共享威胁情报,协同打击犯罪 | 专访Fortinet全球安全战略官Derek Manky – 作者:Elaine_z

网络犯罪日益增长,在过去的2017年,这成为了越来越不容小觑的趋势;随着全球范围内多起安全事件的爆发——WannaCry勒索软件、Equifax数据泄漏事件、挖矿木马吞噬设备性能——网络犯罪,也逐渐成为与所有人息息相关的信息时代生活的一部分。

[视频见文末]

FIT 2018 大会上,Fortinet 全球安全战略官 Derek Manky 来到 FreeBuf 镜头前,向我们讲诉了自己20年从业的经历、在 Fortinet 的成就以及对继续打击网络犯罪、建立安全“理想国”的目标与行动。

微信图片_20171214135200.jpg 

网络犯罪者,他们毫无畏惧之心

来自 Fortinet全球安全战略官 Derek Manky 是个不怕寒冷的加拿大人,在访谈开始之前,我们还轻松地聊了关于天气的话题。FIT 2018 召开时恰巧上海正处于寒冬时节,冬日的寒意却一点也没有干扰到访谈的热情。我们首先询问了 Derek 关于当前网络威胁现状和网络犯罪方面的看法,

“现在网络安全事件频发,网络罪犯猖狂。如果需要总结主要原因的话,我觉得——网络罪犯对此毫无畏惧之心。”

“如果他们毫无畏惧,他们可以把很多事情弄糟而毫不关心,他们迅速转移到下一个目标中,而它们依然逍遥法外。这样,更多的人受到吸引就会加入这个行业,赚取钱财。”

DSC_8431gallery28.jpg

如今网络安全威胁形式已经日益严峻,全球的网络犯罪也在以飞快的速度进化,犯罪形态和10年前的状态截然不同。而这个时代的网络罪犯正在变得越来越聪明,他们不只是感染计算机设备,还可以通过攻击数据的备份来实施目标;他们还在积极应用 AI 等自动化技巧,从网络攻击者的视角来迅速进化。

“如果我们回想 10 年前的网络事件,再来和今天的病毒以及数量进行比较(会发现惊人的变化)——10 年前我们每天大概能够发现 500000 个病毒,现在的病毒在数量上却变成了 4 倍的 200 万,仅仅只是考虑病毒数量这一个点上就有如此惊人的变化。”

“除了病毒的数量增长很大之外,现在的网络犯罪类型也和过去截然不同。网络攻击者不断地变多,让各类威胁活动活动愈演愈烈。”

Derek 认为当今时代的威胁数量和威胁面貌发生的变化,代表了这个信息时代的面貌。现在超过 50% 的攻击来源来自安卓端、及移动端上的恶意软件等,这些转变意味着网络罪犯在实施攻击面正在发生变化,与他们进行对抗意味着企业需要在情报、资源、信息共享等多方面都要足够强大。

企业的威胁情报,是否是可执行的情报?

作为 Fortinet 全球安全战略官,Derek 自己每天的工作都与威胁情报密切相关。他坦言,现在的时代每天都在产生大量的数据,如果某一天失去了威胁情报,进行安全分析就很容易在数据中迷失。

”我们知道每天都有数亿百万计的攻击事件正在发生,而威胁情报则可以告诉我们这些都为什么会发生,是怎么发生的。通过调查我们能够理清事件发生和攻击出现的完整过程,我们才能够知道怎样才能进行防御。”

“威胁情报是关于信息追踪与关联的活动,当我们提到关联,我们在说的就不只是发现病毒的存在,而是能够了解病毒的来源和攻击的路径。威胁情报提供的适当片段可以组合在一起,拼出一个详实完整的事实。”

Derek 也提及了所有威胁情报都面临的最大问题——在企业环境中,威胁情报很多时候都只独立存活,很难在其他地方和系统中运用到这些数据。

DSC_8580gallery53.jpg

回顾 2017年发生的各类企业安全事件中,如美国征信巨头 Equifax 信用泄漏的事件:企业们实际上在安全日志中追踪到了威胁情报中提供的信息,但是企业的员工处理信息的速度很慢,并没有人及时处理这些信息——情报没有被员工执行,导致后续的事件响应速度缓慢

在如何将威胁情报纳入企业自身系统的问题上,Derek 表示在 Fortinet 有 Fortinet Security Fabric (安全架构)帮助企业实现情报的可执行性,即企业即便没有可以直接对接的 Fortinet 产品,他们也可以通过共享情报,创建自动化的规则,保护企业安全。

