写点什么

百度技术沙龙第 55 期回顾:重话安全防御(含资料下载)

  • 2014-10-29
  • 本文字数:2897 字

    阅读完需:约 10 分钟

2014 年 10 月 25 日,在由 @百度主办、 @InfoQ 负责策划组织和实施的第 55 期百度技术沙龙活动上,我们邀请到了百度国际化杀毒的主防和攻防业务的负责人谢奕智和北京神州绿盟信息安全股份有限公司联合创始人、广州分公司总经理张彦(网名 rico)。两位讲师分享了各自在安全防御领域的相关经验。

本次分享的话题分别是“病毒防御云体系”和“基于业务逻辑设计的新一代安全预警防御思路”。本文将对这两个主题分享做下简单的回顾,同时提供相关资料的下载。

主题一:病毒防御云体系(下载讲稿

首先,谢奕智通过杀毒软件“弹窗”这个众所周知的行为引出了防御这个话题。

传统单点主防弹窗面临主要的问题是: 该弹的没弹 (可能是对应的监控点没加),不该弹的弹了 (所谓的误报)。如果我们的主防纯粹提醒用户有一个高危行为或低危行为的话,这样并不能满足用户的要求,因为有时候用户他不懂得如何选择,弹窗过多可能会给他造成困扰。作为开发人员,这个弹窗要达到什么样的预期,用户要做什么选择,目标并不清晰。

为此,百度国际化杀毒制订了一个弹窗策略,可以简述为两点:

  1. 弹窗对用户的影响是可控的,不可控的时候也会通过一个运营的方式把它变成可控的。不允许一个监控点出去乱弹,弹窗针对的要么是对云查量很低的文件,要么确定是恶意的文件。
  2. 弹窗是可运营的,包括文字的描述,颜色,位置等,针对白文件也可以弹窗,比如启动项。

接下来的议题,是关于“未知”的。何谓“未知”呢?可以从两个角度去看。一个是从状态,所谓的未知,就是没有这个病毒的确定状态 (黑,白),或者根本就没捕获到这个样本。另一个是从行为,如果你的防御产品没有添加比如拦截驱动这个监控点,当某一个样本接到驱动,这个驱动对你来讲就是未知的,假设有 A 行为的样本大多是都是病毒,那我们就拦截 A 行为来防御未知病毒,这里的未知还是基于“知”。

未知可能导致哪些问题呢?未知是一个抽象的词,是没有目标,弹出来也没有预期。如我做防御的过程中,去防御所谓的未知病毒,很难做好。

如上图所示,如果将样本分为三部分,可以加快对一个样本级里面的黑白样本的运营,尽快确定其状态。把我们不能确定状态的样本缩到最小,这样的话即使对未知的样本弹窗,也能保证它是最低的,这时候我们觉得主防是可以接受这种弹窗的,因为它对用户的影响很小。

没有目标就没有方向,下面一张幻灯片介绍了对目标的控制。

监控点也是一个比较重要的概念。目标的确定都是通过数据挖掘来的,这些数据的来源就是在客户端添加的监控点。

提取特征,一般原则是提取一些成本低的,因为只有成本低的时候这个东西才变的可投入可持续。为了减少这种成本的投入,我们提取的特征是不易变的东西。我们的特征分为两部分:静态、动态。静态的话比如公司名、文件名、MD5 都是静态特征。动态特征包括创建进程、释放文件、创建注册项、注册某进程、加载驱动、访问 URL 等。

之后谢奕智介绍了防御这个核心话题。如下图所示:

外面这一圈是云防护的预警模式,第一个是监控。就是要用雷达找目标,因为没有目标就不知道敌人在哪。第二个是分析,对数据的处理要求是比较快,比较高效,然后从这些数据里面去发现问题、提取规则。第三个是响应,就是一旦发现了问题,有没有能力去响应这些问题,这个要求我们的客户端也好,云端也好要做一些基础的建设来响应这些问题。第四个是策略,策略大部分都是在云端去控制的,而不是在本地。

