您的位置: 网界网 > 行业应用 > 正文

金志勇:保险行业现在威胁安全防护

2013年08月19日 22:42:03 | 作者:佚名 | 来源:CNW | 查看本文手机版

摘要:第十一届保险行业信息化建设研讨会在北京富来宫温泉度假山庄隆重举办。来自各大保险企业的CIO及信息中心主管们,就云计算如何在保险行业落地,大数据对于保险行业的意义,电子商务在保险行业中的应用,以及IT与业务如何更好的融...

标签
保险
信息化

第十一届保险行业信息化建设研讨会在北京富来宫温泉度假山庄隆重举办。来自各大保险企业的CIO[注]及信息中心主管们,就云计算[注]如何在保险行业落地,大数据[注]对于保险行业的意义,电子商务在保险行业中的应用,以及IT与业务如何更好的融合做了深入的探讨。

以下是Palo Alto金志勇的演讲实录:

金志勇:

下面由我给大家介绍Palo Alto的解决方案,可能在座的诸位领导不太了解Palo Alto,当时在创立公司的时候就想,因为我们公司是在Palo Alto,包括斯坦福都在Palo Alto,很多人都去过,其实公司的创业团队想起什么名字,干脆就起Palo Alto (Netbooks)可能好一点,所以我们公司是来自一个硅谷的公司,我们公司其实成立的年头并不是很长,在2005年成立。

从我们的角度上讲,可能在业内知名,出于两个方面,第一个方面,已经被炒的很火热的一个名词,叫下一代防火墙[注],那么Palo alto其实在2005年成立,在2006年的时候,就已经给业内推广了这个产品,一直到今天。从我们整个产品线,到整个的理念来讲,没有发生任何变化,这是一点。

第二点,就是我们有自己一套独特的应对APT[注]攻击,我们的一些专有的技术,其实现在掌握这种比较特别技术的公司并不多,给大家分享一下我们的一些解决方案。

那么介绍一下背景,这张图从左侧大家可以看到,其实现在的IT,或者整个网络,其实发生了很多的变化,一个刚才提到云的概念,刚才裴总也提到,比如说云计算基于虚拟解决方案,我们也有,可能并不是今天的话题。比如说在云计算,或者虚拟化当中,碰到最大问题是什么,比如说你的主中心在北京,你的备份中心,或者其他中心在上海,由于虚拟化的问题,你可能会把一些资源,从北京会调换到上海,带来一个问题。你可能在资源调配的时候,很容易在管理界面上,直接拉过去,创建一个虚拟化。但是这个工作带来的后果是,你的安全是否要随动。所有的访问策略,包括部署一系列的安全措施,要随着你的虚拟化的变化而变化,在很多情况下会碰到这个问题,我的网络,我的存储,这个应用变了,但是我安全滞后,而这个滞后的时间,有可能是三五天,有可能是一周之后,就带不来这种高效的运转,这是一个问题,所以从云计算到我们整个业务模式,跟以前完全不一样。

从右侧上方来看,从咱们所谓的个人,或者企业来讲,整个使用模式也发生了变化,咱们以前可能就两个应用,一个叫做Wap应用,一个叫做(Maio)应用,现在有很多应用。包括在国外有Facebook、Linkedin,在国内有很多的社交网络。其实这些应用,站在安全上来看,不是说黑或白可以鉴定的,可能是一个灰色,因为我通过社交网络,可以给我们的企业创造价值,而不仅仅是给个人。那么还有另外一个话题,包括保险行业可能会用到,就是咱们的业务人员出去,可能会用到一些移动的终端,可以通过各种便捷的VPN手段连接到咱们中心,咱们会提到一个移动办公,会提到一个BOLD,这些终端的增加,给大家带来什么问题?可能风险从这,渗透到企业内网,甚至数据中心,那么零零种种这三个变化,带来什么问题,就是说,其实黑客的攻击手段越来越多。 而且它的攻击方式越来越隐蔽,那么刚才Wapsice也介绍了一些安全事件,包括ISA的令牌泄密,甚至包括3月20号韩国事件,其实都有一个问题,或者说大家都会提到APT攻击。
我稍微给大家做一个介绍,黑客的攻击,无外乎这个手段,第一个就是引诱用户,通过E-mail也好,或者诱惑你的链接也好。

