安全研究的生命力在于对抗:绿盟确立五大实验室研究方向
作者: 日期:2019年01月03日 阅:7,962

2018年12月初,绿盟科技发布了以“智慧城市、云安全、企业安全”为主要场景的“安全运营+”体系,基于其智慧安全2.0战略(产品到方案和运营)思路,确定了未来绿盟科技安全运营业务的主要方向。12月26日,绿盟科技再次将其多年的安全研究资源聚焦,发布了由绿盟科技安全研究院孵化而出的五大安全实验室和对应的五大方向。希望通过体系化的研究,为其产品和方案,乃至交付后的安全运营,提供更有力的支撑,更好的解决客户实际遇到的安全问题。

安全研究的生命力在于对抗

安全研究,特别是安全漏洞的挖掘和分析,早在绿盟科技成立之初便已开始,培养并汇集了一大批业内目前的中坚力量。2010年,为扩展其安全研究内涵,绿盟科技成立了安全研究院。而这次发布的五大安全实验室,就是安全研究院经过8年积累后,绿盟科技在研究资源和方向上的重要聚焦和选择。

“安全实验室”在业内并不难见。以鹅厂和数字厂为代表,他们的安全实验室和研究团队就经常活跃在全球重量级安全大赛和技术会议中,是中国在世界前沿信息安全研究中的重要声音。但这并不是绿盟科技此次成立安全实验室的核心目的。

谈及对安全研究的认识,绿盟科技首席架构师杨传安表示,技术创新是绿盟这么多年一直坚持持续投入的点,也是绿盟的安身立命之本。安全技术,特别是安全厂商的技术研究,永远是被追着跑的。防守的人慢了,攻击的人就快了;攻击者快了,客户就要有麻烦了。

绿盟科技首席架构师杨传安

安全研究的生命力在于对抗。

可以说,这句话是业界大部分安全研究工作者的共识,也是研究工作的重要资源优势。和攻击者对抗的一线场景,就是安全研究员的宝藏。当然,这也是绿盟科技这样一个拥有丰富客户资源的老牌厂商的天然优势。进一步,不只是现有已部署的产品,整合未来安全运营+体系推广后所能得到的实时攻防场景数据,在安全研究方面绿盟将获得更多的优势。同时,实验室研究成果的反馈,更会让绿盟的产品研发和客户侧的运营,更加敏捷,也更具针对性。

可以想象,这将是一个积极的循环。研以致用,这正是绿盟对五大安全实验室的定位。

这五大实验室,不是绿盟的技术品牌,更不会是炫技的资本,通过体系化和更加聚焦的研究,我们要更好的服务我们的政企客户,让客户真正受益。客户侧的实践,才是对我们研究成果的最好检验。未来,安全运营+所提供的具体场景,也会和此次提出的五大研究方向有更默契的配合。

五大实验室

谈了绿盟科技对这五大安全实验室的定位后,再简单介绍下这五大实验室对应的研究方向,和已有的研究成果。他们才是“绿盟科技”这个巨人背后的安全专家。

1. 星云实验室

星云实验室的主要方向是云安全,实验室负责人是刘文懋。

星云实验室关注点在下面三个方面:

  • 软件定义安全

如何将安全能力的资源池化,以及如何通过API实线安全资源的调度,进而提出软件定义安全体系在云环境中的应用与落地,是刘文懋所在团队从2014年就开始在做的事情。

2015年,绿盟科技发布了自己的云安全解决方案,并在方案落地方面,和云杉网络展开合作。之后,绿盟连续两年发布了软件定义安全的白皮书,以及《软件定义安全:SDN/NFV新型网络的安全揭秘》一书。这都是星云实验室之前的重要积累。

  • 容器安全

容器的应用非常广泛,但容器的安全性,特别是安全漏洞,刘文懋认为还不是很理想。数据显示,Docker Hub中超过3成的镜像包含高危漏洞,如果算上中危,这个数字将会是7成。这个数字对开发者而言绝对算不上友好。对容器镜像仓库的“投毒”,以及现有CVE号漏洞的修补,目前也都没有较好的解决方案。

容器安全方面,针对容器镜像的专业漏洞库和漏扫产品是星云实验室在这方面的优势,未来这部分能力也会融入开源项目,为社区容器镜像的安全管理作出贡献。

星云实验室关于容器安全的最新技术报告:

http://www.nsfocus.com.cn/upload/contents/2018/11/20181109100414_79051.pdf

  • 安全编排

如何根据“剧本”,对安全资源进行灵活的调度,进而打造自动化的编排响应体系,并不断优化,是这部分的目标。

2. 格物实验室

格物实验室的主要方向是工控安全、车联网和物联网安全,实验室的负责人是李东宏。

据李东宏介绍,这三个方向,工控安全的研究是走在最前面的,大概从2014年就已经开始。取得的成果也很明显,2017年格物实验室提交了三个西门子的PLC漏洞(CVE-2017-2680/2681/6865),该漏洞使得工厂在遭遇攻击后,需通过手动干预才能对设备进行重启。除了漏洞方面,格物实验室也已在工控设备的合规性检查(工具)方面,产品层面对相关规范进行持续跟踪和落地。

