您的位置: 网界网 > 行业应用 > 正文

刘霖:如何应对数据泄露和APT威胁

2013年08月18日 10:53:40 | 作者:佚名 | 来源:CNW | 查看本文手机版

摘要:第十一届保险行业信息化建设研讨会在北京富来宫温泉度假山庄隆重举办。来自各大保险企业的CIO及信息中心主管们,就云计算如何在保险行业落地,大数据对于保险行业的意义,电子商务在保险行业中的应用,以及IT与业务如何更好的融...

标签
保险
信息化
研讨会

第十一届保险行业信息化建设研讨会在北京富来宫温泉度假山庄隆重举办。来自各大保险企业的CIO[注]及信息中心主管们,就云计算[注]如何在保险行业落地,大数据[注]对于保险行业的意义,电子商务在保险行业中的应用,以及IT与业务如何更好的融合做了深入的探讨。

以下是Websense高级区域经理刘霖先生的演讲实录:

刘总:

各位专家,各位来宾,大家下午好,刚刚裴总有提到云的服务,特别是云存储,我今天的话题也包含这一块,但是我可以给大家报告一些,因为今天早晨我专门看到有一个信息,在(Social Network)上面,现在在硅谷有一家叫Box,做云存储公司,现在估值是12亿美金,500强公司里面,大概有92%使用它提供的云服务,老板是1985年生人,我看这个名字像是一个印度人,员工有600人,也就是说,裴总是从硅谷回国的,科技的创新非常多,因为互联网的机会和威胁,每天都会发生,我们刚才讲到85后做的一家公司,市值现在被评为12亿美金,其实从这个逻辑上看,在美国很多大型的公司,都在捣他的数据,网银上去存储。
另外一点,他们遇到很多安全威胁,或者面对数据资产本身的管理和防护,也变的很突出。接下来给大家会把和分享一下,就是Websense在我们提到这两个方面,给大家的一些建议。

基本上它不太涉及到产品,我们可以看一下里面的内容,我会分四个议题跟大家简单的汇报一下,第一个议题是说数据泄露其实是两面,一个是英磅的,一个(欧磅)的,因为原来很多大家考虑安全问题的时候,主要来讲就是英磅,由外到内,但现在有很多安全问题是有内到外的,我们看一看两块的问题,最新发展的情况怎么样,这一张实际上我在人民网上看到,5月17号人民网,包括外交部都有一个申明,因为美国有一家安全公司,一直在诬蔑我们中国,有专门的黑客部队,针对美国采取一些数据窃取,和数据工具的动作,我们看到这个图片上,有一些像BBCN这样的西方媒体,甚至专门跑到上海想去找这样的一个部门,但是最后结果是一无所获,因为中国的政府明确的对外讲,我们没有这样的机构,我们也不会去做这种非法的事情。但是什么事情让美国人紧张,或者感觉到这么可怕?报告里头提到一个攻击技术,叫APT[注]攻击,那么APT攻击,它对金融行业有什么巨大的祸害?实际上我们可以看到在今年三月,韩国对外宣布,它受到大规模的APT攻击,(58:16)高级持续性威胁,事后发现十个样板,其中有九个都是APT攻击的样本,这个威胁不再重复了。

但是我给大家讲所谓的定时炸弹,其实是一个著名的杀毒软件,一个国际的AV厂商,它的杀毒软件直接被变成一个可传统攻击脚本的这么一个传播载体,这个预示着,其实随着我们数据越来越之前,500强企业,目前来讲,它的无形资产占到企业总资产,现在来讲,基本上占到70%,甚至80%,这些无形资产被黑客,或者内部某些员工所关注的垂线的东西,这些东西提取,都会用现在新的安全手段去防护。但是攻击越来越多,而且我们看到传统的很多用户,已经用过了,正在用的一些安全手段是无效的,特别是我们看到说像杀毒软件、防毒墙,对APT攻击,几乎来讲无效。韩国这件事情,我们可以看到,最后变成一个国家安全威胁的一个事情,所以APT是一个很大的事。

那么其实我们在中国也遇到了很多,我们可以先看看,APT攻击究竟是怎么样产生和很多企业对APT的看法。我们可以看到,美国商业资讯网有一个调查,对一千五百个信息安全官做了一个调查,调查的结果,大家都认为,APT就是窃取我们企业的核心数据,但是现在60%的人,都认为说,它可能都会遇到这样的攻击,而且现在传统的手段,对这个攻击是无效,或者收效甚微。我们看一下什么是APT攻击?首先APT攻击里头,有一个环节是钓鱼,我们可以看一看,其实裴总也认识,我们原来的一个同事,他会收到一封邮件,因为作为Websense来讲,是北美的一家上市公司,我们会收到很多邮件,这些邮件实际上会伪装成我的同事,甚至我的老板发过来,这个邮件告诉你,它没有附件,也没有任何内容,只会有一个链接,这个内容读起来是OK的,卖的多少东西,月底给你计算奖金,点一个链接进去算,其实公司有很多系统,都是放在云上,这种操作很多人都去做。但是这其实是一个钓鱼的动作,如果你点击了这个链接,就会产生非常要命的错误,我们来看是怎么样的一个后果,给大家分享一下,这个是SA已经纰漏过了一个案例。

