微课堂｜【走近安全】之四大网络安全的假设

每1000行代码中就会有一个漏洞。这是统计数据告诉我们的。我反复强调，缺陷是天生的，漏洞是不可避免的，网络安全归根结底就是漏洞的事。

缺陷是互联网的基因，与生俱来。漏洞就像病变了的基因，给我们带来危害和痛苦，就像人们不能确切地知道自己的哪个基因会病变，会怎么病变，以及是否已经病变了。所以我们从2017年开始就在多个场合反复提到了关于漏洞的“四个假设”，也称为“网络安全的四大假设”。

这些年，360都在给微软、苹果、谷歌、Adobe、VMware这些知名的、用户覆盖全球、使用率居行业第一的软件公司提交漏洞。仅2017年一年，我们就提交了519个有关这五家主流公司的漏洞，居安全厂商之首，创了世界记录。

所以，系统一定有漏洞，只是有没有被发现而已。据360研究人员统计，程序员每写1 000行代码，会出现1个缺陷，其中的一部分就成了漏洞，还是我反复说的那句话： “缺陷是天生的，漏洞是必然的”。因此，及时发现漏洞利用行为、及时检测被攻击非常重要。

目前，各个行业已经逐步形成了横向、纵向全国互联的广域网，每张子网、每个安全域、每台终端都是一个可能被攻击的突破口。一些网络虽然与其他公共信息网络物理隔离，但是像APT这样的高级攻击仍旧可以利用病毒木马、0day漏洞和社会工程学等手段突破。

这类高级攻击都具有定向性，在被发现或揭露出来之前，都有一定潜伏和秘密活动期，从几个月到几年不等，像“震网”病毒就在伊朗潜伏并执行破坏持续几个月，而“海莲花”在发现时，也已经在我国潜伏活动了多年。一旦发生数据被窃密而无法追溯、定位或取证，则国家秘密就会受到严重威胁。

传统的安全设备和产品像入侵检测系统（IDS）、入侵防御系统（IPS）及审计类产品，主要采用经典的通用入侵检测框架（CIDF）检测模型，这个模型最核心的思想是依靠特征库匹配的方式，完成对攻击行为的检测。但APT采用的攻击方法和技术都是未知行为，依靠已知特征、已知行为模式进行检测，理论上无法检测到APT攻击。

因此我们需要使用新方法，例如：

1.）使用源代码审计等设备对拟上线的系统进行安全缺陷漏洞检查。无数的案例证明，通过上线前做的安全监测发现的漏洞，修复成本远低于上线后。

2.）用实网攻击方法，寻找系统漏洞。“360众测平台”是在严格系统监测下，引入“白帽子”网络攻防专家对系统进行攻击型漏洞检测。同时，渗透测试、漏洞扫描评估也要坚持做。

说起这一点，没有什么比“永恒之蓝”勒索病毒的例子更有说服力的了。这个肆虐全球的病毒利用的是方程式黑客组织泄露的漏洞武器“永恒之蓝”以及Windows系统中的一个漏洞进行传播。

虽然微软在病毒爆发前就发布了针对Windows 7及以上版本操作系统的安全漏洞补丁，但很多单位都没有及时安装更新，这些单位都成了病毒“重灾区”。对WindowsXP、Windows 2003等老旧操作系统，微软已不再提供安全更新，而国内大量的教育机构、政务办公系统、业务应用终端仍旧在使用，也是造成本次蠕虫爆发的重要原因，隔离网也没有幸免。

这里，我们再补充一组2018年9月，360互联网安全中心发布的关于智能手机的最新统计数据做进一步说明（参见下面两图）。该数据表明，几乎所有的安卓智能手机都是存在高危安全漏洞的，而且很多漏洞在出厂上市之时就已经存在了。

同时，约90%的智能手机APP也都是存在高危安全漏洞的。仅就当前的市场状况而言，不太可能强制要求智能手机和APP开发者100%的避免漏洞；如果真要强制，恐怕我们就没的手机可用，没的APP可用了。所以说，“假设一定有已发现但仍未修补的漏洞”，是安全建设的一种“常态”，而不是“偶然态”。

我们认为，至少需要做以下四项工作：状态判定、损失评估、追踪溯源和对策设计。

360有一个威胁情报中心，拥有全球最大的样本库，总样本数超过200亿个，并且每天新增数量为900万个。分析每天新增的样本、恶意URL等海量数据并结合多方社区、组织、第三方报告等资源，360每天形成超过百份的威胁及漏洞情报，通过在线或离线方式推送到客户侧的产品、服务和平台。

这些威胁情报能准确地提供状态判定。

比如，360推送的后门C&C（Command and Control）域名信息匹配到了内网的某个主机正在解析的域名，那么就可以确定这台机器已经被植入了后门，要立刻对机器采取隔离、检测和清除操作以消除后门。