“多数的威胁情报只是给企业提供数据情报,但有很多企业并不明白如何运用这些威胁情报。也有部分厂商同时提供安全解决方案,如防火墙和其他产品。他们都需要人力来对这些产品进行维护和数据更新,并不一定能及时同步威胁情报,而 FortiGuard Labs(Fortinet全球威胁研究与响应实验室) 所做的是在后端处理这些情报,然后把简化的信息提供给企业,减少企业的人力成本,不再需要很多的员工将规则更新到安全产品中。

从编程讲师到 Fortinet 全球安全战略官

 Derek Manky 在安全行业从业已经 20 年有余,14 年前的他加入了 FortiGuard Labs(Fortinet全球威胁研究与响应实验室),现在实验室也在规模、技术等多方面获得了不小的成就。而在谈起这些年安全行业从业过程时,他在分享时露出了灿烂的笑容。

“我在安全行业从业20年,加入 Fortinet 之前我是一个编程的教师,教授底层编程语言, C 语言, C++ 之类。我熟练掌握了编程技能,所以在进行逆向工程时,我能够理解代码如何运行,什么时候进行的编译,特定的代码会执行一些什么。”

屏幕快照 2018-01-03 下午4.04.30.png

“这些技能实际上是非常重要的。因为在开始进行病毒分析的时候,你需要理解病毒代码的每一部分是在做什么,然后才能知道如何进行防御。”

Derek说,过去的这些经历都非常愉快,而现在 FortiGuard Labs 已经成长为一个拥有超过 200 名安全研究员的实验室了。日常工作里,他们各自追踪不同细分领域中大的威胁情报,进行分析。工作中还有很重要的一部分,在于与行业中其他厂商和伙伴们进行合作,比如 CERT 以及各种执法机构,共同打击网络犯罪。

FortiGuard Labs 独特的一点在于,我们可以看到完整的攻击面,不管是邮件威胁、黑客攻击、僵尸网络还是蠕虫等等。我们能够实时看到外面在发生什么,我们也有安全专家针对每一个领域进行调查分析,这是很特别的价值。现在 Fortinet 基本上不再需要从外部获取信息或者技术支持,我们都依靠自己来实现,现自有 400 多种的安全模型,这是非常大的数字了。

信息安全的理想国可能实现吗?

Derek说他有一个终极的理想,那就是在这场对抗全球网络犯罪的战争中能产生积极影响。而打赢这场战争,单家厂商的单打独斗是不够的,需要的是整个行业的共同进步。 

Derek 认为建立起情报共享、合作交流的平台,需要的不只是安全厂商,还需要来自政府、企业、私人研究机构等多方面的合作。

“在过去的 5 年间,我们意识到,既然我们在推动威胁情报走向商业化,为什么不一起合作共享不同的情报呢?

即便同为安全厂商竞争者,共享情报完全不会影响各自安全产品和解决方案的竞争力。我们现在在业内展开了大量的合作。其次,我们还建立了网络威胁联盟(CTA),在这个联盟中我们聚集了全球领先机构的CEO共同商议和分享安全信息。”

“这些合作和联盟非常重要,因为我们构建出了平台,Fortinet 和其他组织机构都可以加入,实时地分享和消费情报和其他信息。最新的研究进展、各种报告白皮书的发布,随时都能在平台中看到最新的进展。”

“而谈及切实的打击犯罪,仅仅拥有情报也是不够的。和执法机构政府合作,他们才能逮捕犯罪分子。合作是唯一可能的打击犯罪的最佳方案。”

访谈的最后,我们也询问了 Derek 关于他所理想中的信息世界,他认为从现实角度来看,这个世界总是会存在黑色与白色,网络犯罪依然存在因为犯罪无法被彻底杜绝。

但在他设想的安全理想国,这应该是一个去中心化的、和谐的、统一政策驱动的世界。如果能有统一的政策管理制度,信息安全的差别不会因为不同地区和国家的制度差异而寻在,对犯罪行为的治理也会更为有效。

Global-Antitrust.jpg

不同地区不同企业的数据隐私行为、应对安全事件的处理方法、数据泄漏的处罚,都能够在一种完善的规范中得到定义和管理。而这样统一化的标准,也能促进安全事件发生之前政府的重视程度,相关的投资机构也能事先地进行投资。网络犯罪者的作案成本会因此而大幅增大,实现犯罪率的降低。而从企业视角来看,一个信息安全的理想国中,所有企业必然需要对对员工进行适当的安全意识培训,并对内部和外部风险以相同的程度重视起来。

访谈视频片段如下

*FreeBuf官方报道,未经许可禁止转载。

来源:freebuf.com 2018-01-09 11:10:34 by: Elaine_z

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论