歡迎你們前往騰訊雲+社區,獲取更多騰訊海量技術實踐乾貨哦~shell
背景:5月23-24日,以「煥啓」爲主題的騰訊「雲+將來」峯會再廣州召開,廣東省各級政府機構領導、海內外業內學術專家、合做夥伴及行業大咖悉數到場,共話雲計算與行業數字化新發展。安全
騰訊企業IT部安全運營中心總監蔡晨,在24日下午的安全分論壇上,介紹了騰訊如何將十幾年在內網安全建設的經驗輸出成爲解決方案,助力更多企業實現業務安全。服務器
如下爲蔡晨演講全文:微信
你們早上好!我是來自於騰訊技術工程事業羣企業IT部總監蔡晨,也是騰訊安全專家工程師。我在騰訊13年,都在作企業安全相關的工做,也是一個安全方面的一個老兵。網絡
首先,我要介紹一下,騰訊到底在企業內網或者企業安全上遇到哪些問題或者是哪些挑戰,這些困難是否會引發你們的共鳴。架構
第二,騰訊在內網安全方面作了十幾年,騰訊跟其餘傳統安全廠商或者是企業內網安全的思路和理念究竟是否一致?或者說咱們的特色是什麼。運維
第三,我今天講不少東西,可能沒有辦法經過幾個月的時間,或者是一兩年的時間就能實現,想告訴你們,如今會有什麼樣產品能夠幫助到你們。因此這個時候,也是很是感謝騰訊雲的黎巍總,我跟黎巍總申請了機會給你們講。機器學習
##騰訊面臨的終端安全威脅tcp
騰訊的內網或騰訊企業面臨過的安全問題是什麼?我把最近一年騰訊面臨的主要三大企業安全問題呈現出來:首先對咱們來講最嚴重的一類就是釣魚郵件,去年整個大行業趨勢比較相像,勒索病毒不少企業都受到了攻擊,在騰訊勒索病毒攻擊是很是厲害的。你們知道Wannacry和petya,可能你們不知道Locky,這是對騰訊發起的勒索病毒的攻擊形態,除了勒索病毒的攻擊形態,還有大量的比較高級的後門。好比說Adwind,這是一個高級木馬家族,持續性對騰訊定點的釣魚攻擊,針對高管、財務人員等重要崗位的郵件釣魚,還有賬號,種植木馬等,一年差很少有3百萬封的釣魚郵件。工具
第二類是軍工級木馬。咱們知道不少一些高價值的漏洞,或者是一些沒有被公開的漏洞,甚至是軍工木馬,至關於核武器技術在互聯網開放,這兩年軍工木馬平民化趨勢明顯加快。騰訊內部,內網的安全團隊,包括跟電腦管家的團隊、安平的廠家合做,咱們會遇到一些對企業邊界穿透力很是強的DNS隧道木馬,例如去年整個行業影響比較大的Xshell供應鏈式木馬等。可能咱們員工從互聯網下載一個運維工具,自己是植入事後門的,這個後門,經過DNS隧道式進行啓發激活,而且進行遠端操控。這種植入方式是愈來愈廣泛。
第三類是廣譜木馬。騰訊大概每年能夠從內網的機器上挖出來大概有5千起普通病毒木馬的狀況,可能常規的挖礦、勒索、蠕蟲類的東西,這是咱們遇到企業內網比較嚴重的三大類威脅。
##騰訊企業終端安全管理全景
除了剛纔這些威脅以外,企業內網終端安全包括很是多的內容。像騰訊雲的業務、微信的業務、遊戲的業務,他們在國內的運營和上線及海外的運營上線都須要過不少的安全合規性的內容。好比說等保三、PCI ,還有歐盟的規則,這些規則對終端方面都有明確的要求。
因此在終端安全方面,咱們會根據業務需求,對合規性的要求作定製化的功能支持。
另外一方面,企業IT的一些管理者或者咱們的企業CIO或者是CTO可能對企業的終端進行摸底的狀況,好比說這一家企業有多少的PC,有多少個Windows,有多少Mac OS,以及這些設備在哪裏,在什麼地方,它安不安全等信息盤點的狀況。包括對抗被動式的黑客入侵,個人終端有沒有防黑的加固,對APT有沒有深度的安全檢測,這些都是騰訊終端安全要考慮的內容。
理念(高可見、極速處置、雲管雲控)
剛纔講的是說咱們遇到的一些問題和咱們面臨的一些業務場景和訴求。究竟騰訊是怎麼考慮這些事,其實咱們想了想,總結了一下,咱們跟人家有不太同樣的地方,其實歸結爲三點:
第一點是高度重視數據安全,安全數據是高可見的,由於只有透過浩瀚的數據纔對全網進行管控;
第二是遇到緊急的狀況,或者是安全危機的狀況下,咱們必定要有極速處置的能力,才能第一時間把風險隔離掉;
第三,做爲一家互聯網企業,咱們注重體驗和系統部署的靈活性,好比終端是一個很是輕量的控制模式,咱們採用的架構是雲管、雲控的模式。
高可見是指安全數據的高可見,這一直是咱們近年來奮鬥的方向和目標。若是跟黑客對抗,你都看不到它,那你至關於跟它不在一個維度上,你沒有看到它,就沒有辦法消滅它,因此它必定會戰勝你。
咱們數據的高可見有兩個維度,一是說咱們的數據夠不夠廣,咱們會把終端、內網的全部數據,包括全部的應用系統,還有賬號類的數據所有歸結在一塊兒,騰訊一天內網有400億的規模,數據類型大概200多類;
