大家好，我是数梦工场的谭雯，紧跟跟大家交流的是互联网安全从IT到DT的转变，最近这段时间一直在做安全产品的规划。在规划的这段时间里，我有一些不成熟的想法，今天的议题是我个人的观点，欢迎大家拍砖。大家都知道DT是一个数据技术，习大大说我们做大数据是有道理的，我们现在已经步入了数据时代，大数据潮流下网络安全是不是能顺应时代与时俱进。看到这些名词其实没什么感觉，至少我个人认为这些名词后面可能是血淋淋的案例，但是我跟客户讲胶片的时候客户总说你们就像当医生，总是把病夸大，不然药怎么卖。我很坚持把这些无感的名词列在这儿。

谭雯：大家好，我是数梦工场的谭雯，紧跟跟大家交流的是互联网安全从IT到DT的转变，最近这段时间一直在做安全产品的规划。在规划的这段时间里，我有一些不成熟的想法，今天的议题是我个人的观点，欢迎大家拍砖。大家都知道DT是一个数据技术，习大大说我们做大数据是有道理的，我们现在已经步入了数据时代，大数据潮流下网络安全是不是能顺应时代与时俱进。看到这些名词其实没什么感觉，至少我个人认为这些名词后面可能是血淋淋的案例，但是我跟客户讲胶片的时候客户总说你们就像当医生，总是把病夸大，不然药怎么卖。我很坚持把这些无感的名词列在这儿。

我曾经遇到一个客户，也是我的朋友，我把这些名词列到他面前跟他讲，心脏滴血漏洞，每一次攻击会造成多少KB的数据泄露，什么事件出了什么事，他很淡定，觉得这个东西跟我有什么关系，但是当我再打开这些网站的时候，社工库，现在价格便宜量又足，百度搜一下哪儿哪儿都是。乌云，每天数十个高危漏洞在发布，很多企业都中招了，尤其前段时间某网站据说泄露了好几亿用户，他们为这个事情下了很大的工夫去公关，把这个事平了，我那个兄弟开始觉得这个挺危险的，但还是觉得他很侥幸，至少他维护的网站没有泄露。最后我给他打开这个，是一个开行信息，这兄弟开始坐不住了。这说明网络威胁就潜伏在我们的身边，并不是跟我们没关系。当一段时间内网络安全事件频频发生的时候，在座的每一个人包括黑客自己，冰血作为一个社会人，当这种网络事件频频发生的时候，黑客也是个受害者。

现有的安全防御的不足遭受了很多的诟病，尤其是前段时间以互联网公司和传统安全厂商之间的争议，有人说他们争夺利益抢地盘，但我个人认为其实不是，这是对待同一个事件的不同看法之间的差异。我们刚才看到冰血这么厉害的人作为黑客，作为防御者的我们感觉到压力山大，他们的工具武器已经变得很先进了，可我们还是老三样地在那里做安全防御，这就是观点上的冲突。我是从传统安全厂商出来的，规划一个产品的时候更多的是从自己的角度去规划，比如产品的功能、产品的竞争力，我用什么样的能力去对标，我需要优化多少性能或者接口数能把竞争对手屏蔽掉，这个无可厚非，毕竟是商业，但是从用户的角度去看，你是为了卖你的药，作为医生你以卖药为目的，但我的痛谁知道。这样的话问题就来了，现在出了BAT这样的互联网公司，他们也是作为安全产品的使用者，作为甲方，他们其实是受过很多安全之痛的人，像阿里遭受过400多G的DDOS流量攻击，他们会认为当BAT这样的互联网公司有能力输出自己的安全能力的时候，他就会认为我甲方做的安全、我现在输出的能力更有说服力，这是我认为的不同立场上的观点的冲突。

