数据驱动安全之威胁情报论坛(ISC 2015)
作者: 日期:2015年10月01日 阅:3,968

2015中国互联网大会第二天上午,安全牛承办的威胁情报论坛开讲。因是技术论坛,而且六个演讲中一半是老外,小编还要赶火车,因此只能勉强(tù xǚe)整理了,还请各位见谅。顺祝大家十一长假快乐!

640.webp (17)

安全牛主编李少鹏:

对安全技术前沿比较了解的朋友都会感觉目前我们的安全防护工作正在经历着一次重大的转变,也就是说从过去传统的网络安全防护边界和数据库为中心,转变为大数据为基础的网络行为模式分析和信息共享。昨天的主会场数千人到席的主会场上,美国的首任网络司令官亚历山大先生和360的董事长周鸿祎先生也同样地阐述了这一转变,周鸿祎先生是用“看见”两个字来解释这一转变趋势的。

的确是这样,拥有了大数据并且对大数据的深入分析能力才能说意味着拥有看见的能力。拥有了看见的能力,我们才有可能去了解现在、掌控现在,而只有掌控现在我们才可以预测未来、改变未来,甚至是掌控并拥有未来。这即是本次论坛的主题,也是安全牛之所以承办威胁情报论坛的意义所在。

《域名生成算法与威胁情报》–Fidelis公司高级威胁分析师John Bambenek

640.webp (18)

信息与情报的区别

信息是一组未级处理的数据,可能包含也可能不包含有可行性价值的情报。

情报是一种基于观察和信息的,并能从中抽取有意义和可行性结论的关键性的信息检测技术。包括分析对手的能力、意图和动机。

域名生成算法(DGA)

使用复杂的数学算法建立虚假随机但可以预测的域名。大致分三类,基于日期的、静态的和动态的。

对于安全人员来说,掌握了DGA可以轻松地把尚未使用的域名泄入“水坑”,利用其收集额外的情报。而且,如果可以事先预测域名的话,可以防止大规模攻击,并近乎于实时地监视恶意行为的基础设施。

另外,利用DGA可以严重地限制坏人的“玩花样”的能力。即使DGA改变,坏人也不倾向于立刻更换基础设施。

如何建立基于DGA的监视

可以轻松地使用Shell脚本和一个 non-t1.micro AWS 实例去创建,但需要GNU的并行和插件工具处理大规模的DNS查询。

ppt

《基础数据与威胁情报实战应用》–宫一鸣

640.webp (19)

到底什么是安全?

我们认为任何一个具体的产品其实都不能代表安全本身,比如说常见的最早期的密码大一说安全都是密码学。后来又是防火墙和IDS,但其实漏洞只是安全里面一个很小的一块,因为实际上大家可能会有感触,现在漏洞越来越多,出问题的东西越来越多,漏洞恐怕是永远不会消亡的,而且跟上线的设备的数量是保持相对平衡的。

去年,很多著名的公司都被搞,如果Twitter、Facebook这样的公司都被搞的话,搞一般的公司太容易了。因此安全的重点在某种意义上变成怎么能及时、更快更准确地发现有人搞我。这是一个理念上的转变,我承认我系统会被搞,但我要把精力放在第一时间发现它。

我们认为安全是一种能力,安全不是一个具体的东西,这里面最缺失的就是看到这个能力,这是什么意思?我们先看其实今年开始国外的厂商都开始讲这个,包括RC的笔记本上贴的东西,还有这种see all the things,还有我们可以看到别人看不到的东西。国内现在也开始讲安全了,但有一个很大的误区国内把可视化当成了安全,可见和可视化是完全不同的东西,可视化是帮助实现的手段,它本身不是安全。

威胁情报的定义是什么?

可以理解为威胁情报亿是actionable的,但我们不这么认为,情报是从军方来得,它分三个级别,你知道你知道,第二是你知道你不知道,第三级是你根本都不知道你不知道。你知道某年某月某日谁在什么地方要刺杀美国总统,这是最下面一一级,最上面是连美国总统是否要被刺杀你都不知道,我们大部分是卡在最上面的那一层面,我们根本都不知道我们不知道。所谓的actionable是一个终极目标,没有底下的数据谈最上面的空中楼阁是不现实的。这里面国内缺的是基础数据,没有底下的foundation想做上面的是不可以的。我们是基础数据团队,我们认为两个主要的应用是这样的,一方面我把基础数据给专家团队,他有了我的数据可以做各种各样的分析,专家团队加我的数据去分析。另外一个点是基础数据可以打批量地收割很容易收割的数据,基础数据有一点类似于线数据,把这些点连了起来。

到底什么是基础数据?

DNS就是一个很好的基础数据,传统的手段是我首先要知道这个网站存在要去爬虫去爬,爬下来要分析页面,利用这种技术说法完全不需要做任何的分析的内容,一下子就可以分析出来它是有问题的。后面有一个时间是活跃的。再看一下XCODE,我们是有能力看到在全中国是什么样的状况。它解析到很多的IP地址上,包括了量级是非常大的。我们精确地知道什么时间,比如说这个在亚马逊上5月8日到7月16日,你想我还可以查这个上面用到什么样的域名,其实可以把整个的家族挖掘出来,我讲到的只是DNS的维度。

刚才讲了一个简单的例子,其实大家如果想一想这个东西具体怎么用完全在乎你的想象力,你的想象力做得好可以做很多的应用,我去查所有带baidu.com的域名,我想知道一个网段里,历史上解析过什么样的域名。比如说a1pay还有cmbc的,还有1OOO86这是基本上确定是诈骗的,还有Fastflux,我不需要分二进制不需要跟踪任何的东西,仅仅从大数据的层面可以跟踪到主流的Fastflux。

下面是高级的应用,去年经常有虚拟主机厂家吵,360会跟其他的友商说我的虚拟主机多,根本不用吵,我有精准的数据每天可以精准地知道你增加了多少的网站的用户,你有多少真的是被访问的网站,因为你无非是两个手段,一种是canam嗯e,我是可以知道你有多少真实的商业用户的,把虚拟主机托管到你服务器上的。再比如我们可以用系统精准地知道今天谁来打,这个人是跑到阿里还是跑到百度还是跑到腾讯。他原来一个IP地址突然到了腾讯的网站,腾讯的DDOS回落到同一个IP域名上,跟踪域名可以精准到秒一级的。又比如说,如果是数据用得好其实可以有很多免费的手段拿到别人需要花钱才能买来的数据,比如说提供垃圾邮件服务器的,通过DNS,不知道stamhosus的可以回复一个网址,我可以对应返回值127.0.0x就可以拿到全部的内容。

DWA是什么意思?

