云2.0時代
1、云發(fā)展進(jìn)入快車道
十幾年前,當(dāng)AWS證明了云是可行的業(yè)務(wù)之后,越來越多的行業(yè)巨頭齊聚云市場,云服務(wù)成了家常菜,全世界都流行不自己維護服務(wù)器,把運算和存儲放到云上。但每個新事物都會有個成熟的過程,這十年來,很多業(yè)務(wù)對云的態(tài)度從懷疑、擔(dān)心到逐漸嘗試,直到國家發(fā)展戰(zhàn)略正式提出了“數(shù)字中國”概念,政務(wù)云、金融云、能源云、交通云等各式各樣的云應(yīng)運而生,云作為數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化的天然承載者,步入了快車道和云2.0時代。
2 、云安全的演變
有了云,自然離不開云的安全,云的特點是讓使用者可以更便捷的訪問及應(yīng)用,同樣對于黑客來說,攻擊路徑也更加簡短和直接。
隨著互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用,網(wǎng)絡(luò)空間威脅和風(fēng)險日益增多。主要表現(xiàn)在:網(wǎng)絡(luò)攻擊高發(fā)頻發(fā),攻擊組織性與目的性更加凸顯;高危0day漏洞數(shù)量上升,信息系統(tǒng)面臨的漏洞威脅更加嚴(yán)峻;數(shù)據(jù)安全防護意識薄弱,大規(guī)模數(shù)據(jù)泄露事件頻發(fā);網(wǎng)絡(luò)攻擊自動化程度不斷提升,技術(shù)對抗更加激烈;集團企業(yè)業(yè)務(wù)系統(tǒng)安全問題依然突出,新技術(shù)應(yīng)用帶來新的安全隱患。
十五年之前,Web應(yīng)用防火墻(WAF)剛在國內(nèi)發(fā)展起來,大量的WAF被買來放入內(nèi)網(wǎng)邊界作為抵御Web應(yīng)用攻擊的防線。而隨著云的發(fā)展,越來越多的業(yè)務(wù)上云,越來越多的業(yè)務(wù)需要安全保護,我們會突然發(fā)現(xiàn)硬件的WAF無從部署,不知道怎么融入到云體系內(nèi)發(fā)揮其作用。同時我們也發(fā)現(xiàn)了一個重要問題,硬件安全產(chǎn)品放入內(nèi)網(wǎng)后,基本就降低了它的生命力,無法隨著時間的推移而不斷積累它的能力。是不是有個熟悉的場景:競測和招投標(biāo)PK的時候,友商之間比誰的防護策略種類多、條目多,你說有1000條規(guī)則,我就敢寫有2000條,等到了實際中標(biāo)后產(chǎn)品上線的時候,卻因為怕誤攔截只敢開最小組合的策略包,也許只有100條規(guī)則被用了起來,適配無誤后,這臺硬件防護設(shè)備可能就此不會再有人關(guān)注,即使時常有策略的更新推送也基本不會被應(yīng)用。反正我的一個客戶,現(xiàn)在仍然在用7年前購買的硬件WAF而從來沒有升級過,竟然這個WAF仍然一絲不茍的在服役。
2009年左右,美國有一家叫Cloudflare的云服務(wù)公司成立,做云防火墻、DDoS 防護、CDN等業(yè)務(wù)。到了2019年,它已經(jīng)占有全球16%以上的CDN市場。Cloudflare能做什么?它可以讓你的網(wǎng)站成為永遠(yuǎn)打不死的小強。不但可以讓你的網(wǎng)站訪問速度更快,還能抵御絕大部分的網(wǎng)絡(luò)攻擊,智能過濾可疑流量,隱藏你的真實網(wǎng)站IP地址。讓許多中小網(wǎng)站十分頭疼的DDoS攻擊在Cloudflare面前都是小菜一碟。
更不得了的是,Cloudflare還特別的便宜,大家都能用得起,免費服務(wù)就可以防御大部分DDoS攻擊。便宜是一方面,配置還十分簡單,只需要修改域名的DNS解析指向,在Cloudflare后臺就可以一鍵開啟防護。即使只是一個個人普通的網(wǎng)站,也可以做到銅墻鐵壁。
