雲計算大會：360副總裁譚曉生解讀《天幕危機》

仲介交易 SEO診斷 淘寶客 雲主機 技術大廳

在最新召開的中國雲計算峰會——第五屆中國雲計算大會上，360副總裁譚曉生先生髮表題為《天幕危機》的主題演講，詳細解讀互聯網時代企業面臨的安全威脅，並分享了360在「雲+端+邊界」安全防護方面的實踐經驗。

圖：360副總裁譚曉生會上發表演講

以下為譚曉生演講全文：

各位專家、各位同行大家早上好，剛才馮登國教授的演講我也非常受啟發，其實360的模型是把雲計算分為了laaS、PaaS、SaaS層面，360提供最多的是SaaS。 其實現在我們也開始進入到PaaS領域，我們怎麼把安全服務變成一個平臺，可以讓更多的人，包括安全服務提供者使用到這種服務。 我下面分享的資訊希望對大家雲計算方面的工作有所説明：

在去年到今年有這樣一些詞是熱詞：APT/Anti-APT、NGFW、BYOD、Big Data、FireEye.com。

我們首先看一下2012年都發生了什麼事情，賽門鐵可公告證實兩款企業級產品原始程式碼被盜、VMware確認原始程式碼被竊、在去年年初的時候Anonymous威脅幹掉整個互聯網，攻擊DNS根伺服器。 維琪解密網站遭受持續攻擊、蠕蟲病毒火焰(Flame)肆虐中東、DNSChanger、美國電子商務網站Zappos遭黑、LinkedIn證實部分使用者密碼遭洩露等等這些重大安全事件看到什麼呢?第一個攻擊物件是什麼， 攻擊物件是原始程式碼，攻擊原始程式碼再下一步是找更多的漏洞，找更多的漏洞是攻擊各類企業，對於攻擊者還可以發起更深入的東西。

五年來惡意軟體數量變化，在2011年一季度是最高峰，一天可以收將近700萬惡意樣本，現在下降到320萬左右，看起來情況是好轉了，實際上並不是這樣的，這是我們在2012年監測到每月的新增的釣魚網站數量， 只是攻擊手段實現了轉移，病毒木馬在安全軟體絞殺之下數量變少的，但是更多是與網頁的方式聯合作用，。

外網安全：60%網站存在安全性漏洞，越來越多的企業不得不走上互聯網，在互聯網時代如果不上互聯網就覺得會被淘汰，去年有一個特別熱的詞叫O2O。

實際上網站的情況怎麼樣?360有一個產品叫「360網站安全檢測平臺」，中國網站有數百萬，我們大概檢測了國內全網1/9的網站，檢測結果是相當驚人的：60%的網站存在漏洞，漏洞發現的總數超過6000萬，其中有30% 的漏洞是高危漏洞，有可能導致這個網站被黑的，這個數位是時時更新的，大家可以到我們的網站去看，這個數位是真實的。

網站漏洞的分佈情況：我們認為最嚴重的有兩個，跨站腳本漏洞和SQL注入漏洞。 這是北師大的網站，這個網站被黑了以後被掛馬，如果按行業劃分，安全性最薄弱的網站是政府網站、教育網站名列第二。

今年歐洲也遭遇于史上最大的DDoS攻擊，最高達到300Gbps，目前為止是史上最大的攻擊。 我們之所以測量到50G，是防護的頻寬是50G，被打滿。

外網安全：DDOS攻擊趨勢，360抗DDOS產品是去年6月份投入使用的，到今年一年的時間，我們遇到的攻擊的峰值和次數都是在增加，多的時候一個星期達到一萬多次。 我們保護了一萬多網站，因為有的使用者把抗DDOS作為臨時需求，只會在被攻擊時啟用360網站衛士一類的產品。

對於內網安全會面臨一個非常大的安全威脅就是APT，對Google的極光攻擊、夜龍攻擊、RSA SecurID種子檔被偷、超級工廠病毒攻擊、Shady RAT攻擊。

今年3月20日，韓國有3家電視台和2家銀行被入侵，整個系統不能工作。 當時還有傳言說來自于中國的ID幹的，後來查出ID並不是來自中國，但是從披露的資訊來看是一個非常典型的攻擊。

這是APT的一些定義，其實更多的它是用多種滲透方式的攻擊，是一種組合型、用各種技能的攻擊，具有長期性、潛伏性的特點。 上來的目的往往是為了竊取資料，包括軍事情報資料、重大的工業資料，比如前幾年就傳某國的先進戰機圖紙在駭客圈裡面流傳。 過去的APT都是情報和軍工居多，現在明確的看到針對企業也很多，我們也非常榮幸在過去面臨過APT，在這方面做了很多的防衛工作。

