云计算大会：360副总裁谭晓生解读《天幕危机》

在最新召开的中国云计算峰会——第五届中国云计算大会上，360副总裁谭晓生先生发表题为《天幕危机》的主题演讲，详细解读互联网时代企业面临的安全威胁，并分享了360在“云+端+边界”安全防护方面的实践经验。

图：360副总裁谭晓生会上发表演讲

以下为谭晓生演讲全文：

各位专家、各位同行大家早上好，刚才冯登国教授的演讲我也非常受启发，其实360的模型是把云计算分为了laaS、PaaS、SaaS层面，360提供最多的是SaaS。其实现在我们也开始进入到PaaS领域，我们怎么把安全服务变成一个平台，可以让更多的人，包括安全服务提供商使用到这种服务。我下面分享的信息希望对大家云计算方面的工作有所帮助：

在去年到今年有这样一些词是热词：APT/Anti-APT、NGFW、BYOD、Big Data、FireEye.com。

我们首先看一下2012年都发生了什么事情，赛门铁可公告证实两款企业级产品源代码被盗、VMware确认源代码被窃、在去年年初的时候Anonymous威胁干掉整个互联网，攻击DNS根服务器。维基解密网站遭受持续攻击、蠕虫病毒火焰(Flame)肆虐中东、DNSChanger、美国电子商务网站Zappos遭黑、LinkedIn证实部分用户密码遭泄露等等这些重大安全事件看到什么呢?第一个攻击对象是什么，攻击对象是源代码，攻击源代码再下一步是找更多的漏洞，找更多的漏洞是攻击各类企业，对于攻击者还可以发起更深入的东西。

五年来恶意软件数量变化，在2011年一季度是最高峰，一天可以收将近700万恶意样本，现在下降到320万左右，看起来情况是好转了，实际上并不是这样的，这是我们在2012年监测到每月的新增的钓鱼网站数量，只是攻击手段实现了转移，病毒木马在安全软件绞杀之下数量变少的，但是更多是与网页的方式联合作用，。

外网安全：60%网站存在安全漏洞，越来越多的企业不得不走上互联网，在互联网时代如果不上互联网就觉得会被淘汰，去年有一个特别热的词叫O2O。

实际上网站的情况怎么样?360有一个产品叫“360网站安全检测平台”，中国网站有数百万，我们大概检测了国内全网1/9的网站，检测结果是相当惊人的：60%的网站存在漏洞，漏洞发现的总数超过6000万，其中有30%的漏洞是高危漏洞，有可能导致这个网站被黑的，这个数字是时时更新的，大家可以到我们的网站去看，这个数字是真实的。

网站漏洞的分布情况：我们认为最严重的有两个，跨站脚本漏洞和SQL注入漏洞。这是北师大的网站，这个网站被黑了以后被挂马，如果按行业划分，安全性最薄弱的网站是政府网站、教育网站名列第二。

今年欧洲也遭遇于史上最大的DDoS攻击，最高达到300Gbps，目前为止是史上最大的攻击。我们之所以测量到50G，是防护的带宽是50G，被打满。

外网安全：DDOS攻击趋势，360抗DDOS产品是去年6月份投入使用的，到今年一年的时间，我们遇到的攻击的峰值和次数都是在增加，多的时候一个星期达到一万多次。我们保护了一万多网站，因为有的用户把抗DDOS作为临时需求，只会在被攻击时启用360网站卫士一类的产品。

对于内网安全会面临一个非常大的安全威胁就是APT，对Google的极光攻击、夜龙攻击、RSA SecurID种子文件被偷、超级工厂病毒攻击、Shady RAT攻击。

今年3月20日，韩国有3家电视台和2家银行被入侵，整个系统不能工作。当时还有传言说来自于中国的ID干的，后来查出ID并不是来自中国，但是从披露的信息来看是一个非常典型的攻击。

这是APT的一些定义，其实更多的它是用多种渗透方式的攻击，是一种组合型、用各种技能的攻击，具有长期性、潜伏性的特点。上来的目的往往是为了窃取资料，包括军事情报数据、重大的工业数据，比如前几年就传某国的先进战机图纸在黑客圈里面流传。过去的APT都是情报和军工居多，现在明确的看到针对企业也很多，我们也非常荣幸在过去面临过APT，在这方面做了很多的防卫工作。

APT攻击其实是一个成本相对来说比较高的攻击方式，包括它会用社会工程学、漏洞挖掘、木马免杀、漏洞攻击、无线攻击、密码破解、钓鱼攻击、加密解密，成本高昂。如果说你的WiFi和你的内网直接联通，把WiFi破解就存在很大风险。但是现在如果是对于犯罪分子，对于木马、钓鱼网站，我们可以进行快速的绞杀，包括对钓鱼网站可以封杀它二个小时以下的生存期，我们有一个观点认为这些其实最终会把犯罪分子逼到APT领域去，这就是APT防卫的一个重点。