第二个就是当你点击了它的链接,接受了它的E-mail之后,肯定会借用你的一个系统的漏洞,比如说像韩国3.20事件,其实用到了一个IE非常老的一个漏洞,就是截住你的主机,干了一件什么事?就是把主机里的,韩国有一个著名的防毒厂家,叫安博士,把它的这个软件给停掉。下一步它要下载软件,植入木马,这是第三步。

当植入这个木马之后,它就建立了一个CC的链接,如果是一个黑客,直接堂而皇之的去攻击你的内网,数据中心是不可能的,必然是内网有一些主机,是连接到控制主机的。这是第四。最后一步是偷到你的信息资产,这是这几步的原理。
我给大家稍微共享一下,从Palo Alto的角度来讲,就是从传统的解决方案里,可能会有哪些问题,第一个问题,传统的我们讲叫做防毒的厂家,一般都会用到,比如说这个技术已经用了20年,叫(蜜罐)技术,比如说在很多网点、区域,我可以在大学,在很多地方去部署我的蜜罐,来吸引黑客去攻击,这种技术,其实是比较老的一种技术,最终大家会带来一个什么结果,就是说,可能在北美某个大学里,这个蜜罐发现了某些病毒,那么病毒更新完了之后,用到中国,就会有一个这个问题,这个病毒适合不适合,你这个本身本地化的一些应用,这就是这么一个问题。另外一个问题,就是说这些病毒或者黑客,了解到你的蜜罐技术,会通过各种途径绕道,使你发现不了,这就是传统蜜罐技术。

还有一些技术,我们叫基于信誉的,有些解决方案,包括网址过滤和其他,这些技术有一个什么问题,大家可以想象,它是基于平度的,你比如说可能会用到,咱们传统的解决方案,比如说(Didos、Cifla)的攻击,平度很大。同样基于网络的(Rediucation),信誉这种等级(平泛)的话,也是靠平度,现在网络工具有个特点,完全是针对的,比如说针对保险行业某个特定的保险公司,那么它的流量非常好,普通基于信誉的解决方案是解决不了的。因为流量太小,不足以登上它的数据库,所以这块来看,它的攻击流量,不像以前,直接去攻击你的数据中心,可能非常小。

第三,在传统的解决方案里,咱们更多注重的是数据中心的保护,比如说在数据中心外围,部署了很多的墙,或者很多的安全设施。但是可能咱们忽略一点,比如说在咱们的OA网的出口,在很多咱们VPN连接的边界,那么这块就带来一个问题,就是说可能黑客不是直接攻击你,是绕道攻击你企业内网的员工的主机,进而去攻击你内网的核心业务。这个问题,就是相当IS世界这么因素。

它通过几道门的跳板之后,才拿到令牌的(Tokid),不是说一层拿到,所以大家可能要注意,针对于客户端这块,其实也要做重点的防御,而不是仅仅针对服务器。

我稍微做一个总结,基本上来讲,黑客攻击的行为,有这么一些变化,第一个你偷到信息资产为目的,第二个目前针对的是用户终端,通过它进而攻击你的数据中心。另外一点很智能,跟容易窃取你现有的解决方案,包括绕过你的已有的蜜罐技术。最后一点,也是咱们企业内网里,可能会碰到的一点,就说它去连接你WAP控制主站的时候,它采用的可能不是专门的特殊的应用,它是一个Unknown的,未知的一个应用,我们讲叫做控制主机的,建立后门。这些其实都是黑客行为的一些变化。我们其实希望落在我们的解决方案,给大家带来一些帮助。这就是我们Palo Alto的解决方案。

