楊紹波  瑞星終端安全技術(shù)總監(jiān)

　　大家都一直討論說(shuō)網(wǎng)絡(luò)層面，但其實(shí)從IT角度包括近幾年對(duì)OT角度的理解，終端的安全白名單方式做主機(jī)安全，做的所謂主機(jī)安全，往往把終端的概念相對(duì)是忽略的，或者說(shuō)不夠重視，這也是為什么我今天可疑的來(lái)談終端安全，因?yàn)槲覀児究隙ú恢皇亲鼋K端安全，另外大家感受一下終端安全到底有新思路，到底有沒(méi)有價(jià)值？我先拋一個(gè)IT行業(yè)的理念，安全是非絕對(duì)的，所以不管前面架多少道墻最終都可以進(jìn)來(lái)，被加密被其他的方式進(jìn)來(lái)，但最終總得干壞事，就要落到終端上就要回歸本質(zhì)，其實(shí)在IT領(lǐng)域有一個(gè)理念，最終在終端的最后一道防線(xiàn)能夠發(fā)現(xiàn)真正的本質(zhì)在哪里，所以終端是非常重要的。

　　第二個(gè)關(guān)于國(guó)內(nèi)的情況我們收集一些信息和我們接觸的情況，中國(guó)現(xiàn)在是全球網(wǎng)絡(luò)攻擊的最大受害國(guó)，換言之今天不管是作為安全專(zhuān)家還是愛(ài)好者還是各個(gè)部委的領(lǐng)導(dǎo)去引導(dǎo)整個(gè)體系的發(fā)展來(lái)說(shuō)，對(duì)于咱們每一個(gè)人來(lái)說(shuō)責(zé)任都是任重而道遠(yuǎn)的。自2011年以來(lái)網(wǎng)絡(luò)攻擊增長(zhǎng)15倍，其中30%是針對(duì)國(guó)家的基礎(chǔ)設(shè)施，這也是提醒我們的警鐘讓我們更注意。怎么樣的東西做安全會(huì)有價(jià)值？說(shuō)瑞星你是為了給自己說(shuō)好話(huà)，我拿了第三方也是全球的分析報(bào)告分享一下。這個(gè)報(bào)告叫做全球工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的狀況，首先它的采樣，已經(jīng)采集了21個(gè)國(guó)家的數(shù)據(jù)還是有一定的代表性，另外還有訪(fǎng)談和調(diào)查有359次的訪(fǎng)談，其中有三分之二是中型以上的組織，尤其是中國(guó)人口或者工業(yè)整體的體量還是比較大的，我覺(jué)得也是更接近于現(xiàn)實(shí)。它所接觸的人并不是不懂的人或者是占在邊緣上的人也不是，有一半是最終責(zé)任人，我相信他應(yīng)該是很關(guān)注這個(gè)事情的。

　　整個(gè)的文章不能說(shuō)研究的非常透徹，我分享兩個(gè)類(lèi)型的數(shù)據(jù)，第一個(gè)認(rèn)知的安全和實(shí)際安全的威脅，到底哪一些威脅在工控網(wǎng)絡(luò)安全怎么樣，做完所有的東西也解決不了所有的安全問(wèn)題，我現(xiàn)在做的安全解決方案覺(jué)得是現(xiàn)實(shí)的問(wèn)題還得面對(duì)，這個(gè)不是我編造的數(shù)據(jù)。普通認(rèn)知惡意軟件簡(jiǎn)單回顧一下，之前出現(xiàn)的很多事件，最終被抓出來(lái)的還是病毒最終造成破壞，所以說(shuō)惡意軟件就會(huì)有防火墻中間的管理手段等等協(xié)議的分析，但是惡意軟件發(fā)現(xiàn)是最終干壞事的本體。第二個(gè)是第三方威脅，第三個(gè)外部的蓄意破壞。實(shí)際情況下最終統(tǒng)計(jì)出來(lái)第一名確實(shí)是惡意軟件能夠占到53%，第二名是APT，APT最終來(lái)說(shuō)也是回歸到最終落地。第三個(gè)內(nèi)部的人為錯(cuò)誤，這個(gè)我覺(jué)得對(duì)于我們的觸發(fā)也是比較大的，之前提出人的思想包括之前的專(zhuān)家也提過(guò)最終要有人好好的操作，同樣的道理操作不好人犯錯(cuò)占的比重也很大。