典型的攻击方法：通过电子邮件，APT的攻击方法有90%多的攻击方法是通过电子邮件发起的，电子邮件附件看起来只是贴了一个PDF文件、word文件，看似是安全的，实际上攻击点是大众不知道的，这些文件其实是可以被恶意构造的，同时可以把攻击代码嵌进去，最终做攻击的时候把代码溢出你的代码区，最初就会有木马代码到你的计算机上去。EMC有一个员工很勤劳把这个邮件从垃圾邮件箱给拖出去，打开就中招了。这时候就相当于木马进入EMC的内网，慢慢会有一些IT管理人员中招，进一步扩展到EMC。RSA是被黑客偷到他的种子文件，把种子文件拿走之后，这时候双因子认证第二个因子就废掉了，当被发现的就迅速撤离，这次的攻击使美国的很多公司网络遭黑客入侵。

APT当中恶意文件的类型：排名第一是RTF、第二是XLS、第三是ZIP和RAP文件。94%是通过电子邮件进行攻击，攻击里面76%是政府和企业。APT到现在还没太大必要针对普通民众，如果是名人则是另外一回事，随着技术会被越来越多人的掌握，攻击目标会往下移，中型企业也会成为攻击目标了。排名第一是政府，第二是活动家，再往下是重工、航空、财经、航天、钢铁、电子设备、电力等等，这些都是基础的一些产业。

攻击方式有WiFi，政府机关和大型企业的WiFi容易被黑客攻击。在360我同时也主管公司的信息安全，我大概拖了一年时间给公司建WiFi，因为WiFi防护是非常困难的事情，不仅仅WiFi容易被人破解，今年还有一个热词叫BYOD，就是用你的手机和PAD工作，为了工作可以用手机收邮件，但是手机又是个人资产，有时候会装APP，你怎么知道不会是带木马的东西呢，目前BYOD有一些成熟的产品，但是很少见。

有一次给某机构培养人才的时候，轮到我们讲课。我的信息安全的团队兄弟们对他们进行测试，破解了三四个帐号，是一个活生生的案例。

这是社会工程学的案例，系统可以没有漏洞，但是不要忘了人是有漏洞的，人的漏洞是贪婪、恐惧、懒惰这些东西，这件事情是利用人们的恐惧，说你的老板给你发了一封信，看完这封信立刻到办公室，实际上这封邮件的附件是一个木马。

利用人们怕失去，利用2013年的年假休息方案，请同事们填写表格后发送给予人力资源部，申请单中需要填写个人姓名、联系方式。但如果说你的软件系统没有及时打补丁，是一个更加古老版本的office，还不说未知的，已知漏洞同样有相当高的中招率。

2011年被APT攻击的企业有索尼、花旗银行等等企业，这世界上有两种公司，一种是已经被黑客拿下的，一种是被拿下自己还不知道的。

内网渗透：我觉得这张搞笑的是这张内网的控制界面就被搞掉了，放在最前面的是入侵、防护系统。

案例1：夜龙攻击，有说法是中国干的，是针对美孚的，攻击案例通过SQL入侵，以web服务器为跳板，对内网其他服务器及终端电脑进行扫描，通过密码暴力破解等方式入侵内网服务器及开发人员电脑，向被入侵电脑植入恶意代码，并安装远端控制工具等。

案例2：RSA的黑客攻击事件，2011年的招聘邮件，发的并不多，只有4封，就中招了。

APT特点及趋势：我们传统的防御手段有效吗?为什么下一代防火墙会变成热点?同时不起作用的还包括APS入侵防护设备、入侵检测设备等等。

这个主要因为过去的攻击是一次性的，所以过去的防备手段是没有上下文，更多是基于过滤。不管是第三第四层的过滤，还是在第七层的过滤，如果被你的对手盯住一点点往里渗透，这时候对防卫来说要求一下高了很多，要求判断上下文，对防卫边界判断非常重要。 在某次访问的时候并不知道这次访问上下文关联是不是攻击的一部分，如果要全存下来量会非常大，如果计算检索计算量会非常大。

一个更长时间维度的攻击和采用一些过去某个时刻所谓0day漏洞还没有报出来，大家还不知道，今天防卫的时候别人的攻击手段你还不能了解，未来的某一天你才知道。这种问题的解决恰恰是云计算的能力，现在的云安全防备提供了一种机会。

解决的出路是什么呢，就是云+端+边界联手防御。过去大家分工分得很清楚，比如说像360过去大家都认为是做客户端安全软件的公司，对于像启明星辰等其他一些企业更偏端上的防御，做网络安全设备，在边界上进行防御，云过去在安全里面做得比较少。360和趋势科技是在全世界最早开始进行云端的安全防御的公司，我们把病毒、木马是放在云端去防的，现在针对电脑上的云端防御是一个共识，在下面对于企业的安全防御是这个技术的进一步扩展，把企业安全防御也应该放在云端去做。

这里面说云端的价值是什么?