行业方面,除了电网等重点能源外,绿盟还比较关注和机器人相关的智能制造。

车联网安全,目前更多的还处在标准制定阶段,绿盟也从“云-管-端”和软件开发等角度,提出了事前主动纵深防御,事中预警阻断和事后响应恢复的体系建设思路。

物联网安全,比较突出的成果包括施耐德摄像头方面8个高危漏洞,2017年和中国电信安全帮合作的《2017物联网安全研究报告》,以及此次最新发布的《智能设备安全分析手册》。

格物实验室《智能设备安全分析手册》下载:

http://www.nsfocus.com.cn/upload/contents/2018/12/20181224161526_17863.pdf

3. 伏影实验室

伏影实验室的主要方向是威胁监测,实验室负责人是吴铁军。

威胁监测可能过于晦涩,换个方便理解的说话,伏影实验室专门负责跟踪恶意软件(家族)和黑产,绿盟在今年1月发布的APT攻击报告——《互金大盗背后的高级威胁组织APT-C1》,便是伏影实验室出品。

伏影实验室目前的主要成果,主要在威胁跟踪和威胁捕获两个方面。

  • 威胁跟踪

包括API、僵尸网络、挖矿/银行木马等已被跟踪的恶意软件家族数量为94个,日处理样本4万+。其中,70%的恶意家族有收到更新指令,可以看到的受攻击目标总数达2万+,日攻击次数可高达3100。

  • 威胁捕获

伏影实验室的感知节点目前分布在全球20个国家,以全端口模拟为基础,智能交互为辅的混合型感知架构。该系统日均捕获攻击探测800多次,攻击行为日达千万次,捕获鲜活高价值样本上万个。2019年,吴铁军表示,威胁捕获系统将更着力对企业的资产威胁(如证书、备案盗用等现象),以及网络犯罪交易本身(如交易双方的沟通内容),进行情报刺探。

感知威胁存在,知晓威胁当前的态势,控制威胁在客户侧的蔓延,是伏影实验室的价值所在。

4. 天枢实验室

天枢实验室的主要方向是(安全)数据智能,实验室负责人是范敦球。

不难看出,天枢实验室和伏影实验室,一个专攻数据分析,一个则致力威胁数据的收集和跟踪,简直“天生一对”。

这也就不难理解,虽然天枢实验室的方向是数据智能,但定位则是利用机器学习技术(吸星平台)解决安全问题。天枢主要的数据分析平台,包括绿盟的安全数据分析中心和威胁分析云;交付上,也主要会通过威胁情报和态势感知平台,以服务的方式完成。

概括来讲,定位安全的数据研究一般会经过数据处理和检测响应两个过程。数据处理过程会包括数据的收集、提纯、拓展和态势呈现;检测响应一般包括威胁预警、攻击检测、响应处置、素颜取证、数据调研和目标研判几个部分。通过威胁的关联分析和内部调查取证,最终定位企业内部失陷主机,和快速传播的蠕虫样本,便是由态势到针对性洞见的最直观案例。

如果说伏影获取的威胁数据是原油的话,那么负责数据分析的天枢就是炼油厂。通过数据智能体系的深加工,我们可以针对性的为客户提供不同型号的汽油、柴油产品。有了机器学习的助力,这个炼油厂可以自动化的程度会不断提高。

未来,除了这座“炼油厂”生产能力的持续优化加强外,数据智能驱动的自动化攻防,也是天枢实验室重要的投入方向。

天枢实验室的最新报告,《2018年上半年网络安全观察》:

http://www.nsfocus.com.cn/upload/contents/2018/08/20180822170111_76397.pdf

5. 天机实验室

古语“天机不可泄漏”,这个天机放到信息安全,很自然就会让人联想到“零日漏洞”。天机实验室的主要研究方向,就是和漏洞相关的研究,覆盖所有主流操作系统、应用、基础开发组件。

2013年起,绿盟科技连续6年在微软缓解绕过赏金计划中获得奖励。天机实验室的负责人是张云海,也是微软2018年第一季度漏洞奖励计划排名前5的“赏金猎人”。

据统计,截止到目前,绿盟科技共发现高危漏洞(有CVE编号)共193个,其中微软有51个,Adobe有13个,谷歌有15个。

如果说漏洞研究是绿盟的看家立命之本的话,那么天机实验室的研究成果,未来也会为其它四个实验室的研究工作提供重要支撑。

安全牛评

安全研究和安全运营,目前为止都是较为依赖人力的工作。通过聚焦研究方向和业务场景,绿盟科技可以将有限的力量集中,更好的为客户提供服务。这种以解决客户实际问题为主导的战略思路,是一脉相承的。同时,持续多年将技术创新作为企业核心驱动的绿盟科技,其良好的业界口碑和行业地位,也是其吸引并培养行业中坚技术力量的重要基础。

相关阅读

绿盟科技的业务战略升级:安全运营+

访谈|绿盟科技P2SO战略转型见成效 未来在于技术整合

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章