简单理解通过域名结构,通过解析返回的结果,相似度分组还有其他有意思的手段,大家可以看到每天有将近1500万的名单,这个没有任何的人工审核的手段,我们当时出现的访问了一下,这是第一个。大家看这个标题,什么男主出轨什么的,你知道这是干什么的,首先我不需要知道这个网址的存在,第二我不用分析它的页面就找到了一个。我再挑一个,这个好像是第三个还是第四个,因为太火爆了我只截了一部分,高校的是只有OK没有cancel,那个X也点不掉,所以我只好点了一个OK,就很愉快地下了一个东西。这个例子其实可以看到,如果这个数据用得好可以通过很简单、很快速的手段可以看到百万级有问题的网站。

聚类与DGA

我再讲另外一个问题叫聚类,类似这样的东西,这是我们选取的一些有问题的网站,这之间是蛮有意思的东西,你看到其实每一个点放大是一些关系,你看到的是这样的东西,我们去了一个点,大家会看到当你找到一个有问题的网站的时候,事实上全部都有问题了,你能找到它,已经找到了它的家族。

另外就是DGA,我们都不需要跟踪它,我们通过据类可以自动地找到DGA,比如说GOZ、Conficker、这两种我们分了不知道,发现国外已经把它标为DGA了,因为只列了一些,我们有很多这样的东西。

我们讲这一大通的意思是说,当你手里有合适的基础数据,你会用比较好的维度用起来的时候,通过很简单的方式可以做很多人要花费很大的精力才能做的事情。

《威胁情报实战应用》–360天眼实验室高级总监韩永刚

其实我们做具体的防护方案的时候,背后就是基础数据的支撑,如果没有基础数据我们谈威胁情报及很多的东西都是浮在上面比较空的东西了。我截了一个小的视频出来先看一下,这个有一点不一定很清楚,我们把它放开这是在360的云端天眼系统里做的数据分析的后台的可视化分析的平台,中间核心的地址是icloud等,这是XCODE事件的其中的一个域名,我们在整个的数据平台上通过域名的一些正向解析以及IP的反向的DNS的解析,一步一步地做下去,这样一步一步的链条出来,这时候我们会看到一些有趣的信息,包括我们通过一些细细甚至看到了一些人名、联系方式等一些信息,这样把背后的东西都挖出来。所以我们前面一个很短的视频其实让我们看到了一个应用,刚才一鸣也介绍到XCODE发生的过程中我们从基础数据上看到访问量的情况,突发状况,国内非常流行的APT出现之后急剧的变化。我们通过数据关联何以找到一个链条,找到谁是在背后在做这样的事情,我们跟相关的部门也进行了沟通。

640.webp (20)

基于这些基础数据,当我们怎么能把基础数据真正地生成威胁情报,让他们用到企业的客户里,分析能力对每个企业来说并是很容易的事情,我们想构架这样的体系可以看到最左边是情报的收集或者是基础数据的收集,里面有各种各样的数据的来源,有360自己通过客户端的防护,通过企业的防护、通过客户的反馈以及安全团队,从宫总那边来的各类的网络基础数据,包括我们在跟踪的第三方的威胁情报的情况。当基础的数据进来之后我们需要进行这些情报的处理,因为我们有时候老在说我们利用这些大数据做一些事情,其实很关键的大数据并不一定在于它很大,但如果你没有办法进行数据的挖掘和分析也是没有用的情况。所以在我们平台里有很多数据挖掘和机器学习的方法,做同源的样本的分析、域名的发现和用深度学习的方法做一些未知协议,包括用图做社区的分类。用这些传统的方法我们传统的方法依然有效,类似于机器学习的方法最终不一定能得出你想要的结果,但可以把工作量降到专家团队可以应对和处理的情况,再加上可视化分析的方式,我们最终可以说出一系列的比较有效的威胁情报。这个地方是一种可视化的分析而不是一个可视化的展现。

最终,我们的一些可机读的一些情况,一些对实践的分析和辅助的情报的内容,最终我们还要使用起来,可能一些专业的安全的服务人员,专业的团队用它是没有问题的,如果是普通的企业怎么办?我们可以把现成的系统和产品联动起来,使得可机读的情报可以快速地被企业应用,包括天眼下一代未知威胁的系统,包括360做的下一代的防火墙都可以使得可机读的情况用起来,下面还希望这些情报能形成一种生态,在我们的圈里能产生共享和分享的机制,能够和我们的客户和安全的服务商、安全的厂商一起能够把这个事情做得更好,这个现在其实是360的威胁情报中心在做的事情。

另外,可以看一下其中一个应用,我们如果现在手里就有一个恶意样本,其他东西都不太清楚通过这样的数据的关联能产生什么样的情报?我们确实能看到很多新的东西,比如说同源的样本对应的一些控制的域名,包括CC、攻击者组织的背景、相关的信息。举一个例子,我们在云端对一个样本也许是一个已经失效的样本跟踪的情况,我们通过在样本库里面进行查询,包括防护的库里面,联合DNS和URL的信息,能够把整个的问题找出来,把曾经的感染A的客户端,并形成一个威胁情报,再把威胁情报放在客户端,让他应用起来。这是一个案例,通过最开始的样本找到了一些同源样本,在客户端定位到有哪些地方内部的站点被拿下成为了水坑,感染了机器,我们继续找到其他单位扩展出来的过程,这样的一个过程我们其实就把整个攻击的过程还原了出来。

我们找到了一个样本,用这个样本在库里查一些相关的信息,投入这个样本我们找到了关联的曾经的两个域名,有问题的两个域名,对这两个域名我们对应地做DNS的解析,出来几个IP,你们会发现比较有意思了,这两个域名其实注册的时间包括地点其实都不一样,它关联的其实有相同的IP的信息,我们查一下看看都能得到什么样的内容,注册的时间包括改变的时间包括一些留存的联系方式的信息,我们把另外一个也看一下,可以看到中间有非常强的一个相关性。

