常優 騰訊安全專家
網絡安全形勢是一年比一年嚴峻。可以看到從外部威脅上來講黑客的團伙以前是單打獨斗方式進行網絡供給,現在發展成有組織、有秩序的組織,一直在干非常勾當。
監管機構把網絡安全監管越來越嚴密,包括像國內外的監管機構發布行政上命令,像有些國家企業單位如果有違法的行為,比如網絡資產安全損失、安全事故,可能會讓國資委基于情節對責任人進行降級或者扣分處理。
歐盟GDPR政策出來以后,但凡一些企業發生嚴重數據泄露,甚至可以去罰他們的全球營收罰金開出來。
企業的發展也是因為并購帶來資產管理的風險,可以看到美國專門做電信Starwood企業去做并購,并購發現兩個企業管理理念不同導致安全風險事件發生,導致他們的估價受到損失。
沒有網絡安全就沒有國家安全,是習大大說的。現在來講,中國對網絡安全的關注已經達到前所未有的高度。其中的一個關鍵節點是2015年習近平擔任國家網絡安全小組組長,從那個時候開始網絡安全市場越來越繁榮,不管是國家企業、互聯網企業對于網絡安全的重視也是越來越大。
這邊我列了中國跟美國的對比,中國跟美國之間是有競爭的,在網絡安全里面跟美國有一些對話。從監管力度上講,美國的《網絡安全法》是在2015年發布,中國是2017年6月份發布。中國發布《網絡安全法》特別有意思,從發《網絡安全法》征求意見稿一直到正兒八經發出立法法律條文出來,總共只用了一年的時間。從法律征集文出來到發布法律只用了一年,這應該是我見到或者是曾經知道發布最快的法律條文。
在2019年5月份公安部發了《網絡安全等保標準要求》美國比較激進一些,成立網絡安全通訊中心專門職能負責,美國國家安全機構成立了反擊網絡黑客司令部,像軍方的組織去負責未來在美國的網絡站。這些不是我瞎說的,在新聞報道里面都能看到。
中國跟美國之間有比較大的不一樣的地方,大家對安全的理解和執行是完全不同的。中國在安全服務交付上以網絡設備方式交付,有做安全廠商的知道小米以安全盒子方式交付,美國比較開放一些更愿意以安全服務形式交付。
安全預算,之前看中國有一個報道的數據,中國跟美國在IT服務器領域投入是差不多的。中國跟美國兩個國家在IT領域的投入是差不多的,大概在千億美金的體量。中國的安全預算在整個IT總預算里面比例非常小,才2%不到,美國已經達到17.2%水平。
舉個簡單的例子,中國的政府GOV網站加密覆蓋率才不到10%,美國在2015年推行必須得政府網站全加密政策。從2018年來看美國GOV網站加密覆蓋率達到85%,加完密之后網絡級高的人對數據竊取可能性會降低很多。
美國人非常的狡猾,美國有安全背景的政府部門國土安全局推出了《SOC標準服務》。它不是站在產業的高度,而是站在標準和國家安全的高度,推動美國政府安全情報共享。它可以以國家的力量把安全情報放到一起,再讓各個地方的政府接入情報,并且共享情報,把情報用到網絡防御的設備上,能夠造成防御的效果。
美國在2009年推行“愛因斯坦計劃”,“愛因斯坦計劃”跟習大大之前說的是類似對標的。不好的地方是脫離原來的思想做大屏幕。美國的“愛因斯坦計劃”是做任務,產品有很完整的標準。如果有興趣,大家可以看美國關于標準,有了標準推行產品和推行方案的時候有跡可循。
國內比較尷尬的是在于大部分的安全防御是糖葫蘆串似的。這是典型的各種企業防御方案,所有的設備通過串型方式像糖葫蘆一樣串起來,終端上有惡意軟件識別機制以及資產漏洞掃描機制。這樣的方案根本解決不了問題,國內發生各種數據泄露或者是朋友圈經常看到的消息是按照以前的方案做安全防御造成的影響。
騰訊在安全防御體系里邊思路跟以前不太一樣,首先會強調原生安全。安全不再是像滅火器一樣,每個部門或者是安全組件商都會有安全設備,而是把安全頂層設計跟業務揉在一起,成為業務的一部分,像房間里邊噴水的消防栓一樣。騰訊綜合防御體系和網絡層、運營層防御能力是非常多的。網絡安全員面對攻擊或者面對漏洞應急的時候不是單兵作戰,而是大家聯合在一起,把所有的防御體系以及安全策略流程串在一起。每次有應急的時候大家一塊上。
