伏影建立实时威胁追踪系统,容器安全走在前沿|深度了解绿盟五大实验室进展
2018 年 12 月 26 日,绿盟科技发布了由绿盟科技安全研究院孵化而出的五大安全实验室和对应的五大方向。在绿盟科技年度最大盛会“ 2019TechWorld 技术嘉年华 ”上, 雷锋网宅客频道(微信ID:letshome)采访了绿盟科技副总裁李晨以及绿盟科技首席架构师杨传安,了解实验室的最新成果进展。
先来回顾一下五大实验室的研究方向。
1. 星云实验室
星云实验室的主要方向是云计算安全、解决方案研究与虚拟化网络安全问题研究,实验室负责人是刘文懋。星云实验室关注软件定义安全、容器安全、安全编排。
2. 格物实验室
格物实验室的主要方向是工控安全、车联网和物联网安全,实验室的负责人是李东宏。
3. 伏影实验室
伏影实验室的主要方向是安全威胁与监测技术研究,实验室负责人是吴铁军。
4. 天枢实验室
天枢实验室的主要方向是安全数据、AI攻防等研究,实验室负责人是范敦球。
5. 天机实验室
天机实验室的主要研究方向是漏洞挖掘与利用技术研究,覆盖所有主流操作系统、应用、基础开发组件,负责人是张云海。
[绿盟科技五大实验室负责人,左起分别为刘文懋、吴铁军、李东宏、张云海、范敦球]
雷锋网:五大实验室从成立后有什么创新的研究成果?
杨传安: 五大实验室的创新成果可能跟通常公司对外发布新产品、新解决方案不太一样,实验室的成果一部分体现为一些专业的安全研究报告,如最近 IPV6 网络安全观察,还有物联网、云安全方向的报告,这也算是我们研究产出的常规动作,今年已经发布了多份安全报告。
更多的技术研究成果转化到了绿盟科技自身的安全产品、安全服务当中。伏影实验室初步建立了一套监控互联网实时威胁追踪的系统,能自动化地在全球部署威胁信息采集点,对威胁活动做分析监控,研究人员在后端能做在线攻击对抗,这个成果也是绿盟安全能力的研究支撑体系建设。创新技术方面,有蜜罐、攻防,我不赘述。
绿盟科技星云实验室的绿盟云安全解决方案,现在也有客户在计划试用。云安全、容器(Docker)安全正成为行业主流,绿盟科技在国内 Docker 安全落地方面走在前沿。我们发布的《2018绿盟科技容器安全技术报告》、技术解决方案等,尤其在金融行业获得了大部分用户的认可。目前星云实验室研究团队与产品研发团队组成了解决方案及产品方案的联合团队,很快会有产品落地。
天机实验室的张云海在今年上半年再次获得微软缓解绕过的奖金,这已经是绿盟连续第 7 年在Windows底层漏洞挖掘方面获得成果,我们仍然保持了很强的投入。
绿盟成立五个实验室的安全研究目标也没有变化,更多地是把内部研究资源做了优化。有两个维度,一个维度是让研究资源系统化,保证效率和专注。第二个是能更加敏捷地把研究资源与我们的产品、服务更好地衔接,这对公司而言是一种运营大闭环的形式。
五大实验室的创新成果主要体现为挖掘的漏洞、研究报告、新的技术方推进落地的产品或者安全平台这几大类。
雷锋网:格物实验室呢?物联网安全的 to B 业务上赚钱比较难,你们去年还推出了物联网相关的产品,卖得好吗?
杨传安: 物联网安全产品的盈利仍在运营商行业,例如我们的物联风控平台、智能终端的脆弱性分析工具,我们跟国内的运营商和监管部门有业务合作。
格物实验室也做安全 SDK,类别在传统主机,就是 EDR、IoT 终端跟平台形成云管端解决方案。这个解决方案可以扩展到智能的强终端,比如摄像头,或者有一些主机操作系统的智能终端上。
格物实验室做的一些安全研究,对 IoT 设备进行漏洞挖掘,对智能终端提取静动态分析,也对一些工控设备、智能设备进行研究,报送漏洞到监管部门。
雷锋网:绿盟走在前沿的容器安全现在到底发展到了什么程度?