　　哪一些手段是有效的？之前大家的感受實(shí)際過(guò)程當(dāng)中哪一些是對(duì)我們的工控安全是相對(duì)有效的措施？左邊是大家曾經(jīng)認(rèn)知右邊是實(shí)際的，實(shí)際終端的防惡意軟件占最大的比重67%，當(dāng)然像咱們國(guó)內(nèi)來(lái)說(shuō)普遍性接受的是類(lèi)似于白名單的方式，這個(gè)我也非常的了解這種機(jī)制。其二很多人說(shuō)為什么不敢用帶引擎類(lèi)的防病毒，當(dāng)然帶引擎類(lèi)會(huì)有另外一種形式存在，包括前天也有一家公司來(lái)和我做交流，說(shuō)不敢用我們升不了級(jí)，他說(shuō)我是內(nèi)網(wǎng)環(huán)境不能升級(jí)殺毒軟件用不上，我一度的懷疑是不是沒(méi)有引擎的公司也是嘗試在傳播這個(gè)概念？瑞星以做IT為主，80%是內(nèi)網(wǎng)用戶(hù)，我們做黨政軍包括中辦國(guó)辦他們會(huì)連互聯(lián)網(wǎng)嗎？難道他們都不升級(jí)了嗎？不是的。上一次也簡(jiǎn)單的談過(guò)這個(gè)問(wèn)題，升級(jí)不是問(wèn)題，包括打補(bǔ)丁也不問(wèn)題。但是我們已經(jīng)做了20多年，我最近也接觸了很多現(xiàn)實(shí)細(xì)節(jié)的東西更重要或者是一些差異性。第二個(gè)安全意識(shí)的培訓(xùn)特別的有效，我曾經(jīng)個(gè)人的理解我認(rèn)為這個(gè)是放第一的，包括為什么國(guó)家要出臺(tái)政策標(biāo)準(zhǔn)，迫使人也要對(duì)這個(gè)問(wèn)題特別的重視，人不重視什么東西都很難做下來(lái)，實(shí)際比終端占的比重沒(méi)有小太多，國(guó)家是有政策的，不管是網(wǎng)絡(luò)安全法還是等保，人員本身的意識(shí)和安全能力的提升非常的重要，這一點(diǎn)對(duì)公共領(lǐng)域來(lái)說(shuō)比IT領(lǐng)域差太多，IT領(lǐng)域往往是人不夠，很多人有意識(shí)但是不夠，這個(gè)我不說(shuō)具體的單位名稱(chēng)，其中有一個(gè)單位就說(shuō)我覆蓋全國(guó)也有幾百萬(wàn)臺(tái)的終端，我到一個(gè)市級(jí)單位的級(jí)別上一個(gè)人干IT運(yùn)維還得干其他的業(yè)務(wù)，你覺(jué)得我干的過(guò)來(lái)嗎？但是回頭說(shuō)工控領(lǐng)域不僅僅是沒(méi)人的問(wèn)題，更多是沒(méi)有這方面的意識(shí)。第三個(gè)入侵檢測(cè)防御也不細(xì)解釋?zhuān)o大家感受一下。所以這排前三名的終端安全意識(shí)跟防御，我認(rèn)為安全意識(shí)是第一重要的，有了這個(gè)意識(shí)后面的東西才能更好的落地下來(lái)。

