7月25日，2019網(wǎng)絡(luò)安全分析與情報(bào)大會(huì)在北京舉辦，作為中國(guó)威脅情報(bào)領(lǐng)域規(guī)模最大的的行業(yè)盛會(huì)，大會(huì)吸引了來(lái)自政府機(jī)關(guān)、金融、互聯(lián)網(wǎng)、安全等各個(gè)領(lǐng)域的一線安全專家，分享企業(yè)信息安全和威脅分析研究成果和落地實(shí)戰(zhàn)案例。金山云安全負(fù)責(zé)人孟偉受邀出席，發(fā)表了《情報(bào)的協(xié)同應(yīng)用及情報(bào)使用的創(chuàng)新方法》的主題演講。

金山云安全負(fù)責(zé)人孟偉在大會(huì)上發(fā)表演講

　　在演講中，孟偉表示，云環(huán)境下，用戶業(yè)務(wù)形態(tài)愈發(fā)多樣化，造成攻擊的形式也更加多元化，傳統(tǒng)的規(guī)則匹配、統(tǒng)計(jì)分析及機(jī)器學(xué)習(xí)的方式已經(jīng)越來(lái)越難適應(yīng)新時(shí)期業(yè)務(wù)需要，金山云通過(guò)將威脅情報(bào)能力集成到現(xiàn)有的安全產(chǎn)品(高防、WAF、主機(jī)安全、威脅感知等)中，與現(xiàn)有的檢測(cè)防御機(jī)制協(xié)同工作，消除誤報(bào)，從而盡可能降低漏報(bào)、減少安全的運(yùn)營(yíng)成本，為用戶提供更加高效、精確的安全防護(hù)。

　　情報(bào)協(xié)同來(lái)高效保障云平臺(tái)安全

　　隨著信息技術(shù)的高速發(fā)展，業(yè)務(wù)上云已經(jīng)成為產(chǎn)業(yè)發(fā)展的必然趨勢(shì)，與此同時(shí)，業(yè)務(wù)威脅、網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露等安全事件，對(duì)企業(yè)安全能力提出了更加嚴(yán)峻的挑戰(zhàn)。高效利用多維度情報(bào)信息，構(gòu)建更加穩(wěn)固的安全能力，成為新時(shí)期安全能力的提升方向。在利用情報(bào)保障云平臺(tái)安全的產(chǎn)業(yè)實(shí)踐上，孟偉分別從入侵檢測(cè)、風(fēng)控、DDoS防護(hù)三個(gè)維度進(jìn)行介紹。

　　在利用情報(bào)進(jìn)行入侵檢測(cè)方面，“傳統(tǒng)的入侵檢測(cè)方式是將收集到的數(shù)據(jù)經(jīng)過(guò)規(guī)則匹配、統(tǒng)計(jì)分析，甚至是機(jī)器學(xué)習(xí)的方式來(lái)檢測(cè)是否被入侵, 這種方式策略太嚴(yán)格漏報(bào)會(huì)增多，策略寬松誤報(bào)會(huì)很多，”孟偉講到，“金山云通過(guò)將經(jīng)檢測(cè)后的數(shù)據(jù)，再進(jìn)行一次情報(bào)查詢，能夠大幅提升報(bào)警準(zhǔn)確率，同時(shí)可以聯(lián)動(dòng)資產(chǎn)系統(tǒng)自動(dòng)給資產(chǎn)負(fù)責(zé)人告警。”

　　在利用情報(bào)進(jìn)行風(fēng)控方面，面對(duì)一些利用云計(jì)算資源進(jìn)行灰黑產(chǎn)等行為，通過(guò)將風(fēng)控系統(tǒng)與Passport進(jìn)行聯(lián)動(dòng)，Passport將用戶注冊(cè)信息的如源IP、用戶名統(tǒng)一進(jìn)行威脅識(shí)別后返回風(fēng)險(xiǎn)級(jí)別，根據(jù)不同的風(fēng)險(xiǎn)級(jí)別來(lái)做不同的舉措，從而實(shí)現(xiàn)風(fēng)控效率的最大化。

