作為一個(gè)全球性的互聯(lián)網(wǎng)出行巨頭����,滴滴擁有十萬(wàn)級(jí)服務(wù)器規(guī)模的龐大IT基礎(chǔ)設(shè)施�,如何做好企業(yè)安全運(yùn)營(yíng)是一個(gè)非常大的挑戰(zhàn)���。在2020 CTIC 網(wǎng)絡(luò)安全分析與情報(bào)大會(huì)上�,滴滴安全部負(fù)責(zé)人秦波表示�����,威脅情報(bào)是滴滴和外部專業(yè)能力相互打通的一個(gè)重要橋梁�����,讓滴滴更好地提升了安全檢測(cè)的能力�����。
滴滴的威脅情報(bào)實(shí)踐
秦波介紹到滴滴的安全挑戰(zhàn)非常大體現(xiàn)在其業(yè)務(wù)的特殊性��,攻擊者會(huì)通過(guò)一些手段干擾����、破壞來(lái)直接獲取利益�����,或者對(duì)平臺(tái)公平性造成損害。一方面要保護(hù)用戶的數(shù)據(jù)�,比如保護(hù)乘客的行程軌跡以及其他個(gè)人數(shù)據(jù)免被利用。另一方面�,還要防止司機(jī)作弊,比如����,避免不具備接單的資格的司機(jī)非法搶單,從而影響平臺(tái)的公平性并造成資金損失等����。
滴滴安全運(yùn)營(yíng)負(fù)責(zé)人 秦波
除了出行業(yè)務(wù)以外,滴滴還面臨著物聯(lián)網(wǎng)設(shè)備方面的安全問(wèn)題��,比如青桔單車���、無(wú)人車����、充電樁以及一些智能交通設(shè)施���,這些設(shè)備存在著被物理手段或者近源攻擊的可能性��,從而對(duì)業(yè)務(wù)造成破壞�����,也損害用戶利益���,可能對(duì)社會(huì)的基礎(chǔ)設(shè)施帶來(lái)破壞���。
滴滴的安全技術(shù)團(tuán)隊(duì)大約有四五百人的規(guī)模。盡管在安全上的投入很大�,但仍會(huì)感覺(jué)不足,秦波表示:“如果完全靠我們自己去識(shí)別這些威脅的話��,它是有一定欠缺的�,因?yàn)槲覀儫o(wú)法把所有流行的攻擊手段、IP����、惡意文件都識(shí)別出來(lái)。而微步在線是專業(yè)性的服務(wù)�,把它引入到滴滴內(nèi)部來(lái),能幫我們提供外部的能力��。”很多時(shí)候滴滴的網(wǎng)絡(luò)安全建設(shè)都依靠自研技術(shù),但是在威脅情報(bào)方面�����,卻采用了微步在線提供的威脅情報(bào)服務(wù)���。
秦波介紹,滴滴采用了微步在線的威脅情報(bào)API數(shù)據(jù)服務(wù)�����,它能夠幫滴滴更加快速的去識(shí)別檢測(cè)到的可疑IP�����、惡意文件���、攻擊手段等�����,可以幫助滴滴更好的甄別問(wèn)題��,提升安全檢測(cè)能力�����。
在秦波看來(lái)����,情報(bào)的作用不僅體現(xiàn)在被攻擊的時(shí)候。他表示���,在攻擊發(fā)生前��,通過(guò)情報(bào)來(lái)發(fā)現(xiàn)企業(yè)暴露在互聯(lián)網(wǎng)的資產(chǎn)的脆弱性�����,并且做到快速摸查����、修復(fù)����、加固;在攻擊正在發(fā)生的過(guò)程中,情報(bào)作為一個(gè)重要的檢測(cè)手段�,可以確鑿地去發(fā)現(xiàn)每一個(gè)攻擊,在整個(gè)過(guò)程中做到真實(shí)���、有效和快速�����。
微步在線最為人所熟知的就是威脅情報(bào)���,它的威脅情報(bào)數(shù)據(jù)非常全面,而且非常準(zhǔn)確��,內(nèi)容也很豐富�����。所謂威脅情報(bào)���,它能幫助企業(yè)用戶識(shí)別出各種網(wǎng)絡(luò)威脅��,包括識(shí)別攻擊手段�����、識(shí)別IP����、識(shí)別惡意文件、識(shí)別黑客組織等等��,引入威脅情報(bào)就意味著請(qǐng)了一位安全的吹哨人���。
