【现场还原】补天漏洞情报发布会记事

主持人:大家好!很高兴由我为大家主持这次补天漏洞情报发布会!也很荣幸在这秋高气爽的日子里,与大家相聚在这次ISC2017大会来召开这次补天漏洞情报发布会!

在昨天开幕的ISC2017大会上,老周提出了“大安全时代”的概念,并且提出大安全时代下,网络战将成为常态。网络战的武器则是看不见摸不着的漏洞,重要的漏洞价值等同于传统战争中的炸弹。谁能掌握到对手的漏洞,谁就找到了攻击的先机和突破口;谁能及时发现和掌握自身的网络漏洞,谁就能提前为自己的安全防线夯实基础。

过去我们不是很在意漏洞问题,总觉得漏洞是软件方面的小问题、小错误,其实在美国就非常注重通过活动采集漏洞,或者通过挖掘来搜集漏洞。在大安全时代下,我们的指导思想和防御思想要改变。过去我们总是在修马奇诺防线,今天我们知道所有的系统都由已知的或未知的漏洞,别人是一定会来攻击你,你是一定防不住的。所以怎么进行新的防御作战思想的改变,也是需要在我们大安全时代下去思考的一个问题。

我们老齐也说网络是动态的,网络系统的漏洞是随时可能存在的,单纯的通过技术去修复一个漏洞,这个消耗了巨大的人力成本和时间成本,是不划算的。我们如果有专业的安全人才对特殊漏洞进行以人为本的审查和分析,为智能系统提供决定性的帮助和提升,这对我们未来的安全是非常有帮助的。

现在由我来进行大会的分享。我们这次分享的内容主要有四个部分:

第一部分是无处不在的漏洞威胁,主要是介绍一下我们为什么要做漏洞情报这件事情。

第二部分是解决方案,我们提出一个怎样的解决方案,为企业提供怎样的服务,重点介绍一下我们补天这个漏洞情报服务。

第三,我们补天漏洞情报服务能为客户带两怎样的价值。

最后对补天服务进行一览,看看我们能提供什么样的组合拳,为客户提供更好的安全解决组合方案。

  第一部分,无处不在的漏洞。巴非特很有名气,他曾经两次在股东大会上说“人类所面临最大的威胁是网络攻击”,可见我们认为的一个外行人士都能如此的重视网络攻击,说明网络安全已经上升到全人类的高度。我们再来看一组数据,在我们补天平台截止到本周,共收录行业通用漏洞14412个,涉及的厂商数量1425家。可能有人不太了解什么是通用型漏洞。所谓通用型漏洞是指存在于通用软件或通用系统中的漏洞,比如weblogic的反序列化漏洞,或者某ERP软件的getshell漏洞。这种漏洞的危害是比较广的,经过我们调查发现,每一种通用漏洞至少影响到成百上千家的用户,一旦这个漏洞被人利用带来的损失是不可估量的。

每年都会有数以千计的通用漏洞被发现,而且还存在着一个上升趋势。我们作为安全圈的人士,如何来改善这种现状,是我们补天平台需要思考的问题。在所有的通用漏洞的利用中,针对关键行业和关键基础设施的数据窃取占比最高,其次是以破坏设备为目的的漏洞利用。数据窃取的主要目的是获取客户信息和机密的交易数据,最终通过这些信息获得经济利益,这是往往黑产链条中重要的一环。

目前国内企业安全的现状,我们客户公司的运维人员每天面对各式各样的入侵事件和恶意攻击处于被动位置。他们每天都会收到大量的安全告警,但是在安全资源有限的情况下,难以及时处置。高危漏洞具有危害大,影响范围比较广,如果不能及时修补,企业将直接面临经济损失或者名誉损失。从人的角度来说,通用型漏洞漏洞管理对于安全主管人员的挑战是时间紧迫、造成很大压力、经常加班,还不知道修复效果会怎么样,总处于焦虑的状态。

补天平台在过去的一年里在为合作厂商提供SRC和众测服务的同时,也接收到了一些来自各行业客户的咨询,其中某几个金融机构向我们咨询某一财务ERP是否存在隐患。经过补天的专家认真分析和调研,发现这一款财务ERP确实存在一定安全隐患,我们及时告知了该ERP的生产厂商以及我们了解到的使用该ERP的一些金融机构,一定程度的降低了这些金融机构的安全风险。这样的案例在过去的一年里屡有发生,于是补天在思考这样一个问题,能否由补天平台收集并生产面向各行业的行业级漏洞情报,让情报工作更加落地和精准。我们能不能由我们补天平台来收集一些能面向各行各业的行业型的漏洞情报,让情报工作更加落地和具体,我们把情报具体给到一个行业,这样可能会对行业有帮助。