歐美國家網(wǎng)站普遍使用Cloudflare,如果要去攻擊這些網(wǎng)站將會非常痛苦,實際上對絕大多數(shù)人來說是根本不可能的,所有攻擊都是考慮怎樣繞過Cloudflare直接攻擊源服務(wù)器,但是如果配置正確源站也很少會暴露。Cloudflare還支持IPv6解析,要掃描IPv6是不可能完成的任務(wù)。懂點技術(shù)的話,在服務(wù)器上配置好防火墻,只允許Cloudflare的IP列表使用80和443端口,這樣就完全解決了暴露源站IP的問題。Cloudflare有專門用于源服務(wù)器與CDN網(wǎng)絡(luò)之間雙向TLS加密的方法。即只能由Cloudflare的CDN與源服務(wù)器之間進(jìn)行通信。
當(dāng)感受到Cloudflare和傳統(tǒng)WAF之間的能力差距之后,我看到了一個趨勢和場景,使用云架構(gòu)的安全產(chǎn)品來防護云的安全,一定會成為了云最主要的防護手段,云也將是隔空和黑客對抗的直接戰(zhàn)場,云的安全也將取決于誰能更好的利用云的特性,誰能更快的使用大數(shù)據(jù)的來發(fā)現(xiàn)蛛絲馬跡,誰能夠協(xié)同更多的資源和力量。也正是因為看到了這個方向,我聯(lián)合創(chuàng)立的安全公司知道創(chuàng)宇里投入了大量研發(fā)力量進(jìn)行了云防護相關(guān)的研究和產(chǎn)品開發(fā),做出來一款可以真正和黑客隔空對抗的、可以隨著時間的推移不斷增加其經(jīng)驗和能力的“活的”云防護產(chǎn)品“創(chuàng)宇盾”。
3、對抗的本質(zhì)和上帝視角
我經(jīng)常在思考,攻防對抗的核心能力是什么?思考下來,攻防對抗其實就是人的智慧在對抗,脫離不了攻防者的經(jīng)驗和思路,而安全硬件設(shè)備就是希望能夠?qū)⑷说慕?jīng)驗固化為機器可操作的指令,因此有了規(guī)則。但是人的經(jīng)驗和智慧是隨時在變化的,攻防的對抗也在不斷升級,你來我往,不亦樂乎。那么機器規(guī)則能不能實時的跟進(jìn)這種升級和變化呢,目前肯定是不行的。時至今日,大家都在提AI,在我看來AI還不能替代人的經(jīng)驗,現(xiàn)在最有效的“人工智能”,應(yīng)該還是人工+智能的模式,我們經(jīng)常開玩笑地說:“有多少人工,就能有多少智能”。智能通過大數(shù)據(jù)、深度學(xué)習(xí)等技術(shù)得出輔助決策數(shù)據(jù),供人來判斷和使用,而這些數(shù)據(jù)會隨著時間的推移不斷積累和反應(yīng),直到發(fā)生質(zhì)變,產(chǎn)生高維度的視角和能力。
知道創(chuàng)宇云防護體系的核心,正是由一群極其富有經(jīng)驗和想象力的年輕人組成的“積極防御小組”,這個小組一直保持著精英小隊的模式,人人精通攻防技術(shù),熟悉大數(shù)據(jù)分析和各種深度學(xué)習(xí)算法,同時也擁有海量的數(shù)據(jù),這些大數(shù)據(jù)經(jīng)過分析和提煉后,給積極防御小組提供了更高維度的決策依據(jù)。比如積極防御小組可以通過一個IP線索,找到歷史上這個IP在什么時間,訪問過什么系統(tǒng),從哪里進(jìn)行的訪問,做過哪些操作,是否有過攻擊行為,使用過哪些攻擊工具或者漏洞,攻擊過哪些系統(tǒng)等等;再比如,當(dāng)出現(xiàn)一個0day的時候,我們可以發(fā)現(xiàn)知道創(chuàng)宇云防御體系保護下的100多萬系統(tǒng)有多少正在受到攻擊,有多少系統(tǒng)已經(jīng)被攻破了,還可以知道0day公開之前,誰用過這個漏洞進(jìn)行過攻擊。以上這種一覽無余的視角我們叫做“上帝視角”。
當(dāng)云防御體系擁有這種“上帝視角”的時候,很多攻防的對抗就顯得相對容易了許多,可以很快發(fā)現(xiàn)攻擊者的痕跡并進(jìn)行干預(yù)?;谖覀冮L達(dá)數(shù)年的分析、跟蹤和積累后,現(xiàn)在我們的黑客數(shù)據(jù)庫里已經(jīng)躺了33萬黑客的資料,這些黑客都做過什么,用過什么工具,有什么特征,用過哪些IP地址等等,都被我們標(biāo)記了出來,并且在近幾年的國家網(wǎng)絡(luò)攻防演練中,黑客數(shù)據(jù)庫對溯源都發(fā)揮了重大作用。2020年的演練過程中,我們不但溯源到了紅隊的攻擊人員,還溯源到了隱藏在演練攻擊流量里的真實境外黑客。當(dāng)我們將這份溯源報告上報給國家監(jiān)管部門后,得到了高度的嘉獎和1000分以上的單個溯源報告得分。