滴滴看重微步在線技術(shù)服務(wù)上的先進(jìn)性���,也看到了該服務(wù)對(duì)于滴滴安全能力方面的價(jià)值,雙方聯(lián)手以新一代的安全技術(shù)加固滴滴整體的安全防護(hù)體系���,為數(shù)億用戶帶來(lái)更強(qiáng)的安全感���。
基于威脅情報(bào)的檢測(cè)與響應(yīng)
滴滴對(duì)于威脅情報(bào)的使用方式反映出了大型互聯(lián)網(wǎng)公司業(yè)務(wù)的行業(yè)特性。除了提供威脅情報(bào)���,微步在線在安全技術(shù)方案層面還有更多解決方案�,讓企業(yè)享受到威脅檢測(cè)和響應(yīng)帶來(lái)的安全感���。
在2020 CTIC 網(wǎng)絡(luò)安全分析與情報(bào)大會(huì)上�,微步在線技術(shù)合伙人趙林林表示���,目前很多企業(yè)仍在采用傳統(tǒng)的IDS(intrusion detection system-入侵檢測(cè)系統(tǒng))��,對(duì)網(wǎng)絡(luò)威脅進(jìn)行檢測(cè)��。
微步在線技術(shù)合伙人 趙林林
在實(shí)際應(yīng)用中�,IDS動(dòng)輒成千上萬(wàn)的海量告警,還有居高不下的誤報(bào)率��,都令安全人員非常頭疼��,其結(jié)果就是選擇忽略IDS�����。最終讓用戶下決心徹底拋棄IDS的原因在于���,IDS根據(jù)規(guī)則告警的策略是一種落后的技術(shù),它很可能檢測(cè)不出真正的威脅��,而且響應(yīng)能力很弱���。如今����,IDS開始被邊緣化�����,在一些行業(yè)條例,比如等保測(cè)評(píng)條例里已經(jīng)開始忽略IDS了�。
趙林林認(rèn)為,作為新一代流量檢測(cè)技術(shù)��,NDR(Network Detection and Response-網(wǎng)絡(luò)的檢測(cè)和響應(yīng))將會(huì)取代傳統(tǒng)的IDS�����,成為未來(lái)企業(yè)安全運(yùn)營(yíng)能力的標(biāo)配���。與IDS相比��,NDR在威脅檢測(cè)的有效性����、檢測(cè)范圍和檢測(cè)的復(fù)雜度方面都要強(qiáng)得多;在威脅響應(yīng)方面�,NDR把響應(yīng)提升和檢測(cè)一樣的高度。也就是說(shuō)���,NDR能發(fā)現(xiàn)問(wèn)題���,也能解決問(wèn)題����。
基于NDR理念����,微步在線推出了一款重磅產(chǎn)品——TDP(Threaten Detection Platform-威脅感知平臺(tái)),幫助企業(yè)從發(fā)現(xiàn)問(wèn)題到處置問(wèn)題�����,以閉環(huán)的方式做好安全運(yùn)營(yíng)��。通過(guò)TDP���,安全運(yùn)營(yíng)人員不僅能夠發(fā)現(xiàn)新型的網(wǎng)絡(luò)威脅,而且可以從網(wǎng)絡(luò)威脅的背后分析出攻擊者的戰(zhàn)術(shù)��、技術(shù)和攻擊過(guò)程��,并對(duì)攻擊者做出畫像�����,從而做出準(zhǔn)確�、有效的響應(yīng)��。
趙林林強(qiáng)調(diào)����,TDP是一種可以用的起來(lái)的安全方案���,能做檢測(cè)�,還能做響應(yīng)����,兩種能力的結(jié)合最終能給企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)帶來(lái)安全感。這種安全感主要是指能提供檢視安全狀態(tài)的能力��,從被入侵的那一刻開始�,檢測(cè)和響應(yīng)能力就開始發(fā)揮作用了,它能讓用戶看到哪些設(shè)備被黑了�,突破口是哪里,被誰(shuí)黑了��,入侵者具體做了什么操作���,是否做了自動(dòng)處理等多種信息�。
