谭晓生:360云计算的安全与大数据应用

6月4日,第七届中国云计算大会进入第二日。360公司技术副总裁、首席隐私官 谭晓生先生进行了“云计算大数据应用实践分享之三 :360云计算的安全与大数据应用”的主题演讲。
 

以下为演讲实录:

今天我的报告的题目是数据驱动安全,包括云计算安全与大数据应用这两个部分。其实在前面4月底所在美国开发的RC大会,2015RC大会上面有一个关键词叫做改变,这个时代我们其实面临一个变革的时代,首先是企业的IT在改变。所谓的互联网IT在GNER所出的2015年的趋势报告里面提到IT里面提到越来越多多的传统企业会选择今天互联网IT产业架构。我们在信息安全也面临一个改变的时代。在今年RC大会上面所看到的各个厂商的产品展示我们能非常清晰地感觉到这一点,从过去各种各样的产品展示各种各样的盒子,在今年展现各种各样的杂盒子,各种各样的网络硬件设备展现的比较少,大家更多的谈到我怎么去发现网络中间的安全威胁,以怎么去获取外界的情报等等,有了一个在RC的总裁它在演讲里面甚至提出来说我们现在处在一个什么时代,我们是在地图之外航行,我们没有一张航海图可以告诉我们什么地方有暗礁什么地方有水流,我们是要在前进中自己选择未来的正确的路在哪里,这是改变。

对于今天开云计算大会大家应该有一个非常清晰的感受,在云计算这个概念我们过去说了好多年以后今天它已经是遍地开花,不仅仅是互联网云计算,还有政府到各个企业都开始践行云计算。

在云计算时候其实我们的安全情况是什么样子,我们是更好了还是更糟了?其实我们想想云计算有没有解决我们什么样的安全问题?传统的安全问题其实一个都没有解决。但是因为云计算我们又新引入了一些新的系统,不管是从MVALM还是OpenStack还是Paas、Saas还是Iaas,整个复杂度都提高了,如果说作为按照角度来说你可以攻击的点增加了,攻击面增加了,你的系统脆弱性,整个系统脆弱性肯定会提高。而且因为一个系统中间组建增加,一个系统的安全认证会变得更加困难。这是一个。

还有一个是今天的世界在有了云计算之后企业可以更加链家更加快速的来获得计算机资源,它的信息化程度越来越多,越来越多的数据会在云计算时代里面,就像马云说的我们进入TB时代。数据会被人篡改的目标。在这个时候除了把你系统和数据拿走或者是篡改之外还有,大家知道在中国搞跨一个网站之外,把管理网络的管理员把网线把它拔了。这个工程师是不是可靠,他的行为是不是能够得到有效的管控?这个里面就提出来像云计算安全可控和审计监控这方面我们做得够不够。

我们现在面临传统的IT系统可能更大的面临安全挑战。在这种情况下怎么办?云计算系统肯定是以更大的态势得到广泛应用,我们怎么办?我们得到的思路第一个是纵深的防御线路。这个是最近一两年在整个信息安全防御情况下巨大的改变,由过去城墙防御转化到系统防御,我希望构建一个难以支撑的城墙,但是城墙一旦被突破基本上可以被屠城。为什么我们今天有所改变?因为今天密谋攻不破的城墙,尤其是当你的数据有吸引力的时候,各种各样的攻击工程,城墙是一定可以被打破的,但这时候防御就转换到塔斯防御。我在前面知道攻击者来了,并且知道攻击过程中层层防御消耗进攻力量,甚至有机会可以去反致。后面讲云计算怎么样构建最深防御。

系统有没有发现漏洞是一定的,你如果自己不主动挖掘漏洞,等着攻击者来挖掘你的攻击漏洞,这是很差的。第二个像去年XP停服了之后一系列事件证明给大家,我们可以让漏洞难以成功,漏洞在,但是我可以让它的漏洞利用难以成功,这个时候在云计算系统里面我们这个思路是不是可以同样能够起作用。同样漏洞在但是漏洞利用难以成功。

第三个是我们要关注数据安全,以及最后一点我要做好最坏的打算,如果我被攻破了怎么办。就像上个礼拜所发生的一系列事件,如果你不为你可能发生最坏的问题做打算,最后出了事故就会特别迷盲。像前面独页的漏洞,我相信今天还有很多人没有被这个漏洞攻破,你没有被攻破只是因为时间和概率的问题。这是防御。我们怎么做?第一点,我们可以对宿主机OS安全加固。第二件事情我们对VMM可以进行安全防护,不管是KVM还是VMWARE等安全防护,而对于管理系统是不是可以加漏洞加固它。还有各种各样的多租户安全,今天很多厂家提出这样的思路,比如说多种流量监测等等架构问题。安全审计,过去几年里云计算重视程度不高,这里面第一个就是要预防云计算的服务商它在工作中间做什么事情,有没有人对你的虚机快照,有没有对访问你的某个文件,云计算是不是自主可控,不是服务商自主可控,而是你租户你是主人,当你的租客被别人访问的时候你是不是可控,这个在云计算里面我们觉得亟待加强。以及虚拟机OS的安全,这方面国内有很多人做。这里面不可能跑特别多的软件,所以虚拟机相对比较少。

