写点什么

百度技术沙龙第 55 期回顾:重话安全防御(含资料下载)

  • 2014-10-29
  • 本文字数:2897 字

    阅读完需:约 10 分钟

2014 年 10 月 25 日,在由 @百度主办、 @InfoQ 负责策划组织和实施的第 55 期百度技术沙龙活动上,我们邀请到了百度国际化杀毒的主防和攻防业务的负责人谢奕智和北京神州绿盟信息安全股份有限公司联合创始人、广州分公司总经理张彦(网名 rico)。两位讲师分享了各自在安全防御领域的相关经验。

本次分享的话题分别是“病毒防御云体系”和“基于业务逻辑设计的新一代安全预警防御思路”。本文将对这两个主题分享做下简单的回顾,同时提供相关资料的下载。

主题一:病毒防御云体系(下载讲稿

首先,谢奕智通过杀毒软件“弹窗”这个众所周知的行为引出了防御这个话题。

传统单点主防弹窗面临主要的问题是: 该弹的没弹 (可能是对应的监控点没加),不该弹的弹了 (所谓的误报)。如果我们的主防纯粹提醒用户有一个高危行为或低危行为的话,这样并不能满足用户的要求,因为有时候用户他不懂得如何选择,弹窗过多可能会给他造成困扰。作为开发人员,这个弹窗要达到什么样的预期,用户要做什么选择,目标并不清晰。

为此,百度国际化杀毒制订了一个弹窗策略,可以简述为两点:

  1. 弹窗对用户的影响是可控的,不可控的时候也会通过一个运营的方式把它变成可控的。不允许一个监控点出去乱弹,弹窗针对的要么是对云查量很低的文件,要么确定是恶意的文件。
  2. 弹窗是可运营的,包括文字的描述,颜色,位置等,针对白文件也可以弹窗,比如启动项。

接下来的议题,是关于“未知”的。何谓“未知”呢?可以从两个角度去看。一个是从状态,所谓的未知,就是没有这个病毒的确定状态 (黑,白),或者根本就没捕获到这个样本。另一个是从行为,如果你的防御产品没有添加比如拦截驱动这个监控点,当某一个样本接到驱动,这个驱动对你来讲就是未知的,假设有 A 行为的样本大多是都是病毒,那我们就拦截 A 行为来防御未知病毒,这里的未知还是基于“知”。

未知可能导致哪些问题呢?未知是一个抽象的词,是没有目标,弹出来也没有预期。如我做防御的过程中,去防御所谓的未知病毒,很难做好。

如上图所示,如果将样本分为三部分,可以加快对一个样本级里面的黑白样本的运营,尽快确定其状态。把我们不能确定状态的样本缩到最小,这样的话即使对未知的样本弹窗,也能保证它是最低的,这时候我们觉得主防是可以接受这种弹窗的,因为它对用户的影响很小。

没有目标就没有方向,下面一张幻灯片介绍了对目标的控制。

监控点也是一个比较重要的概念。目标的确定都是通过数据挖掘来的,这些数据的来源就是在客户端添加的监控点。

提取特征,一般原则是提取一些成本低的,因为只有成本低的时候这个东西才变的可投入可持续。为了减少这种成本的投入,我们提取的特征是不易变的东西。我们的特征分为两部分:静态、动态。静态的话比如公司名、文件名、MD5 都是静态特征。动态特征包括创建进程、释放文件、创建注册项、注册某进程、加载驱动、访问 URL 等。

之后谢奕智介绍了防御这个核心话题。如下图所示:

外面这一圈是云防护的预警模式,第一个是监控。就是要用雷达找目标,因为没有目标就不知道敌人在哪。第二个是分析,对数据的处理要求是比较快,比较高效,然后从这些数据里面去发现问题、提取规则。第三个是响应,就是一旦发现了问题,有没有能力去响应这些问题,这个要求我们的客户端也好,云端也好要做一些基础的建设来响应这些问题。第四个是策略,策略大部分都是在云端去控制的,而不是在本地。

