7月4日消息,2012年中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)今日在西安舉行,啟明星辰公司DLP首席專家吳魯加在大會(huì)上發(fā)表以“數(shù)據(jù)泄密”為主題的演講。
啟明星辰公司DLP首席專家吳魯加
以下為演講實(shí)錄:
各位來(lái)賓,下午好。非常高興今天能夠在這個(gè)講臺(tái)上和大家分享最近這些年來(lái)我對(duì)數(shù)據(jù)泄密方面的一些思考和方面。我叫吳魯加,從事信息安全行業(yè)大概有十幾年的時(shí)間了,在最近7年里,把主要的精力都放在數(shù)據(jù)泄密這方面。
今天,我匯報(bào)的主題分三個(gè)部分,一是簡(jiǎn)單描述一下我們目前所處的現(xiàn)狀,對(duì)這個(gè)現(xiàn)狀做一個(gè)簡(jiǎn)要分析,以及我們的解決方案和思路。首先一個(gè)比較凄慘的現(xiàn)實(shí),不管我們知道或者不知道,我們的企業(yè)或者我們單位的網(wǎng)絡(luò),都存在著很多很多的漏洞,我們可能已經(jīng)泄密了,或者說(shuō)至少存在著泄密的可能性。在跟很多用戶的交流過(guò)程中,用戶會(huì)問(wèn)到我想解決泄密問(wèn)題,應(yīng)該怎么辦?我們提出來(lái),首先是場(chǎng)景,我們需要從每個(gè)特殊的應(yīng)用場(chǎng)景出發(fā)來(lái)考慮我們的泄密問(wèn)題,一個(gè)是數(shù)據(jù),像金融、運(yùn)營(yíng)商這個(gè)地方來(lái)說(shuō),可能是用戶的信息,對(duì)于制造業(yè)可能是各種各樣的二維或者三維的設(shè)計(jì)圖紙,這個(gè)是數(shù)據(jù),就是我們需要保護(hù)的信息是什么,這是企業(yè)需要第一步搞清楚的。其次是人,這個(gè)人從兩個(gè)方面來(lái)考慮,第一方面我們剛才提到的這些敏感數(shù)據(jù)、敏感信息,都有人在使用、閱讀、甚至加工處理,通過(guò)正常合法合規(guī)的流程再流向下一個(gè)環(huán)節(jié)。另外還有一類人,對(duì)這些數(shù)據(jù)有心窺探的,這部分的人都有意圖接觸這些數(shù)據(jù),甚至有能力接觸這些數(shù)據(jù)。第三是環(huán)境,就是人、數(shù)據(jù)、環(huán)境,最終組成了場(chǎng)景,環(huán)境是什么概念?就是這些人接觸數(shù)據(jù)的時(shí)候所使用的,不管是網(wǎng)絡(luò)也好、設(shè)備也好這些相關(guān)的東西。
今年的上半年發(fā)生了一個(gè)現(xiàn)實(shí)的事例,我在一個(gè)QQ群里頭,QQ群里有一些小黑客在聊各種各樣的事件。有一天我突然看到有人聊起我們一家服務(wù)的對(duì)象,他們公司的信息,這家公司是一家比較知名的制造業(yè)企業(yè),那幫小伙子們,從他們聊天的信息看,他們實(shí)際上已經(jīng)滲透進(jìn)了網(wǎng)絡(luò),而且取得了比較高的權(quán)限和取得了比較多的信息,包括他們近期做的這些項(xiàng)目的信息。我聯(lián)系了幾個(gè)朋友,同時(shí)又和我們一家客戶一起,我們分別對(duì)這件事情進(jìn)行分析,最終才發(fā)現(xiàn),這件事情首先數(shù)據(jù)丟了,而且丟了很多,丟的這些數(shù)據(jù)里頭有部分比較重要的項(xiàng)目,甚至是整個(gè)項(xiàng)目的圖紙。我們仔細(xì)聊下去才發(fā)現(xiàn),原來(lái)最初導(dǎo)致這些事情發(fā)生的初始的原因,僅僅是這個(gè)黑客在大范圍掃描的過(guò)程中,他非常偶然的發(fā)現(xiàn)了這家公司的信息,很不幸,它的服務(wù)器和郵件服務(wù)器居然在同一臺(tái)機(jī)器上。當(dāng)然,這家公司郵件使用并不是特別頻繁,所以黑客并沒(méi)有辦法直接取得大量的敏感信息,它就悄悄潛伏下來(lái),每天閱讀郵件,終于有一天他們發(fā)現(xiàn)在郵件里有這家企業(yè)的通訊錄,有很多人員的郵件、電話、信息,于是它就搞清楚了,哪些人是研發(fā)人員,也搞清楚了研發(fā)人員最近在做什么樣的項(xiàng)目。