由于TDP源于微步在線強(qiáng)大的威脅情報(bào)能力,因此其產(chǎn)品成熟度也比國(guó)內(nèi)大多數(shù)同類產(chǎn)品要高����。微步在線在TDP方案中的一些具體做法也經(jīng)常被效仿,頗有一直被模仿��,從未被超越的態(tài)勢(shì)��。
微步在線為企業(yè)帶來(lái)安全感
除了對(duì)產(chǎn)品的解析之外��,在大會(huì)后的采訪中�,趙林林還分享了一些在互聯(lián)網(wǎng)行業(yè)的應(yīng)用案例,例如:
某知名互聯(lián)網(wǎng)資訊企業(yè)����,在日常安全運(yùn)營(yíng)中發(fā)現(xiàn)有一臺(tái)服務(wù)器被黑客攻擊了,起初用戶并沒(méi)有太在意�,以為只有少部分服務(wù)器被黑了。但是����,當(dāng)部署規(guī)模擴(kuò)大之后����,用戶驚訝地發(fā)現(xiàn)被黑的范圍其實(shí)很大,這才開始意識(shí)到自己的系統(tǒng)其實(shí)并沒(méi)有想象中的那么安全。
在嘗試微步在線TDP平臺(tái)后���,該企業(yè)的安全運(yùn)營(yíng)人員能夠清楚地看到黑客訪問(wèn)了哪個(gè)目錄下的數(shù)據(jù)����,哪些數(shù)據(jù)被竊取了����,拿走了多少數(shù)據(jù),甚至能夠溯源是哪個(gè)黑客團(tuán)體拿走的�����,許多細(xì)節(jié)都顯示得一清二楚�,這在以前是不可想象的。
還有一些互聯(lián)網(wǎng)企業(yè)�,對(duì)于微步在線TDP平臺(tái)的安全狀況可視化能力印象深刻。因?yàn)門DP能夠?qū)⒑诳偷墓粜畔凑諘r(shí)間線進(jìn)行非常清晰的展示���,讓用戶看到很多有價(jià)值的信息����,從而更好地進(jìn)行安全運(yùn)營(yíng)決策���。
趙林林在采訪中表示�,在客戶的實(shí)際測(cè)試中,微步在線的TDP平臺(tái)有非常出眾的表現(xiàn)���,能夠?qū)⒐粜畔?zhǔn)確地呈現(xiàn)出來(lái)����,因此微步在線總能在眾多廠商的競(jìng)測(cè)中勝出��。
總體而言�,面對(duì)新型的網(wǎng)絡(luò)威脅,檢測(cè)與響應(yīng)已經(jīng)成為互聯(lián)網(wǎng)企業(yè)安全的主要建設(shè)方向�。因此,在安全建設(shè)中引入威脅情報(bào)�����,企業(yè)可以及時(shí)發(fā)現(xiàn)威脅�,并做出準(zhǔn)確、有效的響應(yīng)��。作為威脅發(fā)現(xiàn)與響應(yīng)的專家���,微步在線以云端和本地的全面監(jiān)控,將情報(bào)賦能企業(yè)傳統(tǒng)安全和業(yè)務(wù)安全,從而助力企業(yè)有效對(duì)抗新型攻擊手段和未知威脅�����,給企業(yè)滿滿的安全感�����。
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體�����,目的在于傳遞更多信息�����,并不代表本網(wǎng)贊同其觀點(diǎn)����。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容���、文字的真實(shí)性�、完整性�����、及時(shí)性本站不作任何保證或承諾,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容��。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任����。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系我們�����,本站將會(huì)在24小時(shí)內(nèi)處理完畢��。
