中新网12月26日电 这几年,安全行业的各种新概念、新产品层出不穷,从老三样,到SOC、SIEM,再到现在的威胁情报、态势感知。其中,今年最受追捧的当属“威胁情报”。在12月21日举办的第二届北向峰会上,嘉宾现场选出的“2017中国网络安全领域十大热词”中,威胁情报排名第三,可见安全行业对威胁情报的期待。
威胁情报的价值自不必说,但是如何用好威胁情报,我们该怎么用它来对抗黑产?就这个问题,冯景辉在今年的北向峰会“山海关论坛”上,分享了百度安全在“不太平的后厂村路上”如何用威胁情报来成功对抗黑产的实践经验。
百度安全事业部技术总监冯景辉
应对撞库:发掘风险用户行为 建立三层账号防护体系
今年的黑产攻击中,撞库是当之无愧的“热词”。有媒体曾报道,只要花300元就可以对微博账号发起攻击。传统的解决思路是验证码的方式,但是这种方式存在一定弊端。即便是从原来的数字验证码进化到汉字验证码,但仍存在盲区,比如大量的移动端接口没有办法短时间更新。
那么,威胁情报的解决思路是怎样的呢?冯景辉介绍了百度安全的三层账号安全防护体系:
第一个层面是存量检测。简单来说就是自己撞自己的库,看看这些年来已经被泄漏的账号密码有没有在百度上注册账户,如果有这些就是高危用户。
第二个层面是实时检测。有时候你会发现,在注册或登录账号时,即使你使用了看似很复杂又符合规则的密码,但仍然被提示需要更改密码,这种情况很有可能是你的密码已经泄漏了。这种情况需要实时检测判断。
第三个层面是多层次模型判断。如果让所有人都进行复杂的多重验证,账号是安全了,但是用户体验就会很差。所以两者之间也需要平衡。怎么办呢?百度安全基于所有百度产品的访问数据和情报积累数据,查看哪些访问来自高危IP、未知IP,哪些访问来自于恶意的手机(EMA号),一旦被判断为可疑账号,就会进入更加复杂的验证环节。这样做就既可以保证大多数用户的使用体验,也能弥补验证码存在盲区的缺点。
这里的多层次模型判断,是典型的威胁情报应用场景。把各种来源的恶意IP、恶意IMEI、风险账号、定向破解、撞库、恶意爬虫等等情报信息,放在百度大脑里进行不断地学习,让百度大脑能够快速地识别出哪些是黑产的恶意行为,哪些是正常的访问。
应对DDoS攻击:攻击预警与溯源 提前五分钟发现DDoS攻击
上个月,俄罗斯五大银行遭遇DDoS攻击,来自30个国家2.4万台计算机构成的僵尸网络持续不间断的攻击,结果是黑客从俄罗斯央行的代理账户盗取了20亿卢布才算完。
DDoS就像是洪水猛兽,会在很短时间内突然间出现一个很大的流量,让网站猝不及防。威胁情报能在DDoS黑产对抗中发挥怎样的作用呢?主要是两方面:攻击预警、攻击溯源。
“我们知道大流量攻击无外乎来自于几个方向:海外流量、国内某些黑数据中心的流量,以及大量的各种肉鸡流量,过去主要是PC,现在越来越多是摄像头、路由器等IOT设备。” 冯景辉说,百度安全现在能够做到在黑客发起攻击之前,提前5分钟发出预警。这5分钟就像是生命线。企业可以在用户没有感觉到网络波动之前启动防御机制,为保证业务的连续性起到重要的作用。
百度安全凭什么能做到?这是基于多年来积累下来的全网僵尸网络的监控能力。百度安全目前掌握了10多万个僵尸网络信道和几万种家族变种。能够实时监测僵尸网络对未知目标发起攻击。用户如果使用了百度安全的产品,就可以迅速对攻击进行拦截。
同样基于僵尸网络监控,百度安全还可以对攻击进行溯源,主要应用在两个方面:一是在事后调取证据,抓获犯罪嫌疑人。而另一个更重要的作用是从攻击发起端开始进行全链条的拦截。“由于能够做到提前5分钟发现攻击,所以我们从主控端对流量进行调度,从攻击端到服务器端,每一个关键节点,我们都进行了防御。这样就避免业务被打垮,网站服务也不会受影响。”
应对隐私窃取:情报信息再加工、再利用,精准度提升20%
今年7月,有用户投诉说接到骚扰电话,对方说电话号码来源于百度。最终的调查结果是,这是一种打着“网站访客营销”旗号的黑产行为。黑产以营销的名义,对搜索引擎收录的网站植入恶意代码,当用户访问这些网站时,手机号码、QQ号码等隐私信息就会被窃取。
网站访客营销黑产是已经非常成熟的产业链,黑产制造了恶意软件工具,通过代理商卖给那些不良网站,一级代理商把它包装成一套服务,不断变换域名,躲避搜索引擎监管。
应对这种黑产攻击,威胁情报能做些什么呢?“传统的打击方法是不断地抓代理商,封锁代理商的域名。但是这种方法很被动,因为我们后来发现有二级代理商这种隐藏在背后的机构。”冯景辉介绍说,针对一级代理商,通过分析不同代理商的模板行为脚本,挖掘出一些还没有被举报的URL,通过百度安全掌握的资产信息来进行反向推导;针对二级代理商,把实际控制人所控制的不同域名等信息挖掘出来,并且进行横向的打击,对威胁情报进行再加工、再利用。通过这种情报再加工,百度安全在传统打击方法基础上,将精准度提升了20% “经过一段时间打击之后,在百度搜索引擎里边,非法窃取用户隐私网站数减少94.26%;网民点击风险网站数量减少80%。”
小结:
战胜黑产需要“训练有素的军队+有效的武器+有效的情报”
威胁情报的价值已经得到普遍认可,但是如何让它在企业安全防护中发挥时效,这就要考验使用者的水平了。记者曾经采访冯景辉时,他对于安全行业的一个观点让人印象深刻:在现代化战争的背景下,没有一场战争是靠高精尖的武器打赢的,我们需要训练有素的军队+有效的武器+有效的情报才行,这三者缺一不可。在对抗黑产这件事上,也是一样。我们从来都不缺乏高精尖的武器,而是缺乏精通这些武器的“雇佣军”。
事实上,用户并不需要了解威胁情报是如何关联分析的,他们关心的是结果——网站哪里有风险,谁来负责,谁来修复这些风险,结果如何。所以,这样看来,让专业的人做专业的事情,企业需要的不是学习如何解决问题,而是要找对“雇佣军”。
上一篇:西藏墨脱县收到首个网购大家电
下一篇:未来电商运营该如何发展?西线告诉你解决方案