访威胁情报技术尝试者宫一鸣

2016中国互联网安全大会(ISC)将于下个月中旬召开,如同往年,安全牛承办的威胁情报论坛仍将是大会各分论坛中的重要一员。为此,牛君特意在大会举行前,就威胁情报的技术基础、发展现状、之于安全领域的关系和地位等,采访了论坛执行主席宫一鸣先生。

1.webp_1

个人简介

宫一鸣,360网络安全研究院院长,现从事大规模基础数据相关领域的工作。具有18年大型网络及运营商级安全行业从业经验,先后在中国电信、绿盟科技、美国XO communications、天融信等知名企业从事大型网络安全技术相关方面的研究和应用。

一、数据的价值和力量被忽视

安全牛:作为一位技术大牛,从技术角度上来讲,你如何看待国内的安全现状?威胁情报又处于什么位置?

宫一鸣:总体来看,我个人感觉国内安全市场挺火爆,但从技术角度看安全做的并不是太平衡。比如在漏洞挖掘攻防领域国内一枝独秀,高手众多,人才辈出,而且后续的梯队也比较成型,还有各企业高校组织的各种比赛、赏金计划等等。得到了足够的重视。

但除开漏洞等领域,其他方面相对国外来说以我看就比较窄了,无论是意识,人员还是投入都还不是太到位,我们一直认为安全并不应该只是某一个非常具体的领域。比如这次的主题,威胁情报国内外都很热闹,但是它也无法代表安全本身,而只是安全这个大魔方的一个组成元素。而且如果从威胁情报的角度看,安全的核心完全可以就是简单的数据,data is king。一方面通过数据看到你想看到的东西,另外一方面最好能通过数据看到自己都不知道应该看到的东西。

安全牛:理解,数据是基础。记得你讲过把威胁情报比做盖楼的话,做数据就是制造不同种类砖的。那么,你对威胁情报数据分析怎么看呢?

宫一鸣:我觉得这些技术没什么花哨的,无非是要看你怎么去选取,组合和运用它们, 有的东西之前可能大家都没有意识到它的重要性。所以缺乏意识,也缺乏实践和应用场景。比如360做的PDNS,国内之前虽然大公司不少,但不太有人看到这个的价值。虽然公司很大,高级人才也很多,但它没有意识到这个东西的重要性。从某种意义上来讲,威胁情报本身并不是什么高大上的东西,其实质就是把数据选取加工包装组合联系,然后通过数据看到你想要看到的东西。

目前大家谈威胁情报,感觉都很厉害,都已经到了金字塔的塔尖的感觉,但是我一直认为,其实我们远没有到那里。威胁情报的基础,就是各种砖头(数据)还稀缺的厉害,所以为什么我们造出来基础数据这个概念,就是有了各种可以供调用的基础的数据元素,才能搭建各种高大上的东西。有了各种积木块,才可能发挥想象力去各种组合。

二、理解威胁情报

安全牛:其实威胁情报的基础元素一直都在,只不过现在把这些元素组合起来,配合新的应用,于是形成了一个新的概念,是否可以这样理解?

宫一鸣:实际上一直都没有变过,威胁情报的基础就是数据:比如常见的IP、DNS、MD5样本文件、网络数据、BGP信息、交易数据、各种常见的系统和设备日志,地理位置甚至人的数据等等。

打一个简单的比方,古老的互联网的传统技术,扫描器,说白了就是获得数据,分析数据。你说它的产出算不算威胁情报的一种? 反过来,作为企业,其实可能并不希望被人扫到,那如果有人能够提供实时扫描器ip地址,让企业的网络设备可以做到随时跟踪互联网上的扫描器并自动屏蔽扫描器地址,让攻击者扫描不到,这个算不算威胁情报?