　　有意識(shí)國(guó)家出臺(tái)什么政策，之前鄒主任也提到這個(gè)問(wèn)題我也不細(xì)說(shuō)了。另外等保2.0鄒主任比較規(guī)范的解釋?zhuān)艺務(wù)勗趺礃永斫膺@個(gè)事情，首先提了五大方面，我把它小的歸納一些哪一些東西是可能做的，實(shí)際上抽取一些新的，比如說(shuō)剛剛提到的垃圾郵件刻意不去點(diǎn)，在工控領(lǐng)域用郵件的還是偏少一些，邊界防護(hù)訪(fǎng)問(wèn)控制入侵防范惡意代碼防范可信認(rèn)證安全審計(jì)，我當(dāng)時(shí)也看完可信認(rèn)證現(xiàn)在目前最難操作的確實(shí)是可信認(rèn)證，現(xiàn)在確實(shí)有一些單位從軟件的識(shí)別，以前叫證書(shū)現(xiàn)在所有人運(yùn)行要求用什么樣的可信機(jī)制，但是網(wǎng)絡(luò)層面怎么樣是有一些困難的，再一個(gè)就是安全審計(jì)和可行性驗(yàn)證還有數(shù)據(jù)保護(hù)，包括數(shù)據(jù)完整性以及加密什么的。再一個(gè)還有關(guān)鍵信息隱藏不要求網(wǎng)絡(luò)里面不能看到機(jī)器的信息，還是要分區(qū)過(guò)濾要求把這些區(qū)進(jìn)行保護(hù)，我就說(shuō)壟斷的稍微提取一下可能認(rèn)為也是干貨。

　　從我工作的角度或者我考慮的角度怎么樣考慮這個(gè)事的？實(shí)際上給大家分享的。其實(shí)這個(gè)東西本身是在IT領(lǐng)域里面比較成熟，我現(xiàn)在的這些考慮都是綜合的環(huán)境下我認(rèn)為是有價(jià)值的，大家覺(jué)得現(xiàn)在有一些抵觸，但是最終還是會(huì)慢慢完善健全起來(lái)的，第二個(gè)防病毒惡意代碼防范，我們認(rèn)為的干貨點(diǎn)里面，還有放火墻，以前傳統(tǒng)大概的邊界認(rèn)為網(wǎng)絡(luò)與網(wǎng)絡(luò)之間或者機(jī)器與機(jī)器之間建立邊界，最終包括我們給國(guó)家大的部級(jí)單位，重新定義的網(wǎng)絡(luò)邊界防護(hù)是要從終端做的，而不是以前靠純粹的網(wǎng)絡(luò)層怎么劃分都可以，最終回歸本質(zhì)是加密的網(wǎng)絡(luò)或者怎么樣。不落地到端上有可能識(shí)別不到一些真實(shí)的東西來(lái)，哪怕是IT領(lǐng)域?qū)τ诩用軅鬏數(shù)鹊炔坏蕉藘?nèi)不可以做不太好或者功能有很大的缺失，再一個(gè)漏洞補(bǔ)丁，它對(duì)應(yīng)也是入鏡防范也有關(guān)系的，再一個(gè)行為審計(jì)里面包括了訪(fǎng)問(wèn)控制和安全審計(jì)，再一個(gè)資產(chǎn)管理它其實(shí)包括的是身份界別和安全審計(jì)，它包括對(duì)應(yīng)到等保2.0提到的東西。其中還提到我們要管理，管理第一個(gè)要有集中管控三權(quán)分立，集中管控前面分操作管理安全管理審計(jì)管理，其實(shí)在國(guó)家的之前等級(jí)保護(hù)約定其實(shí)就是三權(quán)分離對(duì)各自也有一些相對(duì)概括的定義，還有網(wǎng)絡(luò)的支持，這種網(wǎng)絡(luò)我們對(duì)它IPV4、IPV6更復(fù)雜包括其他的動(dòng)態(tài)，這些現(xiàn)在我們的產(chǎn)品里面或者是現(xiàn)在設(shè)想發(fā)明里面是全部都是支持的。再一個(gè)工程模塊化，咱們也是按需選用實(shí)際的環(huán)境來(lái)考慮的，而且能夠遠(yuǎn)程的動(dòng)態(tài)裝卸。

　　一個(gè)國(guó)家也一直在提國(guó)產(chǎn)管控，這里有必要給引擎來(lái)說(shuō)一說(shuō)。第一個(gè)我們的引擎現(xiàn)在不光是我們自己用，我不介意的說(shuō)現(xiàn)在也有做純工控安全的一些公司，其實(shí)他們最終也來(lái)用我們的引擎，后來(lái)還有工具箱模式，外面的審計(jì)模式拿一個(gè)U盤(pán)提什么等保檢查箱最終還是要用引擎，他們現(xiàn)在找到我們?nèi)鹦?，瑞星的引擎到底怎么樣？可能有一些不太了解我們也總結(jié)一下全面先進(jìn)、高效強(qiáng)悍。全面什么意思？我們的識(shí)別能力各平臺(tái)包括現(xiàn)在的國(guó)產(chǎn)平臺(tái)，包括展臺(tái)外面有做國(guó)產(chǎn)的機(jī)器，我們?nèi)恐С帧?/p>