还有就是我们找出漏洞比较少,攻击者实时的过程中不希望被人发现,如果他在攻击过程中被人暴露问题清除出去了,所以就要部署清灌。任何一个公司安全能力再强,你获取资源都是有限的,这个时候你可以采购第三方的威胁情报,他是专业的威胁厂商,除了你的信息之外他可能知道很多企业攻击是谁攻击的手段是什么等等这些,在这个过程中间能够看到你所遇到的这次威胁在本次大背景当中是什么样的威胁,以及自己的威胁,在尽可能的范围之内收集更多的业务数据。去年互联网大会上说不是TB数据,以及结构化数据还是非结构化数据,是说你收集了多少范围的数据,你的业务有多细,大数据讲范围广时间长业务细这个过程的挖掘才有意义。

安全是一个7乘24无休的处理,攻击者不会说你休息他就不攻击。众包平台可以借鉴,当你打开你的大门打开各地的白帽子,甚至让第三方参与的时候,你的安全程度就会发现新的漏洞以及加强的可能性就要大很多。360去年年底的时候成立一个360云综合事业部,我们做云计算安全基础研究,包括云计算研究系统漏洞以及加强云计算,还有私有云系统正在开发安全加固,这块我们下来希望用户能够控制自己云计算的安全策略,当云计算里面发生风吹草动的时候能够第一时间得到通知。

还有一个7乘24小时的云服务,包括你遇到DDOS攻击,我们有云情报服务等等的东西。在云情报来说我们看到中国和国外的一些区别,在美国这边做云服务似乎更多的是合作和公有云的市场,合作和AWS,在美国有市场提供各种各样的服务,但是在中国云服务弄不好又走到零和博弈的状态,大家都是拼命的在市场上厮杀,希望大家所有云服务都是我的,从Iaas到Saas到Paas所有服务都是我的,这个里面云不应该是云厮杀,应该是云共赢,不管是华为还是阿里我觉得没有一家企业能够掌控从云计算的基础到安全到各个应用方面的威胁。对于安全是这个市场里面所有的敌人,大家应该共同联合起来抵御云计算安全问题。

对于云计算威胁,今天我们是在一片森林里面找出来一片树叶,流量越来越大,网络应用越来越多,攻击混杂中间,大家知道你的电脑不知道被扫描了多少次,如果它给你仅仅是威胁高知,你怎么着出来真正有威胁攻击,这个从海量攻击里面找出来真正有威胁的攻击,解决这个问题,我们的解决办法是什么?用空间换时间,一定是有代价的。时间是换什么?换我发现威胁和进行处置的时间。空间是什么?空间是以数据的存储量和计算能力去来换的。我要存更长的时间数据,存更大范围的数据,存更细腻的数据,我用算法对它进行判定来找出来异常来发现攻击。这思想已经有非常大的转换,不是有什么样的软件和安全定义放到我的系统之外我的系统就安全攻击就进不来的,不是的,是怎么样转换到快速的发现攻击,怎么样处置给我留下足够的时间。

刚刚提到威胁情报,威胁情报在今天你从海量的数据里面去找出来真的哪个是攻击情报非常重要,比如这个IT地址它的冗余是什么样的,过去这个IP地址是不是频繁攻击,这个域名是不是木马控制端的域名,这个域名的拥有者用这个手机邮箱注册的人,过去他家里的有没有用这个域名干过坏事儿。大家知道写程序员也是比较懒的,他用大量木马改木马,这个时候你知道木马在传播过程中源头是谁,这些都可以发现。

在威胁情报商来说我们360有80亿的文件样本,其中有好几十亿都是坏的程序,每天还新增500万样本,我们全球有最大的住房库,一个程序运行的时候访问了哪个资源访问了哪个IP,360客户安全卫士这个东西访问了很多东西,访问了哪个IP,会把它捕获到我们的程序上,这个程序有程序行为,访问了多少敏感资源等等,这些防御数据库也是抓最后这程序是不是恶意程序的依据。360还有云服务,就像一个木马有控制端,它需要解析,但是这个域名解析非常难,它需要访问控制端就需要解析木马域名,谁没事儿解析它的域名。基本上是木马的作者会访问这个云,这时候是DVOS的解析。还有我们360也做搜索业务,这是最大的350亿次网页的数据,这个时候如果我要找到过去他历史上这个页面长什么样,这个页面有没有下载木马,在网址库里找到。以及目前有总数超过4万的漏洞库,什么网站在什么系统漏洞都在这里头都有。