4、基于大數(shù)據(jù)的向前防御體系
向前防御這個概念,就是要將防線推到我的資產(chǎn)邊界之外,在前線進(jìn)行快速、直接的防御,有點類似于籃球戰(zhàn)術(shù)里的高位逼搶。其實在美國網(wǎng)軍的戰(zhàn)術(shù)里,就多次提到“forward defense”,他們將防線推到自身網(wǎng)絡(luò)覆蓋范圍之外,甚至直接在對手的地盤上直接防御和反擊。
為什么要提向前防御概念,首先,內(nèi)網(wǎng)相對來說更像一個灰盒狀態(tài),越是大型政府、企業(yè)越是如此,雖然運維人員有內(nèi)網(wǎng)拓?fù)鋱D,但是實際上內(nèi)網(wǎng)經(jīng)常是錯綜復(fù)雜的,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)、策略配置、人等等,每一個因素都可能導(dǎo)致內(nèi)網(wǎng)產(chǎn)生不可預(yù)知的變化,這也給了黑客更多的藏身之所以及實施攻擊的便利條件,在內(nèi)網(wǎng)做攻防基本等同于捕風(fēng)捉影,即使能夠捕捉到對手的痕跡,也可能會為了一個堡壘機、一個服務(wù)器的權(quán)限爭奪開展肉搏巷戰(zhàn),何其慘烈;其次,如果黑客已經(jīng)進(jìn)入內(nèi)網(wǎng),往往意味著邊界防御已經(jīng)被突破了,可能黑客已經(jīng)被拿到了權(quán)限、賬號口令及資產(chǎn)清單,此時再進(jìn)行防守,相當(dāng)于亡羊補牢,難度可想而知;最后,向前防御不但可以將防線提前,將戰(zhàn)場轉(zhuǎn)移至更加開闊的互聯(lián)網(wǎng),更可以通過大數(shù)據(jù)積累把全網(wǎng)協(xié)同能力發(fā)揮出來。黑客在外部做攻擊嘗試時,一定會有痕跡及特征留下來,只是看防御者能不能發(fā)現(xiàn),比如黑客使用了同樣的漏洞利用代碼在其它類似網(wǎng)站上進(jìn)行過攻擊嘗試,比如黑客攻擊過同行業(yè)的其它業(yè)務(wù)系統(tǒng)等等,只要能夠在外部利用大協(xié)同、大連接、大數(shù)據(jù)的特點發(fā)現(xiàn)蛛絲馬跡,就可以定位黑客,并按照防守者的意愿全網(wǎng)攔截或者進(jìn)行攻擊誘捕及溯源。
云防御的最新應(yīng)用和優(yōu)勢,正是使用了向前防御的理念,可以想象,當(dāng)某集團所有面向互聯(lián)網(wǎng)開放的業(yè)務(wù)系統(tǒng)都被云防御安全罩包裹在公網(wǎng)時,所有的攻防邊界都將在安全罩的最外層進(jìn)行,這個安全罩的外層越大,接觸面也就越大,那么可以感受到攻擊的范圍也就越廣,也越迅速。
5、網(wǎng)絡(luò)安全應(yīng)轉(zhuǎn)化成安全網(wǎng)絡(luò)
云業(yè)務(wù)已經(jīng)成為了一大產(chǎn)業(yè),并已成為了像阿里、騰訊、華為這類巨無霸公司新的發(fā)展驅(qū)動力,可以預(yù)見,云安全也將相輔相成地成為最重要、對抗最直接、發(fā)展最快的一塊安全陣地。我們希望,安全也能夠成為必需品而非奢侈品或者附加品,云的安全能夠成為凈水器一樣的裝置,給業(yè)務(wù)帶來純凈的流量,讓“水”這個生存的必要條件可以更安全、更可靠。
因此,我們的最終目標(biāo),是將網(wǎng)絡(luò)安全轉(zhuǎn)化成安全網(wǎng)絡(luò),讓每個網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)在接入時就可以享受到安全純凈的輸入流量,而不用再擔(dān)心網(wǎng)絡(luò)里是否有“雜質(zhì)”,我相信,云防御終究可以達(dá)到這個目標(biāo)。