这个东西尽管其技术基础非常简单,但如果有能力看到全网的扫描器的地址,然后实时的把它加黑,我认为这就是非常简单粗暴但有实际意义的威胁情报,它可能不高大上,但夸张点说也许整个互联网从大网的视角看都会变得安全一点。

另外再举个例子,上周我们做了一个挺有意思的测试,有一个跟踪勒索软件黑名单的列表Ransomwarechecker,我们拿它的去重后的700个活跃域名和我们自己的几个活跃黑名单进行比对,直接就有超过90%的命中率。也就是说虽然这只是勒索软件的黑名单,但它使用的域名已经出现了其他不同种类的黑名单上。这个感觉有点像交叉火力,如果你数据覆盖的点足够多、覆盖面足够大、看到足够高和足够广的时候,很有可能从A维度的位置把B维度的东西搞定。

又比如有人专门在Github上提供脚本,通过结合字典或遍历等手段去爬企业的域名。这是很费劲的,如果你有比较好的数据和方式,做这种事情就轻而易举了。

三、数据为王 分封而立

安全牛:这是数据量的规模问题,是点和面的对比。

宫一鸣:对,比如说我刚才讲的大规模扫描,如果在整个网络层面看和传统层面比如装个蜜罐看站的高度肯定是不一样的,这种就是点和面的差异,在干网上看可能一分钟看到的数据量就可以是在某台设备或单点上看一两个星期的数据量。

这种情况下,同样出类似的结果数据,站在干网上的人出的质量肯定要高。这个是没有办法的事,让他来承担数据的提供方的角色就比较适合。 反过来说,在应用方面数据提供商可能就不如使用方,因为我不知道你想解决的是什么问题。因此最好的情况大家各自干各自的那一块就可以。我觉得未来很可能就是这样,分工合作。包括安全产品本身也可能慢慢地会从重视工具回到重视内容上去。

四、威胁情报的三层概念

安全牛:记得你在以前的演讲中,还谈到过威胁情报的三层概念,借今天的机会,能否再通俗的讲一下?

宫一鸣: 威胁情报并不是一个新东西,这个应该是借鉴军方的概念吧,它的定义和包装貌似一直都在变。但我个人认为本质上它就是指通过数据可以看到你想看到以及你都不知道你应该看到的东西。

在安全的初级阶段,有可能就是通过比拼visibility(看见)的。这个去年的ISC上就已经讲过。军方讲情报的三层概念,即你知道你知道,你知道你不知道,你不知道你不知道。我觉得这三句话说得很形象。

举个例子,如果你知道在什么时间、谁、在什么地方,以什么方式要刺杀某国总统,这就是你知道你知道。如果只知道总统将被刺杀,但是什么地方什么时间这些都不知道,这就是你知道你不知道。最后,你根本就不知道总统是否要被刺杀,即你不知道你不知道。

四、威胁情报处于婴儿期 安全需要百花齐放

安全牛:那目前威胁情报处于一个什么样的阶段呢?

宫一鸣:我感觉安全里面的威胁情报的具体应用,可能还是蛮年轻的,甚至可以说还是婴儿期,无论国内国外大家都在探索,大家都在都在尝试威胁情报的搞法,这条路是肯定要走的,至于说这条路以后是什么样,谁也没有肯定的答案。但至少现在越来越多的人开始重视,开始逐渐意识到数据的重要性,最后肯定会走出不同的模式来。

此外,个人感觉国内与国外还是有差别的,国外的安全以我管中窥豹有限视角很有百花齐放的意思,不管什么领域都有一堆公司一大票人在在做,而国内基本上跟风较多,这个从招人上就很容易看出来,再以漏洞这个领域看,国内搞的时间比较长,团队比较多。而且它很直接,企业都认这块,做了就有钱,也可能出名。所以层次梯队相对其他领域完善,但其它不少领域比如对数据有感觉的基本上都招不到什么有经验的人。

安全牛:是不是因为数据分析技术的门槛问题?

宫一鸣:首先要有数据,然后要能看到数据的价值,再次还要有对数据的经验和感觉。好比给你一台电脑,一套Photoshop软件,不是专业的人充其量也就画个小人,很难真正把它用好。这方面是需要积累的,首先需要重视起来,然后再去踩坑,逐渐摸索和在各方面积累。

这个领域要做好,最好是网络运维人员,系统分析等有一定经验人员,要对数据有感觉。当看到一大堆数据的时候,要有把点连成线的意识,这种人真得非常缺乏。

五、高端技术分享 拒绝概念拒绝虚空

安全牛:威胁情报论坛,在去年第一次举办的时候就非常火爆,今年您再次当选威胁情报论坛的执行主席,对论坛的质量是否还会一些新的要求呢?