APT攻擊其實是一個成本相對來說比較高的攻擊方式，包括它會用社交工程學、漏洞挖掘、木馬免殺、漏洞攻擊、無線攻擊、密碼破解、釣魚攻擊、加密解密，成本高昂。 如果說你的WiFi和你的內網直接聯通，把WiFi破解就存在很大風險。 但是現在如果是對於犯罪分子，對於木馬、釣魚網站，我們可以進行快速的絞殺，包括對釣魚網站可以封殺它二個小時以下的存留期，我們有一個觀點認為這些其實最終會把犯罪分子逼到APT領域去，這就是APT防衛的一個重點。

典型的攻擊方法：通過電子郵件，APT的攻擊方法有90%多的攻擊方法是通過電子郵件發起的，電子郵件附件看起來只是貼了一個PDF檔、word檔，看似是安全的，實際上攻擊點是大眾不知道的，這些檔其實是可以被惡意構造的， 同時可以把攻擊代碼嵌進去，最終做攻擊的時候把代碼溢出你的代碼區，最初就會有木馬代碼到你的電腦上去。 EMC有一個員工很勤勞把這個郵件從垃圾郵件箱給拖出去，打開就中招了。 這時候就相當於木馬進入EMC的內網，慢慢會有一些IT管理人員中招，進一步擴展到EMC。 RSA是被駭客偷到他的種子檔，把種子檔拿走之後，這時候雙因數認證第二個因數就廢掉了，當被發現的就迅速撤離，這次的攻擊使美國的很多公司網路遭駭客入侵。

APT當中惡意檔的類型：排名第一是RTF、第二是XLS、第三是ZIP和RAP檔。 94%是通過電子郵件進行攻擊，攻擊裡面76%是政府和企業。 APT到現在還沒太大必要針對普通民眾，如果是名人則是另外一回事，隨著技術會被越來越多人的掌握，攻擊目標會往下移，中型企業也會成為攻擊目標了。 排名第一是政府，第二是活動家，再往下是重工、航空、財經、航太、鋼鐵、電子設備、電力等等，這些都是基礎的一些產業。

攻擊方式有WiFi，政府機關和大型企業的WiFi容易被駭客攻擊。 在360我同時也主管公司的資訊安全，我大概拖了一年時間給公司建WiFi，因為WiFi防護是非常困難的事情，不僅僅WiFi容易被人破解，今年還有一個熱詞叫BYOD，就是用你的手機和PAD工作，為了工作可以用手機收郵件， 但是手機又是個人資產，有時候會裝APP，你怎麼知道不會是帶木馬的東西呢，目前BYOD有一些成熟的產品，但是很少見。

有一次給某機構培養人才的時候，輪到我們講課。 我的資訊安全的團隊兄弟們對他們進行測試，破解了三四個帳號，是一個活生生的案例。

這是社交工程學的案例，系統可以沒有漏洞，但是不要忘了人是有漏洞的，人的漏洞是貪婪、恐懼、懶惰這些東西，這件事情是利用人們的恐懼，說你的老闆給你發了一封信，看完這封信立刻到辦公室，實際上這封郵件的附件是一個木馬。

利用人們怕失去，利用2013年的年假休息方案，請同事們填寫表格後發送給予人力資源部，申請單中需要填寫個人姓名、連絡方式。 但如果說你的軟體系統沒有及時打補丁，是一個更加古老版本的office，還不說未知的，已知漏洞同樣有相當高的中招率。

2011年被APT攻擊的企業有索尼、花旗銀行等等企業，這世界上有兩種公司，一種是已經被駭客拿下的，一種是被拿下自己還不知道的。

內網滲透：我覺得這張搞笑的是這張內網的控制介面就被搞掉了，放在最前面的是入侵、防護系統。

案例1：夜龍攻擊，有說法是中國幹的，是針對美孚的，攻擊案例通過SQL入侵，以web伺服器為跳板，對內網其他伺服器及終端電腦進行掃描，通過密碼暴力破解等方式入侵內網伺服器及開發人員電腦，向被入侵電腦植入惡意程式碼， 並安裝遠端控制工具等。

案例2：RSA的駭客攻擊事件，2011年的招聘郵件，發的並不多，只有4封，就中招了。

APT特點及趨勢：我們傳統的防禦手段有效嗎?為什麼下一代防火牆會變成熱點?同時不起作用的還包括APS入侵防護設備、入侵偵測設備等等。

這個主要因為過去的攻擊是一次性的，所以過去的防備手段是沒有上下文，更多是基於過濾。 不管是第三第四層的過濾，還是在第七層的過濾，如果被你的對手盯住一點點往裡滲透，這時候對防衛來說要求一下高了很多，要求判斷上下文，對防衛邊界判斷非常重要。 在某次訪問的時候並不知道這次訪問上下文關聯是不是攻擊的一部分，如果要全存下來量會非常大，如果計算檢索計算量會非常大。

一個更長時間維度的攻擊和採用一些過去某個時刻所謂0day漏洞還沒有報出來，大家還不知道，今天防衛的時候別人的攻擊手段你還不能瞭解，未來的某一天你才知道。 這種問題的解決恰恰是雲計算的能力，現在的雲安全防備提供了一種機會。

解決的出路是什麼呢，就是雲+端+邊界聯手防禦。 過去大家分工分得很清楚，比如說像360過去大家都認為是做用戶端安全軟體的公司，對於像啟明星辰等其他一些企業更偏端上的防禦，做網路安全設備，在邊界上進行防禦，雲過去在安全裡面做得比較少。 360和趨勢科技是在全世界最早開始進行雲端的安全防禦的公司，我們把病毒、木馬是放在雲端去防的，現在針對電腦上的雲端防禦是一個共識，在下面對於企業的安全防禦是這個技術的進一步擴展，把企業安全防禦也應該放在雲端去做。

這裡面說雲端的價值是什麼?