这是我们的一个云防御模式,它其实是实时的,允许它运行就运行,如果不允许,它就暂时挂住。

最后,谢奕智介绍了云规则的主要作用。第一个就是特例打击,以前我们判断样本的黑白要不要弹窗,比如它是一个白文件,就认为这个白文件即使触发一个危险操作,我们也要让它操作。类似于 EXPLOREP 这种会加载驱动,按照我们的黑白判断信任的话,这个动作也是不正常的,所以如果通过我们的客户端逻辑改起来就会很郁闷。那我们通过一些规则,可以把这个问题就解决掉。第二个是更丰富的动作。因为我们以前仅仅是阻止弹窗,处理的话就仅仅是把文件删除。从数据来看,其实这么简单的动作可能并不能很好地处理问题,因为我们可能每天都在发现病毒,但一天两天过去那些中毒的用户好像一直是在中毒的状态。

主题二:基于业务逻辑设计的新一代安全预警防御思路(下载讲稿

什么叫业务逻辑安全问题?企业根据业务需要设立业务处理流程,并设计业务信息化系统辅助实现。理论上讲业务系统和流程的实现功能,应该完全匹配于企业初始期望的逻辑思路。但实际上因为各种原因,业务系统和业务逻辑在执行过程中出现了偏差,因此存在安全风险,会被有心人利用。

张彦通过一个实际的例子阐述了这个问题,如下图所示:

在数量中输入 -1,问题来了,商品总金额成了 1 元。数据没有在服务器端验证,出现了隐患。

张彦还以另一个电商处理案例、广州地铁等为例,说明了业务流程设计上的问题。

黑客可以利用一些业务设计逻辑上的问题。同时,有攻也有防,我们可以利用业务逻辑设计进行一些防控。

张彦通过具体的案例,结合黑客的行为模式分析,介绍了基于业务逻辑设计的防御策略思路:通过跟踪企业中常态下数据的多个维度,并对可能影响安全的异常变化设计出对应的策略。同时策略应针对黑客行为模式特点设计。对于每个企业或者每个系统,设计方案都具有独特性。

设计的原则:

  • 规则越简单越好。大道至简。哪怕是最“土”的策略。
  • 规则触发的越少越好,触发的准确性越高越好。
  • 规则间最好具有独立性
  • 规则最好对用户和管理员透明

OpenSpace(开放式讨论环节)

为了促进参会者与我们每期的嘉宾以及讲师近距离交流,深入探讨在演讲过程中的疑问,本次活动依然设置了 Open Space(开放式讨论)环节。

在 Open Space 的总结环节,两位讲师分别对讨论的内容进行了总结。

谢奕智:我们认为一个行为是有危害的,危害的行为发生的时候,我们才会去处理。

张彦:企业应该先把业务梳理一下,几十个员工,几十台机器,几十个应用,先把数据流画一画。业务梳理之后,才知道哪些是最关键的,然后相应制定策略。可以根据企业自身特点制定策略,进行防范。

会后,一些参会者也通过微博分享了他们的参会感受:

@wqf425492648:#百度技术沙龙#云防御与实时防御模式的主要区别:云{监控、分析、响应、策略}着重响应及可控策略

@Simonne 梦二:#百度技术沙龙#对于黑客行为,我们可以从数据的 7 个維度来分析:时间、地点、对象、方向、内容、协议、速率。从而跟踪并捕获那些窃取商业机密或危害国家安全的骇客。@百度技术沙龙 数据纬度分析也可应用于个人实际生活工作中。so easy

@山水长阔知何处:#百度技术沙龙#做安全必须要先做黑客,了解黑客的心态才能去防御黑客~~知彼知己,才能战胜对手 @百度技术沙龙

@小红猪 v:#百度技术沙龙#杀毒软件弹窗的可控性。在什么情况下才应该合理弹窗?而不是一种简单提醒。@百度技术沙龙

@沙加 L:#百度技术沙龙#@百度技术沙龙 很多时候我们的目标会很大,效果不好。可能我们现在能做到的是目标明确,快速响应!

