企业安全攻防，你在正确的道路上吗?

2016年1月16日，由企业网D1Net和中国信息化发展战略与创新联盟联合举办的2016年北京部委央企及大型企业CIO年会在北京隆重举行，大咖云集，干货爆棚，围绕新IT架构和信息安全，CIO们碰撞思想火花，最前沿的技术厂商交流最新的研究成果及创新产品。技术与实战在这里融合。

主持人：接下来出场的是安全界的一位传奇人物，也可以算是国内的黑客教父万涛，黑客老鹰。现任中国计算机取证专家委员会成员，IDF实验室、益云安全平台联合创始人、黑客爱国组织，鹰盟掌门人，有请他跟我们分享企业安全攻防，你在正确的道路上吗?

黑客教父万涛

万涛：非常感谢大家，我还是来一点官方一点的介绍，之前在交流这个会议的时候，主办方说官方的介绍太严肃了，所以给大家娱乐的介绍，这样大家不容易注意。我自己简单介绍一下，我1992年在大学期间，我在交大毕业，但是我的专业是会计专业，只是在大学里面偏课了，后来在国外做过审计，然后在公安部冠群金辰和IBM。1998年加入最早的一个安全组织绿色兵团，今天那些成员基本上都活跃在安全的一线，基本上不管BAT还是其他各个层面上大部分都是从这个里面出来的，由此产生一些影响。我自己比较关心威胁情报和智能硬件安全。现在用手机连WIFI的建议你们WIFI关一下。

安全这个话题，要感谢斯诺登，安全的确走出一个非常只闷不骚的路子。这个年龄人群跟以前有非常大的不同，可能有非常小的小孩，也会有美女，也会有老人家。我今天在这儿这个样子，你不会把我当成黑客。这是一个2000年，距今已经15年的Flash。

(播放VCR)

万涛：这个Flash给大家娱乐一下，其实中国人很讲江湖，以前包括互联网，包括安全也很有江湖味道。之前大家可能都看过《笑傲江湖》，《笑傲江湖》里面武功最高是东方不败。其实过去的安全攻和防之间的关系有一点这样的关系，所以我们做企业安全的时候一直想说，我们用一种什么样的体系、架构和模式去构建一个密不可破的，所以网络安全界经常会说企业网安全怎么致胜，由此衍生出各种各样的架构。

我其实去IBM的初衷就是以前局限在产品级的设计。当时70%到80%的安全事故的确来自于终端，比如中国移动、运营商，当时在冠群金辰，属于终端杀毒，再延伸到终端防护，包括今天桌面防护一直是我们企业安全投入的一个重点。在这个之后我们会看到，从流程导向、事件导向的一种演绎，会发生很多衍生，比如IBM EMC的架构，然后这两张网一直到技术导向，我们对看不见，摸不着的黑客，或者网络犯罪,我们一直在进行一个不断的投入，但是看不见效果，不好去评价这样一种结果。那么，这个结果在IT里面通常用四个方向去说。第一、事件导向，就是出事。然后逐步延伸到技术导向，围绕技术，当今流行什么技术，安全有什么新的发现。第三、转向流程导向，以合规为方向。到最后直到前几年提出以风险为导向，成熟型的企业以风险为导向。

这是我在今年的北向峰会，也是前不久开的一个北向峰会。北向峰会里面，这张图是我画的，其实就是想用一种架构，一种模型展示我们对安全的理解，最后发现这张图越画越大，是不是从治理、技术、风险、成熟度综合去表达，但是还是很难。IBM提出10个作为企业CIO要建设的十个能力，这十个能力代表你的安全成熟度。但是攻击者是因为你的成熟而就变得虚弱吗?我们看一个小例子。如果你真的练成这样的功夫，像东方不败一样，东方不败后来为什么失败了。这个例子，有一个小白帽经过某一电商的楼，拿起WIFI钥匙试一下，结果扫到有一个SID，密码也有，其实把你自己也分享出去了。试着连一下，居然能连进去，这个时候进来的是一个内网，不能上外网，怎么办?再扫描，就扫到了它的DNS。这恰恰是内部的简单密码，就直接可以访问ERP了。前两年有一个263邮箱的任意登录漏洞，比如忘记密码或者什么，会给你邮箱发一份认证。但是，这个不用Cookie，验证不严谨的时候可能就做了简单的替换，直接做链接，这种情形跟我们刚才的介绍有关系。

