大数据、威胁情报,这两个词汇听起来非常性感。在我们的想象中,掌握大数据的人就像先知和上帝,俯视我们所不能完全理解的事态,精准地预言我们将要面临的危机。然而,对于大数据的利用是非常考验功力和技巧的。很多学艺不精的团队稍不留神就可能把威胁情报搞成“摆摊算卦”。
本期硬创公开课我们请来了白帽汇的创始人刘宇,白帽汇拥有一样独门武器,那就是NOSEC大数据平台,可以汇总诸多白帽子网罗的独特情报。像黑客一样去思考,就是他们的自我要求,今天就请刘宇来聊聊白帽汇在真枪实弹的对抗中,究竟如何把大数据究竟转化成有用的威胁情报。
刘宇,白帽汇联合创始人。2004年毕业于湖南大学计算机通信学院。拥有微软MCSEC,MCDBA,MCP证书,从事信息安全行业7年。2009年与赵武(zwell)一起成立诺赛科技,负责穿山甲,竭思,亿思的销售与推广。亿思是全球第一款在线Web应用安全扫描平台,2011年拥有几万企业用户。2015年,作为联合创始人创立白帽汇。
Q:白帽汇是什么意思呢?和大数据威胁情报有什么关系呢?
白帽汇,顾名思义,是白帽子汇聚。
我们觉得白帽子和企业是相互服务的关系:
我们的NOSEC大数据平台上的情报可以帮助白帽子更好地挖掘漏洞;
同时白帽子提交威胁情报到NOSEC,这些威胁情报为企业信息安全提升而服务。
这就是我们“汇”字的含义。
Q:威胁情报是怎么出现的?
安全由一个公司来完成,这在很早期,还没有互联网公司前是可行的。你的安全,用一个杀毒软件就可以搞定。比如:国内的瑞星、江民、金山,国外的诺顿、卡巴斯基、小红伞、Avast 等等。到了现在,技术的发展这么迅猛。安全,尤其是企业安全就不再是杀毒软件就足够的事情了。
讲最直白的例子:
十年前阿里巴巴还没有正规的安全团队,你和淘宝说:有人刷单。人家保准骂“你有病”,而现在,阿里巴巴的安全团队明确将“有人刷单,某个人提供刷单服务”当成威胁情报,并且还会奖励情报提供者金钱。
从杀毒软件,到现在“威胁情报”,这种变化是没人可以预计的,都是随着业务发展,技术变化,慢慢养成的安全需求。
【白帽子提交的威胁情报/ 图片由 NOSEC 平台提供】
Q:什么是威胁情报呢?不用会死吗?
SANS 研究院对威胁情报的定义是:针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标、所收集的用于评估的应用的数据集。
几年前,我们将漏洞看做唯一的威胁信息安全的途径,而实际威胁企业的太多方面,漏洞只是其一。还有比如:钓鱼邮件,员工的个人信息,密码习惯等等。根据我们的调研,目前许多的漏洞非直接来源于IT资产的漏洞,而是企业员工个人信息等。通过员工与企业相关的邮箱,OA,VPN账户入侵,再入侵到企业服务器。
威胁情报还有一个相关的词——社会工程学。也是到目前为止,全球最牛的安全人员——凯文·米特尼克使用的最重要手段。他不是挖漏洞的高手,但是是社会工程学方面,他是最牛的人。他每天去捡废纸,通过这些企业倒出的废纸,黑掉那些企业。
所以,毫不夸张地说,社会工程学可以获得企业的很多机密情报,比如:打电话欺诈获得root密码,通过钓鱼邮件获得员工帐号密码等等。
威胁不只是漏洞,还有企业泄露的人员通讯录;企业上传到网盘的记事本;企业的一段代码,甚至是垃圾堆里的废纸。所有的一切威胁企业信息安全的都是威胁情报。
Q:是否能举一些例子,讲讲真实世界的威胁情报究竟是什么样子的?
企业最希望了解外面的攻击者在干什么。
哪些人?
什么目的?
针对我的哪些业务?
做了什么?
还想做什么?
这些都是威胁情报提供的。
比如前段时间,我们发现了当当和小米的订单数据泄露。这个不是漏洞,而是一个信息安全事件后的数据泄露。我们第一时间告诉当当和小米。这个事情发生了,他们了解到这个事件,首先要做的是保护用户,通知用户保护自己帐号,提醒可能的电话诈骗等等。然后再寻找自己的信息安全问题。当然我们也会告诉当当和小米,你有哪些漏洞可能导致数据泄露。
【小米用户收件人地址和电话信息泄露/ 图片来自 NOSEC】
Q:谁需要威胁情报呢?
以我们为例,白帽汇的威胁情报得到新浪、小米、当当、华为等互联网公司的重视。还有BAT的漏洞,这些都是经过我们团队验证的。
但是需要威胁情报的远远不止这些大企业。对于企业里的员工,使用企业服务的客户,在听我说话的每一个人,也需要威胁情报。比如之前发生的CSDN信息泄露,携程信息泄露,网易邮箱信息泄露。这些都让每一个在互联网混超过几年的人都非常紧张,赶紧去改密码,赶紧查自己的开房数据有没有泄露。其实,我想告诉所有人一个事实,你只要使用了互联网,你的信息就很可能被泄露了。
想想你用的哪一个APP不是问你要通讯录读取权限,有的输入法申请的权限跟杀毒软件的权限一样,你不装又不方便。所有程序把我们的通讯录,短信,系统设置权限统统拿走。以至于当我们收到钓鱼短信,装恶意App时,毫无警觉得就装上了。因为这些恶意App和常见的App权限是一样的。
此时,一定会有人笑我,讲了太多App行业的内幕。实际上造成这些现象的内幕是,用户根本不懂得保护自己隐私,企业想要你的一切信息,连女性的生理期都想要。(哈哈笑)
总结一下:
企业可以关注威胁情报,提升企业的信息安全
个人可以关注威胁情报,对保护自己隐私有帮助。
Q:怎么用大数据做威胁情报呢?
收集到一堆的数据,对企业来说无任何意义。威胁情报里有一个重要的情报来源就是对于安全大数据的分析,一大堆数据不能算情报。
我们NOSEC大数据平台有几块。企业IT资产透视、全球网站检索、NOSEC威胁情报。除此以外,还有:子域名库,URL库,Emai地址库,全球网站指纹库,这些都是花了许多精力积累起来的,不断更新。
Q:这么多种类的大数据,有哪些是构成威胁情报不可或缺的呢?
有很多,我可以举两个例子。