只要发现一台内网的机器遭到入侵，我们就可以断定一定还有其他机器也被入侵。360威胁情报还能提供已知后门程序的多个同源样本信息，在网络的其他机器中搜索这些同源样本文件的散列（HASH），有可能发现更多被攻击的机器。在这个场景下，威胁情报就能对损失评估提供支持。

威胁情报还能支持追踪溯源。比如，发现的某一个后门的使用者来自南边某国，他利用微软WORD软件的某一个漏洞，使用鱼叉邮件的方式投递恶意代码。有了这些，我们就可以定位到导致攻击的邮件，提取特征，再到邮件服务器上搜索，就能发现更多受害邮箱，找到更多潜在受感染者。

这样，以威胁情报为核心的态势感知与安全运营模式就形成了，它能够更好地为网络安全体系建设提供支撑。

在前面两个假设的前提下，从理论上来说，任何系统在技术上都是一定可以被渗透的，至于何时被渗透，只是一个时间问题。在信息化已经如此发达的今天，如果一个系统被认为是从未被渗透过的，那么只有两种可能：一种是被渗透了但自己还不知道；另一种就是这个系统实在是“太不重要”了。

过去，物理隔离的方式一度被认为是安全的。由于隔离了恶意代码部分入侵途径，因此隔离网在恶意代码防护方面具有天然的优势。但随着攻击手段的发展，在短短的几年时间内，恶意威胁的复杂性和多样性有显著的变化和提升，从过去的直接、随机、粗暴的恶意攻击手段转变为有目标、精确、持久隐藏的恶意攻击。攻击入侵的路径也不局限于互联网，还可以通过移动介质、内部网络横向传播，并和社会工程学等手段相结合。

之前提到的“震网”病毒就是一个很典型的案例。伊朗的核设施是一个物理隔离、高度防护的网络，但是在APT攻击下，核设施参数被修改的事件还是发生了。攻击者用USB移动介质作为跳板，植入了木马文件，成功绕过安全产品的检测，再利用Windows和西门子系统的漏洞，成功入侵了离心机的控制系统，修改了离心机参数，干扰正常运行，但控制系统却显示一切正常。

还有很多被长期渗透控制的例子，因为保密的原因，大多不便于披露。“黑链”就是网站渗透的一种形式，也是一种搜索引擎优化的“技巧”。我们都知道，当搜索引擎排序时，评级越高的网站，排序越靠前；被五星评级的网站引用的文章也会被排在前面。于是，有很多小网站雇佣黑客团队，用违规方式入侵评级较高的网站，并植入“黑链”以提高某些网站搜索排名，以非公正性的手段影响和干预搜索引擎结果排名，以牟取非法利益。

相比直接暴露在互联网上的终端，隔离网内的终端面临的恶意代码入侵途径相对少一些，但一些突出的安全问题依然存在。

首先是本地恶意代码防御能力比较弱。大多数的终端杀毒软件受本地存储资源的限制，特征库的数量与恶意样本总量相比几乎只有1%，而传统的恶意样本的检测方式基本依赖于这种本地特征库。目前业内比较先进的云查杀技术，建立在云端庞大的黑、白名单数据库的基础上，具有病毒检出率高、系统资源占用率低等特点，能够大大提升终端的查杀能力。但是在隔离网环境下，终端无法直接与云端通信，云端的大数据资源不能有效发挥作用。因此，我们需要尽快解决新型查杀技术在隔离网环境的适配问题。

其次是病毒库更新的问题。由于恶意代码演变的速度很快，传统的防病毒软件必须保证病毒特征库的及时更新，才能保证防护效果。而在隔离网环境下，由于病毒库的更新需要人工导入，更新的频率一般都不高。所以，我们一方面需要更先进的隔离网病毒库更新工具，另一方面也需要采用不依赖特征库的智能杀毒技术。

“360天擎”就采用了这种智能查杀技术。它通过机器学习技术把360云端查杀能力变成了人工智能引擎，再在本地建“鉴定中心”平台，为用户提供立体防护体系。

假设经过层层防护的系统已经被渗透了，那我们就应该快速地定位问题，减少损失。但是，很多单位受人员和资金的限制，安全人员的技术、经验和工具都比较薄弱，缺乏对安全事件的分析能力、事件发生后的应急响应能力，在关键时刻没有采取措施，导致损失的发生和扩大。

针对这种情况，我们研发了一套网络安全态势感知系统，先是建立本地的安全大数据中心，通过智能关联计算模型，挖掘漏洞线索，再将网络中的原始流量、设备运行日志、设备告警日志及终端日志等各种信息经过归一化处理，存储到本地搭建的大数据中心，最后利用收集到的数据，基于多维度数据的智能分析模型，发现可疑流量。同时，经过攻防人员的进一步分析，我们可以提升对未知漏洞攻击的发现、阻断、取证、回溯、研判和拓展的能力。