这个案例和今天的产品有关系，今天海峡对岸正在进行选举，早上我去Facebook上看了一下情况，其实这个结果肯定是不乐观的，从我们的角度来说。但是，多年前曾经也有一个案子，特别应今天的景。有一家很强势的企业叫富士康，是一家台企，和中国的一家民营企业现在做汽车的比亚迪一直在打官司，他们曾经是合作伙伴。但是他们在打官司的时候，当时应该也是选举，这边是郭台铭的邮箱，右上角是涉及到他的竞争对手等的一些资料，左边是给当时的政局某位常委的公函。放到今天的这个场景就是因为当时富士康指控比亚迪侵犯他们的资产，他们在两岸三地都开展了这个官司。今天企业的信息，从网络犯罪来说，我们大部分的网络犯罪，中国的模式应该是C2C，或者P2C，好容易以个人用户为主要对象。而跟俄罗斯这类的是不一样的。比如俄罗斯的犯罪主要是金融犯罪，比如针对银行信用卡。

从这些年开始，随着我们加强对一些方面的打击，还有力度增大，的确一些灰色地带盯上企业的竞争。一般制造型企业不像互联网公司，没有互联网上的服务，公司网站可能也就是一个形象，做一个宣传，跟他的业务之间没有什么区别。所以不太可能在Internet上直接下手。比如这个案子后来是怎么样入侵的呢?首先，我去应聘一个普通的文员。这是为什么呢?小偷做案都要踩点，桌面系统是什么?安全手段有哪些，这些都知道之后，我再开始找关键的突破点，而且也会配合，因为我会知道你的安全策略和管理方式。就是我知道你用的邮箱，你的邮件版本，我可以在市场上找。最终一步步渗透，拿到了他们想要的东西。当他们拿到这个东西的时候，这个东西值钱。

所以，我们看到像这样的模式，其实这样的案例有很多，有些北京的同行就不好说了，因为这些是已经公开的。所以这样一个例子，它真的不是可以拿来像笑话一样讲呢?因为当时比亚迪的认为这是一个圈套。如果在大选的时候出现。所以，有可能一个企业之间的商业竞争会扯上复杂的事情，像索尼。

在今天的环境下，跟过去十年前大大不同的是说，由于互联网本身的发展，就是企业的数据，12306是被撞故撞出来的。有一个青年网上下到这个东西，还能用，就逐个给里面每一个受害者发邮件，所以，像今天这样的库太多了。

比如现在我们的房产、网好像还不支持利用个人名字进行查询，可能必须输入详细的地址，整个很详细，每个楼盘，你的业绩、身份证、电话。在这种情况下由于有人在做，比如开房的数据，查一个是免费的。我们在斯诺登事件之后也花很多力气，国内安全企业说为什么斯诺登爆出美国监控全球这么多东西。去年360和安天挖掘了海莲花。如果我们只是构建这一条，有可能会成为快人生中的哪些?如果我们做不到的时候，这就是一个非对称的状态。

总结一下威胁情报是按照里面推的无须多。在“互联网+”这个时代作为一个CIO或者作为企业来说，需要威胁情报作为前奏。我们的大数据能够提供支持与便利，支持我们对企业的公共安全的预防。

