家沒問題合作伙伴可能出了問題，這就像你家來個客人，一不留神可能小偷也跟著客人進了門。

騰訊安全威脅情報中心會把遇到各式各樣的安全問題進行數(shù)據(jù)分析、分類處理，展開數(shù)據(jù)建模。

給到企業(yè)級客戶的云安全產(chǎn)品主要分成兩種。

一種是直接輸出威脅指標，稱為應用級情報，客戶直接用在他們安全產(chǎn)品里面進行攔截。

一種是運營級情報，將騰訊安全威脅情報中心的模型、算法和規(guī)則內(nèi)置在安全產(chǎn)品中，通過威脅檢測系統(tǒng)、安全運營中心等為企業(yè)提升安全水平。

如何理解這兩種云安全產(chǎn)品呢？我們常說一句話，叫“授人以魚不如授人以漁”。

第一種其實就是“授人以魚”，直接告訴企業(yè)級客戶答案，什么會威脅你的安全。

第二種其實就是“授人以漁”，企業(yè)可以通過模型、算法和規(guī)則慢慢自己搞清楚什么會威脅自家安全。

一般有些企業(yè)就直接用騰訊安全威脅情報中心提供的運維服務。

有些大型互聯(lián)網(wǎng)企業(yè)，則是會自建團隊，會跟他們一起指導先把算法、模型、規(guī)則搭起來，幫助企業(yè)級客戶將“魚竿”不斷升級。

在這種情況下，企業(yè)客戶也能逐漸獲得和攻擊者展開攻防對戰(zhàn)的能力，不斷磨礪自家的安全能力。

企業(yè)安全在云的助推之下正在成為未來中國數(shù)字化的重要一環(huán)。

浪潮已經(jīng)來臨，一條安全自動化流水線將是幫助中國數(shù)字化升級守住大門的定海神針。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。