7月4日消息,2012年中国计算机网络安全年会今日在西安举行,启明星辰公司DLP首席专家吴鲁加在大会上发表以“数据泄密”为主题的演讲。
启明星辰公司DLP首席专家吴鲁加
以下为演讲实录:
各位来宾,下午好。非常高兴今天能够在这个讲台上和大家分享最近这些年来我对数据泄密方面的一些思考和方面。我叫吴鲁加,从事信息安全行业大概有十几年的时间了,在最近7年里,把主要的精力都放在数据泄密这方面。
今天,我汇报的主题分三个部分,一是简单描述一下我们目前所处的现状,对这个现状做一个简要分析,以及我们的解决方案和思路。首先一个比较凄惨的现实,不管我们知道或者不知道,我们的企业或者我们单位的网络,都存在着很多很多的漏洞,我们可能已经泄密了,或者说至少存在着泄密的可能性。在跟很多用户的交流过程中,用户会问到我想解决泄密问题,应该怎么办?我们提出来,首先是场景,我们需要从每个特殊的应用场景出发来考虑我们的泄密问题,一个是数据,像金融、运营商这个地方来说,可能是用户的信息,对于制造业可能是各种各样的二维或者三维的设计图纸,这个是数据,就是我们需要保护的信息是什么,这是企业需要第一步搞清楚的。其次是人,这个人从两个方面来考虑,第一方面我们刚才提到的这些敏感数据、敏感信息,都有人在使用、阅读、甚至加工处理,通过正常合法合规的流程再流向下一个环节。另外还有一类人,对这些数据有心窥探的,这部分的人都有意图接触这些数据,甚至有能力接触这些数据。第三是环境,就是人、数据、环境,最终组成了场景,环境是什么概念?就是这些人接触数据的时候所使用的,不管是网络也好、设备也好这些相关的东西。
今年的上半年发生了一个现实的事例,我在一个QQ群里头,QQ群里有一些小黑客在聊各种各样的事件。有一天我突然看到有人聊起我们一家服务的对象,他们公司的信息,这家公司是一家比较知名的制造业企业,那帮小伙子们,从他们聊天的信息看,他们实际上已经渗透进了网络,而且取得了比较高的权限和取得了比较多的信息,包括他们近期做的这些项目的信息。我联系了几个朋友,同时又和我们一家客户一起,我们分别对这件事情进行分析,最终才发现,这件事情首先数据丢了,而且丢了很多,丢的这些数据里头有部分比较重要的项目,甚至是整个项目的图纸。我们仔细聊下去才发现,原来最初导致这些事情发生的初始的原因,仅仅是这个黑客在大范围扫描的过程中,他非常偶然的发现了这家公司的信息,很不幸,它的服务器和邮件服务器居然在同一台机器上。当然,这家公司邮件使用并不是特别频繁,所以黑客并没有办法直接取得大量的敏感信息,它就悄悄潜伏下来,每天阅读邮件,终于有一天他们发现在邮件里有这家企业的通讯录,有很多人员的邮件、电话、信息,于是它就搞清楚了,哪些人是研发人员,也搞清楚了研发人员最近在做什么样的项目。于是他们伪造,告诉几个特定的研发人员,说公司内部有一个工具需要升级,所以发邮件给他们,升级工具,其实这种大多数人都不会有任何的疑惑,所有的人都相信,就按照他的说法去做了,最终机密就泄露了。当然,最终这件事情造成的影响不是太大,通过私下的渠道取得了联系,做了很多工作,最后损失几乎没有,而且这件事情给这家公司,给我们都带来了一些教训。这种在我看来已经是蛮不错的黑客攻击的一些方式了。前两天在新闻到看到中国的黑客,比如说他使用了Q邮箱和163邮箱接收图纸,这个病毒不知道什么原因,它攻击,只在非常小的小国家里头来传染,但是即便如此,这只是其中的一个邮箱,就已经有10多万封的邮件,根据国外的分析厂商在分析的过程中,他们打开看了好几个邮箱,几乎所有的邮箱都是爆满的,收获都非常大,因为它所抓的,它会用很多关键字做检索,然后把相关字的信息和图纸全部上传,所以类似于这种病毒应该说是更专业的团队所做的。所以在泄密的过程中有一个新挑战,在赛场上有了一个新的玩家,一个是国家队,国家参与,也有职业队,可能是各种专业的黑客团队,可能是一些民间的团队,这些都是职业半职业的队伍。