大概在2011年的时候,SA在北美有两个研发小组的成员,都先后收到了一封邮件,这封邮件是说,我是一家猎头公司,我有一个非常好的职位,向你推荐,你要不要去,它的薪水是多少,如果你想了解更多的信息,请你点击一个链接,不行的是,有一位哥们没有扛住这个诱惑,按下了鼠标,首先这件事情,就会变成有黑客漏洞分析的服务器,上面有非常多的攻击脚本和攻击软件,第一时候去浏览你的浏览器或者你的Application有没有问题,如果有问题,立刻开始进行注入,下载这种恶意的软件,然后跟它的通讯系统,它的黑客的服务器,建立一个(Talow),这比SA还要可怕,因为它是一个私有的协议,一旦建立完毕,开始把你的电脑上,但凡他认为可被抓取的数据,都给你抓取。那么SA这个事情,出现以后,黑客把他的内部一些员工电脑上,查到他们高级的一些权限,再通过使用这些权限潜伏到内部,去登录到它有更高密集和算法的服务器上。这个系统是怎么暴光的?转过五个月,(洛马)公司对外宣布,它有F-35战斗机的图纸服务器,被黑客进入,因为进入的(Taty)的东西都是OK的,但是访问的记录不是从美国本土发起,是从东方某一个国家发起。洛马公司直接宣布,一定是SA的令牌技术出了问题,最后SA倒回去查发现,的确出了问题。

因此可能会有很多金融机构,突然有一天,大家原来买的SA的Taty,都要求换回去,像我们公司原来有SA的Taty,都被要求换回去,因为它的算法被泄了,其实黑客就是这样入侵。我们可以看到它本身是一家做安全的公司,我们可以想象,传统的安全手段和设备在这个环境下,是多么的危险。如何去防护APT攻击,虽然是一个热门的话题,但是非常遗憾的是,即便是在全球,能够把整个APT防护全部做完的公司,目前只有Wapsice一家,原因是我们有一个非常强的品牌,叫(Trity),如果有兴趣的朋友,可以跟我联系,或到我们网上去看一下。因为它是把Wap、E-mail和数据,所有的通道,都用同一套策略管理和安全体系技术,把它建起来。

在讲这个时候,我们可以看一下(Miopow),为什么我们会说Websense在这方面很牛?Miopow在今年的2月份在全球做了一次,有史以来最大访问量的安全测试,也就是说它放了一堆科研端去访问220万个互联网页面,看一看这个访问的过程中,会不会遇到这种恶链,会不会遇到这种可疑链接,攻击软件套件。那么最后的结果是有15万个真正的恶链,在220万页面里头,随机会有15万,大家可以想象这个比例是很高的。从这个图上来看,Websense做的最好,其原因,Miopow的报告上有提到,其实并不是说某些其他的友商技术可能比我们差距大,而是Wapsice在全球有一个叫(Firasico)的方向的恶意软件,恶意代码,爬虫引擎,我们可以认为它是一个方向的搜索引擎,但是它针对安全威胁的搜索,那么它每天会搜索60亿的页面,产生850万个新的安全威胁、链接、恶意套件,或者是新的病毒。

那么这个数字非常可怕,因为全世界还没有谁比我们做的更多,因此我们往往会在第一时间把这些问题发现和解决。这一点的话,我们可以看出和其他的友商差距非常大,这是Wapsice的看家本领。实际上回过头来说,即便报告上显示,针对恶意攻击的防护,15万,我们只做到13万,那么因此如果要完全的解决,必须要有一个全方位的平台,你不但要能够把邮件这块的钓鱼要防住,还要Wap的安全防住,一旦真的中了招,往外被人窃取数据,或者内部有人故意传递数据的时候,你还要数据泄露防护,我们叫DOP。