这是我们的一个云防御模式,它其实是实时的,允许它运行就运行,如果不允许,它就暂时挂住。

最后,谢奕智介绍了云规则的主要作用。第一个就是特例打击,以前我们判断样本的黑白要不要弹窗,比如它是一个白文件,就认为这个白文件即使触发一个危险操作,我们也要让它操作。类似于 EXPLOREP 这种会加载驱动,按照我们的黑白判断信任的话,这个动作也是不正常的,所以如果通过我们的客户端逻辑改起来就会很郁闷。那我们通过一些规则,可以把这个问题就解决掉。第二个是更丰富的动作。因为我们以前仅仅是阻止弹窗,处理的话就仅仅是把文件删除。从数据来看,其实这么简单的动作可能并不能很好地处理问题,因为我们可能每天都在发现病毒,但一天两天过去那些中毒的用户好像一直是在中毒的状态。

主题二:基于业务逻辑设计的新一代安全预警防御思路(下载讲稿

什么叫业务逻辑安全问题?企业根据业务需要设立业务处理流程,并设计业务信息化系统辅助实现。理论上讲业务系统和流程的实现功能,应该完全匹配于企业初始期望的逻辑思路。但实际上因为各种原因,业务系统和业务逻辑在执行过程中出现了偏差,因此存在安全风险,会被有心人利用。

张彦通过一个实际的例子阐述了这个问题,如下图所示:

在数量中输入 -1,问题来了,商品总金额成了 1 元。数据没有在服务器端验证,出现了隐患。

张彦还以另一个电商处理案例、广州地铁等为例,说明了业务流程设计上的问题。

黑客可以利用一些业务设计逻辑上的问题。同时,有攻也有防,我们可以利用业务逻辑设计进行一些防控。

张彦通过具体的案例,结合黑客的行为模式分析,介绍了基于业务逻辑设计的防御策略思路:通过跟踪企业中常态下数据的多个维度,并对可能影响安全的异常变化设计出对应的策略。同时策略应针对黑客行为模式特点设计。对于每个企业或者每个系统,设计方案都具有独特性。

设计的原则:

  • 规则越简单越好。大道至简。哪怕是最“土”的策略。
  • 规则触发的越少越好,触发的准确性越高越好。
  • 规则间最好具有独立性
  • 规则最好对用户和管理员透明

OpenSpace(开放式讨论环节)

为了促进参会者与我们每期的嘉宾以及讲师近距离交流,深入探讨在演讲过程中的疑问,本次活动依然设置了 Open Space(开放式讨论)环节。

在 Open Space 的总结环节,两位讲师分别对讨论的内容进行了总结。

谢奕智:我们认为一个行为是有危害的,危害的行为发生的时候,我们才会去处理。

张彦:企业应该先把业务梳理一下,几十个员工,几十台机器,几十个应用,先把数据流画一画。业务梳理之后,才知道哪些是最关键的,然后相应制定策略。可以根据企业自身特点制定策略,进行防范。

会后,一些参会者也通过微博分享了他们的参会感受:

@wqf425492648:#百度技术沙龙#云防御与实时防御模式的主要区别:云{监控、分析、响应、策略}着重响应及可控策略

@Simonne 梦二:#百度技术沙龙#对于黑客行为,我们可以从数据的 7 个維度来分析:时间、地点、对象、方向、内容、协议、速率。从而跟踪并捕获那些窃取商业机密或危害国家安全的骇客。@百度技术沙龙 数据纬度分析也可应用于个人实际生活工作中。so easy

@山水长阔知何处:#百度技术沙龙#做安全必须要先做黑客,了解黑客的心态才能去防御黑客~~知彼知己,才能战胜对手 @百度技术沙龙

@小红猪 v:#百度技术沙龙#杀毒软件弹窗的可控性。在什么情况下才应该合理弹窗?而不是一种简单提醒。@百度技术沙龙

@沙加 L:#百度技术沙龙#@百度技术沙龙 很多时候我们的目标会很大,效果不好。可能我们现在能做到的是目标明确,快速响应!