同时,我们面对着很多新的环境,比如说移动互联网目前已经特别特别流行,比如说社交网络,像微博等等一些新兴社交网络的出现,以及云计算,IPV6这一系列新的环境变化。还有新手段,新手段指的是很多的攻击已经开始彼此关联了。我前一段时间跟别人交流的时候,特别喜欢用的一个例子,就是我拿出600多万的帐号,比如我去张三这家公司,我就检索一下,这几百万帐号里面有没有他们公司员工的帐号,只要是比较大的企业,我还基本上都能在里面找出20来个,他们的员工注册CSDN帐号的信息,甚至在最极端的情况下,拿着这些信息和他们的邮箱信息再做匹配。这个是什么概念?就是说一个CSDN的事件,它不仅仅影响CSDN这样一个社区,而会影响更多的企业。
国家队的出现,这是2011年的时候,美国发布了一个网络空间的国际战略,这个是美国以非常正面的形象站出来说,我对网络空间的领土有特别重要,特别高度的认知,我要保护它这样一个正面参与的形象。其实这个配图是美国的媒体揭示了美国参与一系列病毒之后,美国媒体的配合,他们一方面在非常正面的提出我要保护网络空间,另一方面同时在以病毒各种各样的形式侵害其他人的网络空间。这个是刚才我们提到的关联性特别强的一个网站,用户之间的密码信息。
所以新形势下我们可以看到两个关键词,一个是潜伏,这些黑客已经不会满足我攻进来以后,我做一个破坏,实际上他们都是潜伏下来,等待着最好的时机来获取最多的数据。另一方面是定向爆破,他并不会满足于我们一次一批的用户,而是经过长期的分析,他分析出究竟哪些数据是他最关注的,然后通过定向爆破的方式,我只针对这个用户,只针对这一群用户来下手,这个时候对整个网络,对绝大多数人几乎是没有影响的,所以他被发现的机率最低。这个都是现在数据泄密方面的一些新的态势。我们现在作为信息安全人员,或者管理者,我们非常狼狈,就是我们经常处在这种状态,在救火,总是等到火烧起来了才知道,我们没有办法提前做一些工作。想要解决这个状态,其实业务确确实实跟很多安全管理员交流下来,他们也确确实实觉得相当的困扰,为什么呢?我们的数据就是这么复杂的管道里面,错综复杂,我们怎么样才能知道哪个地方发生了泄露呢?确实这个压力相当大。这是国外的一个小漫画,同时还有很多做信息安全人的一些误区,就是建立了很多马西诺防线(音),我们觉得这个安全措施是OK的,但是实际上攻击者或者黑客,他们的思维就不从这个方向来走,他们完完全全绕过了我们各种各样的安全设计。这个时候怎么办呢?站在我们的角度,我提一些观点和大家来探讨。首先第一个观点是需要全面,甚至是全员的持续监控,这个是我们发现数据泄密的一个非常有效、有价值的手段。这个可能跟很多人的理念相违背,我跟很多人交流的时候大家都提到,你要全面监控,你要上设备很简单,我随时都买了,但是你如果说希望全程监控,这个难度就非常大。这个是宰相刘罗锅里的主題曲,里面有一句是“天地之间有杆秤,拿秤砣是老百姓”,所有的终端所有的用户当他发生数据行为泄露的时候,他们自身是一定有感知的,现在的问题只是说,怎么样能让这些老百姓之间相互通讯,终端和终端之间相互通讯,终端和终端之间各种各样的问题能够体验和汇聚,这个是最核心的,同时这也是不可或缺的。防泄密。从管控、加密、权限、审计、虚拟化的方向来做。终端与网络探针,比如说某个用户中了木马,一些特质木马的时候,所发生的各种程序运行,有各种其他日常行为的时候,实际上网络上是很难发现,或者几乎没有办法。
推荐阅读
7月5日上午消息(南山)市场 调研公司IDC Japan 昨日发表最新调查报告指出,2012年一季度日本国内智能手机和平板电脑均呈现大幅增长的态势,苹果公司成立最大的赢家,在智能手机和平板电脑领域均占据龙头地位。 报告称>>>详细阅读
本文标题:吴鲁加:数据网络现状存危机
地址:http://www.lgo100.com/a/shuju/20120705/73526.html
网友点评
精彩导读
科技快报
品牌展示