還有一個緯度就是數據夠不夠深。舉個例子:一箇中國黑客團隊開發的木馬家族,木馬是沒有文件的,一旦感染到內存中,常駐內存並不在OS上。若是你的防護監控手段還停留在文件級是看不到它的,這時候須要把終端的監控下沉,下沉到進程API的級別,看木馬注入到哪一個層面進行API調用,還有是XShell DNS接受指令的方式,一般咱們看的是tcp、http等鏈接,可是對DNS這一塊,對大多數企業來講,53 UDP通信不會有相應的檢測規則,當黑客用這種武器跟你對抗的時候,你發現你根本沒有辦法發現黑客的存在。
固然咱們收集了大量廣度和深度的數據後,這些東西如何對企業安全人員造成可見的效應。這張圖是咱們企業內部安全人員第一時間可以看到的,好比終端、服務器、咱們的應用、出口、咱們的網絡到底發生了怎樣的安全事件。這些都有強大的後臺去支撐大量的數據運算和機器學習,由大量的規則檢測模型得出的結果。
根據這些事件,它會把它分紅高中低等風險級別,而後安全人員就有序對這些事件進行風險的處置、隔離,或者是風險進一步排查,還有源頭溯源工做。在遇到安全問題或者發現安全有風險的時候,咱們但願是,必定要有一種方式或者是一種工具可以作到極速的處置。
爲何要極速?你們能夠看我這張圖上,把時間要求得很是苛刻,5分鐘、10分鐘、30分鐘,緣由是這樣的。在咱們十幾年跟職業黑客團隊對抗積累的經驗,當高級木馬激活的狀態下,它在30分鐘內有能力將單臺PC數據和文件進行獲取,而且把關鍵的賬號,或者你企業的信息或者是IP地址池都拿到手,向內網的服務器或者是更多的PC進行掃描,120分鐘已經有能力拿下多臺服務器、多臺PC,而且從服役器、PC轉移相關的文件上傳到網上。
因此在騰訊裏面,通過十幾年的構建,咱們實際上是作到了從5分鐘的時間能夠把咱們所須要的數據採集到雲端,在15分鐘的時間內,雲端經過各類的安全規則分析,數據的挖掘,數據的串聯,能夠把風險識別出來。安全人員在30分鐘內就能夠對這些風險進行處置或隔離清理。在接下來的一天和兩天內贏得足夠的時間追查黑客、病毒木馬究竟是怎麼進來的,或者是信息是怎麼泄露出去,而後再溯源相關的工做,這就大大爭取了時間,贏得了跟黑客對抗的生死時速競賽。
雲管、雲控,做爲騰訊這樣一個互聯網企業而言,其實員工的生產力跟工做效力是很是重要的,互聯網的員工但願有一個輕量的客戶端在終端保護到它。咱們在騰訊員工的終端上部署的安全系統只作兩件事:一個是數據的彙報,一個是雲端接收和策略下發。
可是咱們在雲端分紅兩朵雲,一朵雲是用來處理基本的策略管理和加固類策略、軟件管理策略。這些都是數據量比較輕的輕DATA,存放在公有云。
一朵雲咱們會把客戶端彙報的數據進行深度的分析,大數據的分析,或者平臺的一些時間窗的數據,這些數據量比較大,運算量比較大,這種胖DATA會放在私有云。
因此說客戶端是很是瘦的形態,雲是很是胖的形態,用這種方式在雲端保證用戶的體驗和安全分析決策是很是精準的。
##騰訊雲+IT企業終端安全管理產品矩陣
在騰訊的終端安全領域,咱們提煉出騰訊現行的四款產品,這些產品對終端安全、終端管理有重要意義。
終端使用的安全產品叫iOA,支持Windows跟Mac兩個系統,終端高級APT的防禦還有常規的入侵防禦,固然它能夠兼容其餘的殺毒軟件模塊。好比說咱們跟電腦管家有很好的聯動和融合的做用,騰訊內部使用殺毒軟件是電腦管家,iOA跟電腦管家有一個聯動。
騰訊有5萬員工,移動端有一個作MDM的產品,IT Login,企業內部使用,嵌入員工使用辦公移動的APP裏面;好比說你們看到的KM、MOA等,它所完成的事情除了統一認證,還能夠對企業員工使用的移動設備進行遠程管理;好比說設備丟失之後如何查處,IT login大概接入了18萬移動辦公設備。
對於終端文件的管理,其實騰訊內部不太但願員工各自選用形形色色的雲SAAS類的文檔儲存產品,其實咱們對內部提供了名字叫作企業雲盤的雲存儲類的產品。它除了常規的雲存儲,還會提供其餘的功能,好比文件漫遊、同步盤等。可以知足員工在多設備、多PC、多移動端、移動場景這些基本的功能場景下的平常的遠程工做或者是移動工做需求,騰訊有13000多人去使用這個產品,大概每一天會新增1T的文件量。
在騰訊內部有一個具有豐富安全大數據的雲端,叫TSOC。它收集企業終端、內部網絡、應用,以及行爲數據、安全性數據,數據進到TSOC之後,裏面有對抗模式,態勢感知,可以將咱們的風險可視化,第一時間給到企業安全管理人員或者是企業安全管理者。可以幫助他們快速去收斂風險,還有決策企業的風險到底出在哪裏,問題在哪裏。咱們認爲騰訊這4款產品對騰訊的企業安全,有很是重要的意義。
歡迎你們訪問咱們的歡迎你們訪問咱們的主頁和微信公衆號(TencentiOA),瞭解更多產品詳情。
**此文已由做者受權騰訊雲+社區發佈,原文連接:https://cloud.tencent.com/developer/article/1136472?fromSource=waitui **
歡迎你們前往騰訊雲+社區或關注雲加社區微信公衆號(QcloudCommunity),第一時間獲取更多海量技術實踐乾貨哦~