不敢黑客采用哪些技术,其实从网络安全基础架构来讲,我们要提升已有的一些安全的架构,我们怎么提升?一是讲应用识别这块,可能在座的很多人做路由交换,一提到应用识别就头疼,我以前做个防火墙、路由器的(ASL)多容易,现在识别到应用,可能麻烦一点。其实这是不得已而为之,因为大家可以想想,上来做应用,防火墙怎么控制。另外很多的应用,是基于(逃匿)技术,比如说从53的端口能够出去,咱们DAS端口肯定是开开的,这些很多的逃匿技术,能够用到很多通用端口,包括SMPP端口,包括80端口。

第二个就是我要能够识别用户,安全有句话,其实我是希望合法人,去访问合法应用,但是这句话说起来容易,但是做起来很难。

第三个,我们怎么最可能最大化的保护我的内容安全,这是Palo Alto做的一些网络的提升,其实大道理我不想跟诸位讲,其实在座的诸位都是专家,我们只是分享了一下我们的经验,很多的产品都会讲控制应用,比如说QS产品,或者上网行为管理,其实我们也是在讲控制应用,可能业内有句话,我们其实最推崇一种方式,叫做应用白名单的控制,咱们在传统防火墙设置的时候,可以通过端口IT白名单去控制。但是现在已经失效。我们讲应用的白名单,就是说,我在互联网上,或者在企业内容里,有哪些应用,那么我可以把这些应用放上去,而不是端口,在这块我能够通过有效的识别,那么通过我的应用识别技术跟用户识别技术,能够最大限度的把威胁通过这两个技术挡在门外,这是很重要的,第二个就是刚才讲的,我们有一些内容识别技术,或者叫(Conter ID),比如说在我们的产品里有很多的组件,比如说我们有内部的威胁防护,包括病毒,包括(Sibewhy)防护,包括网址过滤,这些都是针对已知的威胁,整个过程当中,大家发现没有,就是在中间,我有一个过程,叫阻断未知应用的流量,因为这些流量我们做过一个统计,比如说从企业内网到外网,有很多流浪是Unknown的流量,大概由30%到40%,有可能都是CC攻进的流量,有这种可能性。

所以这个流量,其实针对企业来讲,应该进行有效的控制,在国外有最佳的实践,就是这些Unknown的应用,一定要阻止。其实这也是我今天想跟大家着重介绍的一个最新技术,我们的技术叫(野火),这个其实是面对APT,或者叫做恶意攻击的一个核心技术。其实在国外,据我们了解,掌握这个技术的公司并不多。因为传统的有二三年历史防火墙厂家,都采用蜜罐技术。我们的技术特点是,我完全是基于企业自身的流量,而不是刚才我说的,北美某个大学的蜜罐做成了。我们的设备,可以基于我们的应用识别,能够找到我未知的一些威胁,比如说一些(DL)文件,EST文件,通过我的沙箱技术,可以把这些文件,仍到我的云系统里去做分析。我这个沙箱目前能够分析100多种恶意行为。

大家一定要注意,Palo Alto的理念,肯定不会通过成百上千的专家去做分析,一定是通过一个智能性的分析,所以我们的上线系统是一个智能系统,最后一个这个沙箱系统的逻辑性,现在是一百多种逻辑,以后在不断的更新,因为黑客行为在变化,当这个沙箱系统,认为这个未知的EST文件,它是一个恶意软件的时候,会自动生成签名,而不是人工生成签名,那么这些过程完全是个自动化的过程,同样生成的签名,我会实时的下发到我所有的定户那里去,这是我们整个的流程。

这个流程我觉得跟传统意义说不一样的地方,第一个完全这些流量是基于企业自身的流量(+微信关注网络世界),而不是别人的流量。

第二个特点,我们的技术完全是自动化的。其实有一句话,有很多东西,如果人工介入越深,可能反而不是一件好事,因为第一是速度,第二可能有人,所特有的一些缺陷,因此自动化的流程非常高效,那么我们能够做到哪一点?你的一个未知,到我的沙箱系统分析,再到生成签名,下发到所有的住户,可能需要30分钟就可以了。在APT的攻击里,最主要的特点是黑客从植入一个木马,到偷到信息资产,他可能仅仅需要一天的时间,24小时之后,他早就走人了。那么传统的防毒的厂家,有可能是一周之后,才拿到这个,包括IC,那是六个月之后的事情。