还有我们是典云计算服务器,到这个季度我的服务器都是4万台最廉价的服务器搭建出来的,有两千个TB群两,我Hadoop最大的单机群600多万台,有非常廉价的处理能力。有了存和算的能力你怎么有效的算,这里面就是在算法上能够有什么样的演进。我们是在2009年的时候开始用机器学习算法开始对静态文件算起来,我拿它进行比对我就知道概率文件有多少是坏的,2009年就这样做的,后来用算法判定网页等等东西,到现在判断于一个网页流量,拿一个算法它就告诉我这个是不是攻击。我们现在成功的把深度学习做流量正常预测,在去年除了GPU多路应用基础之上,今年我们开始在异构计算上面进行探讨,怎么能够把CPU和GPU怎么联合有效的运行计算。

这个是可视化能力,很多东西是展示给领导看的,领导看到上面有花花绿绿的图象,做各种各样的箭头打来打去看上去挺热闹的,这个对于领导看可以。但是我们做可视化目的是为了发现,不是展现给领导看。给领导看很简单,但是发现不容易。比如我下面展示这张图背后有一个几千亿条的庞大数据库,这个数据库要求你在毫秒级,最多对几百亿几千亿条数据关联关系,然后再展示在这张图表上,一般情况下你会面临非常大的屏幕。当这个数据对它挖掘然后再展示它的关联数据,关联数据马上展示图片,这个工具帮助安全分析人员来快速进行分析,因为人对这个图表对图形图象敏感程度远远高于对于数据,虽然都是几百亿条上千亿条数据,你看里面的数字关联就要大的多,这是我们可视化能力。

以上四条相加,最终我们要做到的其实就是让安全威胁在IT管理人员眼中是可以看到的,他可以感知到的这样一个信息。你看到安全威胁你才能够有效地对它进行防御,而你看到的能力其实就是根据你所掌握的信息量来掌握的,你基于大数据,你基于海量数据量分析才有效地帮他找到网络攻击,而不是看到的噪声。如果你给他看到两个的的确确的攻击,去伪存真。在整个安全威胁里面我认为它是拼图游戏,大数据帮助你把每一片图片找出来,完整的帮你恢复攻击的场景怎么回事儿。

目前我们已经部署了多少终端提供多少防护之类的,它的做法就是在企业里面会部署一些流量采集设备和信息采集设备,把它企业不希望泄露出来的这些信息在本地进行计算,然后再联到外部IP部署平台,把你运行情况和PV都收集过来进行关联分析,这个时候它就告诉你哪个IT从什么时哪个网站下载什么,你终端受控了攻击者是谁,造成什么样的后果,还有其他哪些单位遇到这样的事情。这个改变是什么呢?改变就是过去单位我把自己网络边界管好就OK了,今天是跳出整个互联网范围之内来看我这个单位安全的问题。过去比较多的看网络流量,我在边界上网络LBS网络流量是什么东西,今天会把终端信息,域名信息,云里面的情报信息结合起来来做。今天当你面临海量的信息时一定是靠一个高度自动化的系统而不是完全靠人工去做。

过去我们比较讲安全攻防,是讲安全的专业人员。今天除了安全攻防人员之外我们需要更多的数据分析人员,他要熟练能够掌握各种各样的分析算法分析计算。除了我们安全专家还需要大数据专家,我们进入云计算和大数据时代,从研究一片树叶走到研究一片森林,在云计算这个时代,觉得这个趋势肯定是无法逆转的,对我们整个世界的发展会起到非常重大的作用,但是我们一定要认识到云安全威胁更大,安全威胁解就是云计算本身,你云计算本身架构解决了,你才能够把大数据安全威胁做到。它的解析也在云里面,也就是我们要从端到云里面去。谢谢大家。

主持人:谢谢谭总,刚刚我感觉云计算安全的问题是所有用户都关注的问题,无论是个人用户还是企业用户都非常关注的,另外刚刚谭总还总结了云计算安全的新问题新情况,并且提出了360新的解决思路和应对方法,非常好。特别有意思的是说刚刚谭总是以改变这样的主题词来开始他的演讲,大家还记得不记得2008年美国奥巴马就是用改变这个词赢得总统。我也希望云计算大会赢得这样的创新思维来赢得云计算更大的成功,谢谢谭总。好,各位今天我们上午演讲的部分既有院士学术思想报告,又有很多专家创新思维和创新思路,应该是一场非常好的高营养,高蛋白的技术大餐,但是时间已经过了12点了,我想每个人肚子差不多也饿了,下面是我们的午餐时间。请大家尽情享用我们提供的盒饭,谢谢!