　　在利用情報(bào)做針對(duì)CDN節(jié)點(diǎn)的DDoS防護(hù)方面，傳統(tǒng)的做法是采用二分法的方式，需要多次調(diào)度，效率較低;通過(guò)結(jié)合情報(bào)信息，分析7層請(qǐng)求日志，對(duì)來(lái)源IP用情報(bào)判斷，優(yōu)先調(diào)度、二分法調(diào)度同時(shí)進(jìn)行，極大地降低了調(diào)度次數(shù)，提升業(yè)務(wù)敏捷性。

　　綜合情報(bào)信息構(gòu)建立體化云安全體系

　　云安全作為一套復(fù)雜的系統(tǒng)，威脅情報(bào)在其中提供了一項(xiàng)非常有價(jià)值的判斷維度，讓之前需要投入大量資源或者無(wú)法有效解決的場(chǎng)景，實(shí)現(xiàn)在輕資源投入的情況下達(dá)成業(yè)務(wù)目標(biāo)。在保障業(yè)務(wù)安全上，金山云通過(guò)將情報(bào)集成到WAF、云主機(jī)等產(chǎn)品中，為云上用戶輸出安全能力，提前發(fā)現(xiàn)合規(guī)風(fēng)險(xiǎn)。

　　在WAF方面，面向惡意網(wǎng)絡(luò)攻擊，金山云通過(guò)將WAF聯(lián)動(dòng)情報(bào)API，對(duì)來(lái)源IP進(jìn)行風(fēng)險(xiǎn)判斷，依據(jù)風(fēng)險(xiǎn)大小來(lái)直接阻斷來(lái)源IP或者限制對(duì)某個(gè)具體URL的訪問(wèn)，根據(jù)客戶運(yùn)營(yíng)反饋的誤殺率調(diào)節(jié)阻斷的風(fēng)險(xiǎn)值，多次調(diào)節(jié)后，實(shí)現(xiàn)服務(wù)恢復(fù)正常并且誤殺率處于可接受范圍。

　　在主機(jī)安全方面，通過(guò)將netstat的遠(yuǎn)端地址用情報(bào)庫(kù)來(lái)判斷是否為遠(yuǎn)控地址，講變更文件的hash值采集上來(lái)利用情報(bào)判斷是否正常文件被替換成了惡意文件等措施，大幅降低了誤報(bào)率，提高了報(bào)警的準(zhǔn)確率。

　　此外，面向日益嚴(yán)峻的合規(guī)性問(wèn)題，妥善利用情報(bào)，能夠盡早發(fā)現(xiàn)合規(guī)風(fēng)險(xiǎn)。對(duì)于發(fā)垃圾郵件被封、爬蟲(chóng)業(yè)務(wù)被封、接入未備案域名被封等風(fēng)險(xiǎn)問(wèn)題，通過(guò)將情報(bào)作為重要維度來(lái)識(shí)別云上用戶的業(yè)務(wù)是否合法合規(guī)，提前預(yù)防，保障云上資源的純凈性。

　　“威脅情報(bào)只是給我們提供了一個(gè)判斷的維度，怎么在復(fù)雜的場(chǎng)景中將情報(bào)利用起來(lái)，通過(guò)技術(shù)分析對(duì)業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行識(shí)別，讓情報(bào)成為我們做出決策的依據(jù)，這才是最終目的，”孟偉講到，“通過(guò)綜合運(yùn)用情報(bào)資源，將業(yè)務(wù)場(chǎng)景與情報(bào)進(jìn)行有機(jī)結(jié)合，讓情報(bào)為業(yè)務(wù)所用，可以實(shí)現(xiàn)事半功倍的效果?！?/p>