宫一鸣:威胁情报论坛的定位是一个高端技术的分享论坛,最直白的,我希望前来听会的人在听完之后,最好觉得今天大老远跑来没有白来,觉得在技术上得到了或多或少的一点启发和收获。

这两年威胁情报在安全领域非常热,好多公司在做,好多活动在讲。但我听了几场之后感觉大多数的内容都很虚,基本上没有什么技术方面的细节,很难学到新的东西。比较适合售前介绍那种新闻和报纸摘要,但真正搞技术的人想听到的是有什么新的分析和解决思路,受到了哪些启发,知道了哪些点子,数据是怎么用的这些内容。

因此,我们的威胁情报论坛对演讲人和演讲内容卡的十分严格,讲概念的、讲故事的,或者是同一个内容讲了好多遍,还有一些虽然级别很高,但讲得很虚,就是一些统计数据而已的这种都不接受,我觉得这样是浪费听众的生命,我个人希望尽量控制讲技术,不要有忽悠。当然这个要逐步慢慢来。

六、威胁情报论坛的顶尖演讲方

安全牛:你如何看待国内的威胁情报产品?

宫一鸣:说实话,称得上真正威胁情报产品的还比较匮乏。你一没有数据,二没有人,三没有积累和经验,四缺乏应用场景,凭什么做出来真正的有价值的威胁情报产品?另外,还需要用户方的需求和反馈,逐渐地对数据价值有所认识和认可。

不过这两年我们陆续开始看到国内有几家开始专业做这个的startup,我们希望在这个领域有更多的人加入进来,大家在各自擅长的方向尝试和深耕,更多的人来玩,集思广益做大做强这个领域。

安全牛:能否介绍一下都有哪些演讲者?

宫一鸣:可以。目前已经确定了的有3家,第四家基本也已经确定,但身份比较敏感,没有最终定下来之前还不能公布。

第一家是360自己的追日团队,这个团队做的东西放在国外也是第一梯队的概念了,他们做了大量的有价值的工作,可惜一些原因他们的发现大部分不能公开,这次会上会有些新东西公布。

第二家是全球最早做pdns的的公司DNSDB,这个是开山鼻祖了,就是现在的Farsight,后者把前者收购了。Farsight的优势体现在域名数据的积累上,这个值得一听。

第三家是DYN,这个公司很有意思,主业是分析骨干网核心路由的,它应该算得上是互联网上分析骨干网核心路由的绝对的No.1。 这个安全的方向在国内应该完全是空白。 安全领域很大,并不应该总是那几样东西。

第四家刚才说了,已经基本敲定,但具体身份现在不便透露,只能说演讲人是做技术的,负责僵尸网络的追踪,全球网络安全监管机构相互间的协作,他应该是这个机构来中国讲他们机构安全技术的第一人。

其实我们还希望请到国内的做这个比较好的其他团队来讲,比如阿里等团队,我们希望能来,但是也是各种原因来不了,挺遗憾的。

七、信任是情报交换的关键

安全牛:你们如何请到这些领域的顶尖厂商或牛人的?

宫一鸣:主要是合作和信任吧,在这个领域有一些国际化的社区,通过参与社区活动,并积极做贡献,慢慢建立起信任和联系,很多事情就好沟通有机会了,本质上是互惠互利。

不过另外一方面 ,在威胁情报这个领域,虽然大家口头上都在喊共享、交换、合作,但其实这个是很难的。这有点像打牌,你手里要有牌才能上牌桌,你要是什么都没有,只想来获取别人的那是不容易的。而且通常来说,真正有价值的情报一般来说是不会随意共享的。

另外是体量差不多的才能在一起玩,巨头是不容易和小公司坐在一起商量数据互换的,而且后者也没什么数据可交换。国外也一样,基本都是等体量的公司才能在一起玩。这里面还有一个很大的门槛就是信任,为什么中国不太容易交换到国外的情报?国外很难真正的把它觉得好的数据给你,因为从根上它是不信任你的。

不仅是体量对等,还要互惠互利,最后还要有信任,所以这个门槛是非常高的。目前国外对我们还是比较缺乏信任的,今年之所以能够邀请到这些人,就是因为我们在不断的互动,逐渐地已经建立起一些信任,这是关键原因。

—朴素的分割线—

2016中国互联网安全大会威胁情报论坛,将于8月17日下午13:30分于国家会议中心召开,欢迎各行业关心这一安全新兴领域的朋友们参会!

文章来自安全牛