通过刚才两个相关性就可以发现背后的一些故事了,这个不用说大家也可以非常清楚了,这是非常有意思的信息。我们可以在上面看一下可以不可以捞到其他的东西,有没有进一步的样本。又找到了一个关联的内容,所以在整个云端的数据里,我们一步一步地多维度的关联的发现,因为有时候单维度的信息做起来是没有太大的用处的。我们把多维度的信息都关联起来之后就会发现非常多的、很有趣的过程,而且能够把它的整个的信息恩给回溯出来,这个其实也是我们所说的威胁情报和原来研讨会上,我们原来的一些黑白名单或者是一些漏洞的信息算不算威胁情报,其实大家也在讨论这个事情,也算也不算,不算是因为你需要前后相关联的更完整的链条的信息这样才能对高级威胁真正地起到作用。那么还有见微和见广的体系,见广是云端做的大数据的平台用于产生威胁情报。见微是我们帮助企业用户在本地建立轻量级的大数据平台,这个平台可以把企业各层级的数据尽量地还原出来,网络的数据、系统的数据,应用层的数据甚至是用户行为的数据,尽量地还原起来,留存在哪里,这样的话才能把平台有效地衔接起来,这样企业侧能把高级威胁定位出来,不仅定位还能运行一个快速的回溯的过程,这样的话形成了现在的一个整体对高级威胁防御的思路。

在云端我们各种各样的基础数据的搜集和存储的情况。确实360也拥有国内最大的客户端方面的样本的数据防护的日志,DNS解析的记录,还有其他第三方来源的各种各样的数据,我们搜集起来在云端利用数据挖掘数据分析,跑重沙箱跑可视化分析,生成威胁情报,推到在本地的系统上。我们其实现在即使在本地系统,因为不太可能像在云端一样用几万台服务器,我们在云端用4万太服务器做世亲,但在本地系统不可能做到,所以我们在用户侧做了轻量级的平台,我们基本上有8台普通的服务器,每个服务器40多T的存储用这8台服务器我们完成了1800亿日志整体的存储,而且我们要搜一个东西匹配一个东西基本上是两三秒钟的级别。这个情况下我们真的在客户端可以把事情做起来了。这个有几个截图,这是我前一段时间截的,当时的日志总量是在1600亿左右,各种各样的数据在企业侧能记录和还原出来而且能用比较标准的格式,更有利于后续二次的开发和应用。这样我们能把企业侧的证据固化下来进行回溯。

基本上360在做这件事情的时候,第一是希望企业客户把威胁情报的方式在高级威胁的防护中很方便地用起来。第二,我们觉得威胁情报给了我们机会改变攻击者的不对称优势,攻击者找到了你防护的弱点,基本上其他的防护效果都没有了,可以攻进来。我们希望利用大数据分析核威胁情报的方式,当我们发现攻击者在历史过程中漏出来的线索可以发现他们背后的链条,改变不对称的优势。利用可机读的方式使高级别的防护变得可能。我们360上线了一个威胁情报中心的基础数据查询平台,希望在业内对客户和合作伙伴以及受邀的业内人士逐渐地形成平台的分享,把合作的事情做起来,大家有时间在360的展台上,在大数据安全的区域上可以自己试一下。

最后,我总结一下我们在企业的防护的不同的层面上都做了跟多的工作,其实这个好像跟传统的安全的模型不太一样,因为我们有几个假设,你虽然有几道防线,但假设说你一定有漏洞,一定有没有补上的漏洞,一定有防不住的攻击一定会进来,所以我们要做既要保护边境也要保护重点的资产,这中间已经没有很清晰的物理的边界了,我们在很多的地方用不同的手段和产品做起来。最关键我们在云端还要做大数据安全的平台和生成威胁情报,通过IOC的方式推起来,在不同的防线上用起来。我们利用威胁情报做防护实战的时候是帮助企业建立以数据驱动为核心,以威胁情报为纽带帮助企业建立纵深防护的体系。

上述基本上是我想跟大家分享的内容。最终利用这种方式能让我们的客户重新具备这样的“看见”的能力。

《分布式前置机器学习在威胁情报中的应用》–思睿嘉德创始人兼CEO董靖

今天讲的是比较新的概念,我们在用分布式的前置的机器学习引擎做一些跟威胁情报相关的事情。

大家觉得分布式和前置机器学习又和大数据平台背道而驰了怎么回事?所以我讲的时候很担心有没有人会有挑战说这个东西能不能来讲,有一天正好有一个朋友在圈里发了一张图跟我们的想法是一模一样的,这个实际上是NIC里面的一篇文章,它要做的是什么事情?就是要把数据分析从大数据的平台向前移,前移到入侵点威胁入侵发生的地方。如果了解前了一阵,看过NIC的总架构的话,就知道IAD一直以领先的技术研究而著名。实际上我们也看到了,这个思路不是我们自己一个人在想,很多人也都在想,为什么?实际上问题我们都知道大数据分析平台现在很流行了,刚刚才投入使用的阶段,现在我们要夺分布式,分布式是什么意思?我们把数据分析的引擎下放到每一个终端上,每一个服务器网络的节点上去。前置都是这个意思实际上我们做这个事情是希望跟主办方的主题扣上,我们想看到的是威胁怎么样发生的。

现在威胁防御已经是一个争分夺秒的时间竞赛了,我选这个例子是因为前一阵子有一家一直在盗取icloud域名和账户,实际上代码来看他并没有这个能力。这是我们抓到的真正在iCloud账户钓鱼的域名,我找了一个新的刚刚注册当前上线下线的话是昨天,威胁情报的有效期是三天。iCloud背后的黑产链条做得非常戳,诈骗各式各样的事情都可以做。这不是人工来做的,我首先是做的恶意域名识别,还有网页内容的分类,这么两个技术来抓到的,实际上也是从大量的数据域名解析力抓到的,恶意域名识别的话,今天前两位已经讲的很多了,如果大家看过原来的分享的话,也知道我们也做了不少的工作。我们在企业中也经常地看到类似的攻击的手法,就是定向攻击,并不是说iCloud伪装一个outlook的页面,用鱼叉的方式发到公司的邮箱,实际上是让你改密码,管理员说密码过期了,强度不够,这也是定向攻击的手法。这种钓鱼攻击实际上出现的时间只有很短的三天马上就下线了。