真的要理解是很困难的，很多思维方式跟我们的思是是不一样的。第二期对进一个黑客被判399年。但是做快播当时还大一点。很多时候因为它只是有一些奇迹影响，所以有些人真的只能一辈子干这个。所以，这上面列的一些比如周边是一个日本的留学生找我，留学生要挣钱，那时候没有代沟，想搞日本的AV债，帮日本的AV债做推广。然后交易里面，大家不了解电子垃圾产业，我1995年跟我的同学干过，上面都是新加坡人等，从美国运输回来，我们赌这个柜一吨你出多少钱，根据你自己的一些信息。如果全是硬盘，你赚了。如果打开全是鼠标，你惨了。我们当时一个柜子全是鼠标，有些人是做木马，是P2P的，是一个自组织的，去中心的，有人做木马通常就会有人收，有人收之后会有人挂。所以这个行业也是这样，会有人收东西，有意重罚。我们是通过广告链推过去，现在是国务院产品。黑产的一些模式你要理解，我们当这些文件，比如包括你的笔记本，比如说我们刚刚讲无线，很多会场现在还有一些咖啡馆，在北京的那些创业团队有这样的职业钓鱼手，专门通过伪造热点的方式，因为大家一般信号不好，但是你没有办法判断这个WIFI是钓鱼的。在有些地方比如有些邮箱用的方式，其实不是真正加密的。这些邮件像卖包一样，政府类的级别1TB多少钱，有可能有聊。比如手机维修手机店专门就是做刷码的。所以，等等这些我们会看到它的这些交易，还有这些模式上面，可能真的差不多有一个想象。所以，你需要这方面的信息，你也需要了解这些分析的业务。

总结一下，社工库专门充当前奏，云、社家网络被利用做出交易或者交换创造无限可能。漏洞和工具成为媒介，欺诈、分包、分工呈现多样化的混乱，商业竞争与各色利益卷杂其中，需求无所不包。未来，它会进一步的延伸，这是去年我在腾讯的公报上，其中有一些基本上我才讲完没有半年信息就出现了，比如网盘，包括最近我们关心的网络恐怖主义等等。

到物联网时代，我们讲万物互联，这种风险就会更大了。比如最近乌克兰的电场被黑客攻击。我对电网比较感兴趣，我们会看到美国智能电网架构的设计，我们相对来讲大家如果不是在电力学可能很少参与，但是我们会看到它的电网的参与的治理结构。乌克兰这个电网现在已经有国内的分析报告出来了，它最初的引发由基于Excel的宏病毒。但是我可以告诉大家，今天真的在工控非常的脆弱，很多地方我们都知道。比如别说风控了，我们短信是走信令通道的，只要通到运营商内部，信令的入口比比皆是。我们不能以系统被宕掉作为被黑的标志，所以，像乌克兰的这个电力中断的事情应该做一个紧急。

总结一下，大家看《笑傲江湖》的时候东方不百为什么失败了?即使她武功很高，可以练到用绣花针打你。第一个问题就是它的信息是闭塞的，对他下面的人用了很强的管控手段。当别人打他的下面人的时候，他就分心了。所以，在今天的环境下你自己很强是不足以的。蚂蚁打败大象不是一个个体之间的对抗。所以，未来很大的风险在于经营式的思维模式和治理方式会受到来自无序的互联网公司的挑战。而且由于金融等等各方面体系的发展，今天真的有很多方式去做。所以，今天网络犯罪称国际化的方式已经出现了，可能层次相对低，比如电话诈骗，电信欺诈等等。但是，其中很多东西已经在浮动了，只是取决于连接的线有多深和多远。所以，作为CIO，作为企业安全来说，我们不能走东方不败之路。我们今年看到太多的例子一个大的企业在转瞬之间消亡了，或者崩溃了，未来安全会不会成为压到我们的一根稻草，这个需要我们更多的从信息，从情报，从治理，从技术，从多元化去结合。我已经离开IBM，我们有一个IBM实验室，这是一个打通企业跟安全界这样一个跨界的桥梁，我比较关注智能硬件，我们以后可以多交流和学习。

在今天这样一个时代，这是一个风险和机会并存的最好，也可能是最坏的时代，它一切都有可能。所以，站在今天的企业安全治理上说，我们要拥抱风险，畅游数据，而且要合纵连横，今天不是甲方和乙方，我们要多一些朋友，大家做一些交换，情报是可以交换的。如果和犯罪之间的对抗，或者说跟企业威胁之间的对抗能够做到水涨船高，我们就可以游刃于其中，谢谢大家!

本文转自d1net（原创）