内部威胁是最大的危害。供应链、外包商、员工等都可能变成“内部威胁”。以往绝大多数的安全工作都是用来防范“外敌”的，而往往会忽视内部威胁的存在。而最近几年来，随着众多内部威胁引发的重大安全事故不断发生，人们对内部威胁的关注也与日俱增。

内部威胁一般可以分为“内鬼”和“违规”两种。虽然内鬼的直接危害比较大，但发生几率相对较低；而违规行为则几乎是时时刻刻都在发生的，其实际危害往往还会大于内鬼。

所以，我们先来看“违规”的情况。

还是以“永恒之蓝”勒索病毒为例。在这次事件中我国很多高校校园网、能源企业、政府机构被大范围感染，即使是处于隔离网的设备也大量中招。360对国内上百家政企机构进行抽样调研发现，病毒渗透内网的重要原因之一就是员工私自搭建了网络，导致只要有一台设备被攻击，就会造成内网系统中的其他设备也被感染。

在我们处理的另一起事件中，执行任务的人员因为保密需要被要求24小时不得离开酒店房间，但是他们实际工作的时间只有8个小时，有一个耐不住寂寞的人偷偷将内网机器连了外网，结果导致所有执行任务人员的电脑全部中招。

后来，我们在排查中发现了多起私自用网线把内网机和互联网插口连到一起，或用手机建WiFi热点，然后将内网设备连接到WiFi热点上的行为，给内网带来了极大的安全风险。

再来说一个关于“内鬼”的事件。

2016年初，某大型能源企业的地质勘探部门发现，某些同行小公司手中居然拥有他们内部使用的地质地理数据库，而且信息非常全面。调查确认，这些数据库信息很有可能是从该企业勘探部门下属的一家子公司泄露出去的。

经过全面调查后我们发现，为了方便外出勘探时使用，这家子公司的很多员工随身携带的U盘中都存储了大量核心数据资源。我们还发现有少数员工使用公司的地质地理数据库暗中接私活，其中雇主就包括很多同行小公司，甚至有个别员工私下直接盗卖公司核心数据库中的数据资源。后来，这家企业不得不找我们买了大量带有身份认证功能的加密U盘。这种U盘只有插在经过集中授权的电脑上才能正常使用，同时，这种U盘上存储的数据也经过了高强度加密。

类似的内鬼事件，网上流传的还有很多，国内国外都有，一些事件还很知名。这里不再一一列举了，以后有机会我们再单独进行深入的分析。

这些事件说明，即使有严格的规定，我们也无法保证每个人都会严格遵守，尤其是忽略人性的管理手段，在信息安全保密的实际工作中，一定会失效。这也就是我们先前介绍过的“两大失效定律”中的第一条。

而根据“两大失效定律”的第二条可知，既然内部人员不可靠，那么就必须采取一定的技术手段来保障内部人员的可靠性。

比如，360要求每个员工的电脑密码必须是十五位高级密码，并且每三个月就需要更换一次。但是十五位的复杂密码，每三个月还得换，输入麻烦，也难记，哪怕我们是做安全的公司，还是会有很多员工嫌麻烦，不愿意遵守。于是，信息安全部的工作就开始了。

360有一个信息安全部，每天都会用弱密码库来不断碰撞员工的电脑，一旦发现不符合要求的简单密码或者超过三个月没有更改密码时，他们就会让这个员工的电脑无法开机和联网。我们还开发出了更先进的认证系统——移动终端生物指纹认证。它可以省去输入密码的环节，彻底解决因密码泄露而导致的攻击。所以，没有强有力的技术手段保障，管理措施就会形同虚设。

在这两大失效定律的前提下，我们认为，要从内部消除数据安全的威胁，首先要做的就是在安全体系的设计中考虑人的因素，要能够及时发现内部人员的异常行为，并及时检测和阻断来自内部的攻击。360推出了两种方法来解决这个问题：一种方法叫业务安全网关，在产品上叫SSG，另一种方法叫用户实体行为分析，产品上叫UEBA。

业务安全网关（SSG）好比“数据探针”，可以识别人的违规或恶意操作。SSG负责收集访问各种业务系统、数据库和服务器的数据，从业务系统、业务操作和内部人员三个维度构建评分，帮助掌握各种网络系统的整体态势。

360曾帮助查处了一起政府单位信息泄露事件。员工张某利用测试账号进入系统，一次批量查询了10 000条客户信息，并且进行了多次查询操作。SSG通过抽取用户和业务操作等数据，比对了操作特征、数据特征、行为特征和本地安全策略，发现这是一次恶意操作，并及时阻断了这名内部人员的操作。

用户实体行为分析（UEBA）就是用大数据分析发现“内鬼”。UEBA通过机器学习来发现高级威胁，在发现用户异常方面具备非常高的“命中率”。我们推出的这个平台可以通过多维数据关联与用户行为分析，及时发现和定位高风险用户。这样就能及时阻止不可靠内部人员的异常操作，避免重大安全事件的发生。