在这个背景下,我们就设计和研发了这样一款服务,为客户量身推出补天漏洞情报专门服务于行业客户。这项服务主要有四个特色:

首先它更加全面,我们的情报来源非常广泛。

第二,我们有安全团队专家人工介入,过去的一些情报服务往往是只有一些机器的过滤,我们是机器加人工的方式,这样的话产生的情报更加高质量。

第三,我们有自己的行业调研,我们能做到行业情报推送得更加精准。

第四,我们通过情报来驱动,促使企业客户更加高效的修复这个漏洞,如果当然没有漏洞的话,也可以做到防患于未然。

我们怎么能做到专业且广泛的收集情报呢?我们补天平台成立3年多近4年,已经积累了24万多的漏洞数据,这是我们一个原始积累。我们平台上还有已经注册的36000余名白帽子成员,他们会陆陆续续向我们提供漏洞信息。这个数字现在此时此刻已经更新到37000名,说明我们补天平台在白帽子群体里还是有一定威望的。

我们结合360的搜索技术,把分散化的信息做聚合的处理。数据来源广泛,是我们能够提供补天情报的根本,更加全面的数据,意味着更加全面的服务。

对于上一环节收集整理的漏洞情报,经过机器预处理,专家团队联合分析研判,最后脱敏加工,最终形成深层次的漏洞情报。在最后我们会把这条情报进行脱敏加工。我们的漏洞情报可能采集于各行各业,每个客户都不希望他们自己的漏洞信息被公之于众,我们平台有责任、有义务,为客户的信息保密,我们最终产出的漏洞情报是经过脱敏的只包含漏洞信息的有效信息。众所周知,情报生产是一个争分夺秒的过程。通过机器预处理,把无效和冗余的信息进行去除,能够加快数据处理速度;通过专家人工的介入,保证了漏洞情报的生产不仅先人一步,还能保质保量。一方面为客户争取了宝贵的时间,同时也一定程度避免了漏洞的风险。

那么如何确保高质量的漏洞情报信息能够精准地推送给我们的客户呢?首先,我们会对全部漏洞情报进行标签化处理,生成结构化数据。其次,我们对行业领域划分,以及应用的软件和系统进行了垂直的调研。基于调研结果,对应每个漏洞情报的标签,通过补天平台行业标签算法,第一时间向行业客户进行精准推送。对可能收到该漏洞威胁的企业做出告警,使得可能承受着漏洞风险的企业防患于未然

到了我们的最后一步,我们漏洞情报对企业的赋能,当企业收到我们漏洞情报之后,他可以根据本地资产的信息,进行精确分析。以前企业安全运维人员会收到很多的情报,他也不知道自己的哪些资产对应哪些危害。有了我们精准的漏洞情报,他就可以进行精准的分析,分析出来这些漏洞是如何影响了他的哪些业务,对可能存在被漏洞影响的资产进行精确预警,这样就能合理调配每个企业有限的安全资源,集中力量解决这些漏洞的问题。

一方面能让企业运维人员快速进入漏洞的管理流程,及时的发现漏洞进行修补,没有漏洞也能做到预防。其实很多企业在漏洞来源方面不是那么敏感,或者相对来说信息是有些被动的。通过我们的漏洞情报化被动为主动,从被动的防御变成积极主动的防御状态。

以上就是我们的优势。我们为了把漏洞情报的价值有效的传递给客户,我想现在介绍一下补天漏洞情报的对于企业的价值,以及补天平台为漏洞情报服务带来的增效。

使用补天漏洞情报服务,用户可以首先获得预知的风险,他可以获得提前量,提前了解潜在的威胁,他可以真正实现化被动防御为积极防御。因为我们ISC很多的论坛都讲到了被动防御、积极防御,以及后续反制手段等等。我们总是在修墙,修了很多墙,还不知道敌人从哪里打进来,可能就浪费了一些安全资源。变成积极防御,就是感知化的防御,我们收到漏洞情报,我们就可以有的放矢的针对这个漏洞去进行修复,让安全运维人员更加精准的做这个事情。

第一点云端协同。比如说传统的安全运维工作我们可能分五个工序,运维人员做做五步工作。现在由我们安全专家提前做好前面的工作,你只要通过我们的解决方案去解决漏洞,就可以完成了。安全运营日益重要, 而安全运营人员成为了落地的关键。通过云端的“补天漏洞情报服务”,对安全运营人员赋能,用户可以显著提升响应与处置威胁的能力,最大程度减少漏洞带来的影响,从而构筑更牢固的企业安全防线。这也切合了这届大会的主题,人是安全的尺度。