有关百度技术沙龙的更多信息,可以通过新浪微博关注 @百度技术沙龙,或者关注 InfoQ 官方微信:infoqchina,InfoQ 上也总结了过往所有百度技术沙龙的演讲视频和资料等,感兴趣的读者可以直接浏览内容

2014-10-29 08:531249
用户头像
臧秀涛 略懂技术的运营同学。

发布了 300 篇内容, 共 133.8 次阅读, 收获喜欢 35 次。

关注

评论

发布
暂无评论
发现更多内容

兼具高效与易用,融云 IM 即时通讯长连接协议设计思路

融云 RongCloud

即时通讯 协议

Docker下Prometheus和Grafana三部曲之一:极速体验

程序员欣宸

Grafana Prometheus 8月月更

2022年十大知名堡垒机品牌你真的知道吗?

行云管家

网络安全 数据安全 堡垒机 堡垒机品牌

全网独一份!清华大牛联合众多一线大厂架构师整合的Java面试突击手册开源

程序员小毕

程序员 程序人生 JVM 高并发 java面试

兆骑科创双创服务平台,留学生海外创新创业大赛,人才引进

兆骑科创凤阁

Gitlab 中 Github import 功能存在远程代码执行漏洞

墨菲安全

打补丁是什么意思?如何快速对云主机批量打补丁?用什么软件?

行云管家

运维 云主机 IT运维 打补丁

万物皆可集成系列:低代码释放用友U8+深度价值(2)—数据拓展应用

葡萄城技术团队

低代码 用友

兆骑科创高层次人才引进服务平台,创业大赛,云路演

兆骑科创凤阁

自从外包干了七年,废了.....!

退休的汤姆

Java 面经 社招 Java工程师 秋招

DPDK性能影响因素分析

C++后台开发

后台开发 虚拟化 DPDK VPP C++开发

MQTT协议详解及v5.0实践——实践类

阿里云AIoT

物联网 调度 网路协议 网络性能优化 网路架构

SpringBoot 整合 数据库连接池(Druid、HicariCP、C3P0等等)

SpringBoot 2 Druid 8月月更

KusionStack 在蚂蚁集团的探索实践 (上)

SOFAStack

开源 技术分享 蚂蚁集团 Kusion kusionstack

面试半月,阿里三面挂在微服务,我整个人直接麻了

Java永远的神

程序员 微服务 程序人生 Java 面试 架构师

大型LED显示屏怎样做好保养维护

Dylan

LED显示屏 led显示屏厂家

企业统一门户 | WorkPlus深度集成,优化企业管理模式

WorkPlus

IoT亿级设备接入层建设实践——实践类

阿里云AIoT

安全 网络协议 物联网 存储 网络架构

激动!开启轻量化虚拟直播时代!

IT资讯搬运工

浅谈 malloc 函数在单片机上的应用

矜辰所致

malloc 内存管理 8月月更

画出“伦勃朗光线”:vivo的夜色4K探索之旅

脑极体

离谱了!腾讯数据库专家耗费几个月编写了这份 604 页的 Oracle+MySQL 学习指南手册

了不起的程序猿

Java MySQL JAVA开发 java程序员

Python自学教程3-英语不好,变量怎么命名

和牛

Python 测试 8月月更

MobTech ShareSDK Android端微信分享小程序

MobTech袤博科技

微信小程序 android sdk

业务出海必答题,融云全球通信网络技术挑战破解实践

融云 RongCloud

旺链科技荣登“长三角产业区块链企业30强”!

旺链科技

区块链 产业区块链 创新应用

基础+进阶+源码+实战,阿里SpringCloud Alibaba全解手册限时开源~

Java全栈架构师

程序员 面试 微服务 架构师 SpringCloud

将 SAP Spartacus 作为 feature module 进行 Lazy Load 延迟加载时遇到的注入错误分析

汪子熙

typescript 前端开发 angular Spartacus 8月月更

2022年中国小微信贷市场发展分析

易观分析

市场分析 小微信贷 易观

蛇行矩阵 蛇形填数 回形取数 蛇行系类(C语言详解+图解)

Five

c 算法题 8月月更

企业即时通讯怎样为企业实现移动办公效率的极致化?

WorkPlus

百度技术沙龙第55期回顾:重话安全防御(含资料下载)_安全_臧秀涛_InfoQ精选文章