所我们现在在做威胁防御要想防御的话,其实有一个共识就是尽可能在供给链的早期发现威胁,早期发现威胁的好处是第一可以争取防御的空间和时间,怎么样做到这一点呢?第一个方法是利用威胁情报。第二个就是我们在接触点实施分析,在接入点实时分析的好处是什么?我们把机器学习引擎前置,其实大数据分析平台是有很强的滞后的问题的,因为大家如果做过这种数据分析的话,知道数据采集到大数据平台再由人员或者是机器学习去做的话,实际上它的一般来讲都会滞后很长时间。然后如果我们能够把发现威胁的时间往前移的话,这个应急响应的时间会缩短很多,如果把机器学习引擎前置的话,大数据平台有很多关联性的分析,很多海量挖掘是做不了的,所以这个不能解决所有的问题,但会给我们在威胁防御的竞赛中有一定的竞争优势。所以,如果我们想一想今天主要是讲威胁情报,那么威胁情报到底在利用的时候就是两个,一个是威胁情报的生产,我怎么样才能生产威胁情报?其实生产威胁情报就是发现未知威胁的过程,因为首先发现了未知威胁才能生产情报。当然,如果这个入侵要抓不到的话,你永远不可能生成情报,所以这个也解释了为什么大家在原来方向过说威胁情报没有一家是全的,因为它攻击本来就是分散的,一个再大的厂商能接触到的入侵总是有限的。我们要利用威胁情报的话,实际上给我们带来的优势是什么?就是跳过了威胁分析的过程,你不用再分析域名、木马,不用再分析CMC,不用再分析什么样的传播机制,只要利用的分析情报就可以跳过分析的过程就可以采取行动了。

我们是一个创业公司,所以我其实一直在想威胁防御要怎么来做,这么大一个热点市场不参与实在是说不过去,威胁情报一般来讲第一个都是只有大数据这么一条路,大数据要生产威胁情报。这个路是非常正确的,但投资是巨大的,我们刚才也定到了360在云端有4万台服务器,这个对创业公司来讲是不可能完成的任务,所以我们有没有什么其他的路去走?实际上大数据分析平台也有自己的问题,包括基础设施不堪重负,昨天美国的前司令不停在说too much data,他认为从业人员来讲这个是不好的趋势,因为他觉得大数据是解决威胁防御的关键的技术。但我们工作在第一线的成天想着帮助用户解决问题做工程的人,都会觉得数据实在是太多了。最近大家都在讲说有一些人可能用终端上安装的东西回传数据,如果真正地从事过大数据,从事过数据采集工作,就会发现这是一个相当困难的工作,不知道大家有没有经验,在企业里管10万个终端,想下发策略采集日志都是非常头疼的工作。这个事情是带宽是永远不够的,所以要采集很多的日志,采集所有的样本实际上是不可能的事情。

下一个是存储,我把这些数据采集和平放在什么地方,斯诺登爆料说NIC的 map data也只存半年,你要投多少的资源在基础设施上才能把数据存起来?还有是查询分析,这个360的天眼能做到秒级查询是非常不容易的,背后需要大量的技术人员不停地调优。这是大数据安全分析平台难以回避的问题。我其实有很多很细节工程化的问题都没有进,比如说采集数据的适配,一个大企业里有上百家厂商的设备和产品,你怎么样把日志做适配都是很困难的问题。还有一个事情是态势感知,因为态势感知现在也是非常热的,各个国际组织也在讲国内也在讲,我们其实经常看到大家把SOC、SIEM包装一下就叫态势感知了,让我们来看看真正的MITRE怎么讲态势感知,它不是收集一些战术层面的数据,而是要跟业务紧密地相关,要能有真正的影响,能对业务和安全有真正的影响,它只是要脱离开要超越我只能简单地采集数据,我简单地菜单日志,简单地采集漏洞和用户登录的行为,我要发现威胁的人,趋势各种各样的目标,这样才叫态势感知,如果我要想真正地做到态势感知,还是要借助很多威胁情报和事故分析,才能超越SOC,要不然大家讲了半天态势感知,做来做去最后发现又是做了SOC。

我们怎么样看威胁情报的应用,我们认为还是以价值为导向,什么叫价值?就是在企业中能辅助业务,给业务创造价值,降低业务的风险,这才是真正以价值为导向。回到刚才的问题,你数据太多,是的,但是数据是没用的,除非它能够增加价值、能够帮助管理层做决策,除此之外的数据其实是没有什么用的。所以我们要找到什么样的目标?举一个例子,这是我们已经有做到的,我们可以帮助大家看到关键数据在企业中风险分布,我们可以帮助大家真正地看见企业到底有哪些数据,有哪些类别的数据,他们这些数据都在什么地方?哪些数据正在承受着风险,这实际上是往深了看见,而不是简单地采集一些日志。还有业务系统的行为日常,业务系统会不会有异常的连接、异常的数据导出和内陆,还有木马扩散的路径,如果真的是做到了这些,才真的是为业务创造了价值和降低了企业的风险。

在这个基础上,我们就要机器学习的引擎前置,它有什么样的能力?现在行业内对威胁情报的评估都是公认要保留有情境的信息的情报是最有价值的。价值体现在什么地方?首先是有关联性,你的业务场景和很多的环境都有关联,可以行动也可以预测。我们要做的事情是,分布式前置引擎,能实时地找到企业中的关键数据是什么地方,不管是业务数据是结构化的还是非结构化,还是企业运营的数据,像财务报表,我们要知道数据在什么地方,哪些是有风险的,还有是木马的分类,为什么?因为木马分类我稍候会多讲两句,用机器学习做预测,还有恶意的域名,还有行为异常。行为异常有很多种类型,比如说特权用户,其实特权用户的滥用在企业中是非常高的风险,是给业务带来非常坏的影响的,还有像网址分类,我刚才举的例子iCloud钓鱼我们用了恶意域名识别和网址分类两个技术来做的,它是通过识别网页的内容来做分类的。这样在很多时候比如说刚才讲的用鱼叉钓鱼的方式发送邮件到企业员工的信箱,用管理员的口吻说你的密码过期了,让你重新地登录密码,这是非常严重的问题,因为现在大家都在做SSO统一登录,一个账户实际上可以上所有的账户,还有是流量异常。我们把能力组合起来,把它打包前置放到传感器、放到终端和网络的端点上,可以最大程度上保留相关的contax。

机器学习给大家一个概念,首先大家讲无监督学习,给他一堆原始数据,会自动地聚类算法给一些结果,你把聚类的经过拿来做训练数据,用人工干预一下这就叫做有监督的机器学习,它可以生成一组规则,放到生成器,给他更多的原始数据就可以翻倍。机器学习的好处是可以按照这个套路定好了规则之后可以好不疲倦地做,如果是人工分析师的话,这个做木马的识别,现在一个熟练的病毒的分析师,在分析一个复杂病毒的时候基本上都需要半天到一天的时间,可能简单的病毒看半个小时就过去了,花得时间再小但还是比机器的时间长。如果我们有很好的大的规则库的话,可以让机器不停地做。