有关百度技术沙龙的更多信息,可以通过新浪微博关注 @百度技术沙龙,或者关注 InfoQ 官方微信:infoqchina,InfoQ 上也总结了过往所有百度技术沙龙的演讲视频和资料等,感兴趣的读者可以直接浏览内容

2014-10-29 08:531278
用户头像
臧秀涛 略懂技术的运营同学。

发布了 300 篇内容, 共 135.1 次阅读, 收获喜欢 35 次。

关注

评论

发布
暂无评论
发现更多内容

极狐GitLab CI x Vault,做好企业密钥安全合规管理

极狐GitLab

gitlab cicd 安全 cli vault

华为Mate 60抢火车票也“遥遥领先”,负一屏抢票享满减!

最新动态

DAPP 开发区块链技术分析

V\TG【ch3nguang】

又一重磅利好来袭!Zebec Payroll 集成至 Nautilus Chain 主网

石头财经

又一重磅利好来袭!Zebec Payroll 集成至 Nautilus Chain 主网

股市老人

又一重磅利好来袭!Zebec Payroll 集成至 Nautilus Chain 主网

威廉META

快速加入Health Kit,一文了解审核流程

HarmonyOS SDK

huawei HarmonyOS

打造高能低碳电脑,英特尔与合作伙伴都做了什么?

E科讯

关于TPM营销费用管理,品牌快消企业最关心的问题都在这里

赛博威科技

营销数字化 投资分析 数字营销 营销管理 预算管理信息化

现成直播拍卖软件源码,搭建开发上线资料

软件开发-梦幻运营部

软件测试/测试开发丨venv 环境管理 学习笔记

测试人

软件测试 虚拟环境 venv

Mybatis sql参数自动填充

源字节1号

开源 软件开发 前端开发 后端开发 小程序开发

又一重磅利好来袭!Zebec Payroll 集成至 Nautilus Chain 主网

鳄鱼视界

和鲸科技:国家气象信息中心人工智能气象应用基础支撑技术平台正式上线

ModelWhale

人工智能 AI 气象 地球科学 国家气象中心

企业如何高效平滑迁移数据?火山引擎DataLeap上线整库搬迁解决方案

字节跳动数据平台

数据中台 数据治理 数据安全 数据研发 企业号9月PK榜

PWA V.S. 小程序,该如何选?

FinFish

小程序容器 PWA 小程序技术 小程序容器技术

又一重磅利好来袭!Zebec Payroll 集成至 Nautilus Chain 主网

BlockChain先知

Filecoin挖矿系统开发技术讲解

V\TG【ch3nguang】

XR扩展现实的最新趋势-云流化技术

3DCAT实时渲染

云流化 CLOUDXR

抖音开放平台上线新能力!延伸内容价值助力开发者高效获客

科技热闻

区块链矿机挖矿钱包系统app开发

V\TG【ch3nguang】

LeetCode题解:1720. 解码异或后的数组,异或,JavaScript,详细注释

Lee Chen

JavaScript LeetCode

如何使用极狐GitLab 支持 ISO 27001 合规

极狐GitLab

DevOps gitlab ISO 组织控制 技术控制

度小满CTO许冬亮:大模型时代需警惕中小金融机构“技术掉队”

科技热闻

JetBrains推出RustRover 为开发者打造更高效易用的Rust IDE

科技热闻

专业开发矿机挖矿系统模式|区块链DAPP挖矿模式开发

V\TG【ch3nguang】

挖矿矿机系统APP开发平台

V\TG【ch3nguang】

打造次世代分析型数据库(三):列存表最佳实践

腾讯云大数据

数据库

【Java入门】交换数组中两个元素的位置

SoFlu软件机器人

代码 java; 程序员‘’ 软件开发、

百度技术沙龙第55期回顾:重话安全防御(含资料下载)_安全_臧秀涛_InfoQ精选文章