于是他們偽造,告訴幾個(gè)特定的研發(fā)人員,說(shuō)公司內(nèi)部有一個(gè)工具需要升級(jí),所以發(fā)郵件給他們,升級(jí)工具,其實(shí)這種大多數(shù)人都不會(huì)有任何的疑惑,所有的人都相信,就按照他的說(shuō)法去做了,最終機(jī)密就泄露了。當(dāng)然,最終這件事情造成的影響不是太大,通過(guò)私下的渠道取得了聯(lián)系,做了很多工作,最后損失幾乎沒(méi)有,而且這件事情給這家公司,給我們都帶來(lái)了一些教訓(xùn)。這種在我看來(lái)已經(jīng)是蠻不錯(cuò)的黑客攻擊的一些方式了。前兩天在新聞到看到中國(guó)的黑客,比如說(shuō)他使用了Q郵箱和163郵箱接收?qǐng)D紙,這個(gè)病毒不知道什么原因,它攻擊,只在非常小的小國(guó)家里頭來(lái)傳染,但是即便如此,這只是其中的一個(gè)郵箱,就已經(jīng)有10多萬(wàn)封的郵件,根據(jù)國(guó)外的分析廠商在分析的過(guò)程中,他們打開(kāi)看了好幾個(gè)郵箱,幾乎所有的郵箱都是爆滿的,收獲都非常大,因?yàn)樗サ模鼤?huì)用很多關(guān)鍵字做檢索,然后把相關(guān)字的信息和圖紙全部上傳,所以類似于這種病毒應(yīng)該說(shuō)是更專業(yè)的團(tuán)隊(duì)所做的。所以在泄密的過(guò)程中有一個(gè)新挑戰(zhàn),在賽場(chǎng)上有了一個(gè)新的玩家,一個(gè)是國(guó)家隊(duì),國(guó)家參與,也有職業(yè)隊(duì),可能是各種專業(yè)的黑客團(tuán)隊(duì),可能是一些民間的團(tuán)隊(duì),這些都是職業(yè)半職業(yè)的隊(duì)伍。同時(shí),我們面對(duì)著很多新的環(huán)境,比如說(shuō)移動(dòng)互聯(lián)網(wǎng)目前已經(jīng)特別特別流行,比如說(shuō)社交網(wǎng)絡(luò),像微博等等一些新興社交網(wǎng)絡(luò)的出現(xiàn),以及云計(jì)算,IPV6這一系列新的環(huán)境變化。還有新手段,新手段指的是很多的攻擊已經(jīng)開(kāi)始彼此關(guān)聯(lián)了。我前一段時(shí)間跟別人交流的時(shí)候,特別喜歡用的一個(gè)例子,就是我拿出600多萬(wàn)的帳號(hào),比如我去張三這家公司,我就檢索一下,這幾百萬(wàn)帳號(hào)里面有沒(méi)有他們公司員工的帳號(hào),只要是比較大的企業(yè),我還基本上都能在里面找出20來(lái)個(gè),他們的員工注冊(cè)CSDN帳號(hào)的信息,甚至在最極端的情況下,拿著這些信息和他們的郵箱信息再做匹配。這個(gè)是什么概念?就是說(shuō)一個(gè)CSDN的事件,它不僅僅影響CSDN這樣一個(gè)社區(qū),而會(huì)影響更多的企業(yè)。
國(guó)家隊(duì)的出現(xiàn),這是2011年的時(shí)候,美國(guó)發(fā)布了一個(gè)網(wǎng)絡(luò)空間的國(guó)際戰(zhàn)略,這個(gè)是美國(guó)以非常正面的形象站出來(lái)說(shuō),我對(duì)網(wǎng)絡(luò)空間的領(lǐng)土有特別重要,特別高度的認(rèn)知,我要保護(hù)它這樣一個(gè)正面參與的形象。其實(shí)這個(gè)配圖是美國(guó)的媒體揭示了美國(guó)參與一系列病毒之后,美國(guó)媒體的配合,他們一方面在非常正面的提出我要保護(hù)網(wǎng)絡(luò)空間,另一方面同時(shí)在以病毒各種各樣的形式侵害其他人的網(wǎng)絡(luò)空間。這個(gè)是剛才我們提到的關(guān)聯(lián)性特別強(qiáng)的一個(gè)網(wǎng)站,用戶之間的密碼信息。