再讲木马的聚类分类,有时候太技术了不太好在短时间内讲清楚,在传统手工分析的时候会看到做木马同源分析,昨天在APT分论坛也有嘉宾在讲,我怎么样做木马的同源的分析,他用的方式有些跟传统手工方式分析是比较接近的,大家看到都是通过逆向工程来做的,有哪些功能模块和列表可以列出来,有什么编程错误?加密方式和免杀的对抗手段,这是用传统的逆向工程来做的。但机器学习完全是另一个思路,首先最基本的思路是,如果收益这么多这个水平有很多水平高的人,所以写的漏洞利用的代码其实在一个家族里都是共通的,基本上这段代码都是复用的,还有通信的代码,跟CNS做通信,整个DGA的算法都是通用的,所以有大量的代码辅用,这实际上是对机器学习的非常获得特征。对人来讲这是看不出来的,相同的代码在相同的编译器编译出来的结果、顺序和方法都是一样的。但你人怎么去看我连着20个、30位代码的顺序都是相同的,这个人是没法儿看的,但机器可以毫不疲倦地不停地看包括函数的顺序逻辑,编译器的特征,因为编译器的特征也是很重要的,编译出来的信息是完全不一样的木马的作者写这些东西的时候还要用自己熟悉的编译器来做。机器就可以说我来做木马的同源分析。

还有关键数据行为异常,所以我们在这方面有比较深的积累,可以监测到关键数据在企业上的动向,我们也可以经常地抓到外部的数据和泄漏,这是典型的行为分析,昨天因为美军前司令也在讲行为分析也是大势所趋,举一个例子,我们很容易地找到一些机械,这个部门的终端用户平均每天打开多少次的关键数据如果是3倍、4倍甚至是10倍的关键数据被打开的话,很也可能被入侵或者是内部员工离职自己要抽取数据,我们也确实是抓到了真实的例子,一个目录一个目录的压缩,两兆一个包,外传到FTP,这实际上是外部入侵的结果,把这个数据传出来,之后要对目标动手,有85%以上的APT都是要投取数据,这是面对APT的最后一道防线。比如说像大量的访问恶意域名用DNS隐蔽隧道来外传数据,这个我在之前也分享过这种点滴泄漏。

我再讲一讲其他的场景,比如说恶意域名相关的威胁几位嘉宾也讲了不少,我们也分享了一个PPT给大家,还有宫总讲的让你必须下载的一个东西,这种drive-by的下载和内置的木马也是比较普通的,怎么样防这个东西呢?网址分类是非常有用的。为什么?因为大量的下载的话都不是出现在正规的网站上而是擦边球,利用大家感兴趣的,可以很容易地下载一些东西,比较感兴趣的东西愿意付出一些代价我愿意等几秒钟可以下载文件去运行,或者是可能为了要肯某个网站把Flash就给打开了,视频网站像实时美女主播的网站一打开以后就种了一个木马。还有是非授权的特权账户访问,这个实际上在企业中也经常见到,一个部门的特权用户跑到另外一个部门,用另外一个部门的终端登录系统,这是非常典型的被盗取的,还有异常登录行为,像这种很快的会发现一个终端上会很快地试图登录很多的业务系统,优惠换到另外一个终端,用另外一个用户名试图登录很多的用户系统,而且这些行为都是发生在凌晨的时间,像Tor/P2P这些我不细讲了。还有文件的内网扩散,因为现在实际上有很多免杀的病毒,而且昨天也看到了一位嘉宾分享的时候知道了最多可以释放十几次的文件,第一层第二层完全没有任何恶意的,这个怎么样判断?这个判断有一个非常好的办法是看它在内网扩散的速度,因为大家都知道实际上一个文件如果是正常的,一个样有木马的Word,正常的Word文档一般是在一个部门里传输的,或者是邮件的传输都是有限入次数的,一天之内就传到了几千台机器上,这个肯定是一个可疑的文件。还有在威胁情报中还有很多利用上的难点,比如说推送,天眼是把情报放到企业的服务器说,其实每天新增的威胁情报数量很多,C&C的域名很容易就达到几万条,根据我们的经验我们扫了一个省一天的所谓的DNS解析,我们发现了70多万恶意域名,有大概四五十万是钓鱼的,剩下的很多就是C&CDGA算法生成的,如果把这个数据还有钓鱼网站以及木马家族的变异样本和入侵的手法TTP推送到终端是非常艰巨的任务,这在企业里做是很痛苦的。我们还是可以把机器学习引擎前置来做到,我只要做好的更新的成本非常低,不管每天生成了多少,之前我们一天就可以生成5万个,还有我们利用域名与网页内容协同来防止钓鱼,比如说outlook外部的页面让你更改密码,如果只用域名是不够的,我们先发现网址再用内容实时做,还有木马家族的同源变种预测,因为有很多木马都是免杀的,我们用机器学习的办法来做预测,还有异常行为的分析。

我们再讲讲碰到实现的过程中有一些要点跟大家分享,实际上要做机器学习的引擎前置的话,有这么几个需求是必须要满足的,第一是轻量化,不可能搞一个巨大无比的引擎扔到前端终端服务器上,而且还非常耗资源把所有正常的业务都给瘫痪了,还有有比较强的针对的场景做DGA的就做DGA,性能要高,不能占用很多的CPU,尤其是针对解释执行的那些库的话,CPU的占用和速度都是很成问题的。产品级的稳定要推下去不能成天去更新,如果成天更新就完全把机器学习引擎前置的优点给抵消了,还有是改进响应速度,这就很难用开源做,因为开源所有的机器学习库都不行,不管是什么的,也没有什么选择,人家都是打包好的你自己也拆不出来,只有一块扔下去,还是很大,只有通用的算法实现。性能也难以接受,还有各种bug改来改去,开源的东西就是这样的,自己更新你跟不上它的速度,自己改的话,下一版还要做合并,工作量是非常大的。

ppt

《威胁情报的具体价值及IBM X-Force实践》– Ron Willimas

数据爆炸的时代,信息其实就是在未来我们怎么有效地分享以及搜集利用信息打击网上犯罪,这是信息安全专家首要的课题。我们把这些东西分享出来,让大家一起抵抗犯罪的行为,现在有众多的难题让大家在自己的网络环境中看到可疑的行为,如果找到确切的证据才是首要的课题。透过我们这些信息平台的分享。