舉個前幾天RBP(音)漏洞的例子。從騰訊的角度來看,資產流動對騰訊的傷害不是特別大,在資產上都有終身防御的策略,在漏洞橫向移動的時候可以把你阻斷掉,這是協同防御的理念。原生安全跟系統防御是騰訊專門做安全防御體系里邊堅守的思路。
總結了一下,合起來代表了三大能力、兩大平臺、N個生態。這是3+2+7協同作戰防御體系,后面會講體系是什么樣的意思,畢竟是以數據為代表體驗出來的話述。這邊是防御體系框架,框架從下往上看,我畫的比較簡單一點,如果真的把騰訊里每個東西畫出來,這頁都放不下。整體角度來講提供兩個平臺,是騰訊統一接入平臺和騰訊統一運營平臺,這兩個平臺做安全能力輸出,包括像能力協議解析,實時計算的能力和模型編排能力,再配合上騰訊自己有一套專門的云運營平臺,里面的讀寫情報不停的在滾動。
騰訊在防御、監測會有各種各樣的產品,產品全都是根據平臺的輸出能力定位,所有的防御點可以通過統一平臺的防御點去進行聯動,整體防御體系的框架。騰訊在落地3+2+N架構里面面臨很多的挑戰,挑戰可能是傳統的安全廠商沒有見過的場景。
第一個,在海量數據的接入上,騰訊作為中國比較頂級的互聯網公司,騰訊的網絡越來越像運營商網絡,有可能從北京網絡入口進去不會從北京的網絡出口出,而是跑到深圳的網絡出口。你異地之間網絡流量的匯聚跟計算變成需要面臨的重大挑戰。現在整個架構落地到騰訊里邊,全球50個IDC都覆蓋了防御體系。
天幕接入量是100PB里頭,國內最頂級流量接入平臺。天幕通過峰值計算完成流量集中式計算跟匯聚。看起來已經具備了5K+計算集群處理,大概100PB流量,并且能夠在上面跑。
第二個,小概率事件變成常態。騰訊每天會遇到4000次DDoS攻擊,1秒之內對DDoS攻擊進行自動防御,防御過程是沒有人參與的,全都是由機器自動化完成的。
第三個,對漏洞應急上,騰訊資產比較多,大概會有好幾十萬個服務器。對漏洞應急不再是盲目的打補丁或者盲目的進行程序的升級,而是會通過天幕體系把漏洞防住,再推進防御策略進行升級。
整個天幕需要融入到騰訊的安全架構里邊,騰訊有很多不同的團隊、不同的公司、不同的業務組成。天幕產品并沒有完整的大的框架,而是所有天幕的產品形態只有一個,甚至騰訊內部推行之后讓業務方很短時間內搭建針對于自己業務的專門的防御中臺出來,這就是騰訊在落地3+2+N框架里邊的挑戰。以前也試過廠商提供的安全方案里邊不能完成的,也是由騰訊自己進行自研做了安全防御體系建設。
面臨挑戰積累了三大安全能力:(1)計算能力。騰訊網絡復雜,已經能夠做到跨IDC、地域,雙向流量進行檢測,并且進行秒級的處理。(2)騰訊有云,讓數據匯聚到一起,每天通過大量的數據計算產生全網推訊的情報,代表了獨一無二的核心安全能力。(3)騰訊天幕防御體系不是侵害業務的防御,(英)會對你的業務進行傾向,能夠進行業務的接入,我們也使用了旁路的方案阻斷系統。這是天幕提供的三大安全能力。
天幕還有兩大平臺,接入平臺負責自動化工作,像高速軟件自動化處理都是由機器去完成的。平臺會負責專案分析,包括云上的虛擬機,考慮到母機去進行勒索。這些都是安全專家在運營平臺上針對于專案的分析。
N是最后的東西,生態不光是由騰訊原生的產品作為支撐,也會聯合生態的廠商產品,大家共同在生態里邊完成安全防御的貢獻,這就是騰訊3+2+N防御體系構建。今年也是把方案推向了一些廠商,圖其實不是我們畫的,而是由金融行業客戶按照護網套路把自己防御體系給畫出來。天幕也是在里邊起到了大腦的作用,所有的云主機、網絡主機層、運營層檢測類設備全部可以調用天幕提供的防御,能夠在護網里邊把防御體系縱深以及防御的效果全都給串起來。
客戶自己總結了護網應急三板斧:(1)封IP。(2)禁接口,能夠讓防御面縮小。(3)斷網絡,斷網不提供服務。天幕在平臺上能夠幫他們完成應急的三板斧。
天幕在全環境下進行集采,在騰訊內部跑了七八年左右,根據騰訊產業互聯網戰略能夠把騰訊天幕向外輸出。不管是你的公有云、私有云、混合云、本地IDC進行接入,只是把流量牽引過來之后進行防御,能夠針對護網、應急做最佳實踐。