所以新形勢(shì)下我們可以看到兩個(gè)關(guān)鍵詞,一個(gè)是潛伏,這些黑客已經(jīng)不會(huì)滿足我攻進(jìn)來(lái)以后,我做一個(gè)破壞,實(shí)際上他們都是潛伏下來(lái),等待著最好的時(shí)機(jī)來(lái)獲取最多的數(shù)據(jù)。另一方面是定向爆破,他并不會(huì)滿足于我們一次一批的用戶,而是經(jīng)過(guò)長(zhǎng)期的分析,他分析出究竟哪些數(shù)據(jù)是他最關(guān)注的,然后通過(guò)定向爆破的方式,我只針對(duì)這個(gè)用戶,只針對(duì)這一群用戶來(lái)下手,這個(gè)時(shí)候?qū)φ麄(gè)網(wǎng)絡(luò),對(duì)絕大多數(shù)人幾乎是沒(méi)有影響的,所以他被發(fā)現(xiàn)的機(jī)率最低。這個(gè)都是現(xiàn)在數(shù)據(jù)泄密方面的一些新的態(tài)勢(shì)。我們現(xiàn)在作為信息安全人員,或者管理者,我們非常狼狽,就是我們經(jīng)常處在這種狀態(tài),在救火,總是等到火燒起來(lái)了才知道,我們沒(méi)有辦法提前做一些工作。想要解決這個(gè)狀態(tài),其實(shí)業(yè)務(wù)確確實(shí)實(shí)跟很多安全管理員交流下來(lái),他們也確確實(shí)實(shí)覺(jué)得相當(dāng)?shù)睦_,為什么呢?我們的數(shù)據(jù)就是這么復(fù)雜的管道里面,錯(cuò)綜復(fù)雜,我們?cè)趺礃硬拍苤滥膫(gè)地方發(fā)生了泄露呢?確實(shí)這個(gè)壓力相當(dāng)大。這是國(guó)外的一個(gè)小漫畫,同時(shí)還有很多做信息安全人的一些誤區(qū),就是建立了很多馬西諾防線(音),我們覺(jué)得這個(gè)安全措施是OK的,但是實(shí)際上攻擊者或者黑客,他們的思維就不從這個(gè)方向來(lái)走,他們完完全全繞過(guò)了我們各種各樣的安全設(shè)計(jì)。這個(gè)時(shí)候怎么辦呢?站在我們的角度,我提一些觀點(diǎn)和大家來(lái)探討。首先第一個(gè)觀點(diǎn)是需要全面,甚至是全員的持續(xù)監(jiān)控,這個(gè)是我們發(fā)現(xiàn)數(shù)據(jù)泄密的一個(gè)非常有效、有價(jià)值的手段。這個(gè)可能跟很多人的理念相違背,我跟很多人交流的時(shí)候大家都提到,你要全面監(jiān)控,你要上設(shè)備很簡(jiǎn)單,我隨時(shí)都買了,但是你如果說(shuō)希望全程監(jiān)控,這個(gè)難度就非常大。這個(gè)是宰相劉羅鍋里的主題曲,里面有一句是“天地之間有桿秤,拿秤砣是老百姓”,所有的終端所有的用戶當(dāng)他發(fā)生數(shù)據(jù)行為泄露的時(shí)候,他們自身是一定有感知的,現(xiàn)在的問(wèn)題只是說(shuō),怎么樣能讓這些老百姓之間相互通訊,終端和終端之間相互通訊,終端和終端之間各種各樣的問(wèn)題能夠體驗(yàn)和匯聚,這個(gè)是最核心的,同時(shí)這也是不可或缺的。防泄密。從管控、加密、權(quán)限、審計(jì)、虛擬化的方向來(lái)做。終端與網(wǎng)絡(luò)探針,比如說(shuō)某個(gè)用戶中了木馬,一些特質(zhì)木馬的時(shí)候,所發(fā)生的各種程序運(yùn)行,有各種其他日常行為的時(shí)候,實(shí)際上網(wǎng)絡(luò)上是很難發(fā)現(xiàn),或者幾乎沒(méi)有辦法。
推薦閱讀
日本平板電腦市場(chǎng)一季度增長(zhǎng)204% iPad占7成
7月5日上午消息(南山)市場(chǎng) 調(diào)研公司IDC Japan 昨日發(fā)表最新調(diào)查報(bào)告指出,2012年一季度日本國(guó)內(nèi)智能手機(jī)和平板電腦均呈現(xiàn)大幅增長(zhǎng)的態(tài)勢(shì),蘋果公司成立最大的贏家,在智能手機(jī)和平板電腦領(lǐng)域均占據(jù)龍頭地位。 報(bào)告稱>>>詳細(xì)閱讀
本文標(biāo)題:吳魯加:數(shù)據(jù)網(wǎng)絡(luò)現(xiàn)狀存危機(jī)
地址:http://www.xglongwei.com/a/shuju/20120705/73526.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示