其实不只是IBM还有不同的厂商都有类似的服务,通过信息的分享我们可以有效快速地找到证据来提供给IT部门做更进一步的侦测跟除错,我们利用资讯更进一步的分析,我们看到的例子,我们可以从这个例子里面看到说可以关联到一adoble的Flash,我们再进一步分析,把有可能的攻击进一步杜绝在外。我们也出了API,让大家把IBM顶尖实验室的结果快速地放到自己的结果里。当然还有无限多的可能可以透过API来实现。

ppt

《发现网络空间里的暗物质情报》–知道创宇技术VP余弦

一、透视网络空间

大数据网络真的是有殊途同归的,都是想把这个事给看见,只有看见了以后才能更好地做后续的一些事。我们没有那么多技术服务的数据,比如说DNS之类的,但我们可以用其他的方式找到一些类似的效果出来

我们现在有一个心得是利用Zoomeye探索网络空间,很关键的一步是先识别主线,在大家的理解下一个IP很多的端口,每一个端口背后可能是对应的一个服务,这个服务是由某个组件来提供的,我们第一步一定要把组件识别出来。真正的透视的需要怎么做到?这里有简单的几个思路,第一是组件的识别,我先识别它是什么?比如说它是一个某种类型的操作系统,侵入式的或者是某个Web服务,或者是用的某个应用。我们要把组件之间的层级关系,从最底层的操作系统到数据库,到服务端到开发语言,到Web开发框架,Web里面嵌入了一些第三方的内容,同时每一层有自己的扩展,是非常纵深的一个层,是8+1层的结构。这个组件出来之后我们还要再统一高一维度的信息,比如说网络空间有一个阿帕奇服务,实际上他可能不是一个阿帕奇服务器,有可能是一个打印机也可能是邮箱服务我们要把最上面的类型做出来。接下来我们要理清设备之间的网络层级的管理,如果对后对应到人也是非常爽的。还有我们的社交信息,这是我们的物理位置,然后是我们的漏洞,如果手上有一些很牛逼的洞基本上是开启了上帝的视角,如果有流量的话,DNS数据化是让你本质也开支了上帝视角,我们为了更加洞察网络空间不得不开启这样一个视角出来。通过这些几层的关系我们曾经真正把网络空间透视出来,这需要很多家共同的努力。

640.webp (21)

此时场内的站立者都快没有地方了

关于这一小节,IPv4空间里面有大量未被探测到的地址,这个比例有将近2/3,大家以为40多亿的网络空间IPv4,这么多人的探测包括国外的开源的项目确实有很多的IP是没法儿被探测到的,也许是保留着,也有可能是在暗网或者是相关的协议可能被屏蔽掉了。在这个IPv4里面要从组件探测出发能准确识别组件的话,IP流量不会超过2亿。我们没法儿非常快的透视出来。透视网络是一件极其复杂的工程,不仅仅是小一点的技术点,我们这里的是把网络空间上其美发被识别的一些东西形象地比喻为“暗物质”。我们要把这些暗物质剥开。

我们的情报体系简单地看一下,因为参加这个会各家的肌肉都秀出来了,你们有这样的技术和架构,我们也让大家看一下我们为什么有这样的架构。第一是我们的ZoomEye这是我们的架构体系,这是我们的引擎,Wmap/Xmap,这是针对Web服务的,这是最复杂的,所以单独打造了一个引擎出来,还有一个是XMap进行了一个整合优化出来的。还有一个调度框架,这个是存储还有数据深度的挖掘,如果没有的话就没有今天的PPT了。接着是可视化,还是得把一些东西可以展示出来。我们还有另外一个体系叫做Dork,大家可以这样理解,我们打造一个ZoomEye,2011年打造ZoomEye这个品牌,2013年都公布出来,让全球人都可以访问和查询,查询必须是网络可以理解的语言,称之为Dork,我们把全球搜索ZoomEye的向都储备起来,并且把它识别出来,能标志出来,这样的话参与的人越多,我们对网络空间的理解就能够更加地透彻了。这是我们放出的已经公开的404个Dork,实际上我们内部已经储备了2000多个了。另外还要开启上帝视角,有时候是要靠漏洞的,因为要探测网络空间如果靠简单的协议的获取,得到的信息是比较少的,这里面就有一些争议,这是不是非法采集呢?我们先把争议抛下了,但对各家来说都想搜集到这样一个有意义的漏洞的情报,比如说手上有一些漏洞,你是否能更深入地研究网络空间呢?可能都需要一些漏洞情报,这是我们打造的一个品牌sebug,也是一个数据化的方式让全球的黑客都参与进来。

小结一下,透视网络孔加厚结合有意义的漏洞情报,我们最根本的目的不是要全球黑,而要做到要及时预警。比如说我们现在认为黄金周期以24小时,还有12小时或者是6小时还有1小时,针对不同的产品应急的时间不大一样。

下面进入本PPT最关键的一个部分枚举暗物质与对应的情报经验,第一篇物联网屠宰场,现在大家看到这个词可以放心了,在网络空间这么大一个空间里有这么多的设备,其实很多的设备已经是屠宰场了,已经被控了。比如说摄像头,我做一些马赛克,因为这些人相关还是比较敏感的,比如说所有相关的Dork,通过相关的漏洞得到相同的密码,其实这个灵感是从哪儿来的?是13年的美国说如何像好莱坞电影一样玩儿摄像头,他们玩儿只是当演员,我们全球性的网络下这个还是挺让我们忧伤的。比如说,这些东西里面的相关的都不是公共的,很多时候都是私人的,大家应该都听说过很多公共的摄像头拜访出来,但实际上有很多是私人的,通过很多相关的漏洞是可以很轻易地到里面去,并且可以做到一个摄像头给进孔的视频和画面劫持住,替换成另外一张静态的图片,让你感觉没有什么事情发生,本来我是有一个录像的,但我不掩饰了。大家看到这个画面有什么样的感想?很多人是不是也期待像这个大哥一样坐在这儿看到全球的摄像头?其实这个想法是错误的,你看不过来,很多人玩儿大数据最本质的出发点就是错了,你摆在那里没有什么用,看不过来怎么?如果不能解决这个问题的话,实际上摄像头的威胁,想让民众或者是厂家能重视的话,是非常困难的。我们现在思考一个问题,假设一下你有全球摄像头的控制权你能怎么样?如果没法儿获取所需的目标情报,这么多空下来有什么用呢?比如说你想把你小区隔壁女神家的摄像机给控制了,但你群众网络空间探测完之后,你是探测到很多,但如果没有针对性的情报就是没有意义的。如果把它当成普通的控制系统用这就跑题了。可以有这样的思路,批量把摄像头静态/动态的图片抓下来比较简单,这里给大家放相关的DEMO,比如说有相关的摄像头的漏洞,把图片抓下来,剩下的领域就不是我们可以玩儿的。图片里面的文字识别,要做到人脸识别就更难,大家看到了《速度与激情》里面有一个阴影能够准确地识别出人脸,那是科幻。现实生活中真的要做到这一步可能还是比较远。但如果不再是挑战的话就非常有意思了。所以现在全球摄像头面对的威胁,包括家庭和办公室用的摄像头很多人不是和关心这件事,原因是因为把你黑掉的这个人不一定是要报复你的。所以很多人有很多的侥幸心态。