　　第二個(gè)我們的技術(shù)體系很先進(jìn)，我們?cè)趲啄昵熬陀玫饺斯ぶ悄艿募夹g(shù)來(lái)進(jìn)行識(shí)別，平臺(tái)支持主流通用國(guó)產(chǎn)的都可以，技術(shù)方向已經(jīng)用人工智能化云化檢測(cè)文件混合都可以，再一個(gè)運(yùn)營(yíng)模式剛剛南開(kāi)的教授也講到我們做無(wú)人化，我們的運(yùn)營(yíng)已經(jīng)早就做到了95%以上是無(wú)人化的運(yùn)營(yíng)，高效就是自動(dòng)無(wú)休因?yàn)橛邢冗M(jìn)能夠達(dá)到高效，還有普遍的認(rèn)為防病毒引擎指的是攔截已知威脅，其實(shí)不是的，在N年前馬上就有動(dòng)態(tài)啟發(fā)等等，本身就能做很多的未知威脅的識(shí)別，再加上現(xiàn)在有一些新的行為檢測(cè)靠動(dòng)態(tài)的檢測(cè)其實(shí)也能處理很多未知的威脅檢測(cè)，像APP就得靠這種。再一個(gè)強(qiáng)悍，識(shí)別能力我們是比較自信說(shuō)我們是全球領(lǐng)先國(guó)內(nèi)最強(qiáng)，怎么證明？這也是前不久5月份做新品發(fā)布會(huì)做的圖，而且當(dāng)時(shí)技術(shù)人員說(shuō)我們是不是不能打其他的友商的名字，最后決定我們就打出來(lái)，我們敢對(duì)這個(gè)事情負(fù)責(zé)任，不是我們的數(shù)據(jù)是我們從第三方平臺(tái)拿的數(shù)據(jù)，瑞星在全球來(lái)說(shuō)我們排的比較靠前，這個(gè)我們排第三，在國(guó)內(nèi)排第一。第二名第二名怎么樣，之前關(guān)注我們公司的信息很早看到這個(gè)圖，今天再次分享一下，正因?yàn)槲覀冇羞@樣的成績(jī)，前面的能力也好，最終達(dá)到強(qiáng)悍，所以不管是我們行業(yè)還是工控還是做系統(tǒng)后臺(tái)的服務(wù)器他們都來(lái)找到我們，所以我們有能力不光服務(wù)好我們的用戶(hù)，我們幫助我們的朋友怎么樣來(lái)一起把這個(gè)行業(yè)建設(shè)做的更好。

　　正因?yàn)榍懊娓嗍且恍├砟罡拍钚缘臇|西，具體我們能做什么樣的東西？其實(shí)很多我們已經(jīng)提出了好幾大模塊，稍微提到我認(rèn)為比較特別一點(diǎn)的，但是可能偏技術(shù)性有一些不太感興趣，比如說(shuō)常規(guī)的就不提了，換言之病毒的掃描檢測(cè)不僅僅是拿一個(gè)引擎去掃就OK的，我們有很多新的技術(shù)，不是單一的平臺(tái)檢測(cè)匹配。特別的技術(shù)比如說(shuō)變頻查殺這個(gè)也是很有用的，大家擔(dān)心我們的東西對(duì)它的資源占有很高，如果有時(shí)間分享一下前天和人家交流的特別敏感，包括綠色殺毒裝不了怎么辦，我們做成綠色盤(pán)去廠家使用，甚至有廠家想買(mǎi)我們的U盤(pán)殺毒不賣(mài)給他，因?yàn)榘l(fā)現(xiàn)有一些機(jī)器不能裝的，但是他又要想發(fā)現(xiàn)，我們的產(chǎn)品帶了隨便做出來(lái)不用買(mǎi)，他們就說(shuō)你們能不能賣(mài)我?guī)讉€(gè)，再一個(gè)防勒索特別的重要，我們有更好的防勒索的方案。

