金山云孟偉：綜合運用情報構建立體化云端安全

7月25日，2019網(wǎng)絡安全分析與情報大會在北京舉辦，作為中國威脅情報領域規(guī)模最大的的行業(yè)盛會，大會吸引了來自政府機關、金融、互聯(lián)網(wǎng)、安全等各個領域的一線安全專家，分享企業(yè)信息安全和威脅分析研究成果和落地實戰(zhàn)案例。金山云安全負責人孟偉受邀出席，發(fā)表了《情報的協(xié)同應用及情報使用的創(chuàng)新方法》的主題演講。

金山云安全負責人孟偉在大會上發(fā)表演講

在演講中，孟偉表示，云環(huán)境下，用戶業(yè)務形態(tài)愈發(fā)多樣化，造成攻擊的形式也更加多元化，傳統(tǒng)的規(guī)則匹配、統(tǒng)計分析及機器學習的方式已經(jīng)越來越難適應新時期業(yè)務需要，金山云通過將威脅情報能力集成到現(xiàn)有的安全產(chǎn)品(高防、WAF、主機安全、威脅感知等)中，與現(xiàn)有的檢測防御機制協(xié)同工作，消除誤報，從而盡可能降低漏報、減少安全的運營成本，為用戶提供更加高效、精確的安全防護。

情報協(xié)同來高效保障云平臺安全

隨著信息技術的高速發(fā)展，業(yè)務上云已經(jīng)成為產(chǎn)業(yè)發(fā)展的必然趨勢，與此同時，業(yè)務威脅、網(wǎng)絡攻擊和數(shù)據(jù)泄露等安全事件，對企業(yè)安全能力提出了更加嚴峻的挑戰(zhàn)。高效利用多維度情報信息，構建更加穩(wěn)固的安全能力，成為新時期安全能力的提升方向。在利用情報保障云平臺安全的產(chǎn)業(yè)實踐上，孟偉分別從入侵檢測、風控、DDoS防護三個維度進行介紹。

在利用情報進行入侵檢測方面，“傳統(tǒng)的入侵檢測方式是將收集到的數(shù)據(jù)經(jīng)過規(guī)則匹配、統(tǒng)計分析，甚至是機器學習的方式來檢測是否被入侵, 這種方式策略太嚴格漏報會增多，策略寬松誤報會很多，”孟偉講到，“金山云通過將經(jīng)檢測后的數(shù)據(jù)，再進行一次情報查詢，能夠大幅提升報警準確率，同時可以聯(lián)動資產(chǎn)系統(tǒng)自動給資產(chǎn)負責人告警。”

在利用情報進行風控方面，面對一些利用云計算資源進行灰黑產(chǎn)等行為，通過將風控系統(tǒng)與Passport進行聯(lián)動，Passport將用戶注冊信息的如源IP、用戶名統(tǒng)一進行威脅識別后返回風險級別，根據(jù)不同的風險級別來做不同的舉措，從而實現(xiàn)風控效率的最大化。

在利用情報做針對CDN節(jié)點的DDoS防護方面，傳統(tǒng)的做法是采用二分法的方式，需要多次調度，效率較低;通過結合情報信息，分析7層請求日志，對來源IP用情報判斷，優(yōu)先調度、二分法調度同時進行，極大地降低了調度次數(shù)，提升業(yè)務敏捷性。

綜合情報信息構建立體化云安全體系

云安全作為一套復雜的系統(tǒng)，威脅情報在其中提供了一項非常有價值的判斷維度，讓之前需要投入大量資源或者無法有效解決的場景，實現(xiàn)在輕資源投入的情況下達成業(yè)務目標。在保障業(yè)務安全上，金山云通過將情報集成到WAF、云主機等產(chǎn)品中，為云上用戶輸出安全能力，提前發(fā)現(xiàn)合規(guī)風險。

在WAF方面，面向惡意網(wǎng)絡攻擊，金山云通過將WAF聯(lián)動情報API，對來源IP進行風險判斷，依據(jù)風險大小來直接阻斷來源IP或者限制對某個具體URL的訪問，根據(jù)客戶運營反饋的誤殺率調節(jié)阻斷的風險值，多次調節(jié)后，實現(xiàn)服務恢復正常并且誤殺率處于可接受范圍。

在主機安全方面，通過將netstat的遠端地址用情報庫來判斷是否為遠控地址，講變更文件的hash值采集上來利用情報判斷是否正常文件被替換成了惡意文件等措施，大幅降低了誤報率，提高了報警的準確率。

此外，面向日益嚴峻的合規(guī)性問題，妥善利用情報，能夠盡早發(fā)現(xiàn)合規(guī)風險。對于發(fā)垃圾郵件被封、爬蟲業(yè)務被封、接入未備案域名被封等風險問題，通過將情報作為重要維度來識別云上用戶的業(yè)務是否合法合規(guī)，提前預防，保障云上資源的純凈性。

“威脅情報只是給我們提供了一個判斷的維度，怎么在復雜的場景中將情報利用起來，通過技術分析對業(yè)務風險進行識別，讓情報成為我們做出決策的依據(jù)，這才是最終目的，”孟偉講到，“通過綜合運用情報資源，將業(yè)務場景與情報進行有機結合，讓情報為業(yè)務所用，可以實現(xiàn)事半功倍的效果。”

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。