路由器威胁,我们把全球一些知名的家用游戏还并不是那些大型的,这些比较普遍的跟大家生活相关的路由器做了一个汇总。大家都知道路由器像IPv4靠什么来提供这么多人上网?比如说D-link的后门报告出来之后,全球大概有6万多的威胁。我们随便找一个例子,浏览器设置了一个伪造的头就被弄进去了。我们可以看到什么?目标路由器里面相关的终端访问了相关的一些基本的行为。D-Link如果不过瘾我们来看磊科,我们刚才说的百万级的后门就是由这家导致的,其实这个漏洞已经有一年多的时间了,2014年8月25日,趋势科技研究员说有一个可疑后门的程序,之后发布了不定,但实际上并没有什么用,还是能够被激活出来。接着国内安全研究员也做了一个详细的分析,去年底的时候我们当时也做了一个非常仔细的分析,把这个漏洞给分析出来了。我们刚刚在参加这个会的前几天进行了重新一轮的探测,发现53413端口目前来说还有110万存在后门,在国内的比例大概是95%。

大家可以思考一下去年8月份的时候爆发这个,厂家都很积极,但修补的速度极其慢,这么一年多过去了,发生了什么?我们来看这些后门的威力,它可以以root权限执行任意命令,可以任意上传和下载,我们取证绝大部分都是木马,都在MIPS平台上,是一个可知性的程序文件,并采用了随机的文件名,其中少数是.sh程序用来下载木马,我们扫描到三次,总共抓到了1400个木马样本,其中不褪的md5一共有583个,大家可以看一下从漏洞爆发到现在一年多,相关的路由器被全球肆虐多么地惨。

这些木马的特点是什么?他们会采用蠕虫式的方式去传播,他们会采用telnet、ssh,会支持多个嵌入式的CPU架构,比如说ARM等。变中多样变化频繁。大多数的木马会以蠕动方式传播木马,发起DDos,我要问如果是少数呢?大家可以思考,其实这个漏洞网络空间有一个很典型的特点,以后对嵌入式一个漏洞爆发出来之后,实际上真的别指望网络空间里有很多的设备能及时地修复掉。里面就是屠宰场,各种各样的票房。我们现在思考一个问题,如果你有全球路由器的控制权你能怎么样?黑产守则一流量即钱,如果大家搞黑产的话太high,流量都能转化成钱。之后做DDoS/CC、跳板-密网?月胡德各类隐私,其实我们现在在思考这些事,这些地下黑客早就已经思考了,并且早就开始行动起来了,这就是为什么说一个漏洞出来之后,我们通过相关的取证还是能够大规模地发现很多的样本。

下面来看一下工控我们理解为这是最重要的脆弱系统,这是一个很典型的工控的架构,实际上这里面绝对不仅仅是某个设备有问题,可能是工控网很多的关联设备有问题,会带来很严重的影响。这个是ZoomEye上面公共的信息,大家可以随便点,点一个打开没有认证,其实这些设备他们早先的时候压根儿不考虑安全性的,从这边可以知道他们的一些参数,包括随便找一个洞比如说本地任意文件的读取其实是很容易的。还有危害更直接的吗?比如说前段时间我们应急的施奈德的PLC,2011年就披露出来的,但我们再次探测之后发现在网络空间上存在的面还是挺大的,它的后门实际上是一个非常低级的方式,采用了一密码(音)的方式写的,很简单地写一个程序,全球的影响是这样的。这个事情我想谈起来好像很简单,确实是很简单,因为很多地下黑客们他们搞的方式就是这样的。还有吗?比如说我们找一个西门子的,找到西门子这边来的时候发现上位的连接,找到了它的C段,有摄像头,这个就比较有意思了,我们搞攻击的时间大家都只有盲处,实际上我们做工控的时候为什么很多人不敢下手呢?因为我们不知道调一个参数以后工控的现场是怎样的,如果你盯着摄像头就可以调参数的,感受一下。还有通过工控,这个情报非常有意思,任何的情报都是当你要深度跟线索的时候,还是西门子这个东西,我们全球跑一下发现有很多的对手们也在长期地做这个,发现了好几个痕迹,之后他们大概有7、8个不同的IP都分布在上海。

640.webp (22)

此时已过中午12点,论坛依爆满

关于这小结我们思考一个问题,你有全球某工控设备或工控网络的控制权准备怎么办?你肯定是拿尽可能多的情报。潜伏也是可以做到的,但敢搞破坏吗?没有人敢,除非是特殊的情况下。同样我们思考的问题其实地下黑客已经早在思考并且在行动了。

关于物联网这一篇我们来做一个小结,全球这么多脆弱的物联网设备你有何感想?像不像屠宰场或者是菜市场,你想进就能进。肆虐一遍全球的成本越来越低,嵌入说木马技术日臻成熟,蠕虫式的感染基本上是这样的传播。之后还有ZMap/MASSCAN的引擎的流行,可能如果你的服务器跟带宽足够的话,可能几分钟、一小时就能够针对全球的端口来一遍了。租用服务器与带宽是很简单的一件事,你甚至可以完全域名没有问题了。一个漏洞爆发全球地下黑客会在第一时间、第二时间行动甚至更早。我们该怎么做?碰到这样的情况我们的应急响应怎么搞?黄金周期怎么样?如何对抗这些地下黑客们?有一个做法是我们必须像他们一样来思考,这就是为什么在很多公开场合上分享我的研究成果的时候,我都说我现在是一枚黑客,很多人不好意思提这个但我很好意思提,你必须站在黑客的角度来思考这个事情,他怎么搞你就怎么搞。牢记,对抗是持续的,不是过了黄金时间就可以歇息,有可能一个对抗要持续N年。其实我前面举的一些例子和漏洞是一年或者是N年了,但网络里的对抗是持续的。