　　勒索掃描功能也是比較完善的，其中提一點(diǎn)同樣的內(nèi)網(wǎng)環(huán)境我們依然能夠幫助大家比較快速高效把補(bǔ)丁打下去，這個(gè)問(wèn)題不要因?yàn)槭莾?nèi)網(wǎng)環(huán)境就覺(jué)得是不可行的，包括驗(yàn)證組我可以先驗(yàn)證一下再全網(wǎng)實(shí)施推廣怎么樣。放火墻的功能本身做的邊界入侵防御等等，本身我們做了九大類(lèi)的上網(wǎng)防護(hù)聯(lián)網(wǎng)防護(hù)還做了管理類(lèi)的功能，其中具體的比如說(shuō)做行為控制規(guī)則，這個(gè)就能做到訪(fǎng)問(wèn)工作邊界的管理，以及自定義黑白名單等等。網(wǎng)絡(luò)準(zhǔn)入本身的端內(nèi)發(fā)現(xiàn)它已經(jīng)達(dá)到了一定的危險(xiǎn)級(jí)別，我們就讓這個(gè)端不能夠去聯(lián)網(wǎng)，剛剛提的之前怎么樣？我們控制在一個(gè)小的網(wǎng)絡(luò)范圍里面，但其實(shí)在網(wǎng)絡(luò)范圍里面還能夠傳染的，我們能夠做到終端級(jí)別，這個(gè)終端達(dá)到什么樣的威脅讓它感染不上。再一個(gè)審計(jì)可能有一些不同行業(yè)環(huán)境，有一些重視有一些不是很重視，如果是U盤(pán)口或者是操作站其實(shí)還是挺重要的，我們?cè)谕庠O(shè)的管控上面和U盤(pán)的管控或者是非法網(wǎng)絡(luò)上面我們現(xiàn)在做的也是非常深入，已經(jīng)有很多的用戶(hù)在使用我們這種功能，這個(gè)是把U盤(pán)的準(zhǔn)入使用記錄準(zhǔn)入的分組智能設(shè)備識(shí)別已經(jīng)做的是很好了。

　　資產(chǎn)管理要能夠探測(cè)資產(chǎn)信息，本身裝的軟件情況，以及機(jī)器本身的性能情況，包括后續(xù)的分發(fā)等等，資產(chǎn)管理功能也是在里面有的。另外一個(gè)剛剛我提了一句，我覺(jué)得從長(zhǎng)遠(yuǎn)來(lái)看我認(rèn)為工控領(lǐng)域很多東西還是要國(guó)產(chǎn)化的，至少我們目前的國(guó)產(chǎn)化領(lǐng)域上首先是非國(guó)產(chǎn)化通用的操作系統(tǒng)，再一個(gè)國(guó)產(chǎn)的平臺(tái)芯片上面龍芯、兆芯全都支持，另外有的廠擔(dān)心設(shè)備，瑞星不管從引擎層到產(chǎn)品層全都是支持的，操作系統(tǒng)什么中標(biāo)麒麟等等我都全部支持的，再還有國(guó)產(chǎn)數(shù)據(jù)庫(kù)不是每一個(gè)系統(tǒng)都會(huì)關(guān)心，但是我們也是全支持什么達(dá)夢(mèng)、神通、南大通用，國(guó)家是強(qiáng)制規(guī)定一定不允許使用別的，我們都把路走開(kāi)了。

