史中 編輯

大數(shù)據(jù)、威脅情報(bào)，這兩個(gè)詞匯聽起來非常性感。在我們的想象中，掌握大數(shù)據(jù)的人就像先知和上帝，俯視我們所不能完全理解的事態(tài)，精準(zhǔn)地預(yù)言我們將要面臨的危機(jī)。然而，對(duì)于大數(shù)據(jù)的利用是非常考驗(yàn)功力和技巧的。很多學(xué)藝不精的團(tuán)隊(duì)稍不留神就可能把威脅情報(bào)搞成“擺攤算卦”。

 本期硬創(chuàng)公開課我們請(qǐng)來了白帽匯的創(chuàng)始人劉宇，白帽匯擁有一樣獨(dú)門武器，那就是NOSEC大數(shù)據(jù)平臺(tái)，可以匯總諸多白帽子網(wǎng)羅的獨(dú)特情報(bào)。像黑客一樣去思考，就是他們的自我要求，今天就請(qǐng)劉宇來聊聊白帽匯在真槍實(shí)彈的對(duì)抗中，究竟如何把大數(shù)據(jù)究竟轉(zhuǎn)化成有用的威脅情報(bào)。

 

劉宇，白帽匯聯(lián)合創(chuàng)始人。2004年畢業(yè)于湖南大學(xué)計(jì)算機(jī)通信學(xué)院。擁有微軟MCSEC,MCDBA,MCP證書，從事信息安全行業(yè)7年。2009年與趙武（zwell）一起成立諾賽科技，負(fù)責(zé)穿山甲，竭思，億思的銷售與推廣。億思是全球第一款在線Web應(yīng)用安全掃描平臺(tái)，2011年擁有幾萬企業(yè)用戶。2015年，作為聯(lián)合創(chuàng)始人創(chuàng)立白帽匯。

白帽匯究竟是神馬？

Q：白帽匯是什么意思呢？和大數(shù)據(jù)威脅情報(bào)有什么關(guān)系呢？

白帽匯，顧名思義，是白帽子匯聚。

我們覺得白帽子和企業(yè)是相互服務(wù)的關(guān)系：

• 我們的NOSEC大數(shù)據(jù)平臺(tái)上的情報(bào)可以幫助白帽子更好地挖掘漏洞；

• 同時(shí)白帽子提交威脅情報(bào)到NOSEC，這些威脅情報(bào)為企業(yè)信息安全提升而服務(wù)。

這就是我們“匯”字的含義。

有關(guān)威脅情報(bào)的一切

Q：威脅情報(bào)是怎么出現(xiàn)的？

安全由一個(gè)公司來完成，這在很早期，還沒有互聯(lián)網(wǎng)公司前是可行的。你的安全，用一個(gè)殺毒軟件就可以搞定。比如：國內(nèi)的瑞星、江民、金山，國外的諾頓、卡巴斯基、小紅傘、Avast 等等。到了現(xiàn)在，技術(shù)的發(fā)展這么迅猛。安全，尤其是企業(yè)安全就不再是殺毒軟件就足夠的事情了。

講最直白的例子：

十年前阿里巴巴還沒有正規(guī)的安全團(tuán)隊(duì)，你和淘寶說：有人刷單。人家保準(zhǔn)罵“你有病”，而現(xiàn)在，阿里巴巴的安全團(tuán)隊(duì)明確將“有人刷單，某個(gè)人提供刷單服務(wù)”當(dāng)成威脅情報(bào)，并且還會(huì)獎(jiǎng)勵(lì)情報(bào)提供者金錢。

從殺毒軟件，到現(xiàn)在“威脅情報(bào)”，這種變化是沒人可以預(yù)計(jì)的，都是隨著業(yè)務(wù)發(fā)展，技術(shù)變化，慢慢養(yǎng)成的安全需求。

【白帽子提交的威脅情報(bào)/ 圖片由 NOSEC 平臺(tái)提供】

Q：什么是威脅情報(bào)呢？不用會(huì)死嗎？

SANS 研究院對(duì)威脅情報(bào)的定義是：針對(duì)安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標(biāo)、所收集的用于評(píng)估的應(yīng)用的數(shù)據(jù)集。

幾年前，我們將漏洞看做唯一的威脅信息安全的途徑，而實(shí)際威脅企業(yè)的太多方面，漏洞只是其一。還有比如：釣魚郵件，員工的個(gè)人信息，密碼習(xí)慣等等。根據(jù)我們的調(diào)研，目前許多的漏洞非直接來源于IT資產(chǎn)的漏洞，而是企業(yè)員工個(gè)人信息等。通過員工與企業(yè)相關(guān)的郵箱，OA，VPN賬戶入侵，再入侵到企業(yè)服務(wù)器。