杨传安: 我们观察到,从去年年中开始,客户对容器安全的关注度在升温,尤其是部分行业企业的应用开发部门实际已经在生产环境使用了 Docker 容器技术,企业安全主管还是挺焦虑的。星云实验室去年年底发布了《2018绿盟科技容器安全技术报告》,跟硅谷 NeuVector 公司进行了合作,硅谷的公司在容器安全领域上,相对而言还是做得比较靠前的,可以做安全漏洞扫描,也可以在Runtime、流量等领域做安全检测防护。
现在对容器安全急需解决两个重点。一是静态时对容器自身镜像的安全扫描,因为容器的生命周期非常短,一是常规的虚拟机长期做流量监测或者漏洞扫描,系统 Runtime 漏洞扫描有时也不一定恰当。针对 Runtime的场景,我们还有完整的云安全解决方案。我们目前跟国内客户交流这个情况,大家还是认可这种方式,至少对它静态的镜像安全,包括 Runtime 运行的一些安全监控,能够和现在的一些安全管理中心衔接。
雷锋网 (公众号:雷锋网) :绿盟未来3-5年的技术研究是分布在实验室还是有其他专门的研究机构?
杨传安: 绿盟以创新中心为主在承担面向中长期的研究方向,包括5G安全、区块链、SDP等方向,部分校企合作也承担了一些前沿研究工作。另外,绿盟有中关村博士后站点,我们清华大学做联合培养博士后,每年入站的博士在做创新的研究课题方向。绿盟是做产品和服务为主的企业,我们的研究研发会更关注实现技术。更长期的安全研究方向,我们希望通过高校或者研究所合作来跟踪。
雷锋网:有哪些校企合作?
李晨: 2017年,中国计算机学会携手绿盟科技创立 CCF-绿盟科技“鲲鹏”科研基金,现已发布两期获批项目。
2018年绿盟科技与腾讯安全携手搭建“AE50产学研合作协同育人联席会“,邀请七所首批网络安全学院建设示范院校以及22所首批网络空间安全一级学科示范院校一起,未来还将邀请50+网络安全学院加入。
绿盟科技近年来先后与哈尔滨工业大学、西安交通大学、西北工业大学、广州大学、南昌大学等高校建立联合实验室,在工控安全、漏洞挖掘、攻防研究、威胁情报、课题申报等方面展开深入合作。与东北大学就人才联合培养、学科建设方面助力高校构建更加完善的教学知识体系,还与华南农业大学建成校企联合网络安全应急响应中心。
雷锋网:五大实验室的纯研究人员有多少人?
杨传安:五大实验室加起来研究人员有百来人。 原来我们谈智慧安全2.0之前,主要工作是离线做样本分析、漏洞挖掘、输出技术的说明,就结束了。刚才说的研究人员有一部分仍然会做这些工作,还有一部分是把这些闭环的数据用现在比较热的 AI 或者机器学习技术进行处理,形成闭环。我们知道实际防护效果,而且是持续的大范围的反馈,这样就能实时掌握安全策略是否有效。另外,抓到大量样本,我们会应用这些样本形成新的检测引擎的方法,对它做一些基于机器学习特征、行为的新检测机制,这样对于 UEBA 用户行为检测的技术手段更加有利。因为现在流量越来越大,做深度解析会越来越大困难,使用新的检测方法,只需要对它的特征做一些提取和匹配,能够快速定性,同时通过网络行为在平台上做一些关联后,就能非常准确地对安全威胁进行定量定性。
我们有一部分的研究人员实际上是数据科学家,他们做了一些这样的工作,这个可能跟传统意义上的攻防研究有点不一样,更像是数据对抗或者数据分析。
。