我稍微给大家做一个总结,第一个总结就是说,在我这个系统里,我会用一个名词,叫做智能的名词,第一个就是说,在我这个系统里,我能够做到全流量的一个可视化,比如说大家知道是基于Wap的,或者是基于SSTP的,基于P2P的,不管你在任何的端口里,我都可以对你进行应用,可视化的识别,这是第一点,那么在这里头会碰到哪点,比如像(SSL Lock),包括一些压缩的,我都对它进行解密和应用识别。

第二,我的检测响应了完全是自动化,并且我会生成我的一些详细的报告,所以提供一些(呈堂证供)。最后一点,所有的签名,下发之后,我这个设备是通过一个专业的硬件(流式)扫描引擎去做,刚才也提到一个,就是我们现在设备,最大的性能,能够做到十个G的文件扫描,这个也是业内所了解的。很多产品号称很大,但是实际现状可能跑的十分钟不到,这个技术的关键点,就说你不能用CPU去做,一定要用硬件去做,刚才讲的很多东西,可能都是概念性的,我给大家稍微举几个例子。这也是韩国3.20的一个事件,这是我们从韩国Team拿到的一些数据,那么3.20事件的爆发的高峰,倒退一个月,其实在我们系统里,已经陆陆续续的收到了一些样本,可能样本不止十个,在我们系统里可能有80多个变动,所以从这点上看,我们系统在提前一个月,已经有这方面的一些防护,反馈到我们设备上,这就是我们的野火的一个界面,这是管理界面,可以看到有很多Marvell的一些特征,都在我的系统里都有显示。

下面在给大家举一个例子,举这个例子的目的是,说明一点就说APT攻击,我需要的是一个实时性,大家可以看到,国内某个金融机构,其实在它的内网里,也在运行我们的系统,那么它可能有特定的程序,以前是未知的。在5月14号的时候,传到了所谓的野火云里头去做分析,我们能够去识别,包括野火云里能够识别很多种恶意行为,包括它可能去把自己的一个程序杀掉,包括注入一些代码,包括去更改IE浏览器的一些信息,这些都在我的分析范围之内。大家可以看到,5月14号,诸位可以去访问叫(Very Stone)这个网站,也可以看一下跟我的(哈希值)一样,别的厂家分析的结果,比如说安博士,是在5月21号才发现的这个东西。那么迈克菲、赛门,几乎是在5月21号发现。言外之意,我们发现比他们提前,这是一个简单的例子。

后面稍微给大家介绍一下我的公司,首先给大家介绍一下我们公司在业内的地位,可能在座的诸位很注重品牌,其实Palo Alto在连续两届的Gartner,企业防火墙市场的魔力四项线路,都位于Leader的位置,可能很多品牌的厂家,大家都接触过,像Cisco等,现在不争的事实是,在Leader的位置,Palo Alto是连续两届。最右侧是你技术的领先性,大家可以看到Palo Alto处于技术的最右侧,那么竖轴代表什么?就是你的市场执行力,大家可以看到,我们短短七八年历史的公司,在市场执行力来讲的话,处于一个高的位置,这是一个。

我们去年是在纽交所上市,我昨天查了一下,基本的市值大概是40亿美金,就是4个Milllion,大概是这么一个市值。其实Palo Alto等于技术创新型的公司,确实也被华尔街的很多投资商所追捧,所以股票还是很高的,大概50美金左右。那么Palo Alto在这几年当中,做的一些事情,稍微给大家介绍一下。

第一我们2007年成立,去年是纽交所上市,我们其实在国外有一个说法叫下一代防火墙,其实最主要的特别是我们一定要安全的应用,在应用里,等于阻止各种各样的危险,我们目前的员工大概是一千名员工,在短短的大概六七年当中,我们积累的客户是一万一千名客户,有55%家财富百强的客户,都是我们的客户,今天的演讲就到这里,非常感谢大家。

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

2.大数据:(Big Data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。 ...详情>>

3.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

4.APT:(Advanced Persistent Threat,高级持续性威胁),是指黑客或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为...详情>>

5.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:高杨 gao_yang@cnw.com.cn]