威脅情報(bào)還有一個(gè)相關(guān)的詞——社會(huì)工程學(xué)。也是到目前為止，全球最牛的安全人員——?jiǎng)P文·米特尼克使用的最重要手段。他不是挖漏洞的高手，但是是社會(huì)工程學(xué)方面，他是最牛的人。他每天去撿廢紙，通過這些企業(yè)倒出的廢紙，黑掉那些企業(yè)。

所以，毫不夸張地說，社會(huì)工程學(xué)可以獲得企業(yè)的很多機(jī)密情報(bào)，比如：打電話欺詐獲得root密碼，通過釣魚郵件獲得員工帳號(hào)密碼等等。

威脅不只是漏洞，還有企業(yè)泄露的人員通訊錄；企業(yè)上傳到網(wǎng)盤的記事本；企業(yè)的一段代碼，甚至是垃圾堆里的廢紙。所有的一切威脅企業(yè)信息安全的都是威脅情報(bào)。

Q：是否能舉一些例子，講講真實(shí)世界的威脅情報(bào)究竟是什么樣子的？

企業(yè)最希望了解外面的攻擊者在干什么。

哪些人？

什么目的？

針對(duì)我的哪些業(yè)務(wù)？

做了什么？

還想做什么？

這些都是威脅情報(bào)提供的。

比如前段時(shí)間，我們發(fā)現(xiàn)了當(dāng)當(dāng)和小米的訂單數(shù)據(jù)泄露。這個(gè)不是漏洞，而是一個(gè)信息安全事件后的數(shù)據(jù)泄露。我們第一時(shí)間告訴當(dāng)當(dāng)和小米。這個(gè)事情發(fā)生了，他們了解到這個(gè)事件，首先要做的是保護(hù)用戶，通知用戶保護(hù)自己帳號(hào)，提醒可能的電話詐騙等等。然后再尋找自己的信息安全問題。當(dāng)然我們也會(huì)告訴當(dāng)當(dāng)和小米，你有哪些漏洞可能導(dǎo)致數(shù)據(jù)泄露。

【小米用戶收件人地址和電話信息泄露/ 圖片來自 NOSEC】

Q：誰需要威脅情報(bào)呢？

以我們?yōu)槔?，白帽匯的威脅情報(bào)得到新浪、小米、當(dāng)當(dāng)、華為等互聯(lián)網(wǎng)公司的重視。還有BAT的漏洞，這些都是經(jīng)過我們團(tuán)隊(duì)驗(yàn)證的。

但是需要威脅情報(bào)的遠(yuǎn)遠(yuǎn)不止這些大企業(yè)。對(duì)于企業(yè)里的員工，使用企業(yè)服務(wù)的客戶，在聽我說話的每一個(gè)人，也需要威脅情報(bào)。比如之前發(fā)生的CSDN信息泄露，攜程信息泄露，網(wǎng)易郵箱信息泄露。這些都讓每一個(gè)在互聯(lián)網(wǎng)混超過幾年的人都非常緊張，趕緊去改密碼，趕緊查自己的開房數(shù)據(jù)有沒有泄露。其實(shí)，我想告訴所有人一個(gè)事實(shí)，你只要使用了互聯(lián)網(wǎng)，你的信息就很可能被泄露了。

想想你用的哪一個(gè)APP不是問你要通訊錄讀取權(quán)限，有的輸入法申請(qǐng)的權(quán)限跟殺毒軟件的權(quán)限一樣，你不裝又不方便。所有程序把我們的通訊錄，短信，系統(tǒng)設(shè)置權(quán)限統(tǒng)統(tǒng)拿走。以至于當(dāng)我們收到釣魚短信，裝惡意App時(shí)，毫無警覺得就裝上了。因?yàn)檫@些惡意App和常見的App權(quán)限是一樣的。

此時(shí)，一定會(huì)有人笑我，講了太多App行業(yè)的內(nèi)幕。實(shí)際上造成這些現(xiàn)象的內(nèi)幕是，用戶根本不懂得保護(hù)自己隱私，企業(yè)想要你的一切信息，連女性的生理期都想要。（哈哈笑）

總結(jié)一下：

企業(yè)可以關(guān)注威脅情報(bào)，提升企業(yè)的信息安全

個(gè)人可以關(guān)注威脅情報(bào)，對(duì)保護(hù)自己隱私有幫助。

大數(shù)據(jù)怎么玩？

Q：怎么用大數(shù)據(jù)做威脅情報(bào)呢？

收集到一堆的數(shù)據(jù)，對(duì)企業(yè)來說無任何意義。威脅情報(bào)里有一個(gè)重要的情報(bào)來源就是對(duì)于安全大數(shù)據(jù)的分析，一大堆數(shù)據(jù)不能算情報(bào)。

