周鸿祎再擎免费大旗 威胁情报共享能否形成洪荒之力

8月16日,360公司创始人,董事长兼CEO周鸿祎在2016中国互联网安全大会(ISC 2016)上宣布,将免费开放360全球实时扫描监测系统,并且这只是第一步。

熟悉信息安全的人不会忘记,2008年,红衣斗士针对个人信息安全领域,宣布其360杀毒永久免费,这一动作把个人杀毒软件市场搅了个翻天覆地。时至今日,个人杀毒市场中的玩家,有些还在苦苦支撑,但显然已翻身无望。

业界不禁要问:又是免费!360又要干什么?

在ISC 2016上,周鸿祎慷慨陈词:“为了更好地解决网络安全、国家安全问题,我们决定率先走一步,推出360威胁情报共享工程,陆续开放自己的数据和能力,今天首先开放的是360全球网络扫描实时监测系统。”

e89a8ffb139319210edd20

也就是说,这是一个系列的免费开放,从360全球实时扫描监测系统到相关的数据、能力。这一举措,360称之为“威胁情报共享工程”。不同的是,这一次,是企业级市场。

360为何在此时宣布这一举措?这一次的免费开放,会带来哪些影响?要理解这一点,我们必须对实时扫描监测、威胁情报等当前的网络安全相关问题有所了解,才能做出一定的判断。

实时扫描监测是什么

在网络安全产品中,有一种自动检测本地或远程主机安全弱点的程序,能准确发现扫描目标存在的漏洞,这种扫描有善意扫描与恶意扫描之分。如果是恶意扫描,则往往是发起网络攻击的前奏。

这种程序,业界称之为扫描器。其工作原理,是通过扫描器向目标计算机发送数据包,然后根据目标反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息,据此发现存在的漏洞。

当然,如前所述,扫描有善意与恶意之分,具有双重特性。比如,通过扫描能够发现系统漏洞,发现漏洞才能打补丁,有了补丁之后网络才能强壮,所以这是网络安全必需的过程,这就是善意的。

一方面,每天平均任意时刻差不多有三万个扫描器对全球网络进行扫描,如果放在一个月或者更长的时间来看,全球扫描器的数量应该在几十万个,每天对全球网络执行自动扫描。

另一方面,通过防火墙设置,可以自动拦截特定IP的扫描动作(拒绝该IP),这样就能获知哪些IP在执行扫描功能,从而可以实现对该扫描器的跟踪和定位。这对于网络安全公司来说非常重要,因为这些是重要的安全情报,即威胁情报。

据称,此次免费开放的360全球网络扫描实时监测系统,可以实时了解全网恶意扫描源,然后对这些恶意扫描源封堵处置,降低系统被攻击的概率。

APT泛滥,威胁情报驱动的安全体系地位凸显

多年来,高级持续性威胁(APT)已经愈演愈烈,成为安全界关注的主要方向之一。而由于其潜伏性、持续性、攻击特定目标以及远程操作、高速演变等特性,使得APT的防范也没有定式,这给企业应用带来很大的困惑。

APT防不胜防,对企业来说,必须要提升相应的检测和应急响应能力。可是,这个能力怎么来?这就是需要部署威胁情报驱动的安全产品。而这些产品的前提,是要有对APT的感知、留存、分析、响应、共享的能力。

从流程上看,应对APT,必须要依靠行为检测进行分析,从而交付给用户可执行和操作的分析结果。因此威胁情报未来在安全保护方面起到越来越重要的作用。但威胁情报却不是单一的防守方能够获取和维护的,所以现在出现了安全威胁情报市场,有专门的人士、公司和组织建立一套安全威胁情报分析系统,获得这些情报,并将这些情报卖给作为防守方的企业和组织。

专家认为,当前威胁情报一般包括信誉情报(“坏”的IP地址、URL、域名等,比如C2服务器相关信息)、攻击情报(攻击源、攻击工具、利用的漏洞、该采取的方式等)等。一般而言,CERT、安全服务厂商、防病毒厂商、政府机构和安全组织发布的安全预警通告、漏洞通告、威胁通告,就属于典型的安全威胁情报。

11

从威胁情报的种类看,一般有四种。第一种是商业威胁情报;第二种是开源社区提供的安全威胁情报;第三种是协作类威胁情报,比如美国和新西兰,还有澳洲、美国、英国之间协作性的情报;第四种是内部威胁情报,也就是企业自身产生的威胁情报。

在演讲中,周鸿祎表示,360公司已经和多个合作伙伴共同建立了一套完整的协同防御体系,这是一个在威胁情报驱动下的预测、检测、响应、溯源一体化的安全协同防御体系。

360要开放的,就是这个一体化的体系和方法。“我们也希望将相关情报和能力与同行分享,其他安全厂商的设备将来也可以协同使用360的威胁情报。”周鸿祎说。

显然,今天的网络安全市场,威胁情报及相关的安全数据,是一个安全厂商的商业价值所在,而360把他们公开了。

应对网络安全,开放共享呼之欲出

7月26日,美国总统奥巴马发布了一个总统令:PPD-41,建立美国国家网络攻击指挥响应链。这个总统令中最值得关注的是以附件的形式专门发布了《美国网络事故协同方案》,制定了政府对网络事件调查、预防和处置响应的协同原则。明确了政府各部门在网络安全事件响应的分工和责任,以及响应流程。

奥巴马之所以发布这个总统令,是因为在安全事件处置中需要提高处置的速度,任何一方单独做都没有办法做到很高的效率,任何一方占有的能力和情报都是比较片面的,只有大家一起协同起来才有可能做到更高的效率。

从这个总统令可以看出美国对于政府在网络安全中的定位和在网络安全中扮演的重要角色,同时政府应起到一个协调者的作用,通过政府领导和指挥,协同企业等民间安全能力,共同应对网络威胁。

周鸿祎表示,今天,国家对网络安全很重视,当网络遭遇境内外有组织的攻击时,应该向美国学习,政府不能只考虑政府部门的能力,也应该把民间的公司、企业、安全企业、科研院所甚至很多个人力量融合进来,才能更好地解决安全问题,所以政府应成为协同国家和民间安全力量的领导者。

这是一个网络安全的政府协同的典型例子。而实际上,在大量网络安全事件中,企业与企业的协同已经更为凸显。在列举孟加拉国央行安全事件以及美国UTRS联盟之后,周鸿祎说:“我们可以看到企业间的协同对于安全的重要性,这不仅指安全企业间的协同,还有安全企业与客户之间的协同,以及企业客户与企业客户之间的协同合作。”

过去,从技术角度讲安全,这是一种术;但是,今天的安全不能单纯的依靠技术,他需要协同和合作。“这是一种道。”

对于协同合作,中国工程院院士、中国互联网协会理事长邬贺铨则表示:开放合作是全球网络行业发展的重要方向之一。当前网络威胁越来越大,从政府到企业都表现出了强烈的联动和协同的意愿,单一的政府部门和企业如果不能进行数据的共享和情报的共享,几乎无法更好地解决现在的网络安全问题。

综上所述,在网络安全愈演愈烈的今天,建立一个全方协同与合作的机制,已成为安全界的共识。作为目前中国为数不多的有能力建立数据和威胁情报共享体系的企业,360毅然推出“威胁情报共享工程”,从360全球网络扫描实时监测系统的免费开放开始,陆续开放自己的数据和能力,这是值得赞赏的。不过,“威胁情报共享工程”能否形成安全的洪荒之力,恐怕还有待于安全界的齐心协力,但是,它需要建立在一个完善合理和利益共享的商业规则基础之上。