1、必須要有海量的資料儲存能力，這些東西不記下來就沒辦法進行進一步的演算，就沒辦法對歷史進行檢測。

2、對海量資料的異常行為進行檢測，對大的集群進行建模、分析等等，要有更複雜的演算。

3、要有認知的共用，A企業遇到攻擊要有管道把它攻擊的特性提取出來，讓其他的所有企業都進行防禦，這是我們在PC上針對木馬和釣魚防禦的經驗，在PC上為什麼木馬會我們絞殺掉，過去有五十萬、一百萬的感染，現在平均感染16次， 一個樣本在執行的時候，被我們提取的時候進行非常快速的處理，在幾秒之內就放在雲端，幾分鐘之後全網都會進行絞殺，這些木馬的攻擊成本就會非常高。 在企業級防禦上也應該是同樣的思路，這是我為人人、人人為我的互利過程。

4、服務用得起，為什麼這個東西放在雲端，一個企業單獨進行部署當然有可能，這個企業足夠有錢，不僅僅是買得起的錢，還要有很多搞雲計算的人，像中石化可以做到，但是像中型企業就未必做得起，這其實和雲計算的推行道理是完全一樣的， 我們可以通過集中化的規模優勢讓每個人都享受到廉價而且優質的服務。 這裡面用到的技術、分散式儲存、分散式運算平行計算，機器學習技術、准即時計算技術。

邊界在這裡面依然有非常大的價值，不是有了端和雲邊界就沒有價值，邊界第一可以提供資訊的採集，流量的偵聽，可以做協定的還原，一般現在的計算能力，X86的計算控制做到第七層的控制效率還是不錯，尤其是通信的控制， 還有可以做攻擊阻斷。 一旦發現有可疑的攻擊在邊界上很容易阻斷。

用戶端的邊界在哪裡?哪個進程在進行通信，是不是把這個進程的樣本提取出來進行分析，同樣可以做網路准入控制和程式准入控制、硬體准入控制。 對於APT的運行有一招，就是非白即黑，如果從陌生人變成熟人是很容易，但是在陌生人中區別好與壞難度非常大，實際現實情況是我們在現在新發現的新的程式裡面百分之九十幾都是壞的，從運行總數來說好程式運行的次數多。 這是雲+端+邊界的一種思路。

針對企業安全，360自己出了360企業版，第一是安全軟體、第二是企業管理軟體，第三是硬體資產管理軟體。

360雲安全基礎平臺：有了雲端之後計算需要什麼樣的能力，我們搞了有6個分散式運算的品牌，目前是私有雲架構。 第一是解決分散式存儲的問題，目前用HDFS，分散式表格系統HBase，分散式K/V系統Cassandra。 計算第一是M/R計算系統，我們自己做了一個Euler計算。 這裡不資訊介紹了。

這是我們過去栽了更多的跟頭，最終走到Cassandra上。

Euler平臺演算法庫，Euler平臺每台是288，一個是推算演算法，包括網路攻擊檢測都拿這個來算。

即時計算平臺，目前可以做到15秒和10秒的延遲。 10秒鐘之前的攻擊，我們保護的量一天是33-50億次的訪問，我們可以在10秒鐘之後就10秒鐘之前針對什麼樣的目標產生了什麼樣的攻擊進行分析。 APT我們的延遲時間是15秒。

現在來自于互聯網上來自雲端的攻擊，我們的防護思路也是基於雲端的防護，漏洞掃描，沒有必要讓使用者每個人買一個掃描器放到公司去掃描，我們提供了一個雲端的掃描，而且未來的基於雲端的掃描是免費的，因為它的邊界成本非常低。

　　360網站安全檢測平臺可以進行漏洞檢測、掛馬檢測和篡改檢測，360網站衛士可以抗DDOS攻擊。 DDOS攻擊拼到最後是體力，你有沒有足夠多的伺服器、足夠多的頻寬，讓攻擊者一段時間打不死。 如果一個企業對外只有100兆頻寬分分鐘就會被打死，我們360網站衛士目前的抗攻擊能力，全網11個節點，沒有100G頻寬不會把我們打死的。 所以這些是基於雲端的技術，目前砸的不是很多，有幾百台伺服器，實際投入了200G頻寬進行防禦，這個思路是基於雲端的代理，雲WAP放在雲端，通過BS的重新解析，進行流量清理之後再還原。