背景:5月23-24日,以“焕启”为主题的腾讯“云+未来”峰会再广州召开,广东省各级政府机构领导、海内外业内学术专家、合作伙伴及行业大咖悉数到场,共话云计算与行业数字化新发展。

腾讯企业IT部安全运营中心总监蔡晨,在24日下午的安全分论坛上,介绍了腾讯如何将十几年在内网安全建设的经验输出成为解决方案,助力更多企业实现业务安全。

以下为蔡晨演讲全文:

大家早上好!

我是来自于腾讯技术工程事业群企业IT部总监蔡晨,也是腾讯安全专家工程师。我在腾讯13年,都在做企业安全相关的工作,也是一个安全方面的一个老兵。

首先,我要介绍一下,腾讯到底在企业内网或者企业安全上遇到哪些问题或者是哪些挑战,这些困难是否会引起大家的共鸣。

第二,腾讯在内网安全方面做了十几年,腾讯跟其他传统安全厂商或者是企业内网安全的思路和理念到底是否一致?或者说我们的特点是什么。

第三,我今天讲很多东西,可能没有办法通过几个月的时间,或者是一两年的时间就能实现,想告诉大家,现在会有什么样产品可以帮助到大家。所以这个时候,也是非常感谢腾讯云的黎巍总,我跟黎巍总申请了机会给大家讲。

腾讯面临的终端安全威胁

腾讯的内网或腾讯企业面临过的安全问题是什么?我把最近一年腾讯面临的主要三大企业安全问题呈现出来:首先对我们来说最严重的一类就是钓鱼邮件,去年整个大行业趋势比较相像,勒索病毒很多企业都受到了攻击,在腾讯勒索病毒攻击是非常厉害的。大家知道Wannacry和petya,可能大家不知道Locky,这是对腾讯发起的勒索病毒的攻击形态,除了勒索病毒的攻击形态,还有大量的比较高级的后门。比如说Adwind,这是一个高级木马家族,持续性对腾讯定点的钓鱼攻击,针对高管、财务人员等重要岗位的邮件钓鱼,还有帐号,种植木马等,一年差不多有3百万封的钓鱼邮件。

第二类是军工级木马。我们知道很多一些高价值的漏洞,或者是一些没有被公开的漏洞,甚至是军工木马,相当于核武器技术在互联网开放,这两年军工木马平民化趋势明显加快。腾讯内部,内网的安全团队,包括跟电脑管家的团队、安平的厂家合作,我们会遇到一些对企业边界穿透力非常强的DNS隧道木马,例如去年整个行业影响比较大的Xshell供应链式木马等。可能我们员工从互联网下载一个运维工具,本身是植入过后门的,这个后门,通过DNS隧道式进行启发激活,并且进行远端操控。这种植入方式是越来越普遍。

第三类是广谱木马。腾讯大概每一年可以从内网的机器上挖出来大概有5千起普通病毒木马的情况,可能常规的挖矿、勒索、蠕虫类的东西,这是我们遇到企业内网比较严重的三大类威胁。

腾讯企业终端安全管理全景

除了刚才这些威胁之外,企业内网终端安全包括非常多的内容。像腾讯云的业务、微信的业务、游戏的业务,他们在国内的运营和上线及海外的运营上线都需要过很多的安全合规性的内容。比如说等保3、PCI ,还有欧盟的规则,这些规则对终端方面都有明确的要求。

所以在终端安全方面,我们会根据业务需求,对合规性的要求做定制化的功能支持。

另一方面,企业IT的一些管理者或者我们的企业CIO或者是CTO可能对企业的终端进行摸底的情况,比如说这一家企业有多少的PC,有多少个Windows,有多少Mac OS,以及这些设备在哪里,在什么地方,它安不安全等信息盘点的情况。包括对抗被动式的黑客入侵,我的终端有没有防黑的加固,对APT有没有深度的安全检测,这些都是腾讯终端安全要考虑的内容。

理念(高可见、极速处置、云管云控)

刚才讲的是说我们遇到的一些问题和我们面临的一些业务场景和诉求。究竟腾讯是怎么考虑这些事,其实我们想了想,总结了一下,我们跟人家有不太一样的地方,其实归结为三点:

第一点是高度重视数据安全,安全数据是高可见的,因为只有透过浩瀚的数据才对全网进行管控;

第二是遇到紧急的情况,或者是安全危机的情况下,我们一定要有极速处置的能力,才能第一时间把风险隔离掉;

第三,作为一家互联网企业,我们注重体验和系统部署的灵活性,比如终端是一个非常轻量的控制模式,我们采用的架构是云管、云控的模式。

高可见是指安全数据的高可见,这一直是我们近年来奋斗的方向和目标。如果跟黑客对抗,你都看不到它,那你相当于跟它不在一个维度上,你没有看到它,就没有办法消灭它,所以它一定会打败你。

我们数据的高可见有两个维度,一是说我们的数据够不够广,我们会把终端、内网的所有数据,包括所有的应用系统,还有帐号类的数据全部归结在一起,腾讯一天内网有400亿的规模,数据类型大概200多类;

还有一个纬度就是数据够不够深。举个例子:一个中国黑客团队开发的木马家族,木马是没有文件的,一旦感染到内存中,常驻内存并不在OS上。如果你的防御监控手段还停留在文件级是看不到它的,这时候需要把终端的监控下沉,下沉到进程API的级别,看木马注入到哪个层面进行API调用,还有是XShell DNS接受指令的方式,通常我们看的是tcp、http等连接,但是对DNS这一块,对大多数企业来说,53 UDP通讯不会有相应的检测规则,当黑客用这种武器跟你对抗的时候,你发现你根本没有办法发现黑客的存在。

当然我们收集了大量广度和深度的数据后,这些东西如何对企业安全人员形成可见的效应。这张图是我们企业内部安全人员第一时间能够看到的,比如终端、服务器、我们的应用、出口、我们的网络到底发生了怎样的安全事件。这些都有强大的后台去支撑大量的数据运算和机器学习,由大量的规则检测模型得出的结果。

根据这些事件,它会把它分成高中低等风险级别,然后安全人员就有序对这些事件进行风险的处置、隔离,或者是风险进一步排查,还有源头溯源工作。在遇到安全问题或者发现安全有风险的时候,我们希望是,一定要有一种方式或者是一种工具能够做到极速的处置。

为什么要极速?大家可以看我这张图上,把