默安科技:如何用机器学习算法为黑客做“蜜罐”

雷锋网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

每年的11月1日,是西方传统节日万圣节,相传,故人的亡魂会在这一天回到故居地,并在活人身上找寻生灵,借此再生。

而活着的人则惧怕死魂来夺生,于是把自己打扮成妖魔鬼怪,把死人之魂吓走。

这是现实世界中很特殊的一天,但在网络世界,这种情形却时时刻刻都存在。

为了抵御形形色色的黑客攻击,网络安全人员为需要保护的人也带上了面具,用“欺骗防御”策略来迷惑攻击者。

因欺骗防御产品“幻盾”而被业内所熟知的“默安科技”,选择在万圣节这天召开新品发布会,似乎别有深意。

今年7月,雷锋网 (公众号:雷锋网) 宅客频道在采访其CEO 聂万泉时,他曾说“我们有很多的理念和想法,唯一不够的是时间,因为需要时间把我们的东西做出来,把解决方案落地。”( 聂万泉的野心,不是营收翻倍 500% )

而今,站在新品发布会舞台上的他,与 CTO 云舒一起,向我们介绍了落地的新产品。

变脸-----给攻击者呈现瞬息万变的网络

面对神出鬼没的黑客,如何发现、阻断其攻击,进而对他们进行分析生成画像,是每个网络安全从业者都希望做到的事情。

但是,通过什么样的方式来达到这个目的?

也许把自己伪装起来,然后再准备一些足以乱真的“猎物”等黑客上钩,是一个好办法。

曾担负了默安营收大头的产品“幻盾”,使用的正是欺骗防御技术。安全人员在黑客的途经之处,通过布置一些作为诱饵的信息,诱使攻击方实施攻击,从而可以对攻击行为进行捕获和分析。

比如,它会制造假的漏洞、系统、分享和缓存,如果攻击者试图查看这些假的资源,那么就是一个强烈的信号说明攻击正在进行中,因为合法用户是不应该看到或者试图访问这些资源的。

通过混淆其攻击目标,发现黑客攻击的行为,并且阻断和隔离攻击,溯源黑客身份及攻击意图,形成黑客攻击情报,这也是原来“幻盾”的战术。

而这次,我们发现“幻盾”已改名为“幻阵”,有何变化?

CTO云舒用两个词来解释,从“静态”到“动态”。

以前,“幻盾”的欺骗防御,是静态的,我设置好黑客感兴趣的东西,把他引到我的“蜜罐”里面来,但这个是人工配置的,是静态设置好的。现在,“幻阵”可以自动化的下发这个指令,做到随时的增减变化,依据不同的攻击来为黑客放置“蜜罐”,黑客再也无法拍摄静止的照片用来做长时间的分析,因为他每一次的扫描都会出现不同的结果。

如果说原来的“幻盾”还只是为客户带上了静态的面具,那现在的“幻阵”则拥有瞬息万变的面具。这好比是川剧中的变脸,黑客确实有可能扫描到那张真实的人脸,但这稍纵即逝。

变化的背后,其实得益于默安从去年就开始研发的云平台安全解决方案“磐石”。

在多年的从业经历中,聂万泉注意到企业安全有一个严重的问题,就是虽然企业的网络里面分布着各种各样的安全产品,但他们之间每个都是信息孤岛,是割裂的,只能防护某个特定的攻击,缺少多个维度的关联,以及最后决策的响应。

而“磐石”要做的,就是打通各个安全产品之间的藩篱,并且能调度多个安全模块协同工作,一起来对安全风险进行监测和响应。

默安科技:如何用机器学习算法为黑客做“蜜罐”

这是我们现在的安全架构,磐石是整个云平台方案的名字,包含几个核心模块,安全大脑、数据分析系统、分布式阻断系统等,大脑通过对数据的采集、分析后作出决策,调度阻断系统对攻击进行拦截,而处于外围的幻阵、哨兵云等,则属于可插拔的系统。

云舒告诉雷锋网,从“幻盾”到“幻阵”的变化,并不是单纯一个产品升级,而是产品所处的整个平台拥有了更加智能的大脑,大脑通过对攻击的数据进行更加精准的采集和分析后,才能在“幻阵”中做出千变万化的对策,这是才是变化的根本所在。

赋能-----把安全能力赋予不懂安全的人

在安全越来越受重视的今天,“SDL”(安全开发生命周期)的理念颇受不少大公司的追捧。

简单来说,它的核心理念就是将安全嵌入到软件开发的每一个阶段,比如需求分析、设计、编码、测试和维护等环节。

这个理念之所有受追捧,是因为越多越多的安全问题,是要追溯到不安全的设计研发阶段的,问题越往后拖,解决的成本就越高。云舒在发布会上强调了不同阶段进行漏洞修复的成本↓↓↓