那么我们最后看一看(Wierzon)在2012年得出的报告,其实报告的特点,第一数据泄露防护,有40%泄露的问题,数据泄露是产生于金融行业,20%产生于一些零售,所以60%是跟钱有关的单位,是最容易出事的。第二来讲,这个出事,基本上885次,有(Wailow)的数据被泄露,这个叫有Wailow,或者叫有价值是一个什么概念?在美国黑客市场上,一个完整的信用卡信息,是好几美金,因为大家都知道,信用卡如果它是(艾萨),还是磁消卡的话,只要是被刷了,被盗用签名,其实不管是(Weisa),还是(Maisen),在国外都没有密码,所以这是很可怕的一个事情,其实泄露对金融行业损失是巨大的。这种泄露有从外到内的泄取,有内到外的泄露,包括你把一些数据,给到第三方合作伙伴,我们今年其实也看到,有很多国内的前企,因为把数据给第三方数据合作伙伴使用不当,造成了很多巨大的一些负面的消息,从全球来看,其实这种情况都存在。而且在Wierzon的报告里头,特别指出来说,传统的一些防护,或者一些思路都是有外到内,但是你今天可以看到,有大量的内部信息,是内部人员使用不当,或者内部故意传递出去,这些都提示我们,对于数据管理和防护,必须要把双向的通道看好。

那么我们可以看到企业面临数据安全的压力,主要是有监管、合规,以及本身泄露风险,因为你的业务,就像裴总说的,业务越做越大,我跟很多第三方单位,合作越来越多,我的系统越来越复杂,包括我的外包服务方、集成商都越来越多,他们都有可能接触到你的核心系统,都有可能会产生泄露。所以我们来鉴定一下,刚果我们谈到第一个话题是APT攻击,这一块我们希望引起大家足够的重视,第二个话题是说,APT攻击的最终目的是窃取数据,那对于数据泄露防护是一个什么样的概念,这是Gartner的评测师、分析师的一个鉴定,他说数据泄露防护,是以集中策略为技术,采用深层内容分析,对整个数据生命期当中的过程进行识别、监控和防控,说到底其实是一个软件技术,甚至是一个类似像ERP这样的东西。它的核心是它的算法和引擎。

其实这张图跟大家分享一下,这是跟国内很大的企业,我们讨论的结果,好像安全设备都用了,内容的数据的归档,所谓的拖用都用了,为什么我的东西还会被泄露了?原因很简单,因为传统的技术,都是针对格式,针对协议,针对端口,没有一项是针对内容本身的,也就是说我们如何去知道网络上都跑了什么内容,这些内容都跑到哪里去?坦白讲,原来没有这样的技术,到现在为止,国内也没有这样的技术,真正的问题就是说,数据存储、数据应用、数据传输这块有一个很大的概念,很大的窟窿,就是针对内容进行识别防护没有,那么数据防泄露,就是来填补这个Gap,来盖住这个大窟窿。

所以我们跟其他很多产品是合作的,但是坦白讲,就是目前出现这样的问题,才会有Websense,我们所提到的像BOT数据防泄露技术,在全球非常多的大型企业都在企业。那么数据泄露防护,实际上它对保险行业的价值是很直接的,我们可以看到说,我们叫做两化两可,第一对于员工行为的可视化,坦白说原来很多所谓数据安全的技术,其实你并不知道,员工他接触数据的类型、内容,包括具体的行为,我们很难去可视化的去看,他所使用的数据从可视化角度是什么状况。另外策略部署可以一体化,华为是把所有U盘给你禁了,不让你打进,那么如果我回家,或者说我另外把这个东西,通过HTTPS传到互联网公网上,其实没有什么可防护的手段,原来很多东西,只能做到一部分,DOP应该全部是覆盖,不管你在公司,还是在家,不管你用什么手段,公司不允许(+微信关注网络世界),你拿走的内容,你拿不出去。

另外一点,其实保监会和银监会,越来越多的对于用户信息和保单信息的使用和泄露防护,要求的越来越严,这块也是行为规范,有很多制定了,但是怎么落地,要通过IT手段。同时因为中信是我的客户,当然华为用的是我另外一个友商的东西,其实这两家公司,都会发现很多事情,它的安全事情非常多。但是外面可以看到,比如说原代码流失,客户信息流失,或者产品资料流失到竞争对手的时候,去打官司是没有证据的,可能已经发生了很久,回去追诉猜是谁做的,那么数据防泄露技术,主要确保说两可两化是可以的。

我们可以看看数据泄露防护项目,涵盖了三个方面,如果你要去实现一个数据防护,数据防泄露的项目,我们可以看到说,第一组织保障,第二要有一套体系,也就是说不管你是由上而下,而是由下而上,它涉及一套体系,公司要认可这个事,就像裴总,老板觉得这个都不是重要的事情,老板都不支持,这个事情很难做起来。如果有了组织保障以后,首先会建立制度保障,要有相应数据泄露防护的管理制度、策略,包括一些可执行的流程。这些有了以后,还要通过技术手段去实施,其实数据防泄露技术本身,就是确保原来前两个已经有的内容和话题,被贯彻和执行下去。