另外,我们补天平台这么多年的漏洞积累,从2013年开始运营,到现在在漏洞领域积累了丰富的工作经验,真正做到了漏洞紧急响应常态化。平时可能我们运维人员发现一个漏洞了,马上就要加班加点做这个事情。对于我们补天平台的安全专家,我们时时刻刻准备战斗着,一旦哪里出现漏洞我们就解决问题,真正做到对漏洞的问题响应速度快。

第二点,我们的更新频率比较快,因为漏洞的信息是随着信息流不断变化的,对于每一个已知的漏洞,我们会有一个持续的跟进,我们会持续的向企业推送这条漏洞的跟进信息,以及更完整、更完善的解决方案,让企业收到一个动态的情报,这是我们补天想做到的一个目标。

第三点,我们的情报完整度相对高。除了机器筛选,我们会有一个人工提供完整的解决方案。最终,由机器加人工,从漏洞的内容到漏洞的解决方案,形成一套完整的解决方案推送给企业,保证企业收到的信息是完整的。

最后一点,我们有客户的专属通道,在我们补天平台企业登录之后,进入企业空间,在那里可以看到我们的漏洞信息,以及我们推送给厂商的站内信等信息。这样可以保证企业的信息不让外界知道,我们为企业自己的漏洞情报保密。因为每个企业都比较重视自己的隐私信息,我们本身也是做安全的,所以对保密工作一定要做好。如果有些企业说我不方便登录外网,或者我们不太方便查看网站,我们给他提供了手机短信、电子邮件等等的推送方式,就是让我们的客户一旦订阅了我们的情报,就能多方位的收到这条情报,不会错过任何一条有用的情报。

最后我介绍一下补天平台所有的安全服务,我们提供多种深度和广度的基于白帽专家的安全服务,旨在为企业提供安全服务组合方案,降低企业安全运维成本。

我们补天平台目前经营三类服务,第一类是SRC服务,一个安全响应中心,国内外有很多有条件的站上,已经自建了SRC,对于没有条件自建SRC的厂商,我们会提供云端架构的SRC服务,企业客户可以自己设定收集漏洞的范围的漏洞信息,并给予提供信息的安全专家一定的现金讲理。

第二点,我们的众测服务,这是一种定制化的服务。当我们补天收到企业的诉求之后,我们会严格筛选出来30名到50名白帽子专家,来参与众测服务,对企业进行定向的、定制化的渗透性测试,以及测试之后给出专家建议,还有我们的回检过程,能够彻底保证我们消灭企业的漏洞。

第三,我们这次提供的漏洞情报服务,我们想达到一个什么目标呢?我们把补天能提供的安全服务进行组合,能形成一种强强联合,行程合力,达到一加一大于二的效果。比如我们使用漏洞情报服务,我们可以预制未知的风险,我们把未知的漏洞信息掌握在企业手中,作为一个知彼的效果。使用众测服务了解自身安全为知己的效果。企业安全在一个知己知彼的条件下,才能立于不败之地。

到了我演讲的最后,我很高兴,那么,此时此刻我宣布,补天漏洞情报服务正式发布!请允许我有请补天平台的负责人白健白总,为发布致辞!大家欢迎!

白健:谢谢大家!刚才也提到,网络战已经不宣而战,网络战的本质就是漏洞利用!补天平台专注于漏洞服务,我们打算把平台收集到的36000多名白帽子提交的具备行业属性的漏洞和情报,经过脱敏加工之后,推送给行业相关的所有客户。同时我们打算使用360搜索技术以及360大数据分析技术,去监测国内国外所有和漏洞相关的网站、论坛,甚至于一些社交媒体的账号,我们把监测回来的信息,经过云端专家分析研判,再匹配行业标签之后推送给各行各业。我们希望通过这样的方式,能够高效地协同我们所有的行业客户做好网络安全的积极防御。

今天借ISC的东风,我们补天漏洞情报服务正式上线。在这里我诚邀大家试用我们的产品和服务,并且给我们反馈使用意见。补天平台希望能够和大家一起成长,也愿意和大家一起保卫全中国的网络安全!谢谢大家!