默安科技:如何用机器学习算法为黑客做“蜜罐”

产品在开发阶段发现一个漏洞,找开发人员进行修复的成本是500块。

那如果在测试阶段发现一个漏洞,就得拉上运维、研发、测试、安全、产品等好几个部门来解决,可能需要1000块。

而到了发布阶段,产品在线上检测出一个漏洞,这就需要安全人员和研发人员沟通,跟测试人员验证,还需要承受线上风险,那这个时候的成本可能得5万到10万了。

等产品真正上线后出问题了,所付出的代价更是不可估量。

由于可以以最低成本减少软件中漏洞的数量,并将安全缺陷降低到最小程度,微软等大公司甚至将SDL作为全公司的计划和强制政策。

但是,这么做会遇到的困难显而易见。

第一,现在的安全产品操作界面很复杂,而且时常出现误报,研发和测试等人员不会辨别,所以是无法控制安全质量,因为太专业了。

第二,如果在各个环节都投入安全人员,成本太大,对于一些中小公司而言,不现实。

因此而出现的悲剧就是,大量的产品在上线后被发现安全问题,最后花费了大量的人力物力财力来解决本应该在研发阶段就解决的问题。

那有没有办法来克服这两个困难?

针对第一个困难,云舒直言:宁肯漏报,也不误报。

我在雅虎中国做了2年,阿里集团做了8年,这期间接触过各种公司的各种安全产品,看到了许许多多的问题。

比如说扫描器,告诉我一个oracle数据库服务器可能存在不明细节的内存溢出漏洞;

比如说 IDS每天给我报警1万条;

比如 WAF 每天说拦截了100万次攻击。

这些东西,有用么?我给厂商提过很多建议,但是因为各种各样的原因没有被采纳。

那漏报后,岂不是能让黑客得逞?

云舒回应,安全防护应该建成立体的,分多个层次,就跟装了很多层过滤系统一样,也许漏洞在这层并没有发现,但它会在下一层得到解决。

默安科技:如何用机器学习算法为黑客做“蜜罐”

针对第二个问题,在发布会上,云舒用两个字来解答——“赋能”。

把安全的能力赋予不懂安全的人,比如说QA(测试)和研发。

而在后续的专访环节中,聂万泉进一步解释了“赋能”的过程。

除了对于常规代码的白盒测试,我们产品的特殊之处在于黑盒和灰盒测试,在这个阶段,我们把安全产品与客户的测试人员绑定在一起,因为测试人员一定会做大量的测试去覆盖所有的面,在测试的过程中,我们把他的所有的动作录下来,交给我们的黑盒测试,也叫IAST模块,这种交互式的测试才是我们产品的核心所在。

这款让聂万泉提起来颇有些自豪的产品,正是在上次采访中所他提到的“雳鉴”。

结语

距离雷锋网上次对聂万泉的采访,已经过去了3个多月,上次他说,“沉溺在单一威胁检测类产品中绝不是一个安全创业公司应有的状态,走出‘舒适区’,针对未来安全趋势及早布局,跑着走才能走得更远。”

而这次,当他带着 “磐石”、“幻阵”等产品亮相发布会时,说的更多的是安全大脑、机器学习算法将带给网络安全行业的变化,并且扎扎实实做出了结合了人工智能的产品。

但与此同时,在专访环节,聂万泉对以安全大脑“Aida”为中心的云平台安全防护解决方案“磐石”,也做出了客观的评价,他承认,现在的安全大脑依然有很多需要完善的地方,目前的测试表明,它只能识别和响应50%——60%的威胁,依然有很多应用层还未被覆盖到,他们还在继续完善中。

当初,头顶阿里云平台安全总监的聂万泉,与云舒、汪利辉三人从阿里离开,创办了默安科技,很多人都会问为何要辞掉很有前景的工作,而去尝试九死一生的创业?

云舒在知乎上曾发过一篇从阿里离职创业的文章↓↓↓

为什么要创业?

如果你站在岸上,对在田里插秧的人指手画脚,说他们姿势不对,没有人会理你。但是当你亲自挽起裤腿跳下水,脚上有泥头上有汗的时候,你说的话才有说服力才有价值。

对于外界的诸多猜测,也许做出一款款能解决问题的产品,才是最好的回应。

随意打赏

提交建议
微信扫一扫,分享给好友吧。