1、必须要有海量的数据储存能力，这些东西不记下来就没办法进行进一步的演算，就没办法对历史进行检测。

2、对海量数据的异常行为进行检测，对大的集群进行建模、分析等等，要有更复杂的演算。

3、要有认知的共享，A企业遇到攻击要有渠道把它攻击的特性提取出来，让其他的所有企业都进行防御，这是我们在PC上针对木马和钓鱼防御的经验，在PC上为什么木马会我们绞杀掉，过去有五十万、一百万的感染，现在平均感染16次，一个样本在执行的时候，被我们提取的时候进行非常快速的处理，在几秒之内就放在云端，几分钟之后全网都会进行绞杀，这些木马的攻击成本就会非常高。在企业级防御上也应该是同样的思路，这是我为人人、人人为我的互利过程。

4、服务用得起，为什么这个东西放在云端，一个企业单独进行部署当然有可能，这个企业足够有钱，不仅仅是买得起的钱，还要有很多搞云计算的人，像中石化可以做到，但是像中型企业就未必做得起，这其实和云计算的推行道理是完全一样的，我们可以通过集中化的规模优势让每个人都享受到廉价而且优质的服务。这里面用到的技术、分布式储存、分布式计算并行计算，机器学习技术、准实时计算技术。

边界在这里面依然有非常大的价值，不是有了端和云边界就没有价值，边界第一可以提供信息的采集，流量的侦听，可以做协议的还原，一般现在的计算能力，X86的计算控制做到第七层的控制效率还是不错，尤其是通信的控制，还有可以做攻击阻断。一旦发现有可疑的攻击在边界上很容易阻断。

客户端的边界在哪里?哪个进程在进行通信，是不是把这个进程的样本提取出来进行分析，同样可以做网络准入控制和程序准入控制、硬件准入控制。对于APT的运行有一招，就是非白即黑，如果从陌生人变成熟人是很容易，但是在陌生人中区别好与坏难度非常大，实际现实情况是我们在现在新发现的新的程序里面百分之九十几都是坏的，从运行总数来说好程序运行的次数多。这是云+端+边界的一种思路。

针对企业安全，360自己出了360企业版，第一是安全软件、第二是企业管理软件，第三是硬件资产管理软件。

360云安全基础平台：有了云端之后计算需要什么样的能力，我们搞了有6个分布式计算的品牌，目前是私有云架构。第一是解决分布式存储的问题，目前用HDFS，分布式表格系统HBase，分布式K/V系统Cassandra。计算第一是M/R计算系统，我们自己做了一个Euler计算。这里不信息介绍了。

这是我们过去栽了更多的跟头，最终走到Cassandra上。

Euler平台算法库，Euler平台每台是288，一个是推算算法，包括网络攻击检测都拿这个来算。

实时计算平台，目前可以做到15秒和10秒的延迟。10秒钟之前的攻击，我们保护的量一天是33-50亿次的访问，我们可以在10秒钟之后就10秒钟之前针对什么样的目标产生了什么样的攻击进行分析。APT我们的延迟时间是15秒。

现在来自于互联网上来自云端的攻击，我们的防护思路也是基于云端的防护，漏洞扫描，没有必要让用户每个人买一个扫描器放到公司去扫描，我们提供了一个云端的扫描，而且未来的基于云端的扫描是免费的，因为它的边界成本非常低。

360网站安全检测平台可以进行漏洞检测、挂马检测和篡改检测，360网站卫士可以抗DDOS攻击。DDOS攻击拼到最后是体力，你有没有足够多的服务器、足够多的带宽，让攻击者一段时间打不死。如果一个企业对外只有100兆带宽分分钟就会被打死，我们360网站卫士目前的抗攻击能力，全网11个节点，没有100G带宽不会把我们打死的。所以这些是基于云端的技术，目前砸的不是很多，有几百台服务器，实际投入了200G带宽进行防御，这个思路是基于云端的代理，云WAP放在云端，通过BS的重新解析，进行流量清理之后再还原。