最后会形成一个体系化可持续优化的数据,防泄露管理的数据,我们可以更细的看一下,其实数据泄露防护,很多时候,不只是IT一个单位,往往我们看到比较多的例子是说,IT部门一开始做调研测试,甚至小规模的采购一些产品,部署在一些认为可疑的通道,都是处于学习阶段。其实是把技术手段,提供给公司的合规部门,数据的保密相关部门,包括内审部门。

同时建立一个团队,还有信息安全管理港,很多我们做的大型的前企,基本在第一步对于公司可能只是IT部门去调查处理,但是在后面,其实是一个管理项目。
另外一点,我们看到说,组织保障,也就是说往往有的时候,是从很高层去判定的,比如说像裴总这样的层面,决定要做,下面才好推动,但另外一点,我们一直建议下面的科技部门,考虑结构项目的时候,自己先去亲历亲为的去使用和试一下,这样才能够明确的了解,和确保项目未来是可实施的。另外一点,制度保证很重要,我们可以看到一家很大前企,为了做整个数据泄露防护的管理,专门梳理流程,制定总则、细则。首先有一个总体策略,而且要有具体的办法,具体的办法要能够涵盖相关的操作流程,包括车队变更部署的流程,例外的管理流程,以及事件管理的流程,这些东西要具备了,其实就可以很容易导录信息手段,就是我们谈到的技术保障。

其实数据防泄露技术,我们说DOP技术,其实跟原来很多东西不一样,因为原来你用的还是出问题,是因为它无法感知内容,只能做加解密,文档管理,权限管理,但是有权限的人,往往会搞出事。比如说这次(门进)事件,都是有权限的人,拿着这些东西往外弄,你如何确保说有权限的人本身不出问题,因为我们发现很多泄露往往是某一些离职高管,甚至有一些企业,高官本身会出的问题,首先就是内容,即便是银行的行长,也不能随便把金库里的钱带出金库,因为这个钱本身就是不允许拿走的。

因此首先你要通过智能的感知内容去识别,另外把内容进行各个通道去监控,而且要有相应的手段,能够智能的去感知和保护。整体的机制,就是我们刚刚有说到的,其实高层,或者管理层要有一个明确的目标,而且能够通过挖掘业务部门的需求,把数据需要保护的类型和对象找出来,制定详细的策略,进行平台的部署,总体来讲,它是一个完整的机制,我们最后跟大家分享一下,这个是大概排名,差不多是排到前三个一甲大型的国内保险公司。基本上来讲,为什么要上?因为CIO要求必须要做这个事情,本身运营当中大量海量的数据,处于监管部门的要求,还有同业的一些压力,还有包括用户的压力,都要求他去做这个事情,首先它有建立的价值体现,其实最后就是落地,做的这个事情落地的结果。

那么我们可以看到,这个项目在实施的过程当中,它也是分开的,一大堆数据,分阶段进行部署,这个可以供大家以后参考,不是所有的东西上来就保护,保护的是最要命的东西,往往一想就能想出来,我们回头看一下这张图,其实它上整个系统之前,不知道它有什么事,因为无法智能感知。等他上了一套监控系统会发现,每天大量五千起事件就会发生。那么现在通过实施,我们可以看到,它一步一步进行违规的洞察,然后进行改变企业行为和员工行为,最后进行阻断警告,现在每个月,它的违规事件已经趋近于百位数,而且对于网管人员来讲,压力大大减少。

所以数据防泄露的项目,它的成功要素,最后跟大家说一下,首先要用风险评估的方法,那么你要去判定一下,如果这个东西一旦泄露了,它造成的影响会多大,是否可能会介入,用这样的方式,一个横纵坐值,来判定哪些数据是用风险导向去保护。另外我们可以看到,这是一个整体的大的项目实施,其他更像管理项目。实际上技术手段,仅仅是当中极其重要,但并不是绝对大的工作量,很多是数据的梳理,最后我跟大家汇报的就是说,基本上项目的借鉴,首先科技部门得去尝试,小规模去做部署,去测,甚至去采购,尝试的结构,然后开始,从重要的数据和重要的部门起,同时控制(目标率),最后一点是非常重要,上面的老板一定要支持,老板不支持,很多事情是无法进行的。我的报告汇报完毕,谢谢大家。

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

2.大数据:(Big Data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。 ...详情>>

3.APT:(Advanced Persistent Threat,高级持续性威胁),是指黑客或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为...详情>>

4.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:高杨 gao_yang@cnw.com.cn]