我们再幻想一下这些物联网设备升级或者是打补丁是非常容易的事,但这仅仅只是一个幻想,不过随着以后所谓的智能物联网设备流行之后,也许可以把这个问题逐渐地解决掉。

我们再来看一下关于心脏出血我们得到的一些情报,有些情报是首次披露,2014年4月8日全面爆发,我们用了6h完成了第一轮全球应急,给出了影响面,我们持续监测了全球修复趋势1周,得出的给论比较有意思,全球影响面至少有24多万,美国受影响遥遥领先,中国全球排名16。3天修补速率心里第一、美国第二,而中国102垫底,才修复了18%,我们统计发现中国基本上修复的都是BAT这样的大厂家或者是有情怀的小公司,比如说豆瓣、知乎等等,一堆没有修复的,我们整个的修复率全球垫底。所以说,大家可以看到磊科这样国产的骄傲最近被360收购了,磊科这个一年多你指望用户升级?难!还有100多万摆在那。

我们做了另外一个比较有意思的事,是做了2015年的一周年回顾,我们的结论是,一年的时间全球受影响的IP仅为爆发时的14.6%,为什么修复得这么快?比工控和路由器快多了,原因是这个漏洞载入史册而且全球媒体在炒作,感谢这些媒体们,如果没有他们说实话还一堆的问题。协议依赖很明显,HTTPS占比额超过50%,西方发达国家修复率高于发展中国家。较大规模站点对安全更为重视,国内外知名大网站几乎没有发现相关漏洞。我国持续响应能力依然需要提高,虽然从最初的18%提升到59.9%,说明国内没有修复的还有40%,依然是垫底的。这非常有意思,不是漏洞爆发了以后就死掉了,应该长期地关注起来。

我们来看一下一周年之后的绵羊墙我非常野地把绵羊墙公布出来,想了想还是算了,只是公布了不太有争议的,我们看一下全球影响的目标可以找到。到现在也没有什么用,因为很多人不会解读,我们来看一下这里面都有什么?排名我把它抬头抓下来了,做了一个排名很容易的,我们看排名TOP20的,第一个是一个VMware虚拟化平台,有1万多没有修补的。还有一些虚拟化的虚拟机,一些租用VPS这样相关的平台。这是一些相关的云平台,同时某厂家的设备,实际上这并不是说做得不好,肯定是发布了,但用户可能没有及时修补,我继续吐个槽假如说这个厂家真的做得好,用户肯定是可以通知到的。还有什么思科还有一些防火墙等一些相关的设备,还有PHP。我们不看这个TOP几了。大家看到一个亮点没有?人人网,这是我第一次公开场合批判一下人人网,怪不得人人网要倒了,其实很多厂家都很明白,因为很多服务器真的管起来是很难的。人人网的设备我们实测一下能刷出很多人人网用户互动的一些隐私。还有一些相关的域名包括一些支付的,因为支付比较敏感我这里就不提了。还有日语,还有韩语,大家要知道我们如果真的要叫真的话我们能补出很多有意思的点。我现在这样讲,实际上地下黑客们早就这样做了,而且储备的资源是远远超过你们的想象的。我们小结一下,来个另类的小结吧,谁都不是预言家但要成为马后炮太容易了。比如说关于心脏出血应急响应的时候,有人说应该全球实时刷数据然后分析并构建各种高大上的方案,实时抓数据做分析,很多时候高大上就意味着扯淡,我们看一下扯淡的方案,比如说240w你每秒刷一次IP,每秒从内存里读数据可以读出这么多来。把它给梳理一下,你每秒要读153个G的数据出来,如果是一天呢?你会发现你每天要储存13.3P的数据出来,等你把这个事情都做完了以后,黄瓜菜都已经凉了。中国已经这么地排名垫底了,还讨论什么方案呢?事情来了之后立马干,这是极其复杂的战场,需要一个高敏锐度与高执行力的指挥官,打硬仗连觉都不能睡 ,时间皆是一切,但如果之前我们没有相关的人和架构的储备也是没法儿的,还有需要盟军,因为我们之所以能解决它很多时候是需要盟军的力量,比如说XCERT还有各种媒体还有相关的国家机关。

我们的新的可以总结出四个字粗暴美学,很多时候做事情不要一上来就提那么高大上的框架和理论,搞就OK了,边搞就可以得到提升。

下面我稍微看一下NoSQL,有很多的漏洞,里面有大量的敏感数据,比如说这是我们罗列出来的,基本上是好几万、几十万。我们随便从某厂里面放了将近百万级的用户的邮箱、密码简单的MD5之类的,还比如说MongoDB,我们至少有4.7万各MongoDBIP暴露出来的,其无口令的至少有3.8万IP,其中有6.7万个DB,我们还有很多的亮点比如说色情网站里面很多账号相关的信息,还有天涯论坛相关信息,日约交友站、在线游戏,这个是约车的,这个是微信玩家,还有手机相关的支付的日志,还有一些订餐的?MongoDB觉得这个很牛,他们认为只要IP没有曝光出来是没有问题的,实际上是有问题的。这么多数据基本上分分钟应该是每秒钟就到PB级了,你有什么感想?我们回到刚开始这个,回忆一下透视网络空间,当你真正做透视的时候,关紧的城市透视出来,有那么多的数据摆在那我们可以拿过来做分析。

回到这个问题,有什么感想?其实感想就是别问了,只想静静。我最后给大家轻松一刻,怎么得到CDN背后网站的真实IP。技巧有8,不读了,重点在ZoomEye,你通过搜索相关的网址基本上可以认识是真实的IP。下一个说Google的IP,这个是早先我公布开的,一公布完之后立马就被分发掉了,这些IP都不能用了,现场来一个小福利大家牌照,大家搜answer.py,聚焦到日本、英国随便点几个就出来了。

我说这个是轻松一下,实际上我们可能发现很多很多有意思的点。

网络空间是一个超级大宝藏,有太多的暗物质等着我们去消除。每份每秒都有很多地下黑客的动静,随便部署一些蜜罐就知道。我们的战场不应该只是我们的服务器集群里面,应该在整个网络空间里,为什么?对手就在那里,跟你玩儿他才不会跟你正面去搞呢,他在哪里玩儿,你就去哪里陪他玩儿。

ppt

《安全革命的历史与未来》– AlienVaudtu商业发展高级副总裁 Andy Johnson

ppt

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!

上一篇

网络空间安全战略论坛(ISC 2015)

下一篇

独家连载 | 零日漏洞:震网病毒全揭秘(14)

安全牛编辑

相关文章