主持人:我们再次感谢白总的精彩致辞!下面进入问答环节,如果大家有对我们补天漏洞情报服务有任何的疑问和建议,请示意我。

提问:补天的情报我想问一下,客户可能比较关心的是怎么收费,另外就是到时候是以何种形式去传达到客户手中?咱们这个情报,是不是这个客户属于金融行业,我们只推送金融相关的情报,其他跟金融不相关的,我们就不会推送。

主持人:谢谢您的提问!第一点,关于我们的服务收费问题,现阶段产品刚刚发布,在产品的测试阶段,已经有我们原本平台上面的近百家厂商已经开始试用了,在接下来的时间我们会邀请厂商免费使用这个服务。这是第一点,所以说我们希望厂商尽可能的加入我们这个漏洞情报服务,为我们漏洞情报生态添砖加瓦。

您问到我们的服务是怎样推送到厂商手里的?我们金融是一个大的领域,但是基于补天平台做的调研,我们做了更多领域的细分,可能比您想像的还要更细致一些。在金融下面,我们还分券商、银行,银行也会分很多的级别。对于每一个级别的金融机构也好,或者企业也好,他们都会使用不同的软件的架构,我们把每一种软硬件架构进行分析研究整理,我们会针对他使用的特定的类型进行漏洞推送。与此同时,我们也允许厂商在我们平台进行一种漏洞的订阅。比如说这个金融厂商很关心其他领域,我们也允许他订阅其他领域的漏洞,因为我们要做到全面。

提问:我想问一下咱们这个系统,您觉得这个系统上还有什么不足?或者是什么可以未来再努力的方向?

主持人:我本身是做产品的,在一个产品人眼里,产品很少有完美的,永远都是有不足的。我认为我们目前不能说不足,只能说作为一个数据的产品,我们是需要大量的数据,这也是为什么我们白总要诚邀各位厂商的加入。一方面我们有专家来产生情报,另外一方面,我们也需要大量厂商来丰富我们的行业信息,所以这也是为什么我们需要更多的厂商加入,共建我们漏洞情报生态。如果说不足的话,就是我们厂商用户还不足,我们希望更多的厂商用户加入我们的平台。谢谢!

提问:我想了解一下关于漏洞的信息您是怎么传达到客户本地的,就是在信息保护方面有哪些保护机制?

主持人:我们有一个厂商专署通道,这是我们专门设立好的保密机制,我们网站本身是安全的,所以我们为厂商提供的通道也是绝对保密的。很多厂商可能没有外网,或者没法访问我们的网站,这在种情况下,我们通过我们的安全邮件通道,或者通过手机短信,对厂商进行提醒,尽可能做到让厂商不错过我们的提醒。谢谢!

提问:咱们补天这块提供的漏洞类型有什么?是通用型的还是具体有分类?

主持人:我们漏洞情报服务本身去教育通用型漏洞,因为只有通用型漏洞才具备行业属性。比如说我们Weblogic反序列化漏洞,很多金融机构都会用到这个中间件,他用到了就可能面临风险,我们给他们推就会有价值。比如一个企业网站本身,他可能只发生在这个企业网站里,其他网站可能没有,他可能是由于程序员编码造成的错误。这种漏洞我们一般是不会在漏洞情报里面推送的,因为它对其他的企业价值相对来说比较低一些。谢谢!

提问:因为很多企业比如说我用Weblogic,你怎么知道?

主持人:我们已经在事前,做这个项目之前,对所有的行业,包括每个细分领域,做了一个详尽的调研,我们会挨个客户去访问,对每个行业的软件用专家的视角进行研究和了解。比如说像您刚才讲到我们一直围绕Weblogic来说,它在教育领域应用相对少一些,这时候我们通过调研得到了结果。我们可能收到一个漏洞,我们就不太会往这个行业推,当然教育行业是可以订阅我们这个漏洞的,是这样的一种机制。所以说我们事前已经进行了垂直领域的调研和细分。

提问:现在企业很多外部架构变化是非常频繁的,这种调研不可能是人工去一直去调研。

主持人:这就是为什么我之前也提到了,我们需要尽可能多的行业和企业,加入到我们补天情报,来丰富我们后台大数据。其实你在加入我们服务的时候,我们也会有个相应的调查,我们会相应的采集企业关键的软件信息,当然我想企业的数据我想知道你在用什么。比如我们现在可能有100家在试用,未来达到一万家企业的时候,或者10万家,百万家企业来用的时候,我们会极大丰富后台对企业软硬件数据的获取。另外我们有来自各行各业的白帽子,他们也会为在贡献漏洞情报的同时完善我们的行业标签体系数据。谢谢!

由于时间关系,我们这次发布会就到这里!我们在一楼展厅有补天的展台,到时候也有精美的礼品给大家准备,如果有更多的问题,可以到我们展台去提问,再次感谢大家参加我们的补天漏洞情报发布会!谢谢大家!

(结束)

原创文章,作者:360安全,如若转载,请注明出处:http://www.mottoin.com/105703.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code