我們NOSEC大數(shù)據(jù)平臺(tái)有幾塊。企業(yè)IT資產(chǎn)透視、全球網(wǎng)站檢索、NOSEC威脅情報(bào)。除此以外，還有：子域名庫，URL庫，Emai地址庫，全球網(wǎng)站指紋庫，這些都是花了許多精力積累起來的，不斷更新。

Q：這么多種類的大數(shù)據(jù)，有哪些是構(gòu)成威脅情報(bào)不可或缺的呢？

有很多，我可以舉兩個(gè)例子。

企業(yè) IT 資產(chǎn)透視

很多企業(yè)不了解自己資產(chǎn)。例如有多少服務(wù)器，多少IP，每個(gè)服務(wù)器跑啥業(yè)務(wù)。他們想搞清楚，但是一直沒能搞清楚。有個(gè)巨大的公司告訴我們：前段時(shí)間他們發(fā)現(xiàn)1個(gè) 1Day 漏洞，想給自己的服務(wù)器打補(bǔ)丁。但是這個(gè)過程非常緩慢，打了三天才終于把所有服務(wù)器打完。

這時(shí)候肯定有人會(huì)問：為什么打個(gè)補(bǔ)丁要這么長(zhǎng)時(shí)間呢？把全部服務(wù)器找出來，一并打了不得了？

原因就在于他們對(duì)自己的資產(chǎn)并不熟悉。這也是我們?cè)谧龅氖虑?，讓企業(yè)了解和掌握自己的資產(chǎn)，對(duì)每個(gè)資產(chǎn)打標(biāo)簽，檢索出企業(yè)泄露的員工信息。這種情況下，企業(yè) IT 資產(chǎn)的數(shù)據(jù)就變得非常有用，它可以為企業(yè)防患安全風(fēng)險(xiǎn)，遇到風(fēng)險(xiǎn)也可以及時(shí)補(bǔ)救。

全球網(wǎng)站檢索

安全行業(yè)的朋友知道 Shodan（撒旦），這是一個(gè)全球的服務(wù)器端口指紋系統(tǒng)。它可以識(shí)別這個(gè)端口跑的是Http，還是 Mysql，還可以進(jìn)一步知道是什么版本。

我們做了一個(gè)『全球網(wǎng)站檢索』，只針對(duì) Http協(xié)議、Web 應(yīng)用層。把全球的web服務(wù)指紋收集起來。這樣就能標(biāo)識(shí)出一個(gè)網(wǎng)站在哪個(gè)端口，使用哪一種 Web Server，哪種編程語言，哪種開源框架（如：CMS等）。通過這些功能，可以找到全球在線的 Squid 代理服務(wù)器；全球有哪些網(wǎng)站使用了 Jquery；全球有哪些在線H3C路由器；哪些網(wǎng)站使用了GeoTrust證書；哪些網(wǎng)站掛了某一種木馬；哪些網(wǎng)站使用了CloudFlare的 CDN 等等。

這些大數(shù)據(jù)，對(duì)于探測(cè)企業(yè)面臨哪些威脅，都是必不可少的。

【全球網(wǎng)站檢索/ 圖片來自 NOSEC 平臺(tái)】

我拿到了威脅情報(bào)，然后呢？

Q：企業(yè)拿到威脅情報(bào)之后，有哪些應(yīng)對(duì)的措施呢？

這個(gè)根據(jù)情報(bào)的不同類型，需要采取不同的措施。

泄漏事件：企業(yè)需要第一時(shí)間知道發(fā)生數(shù)據(jù)泄露事件。比如當(dāng)當(dāng)和小米的訂單泄露事件。我們通知給受害企業(yè)，企業(yè)第一時(shí)間準(zhǔn)備公關(guān)，查漏補(bǔ)缺。

漏洞威脅：對(duì)于漏洞等威脅情報(bào)，提交給客戶，他們收到后，可以修復(fù)漏洞。我們還會(huì)將一些著名的黑客團(tuán)隊(duì)習(xí)慣的攻擊手法，打標(biāo)簽，讓企業(yè)對(duì)頂級(jí)的黑客團(tuán)隊(duì)有所掌握，首先防患。

Github代碼泄露：還有部分github的數(shù)據(jù)泄露事件，包含企業(yè)的服務(wù)器ip，帳號(hào)和密碼，這些威脅情報(bào)企業(yè)得知可以改密碼，換服務(wù)器等等。

總之，威脅情報(bào)，是企業(yè)知己知彼的一個(gè)重要途徑，關(guān)起門來做信息安全，是與時(shí)代背離的。技術(shù)每天變化，威脅情報(bào)能讓企業(yè)信息與黑客信息同步，為信息安全建設(shè)提供巨大幫助。而且隨著技術(shù)的發(fā)展，威脅情報(bào)能夠提供的幫助，會(huì)越來越強(qiáng)大，甚至超過我們的想象。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。