　　集中管控是怎么考慮的？第一個(gè)我特別提出來(lái)就是可運(yùn)維，以前的東西放到那里不太可運(yùn)維，最終什么效果也不好，怎么做到可運(yùn)維可管理，點(diǎn)比較多第一個(gè)分區(qū)，可運(yùn)維要做到自動(dòng)化，人不夠，人的意識(shí)形態(tài)沒(méi)上升，我能做到自動(dòng)化的運(yùn)維。再一個(gè)安全檢測(cè)要加白名單模式，白名單模式是有效的，但是它對(duì)于一些新進(jìn)來(lái)的東西更新也比較麻煩，或者進(jìn)來(lái)的東西難道就不帶威脅嗎？我們用這個(gè)業(yè)務(wù)系統(tǒng)一個(gè)新版本進(jìn)來(lái)了，新版本是不是就能說(shuō)已經(jīng)帶病毒進(jìn)來(lái)了，我覺(jué)得你們很多人比我的感受跟深，至少我碰到好幾個(gè)用戶(hù)，我們沒(méi)辦法，我們開(kāi)發(fā)就帶病毒，分發(fā)給用戶(hù)就是帶病毒進(jìn)去的，難道我們就沒(méi)有辦法嗎？加入白名單我們就認(rèn)為它是白了？我認(rèn)為白名單模式是很有必要的，但是在它的前面還是要經(jīng)過(guò)安全檢測(cè)的，這里面話(huà)題可以很多，后面會(huì)把分區(qū)檢測(cè)給大家試一下，我構(gòu)思的也會(huì)把以后的體系怎么樣來(lái)建設(shè)。在入侵防御防控再一個(gè)EDR，其實(shí)EDR不只是在IT領(lǐng)域OT領(lǐng)域上也是有效的。再就是情報(bào)支持?jǐn)?shù)據(jù)分析未知發(fā)現(xiàn)，這個(gè)大家可能會(huì)聽(tīng)過(guò)安全大腦的概念，這個(gè)東西會(huì)比態(tài)勢(shì)感知再往前一步的東西，大家以后可以會(huì)慢慢的感受到，我今天說(shuō)的情報(bào)就是數(shù)據(jù)分析，安全大腦下一步的概念東西會(huì)相關(guān)聯(lián)，這個(gè)終端防控體系怎么樣的分層，他們是管理體系本身也奧進(jìn)行一級(jí)二級(jí)，這里不非常的細(xì)講了，之前看過(guò)架構(gòu)的體系。所以怎么樣做出服務(wù)器怎么做處理，中間再加放火墻怎么樣，但是本身要分級(jí)管理的，其中有一個(gè)帶寬只有兩兆大小業(yè)務(wù)系統(tǒng)已經(jīng)用了90%，你們上其他的系統(tǒng)我要過(guò)等保4.0我必須上，我上了之后本身要采集日志，采集日志可能業(yè)務(wù)就不行了，怎么辦？物理層面規(guī)劃層面包括限速上面我們確實(shí)都已經(jīng)有所考慮的，兩兆帶寬還是單臺(tái)機(jī)器是一個(gè)環(huán)線(xiàn)上面N臺(tái)機(jī)器可以共享兩兆帶寬。最后分享一下這個(gè)圖分區(qū)管理可運(yùn)維自動(dòng)化。

　　這個(gè)我認(rèn)為做終端做安全不是終端也是可參考可借鑒可探討，第一個(gè)分區(qū)，這個(gè)區(qū)不是指用戶(hù)的業(yè)務(wù)區(qū)，甚至是我們作為安全體系來(lái)說(shuō)分為三大區(qū)域，第一個(gè)導(dǎo)入學(xué)習(xí)區(qū)，第二個(gè)叫測(cè)試觀察區(qū)，第三個(gè)叫生產(chǎn)運(yùn)營(yíng)區(qū)，我們要進(jìn)任何新的東西任何體系進(jìn)行首先要進(jìn)入學(xué)習(xí)區(qū)或者我要檢測(cè)先跑一遍，我再看怎么樣，再一個(gè)就是我們要看錄完這個(gè)東西是不是真的能夠跑的怎么樣，所以這個(gè)是觀察區(qū)要測(cè)試，然后再自動(dòng)到生產(chǎn)運(yùn)營(yíng)區(qū)這個(gè)東西最好是不用人工參與，但是適當(dāng)?shù)娜斯⑴c是要的。這個(gè)設(shè)備和安全產(chǎn)品放在那不動(dòng)就自動(dòng)的把它運(yùn)轉(zhuǎn)起來(lái)的，所以這個(gè)是分區(qū)可維護(hù)自動(dòng)化的概念，我們?nèi)鹦求w系也會(huì)按照這個(gè)思路和模式去做。