不管他们争夺什么，最近这些年来入侵方式有什么不一样，我们作为建设者、防御者该做哪些转变。早些年的一些渗透以轻量化工具为主，能够下注入、扫描的小工具，无非扫描一些网站的端口、域名、地址，攻击目标也是以网络、设备和机器本身为主，以设备为主，做一些DDOS工具，篡改一下网页，彰显一下能力。现在不一样了，现在有公开的分布式扫描系统，不知道大家有没有用过知道创宇的产品，有漏洞的版本零点几秒就能列出来，这对黑客来说提供了利器，一把刀放在一个警察手里能保卫安全，落到罪犯手里就是一把凶器。还有大量数据库的泄露，以前攻击者获取用户的信息是比较难的，途径非常有限，现在大量泄露的数据库和社工库，他们要获取用户的数据就非常容易了。现在他攻击的方式开始从机器慢慢地转换成对人员的攻击，当我们还在尝试给黑客进行画像的时候，实际上黑客已经拿到了你足够多的信息给你进行人性弱点的分析，能够精准地猜出你的个人密码，但是我们的防御工具还是老三样。嘴里说要安全联动，但实际这些年来真正做到了吗，底下都是在干一些貌合神离的事情，其实谁动了谁知道。对于日志的记录很多也是维持在对于合规的满足度的要求上设计的，使用的效果怎么样，其实用户不知道，用户不投诉厂家也不关心，是这样一个现状。

可以说这样老式的传统的IT架构下，它已经到了非改不可的地步，我们应该要有一个什么样的防御体系呢？总的来说四点，漏洞要提前发现，攻击要事先预测，攻击发生的时候要能够及时地阻断，攻击结束后能够追根溯源。说得很好，但怎么样能做到？这是我画的一个简单的框架，我认为需要记录一个全量的数据，至少要包括流量数据，比如流量大小、攻击日志、Web日志等等，对于异常登陆要详细到什么程度，详细到登陆的时间、目标的服务器、使用什么样的用户名、什么样的密码，这些全量的数据汇聚到一个安全中心，结合威胁情报中心进行大数据的分析，这个威胁情报中心包含病毒库、漏洞库、同行业的事件库、黑客库、被泄露人员的信息库，被泄露人员是高危的弱势群体，很容易成为防御的短板。这些数据汇聚拉通后将解决信息孤岛的问题，有了这些基础就能展示以下这些安全能力，给黑客的画像、攻击的预测，做到对攻击的预测、对攻击的阻断、对事后的溯源，反过来能指导防御的改进。

刚才讲了DT安全框架，里面有两个关键点，一个是大数据分析平台，另外一个是全量的数据。常规的安全防御大多是基于一个规则和特征的匹配，单设备发现了攻击发送到日志主机，日志主机主要是做存储展示审计的作用，这对已知威胁是有用的，但是对于未知的威胁，像比较复杂的APT攻击他就没办法做到。怎么识别这样的攻击，这是整个问题的关键，要做到收集海量数据。一个有经验的警察能够很快地判断出一个人是不是小偷，他能够做出鬼鬼祟祟的定性判断的词语，这样的词语是根据规则和特征库，类似于监视器、检测仪这样的东西是检测不出来的，必须要根据后面警察的经验，他的经验实际就是一个数据分析。

举个例子说，警察刚从警校出来就得到了一个已知的特征库，他开始接道不同的案子，接到各种报案，他开始去分析，这就是一个分析的过程，他的经验越来越多，他就有了一些预判的能力，他和其他的警察进行交流实际是数据的共享和交换，最后他成为一个非常有经验的老警察，他把他的经验写成教材输出给新的警察在警校里使用，这样他完成了数据安全能力的转化，其实这就是大数据分析能力的转化输出。警察如果不这样去自我更新的话，他就会抓不到贼，同样一个安全人员，一个安全的防御体系，如果不具备自我完善的能力的话，他也是防不住黑客的。

低级安全能力的转化基于对大数据的分析，可以输出一个新的安全能力，能够对特征库和行为库进行总结。现在各个厂家都有自己的特征库的维护团队，他们维护的时候是作为产品的辅助销售或者增值的业务在销售，但实际上他们在整理特征库的时候经常会发生整理、收集、发布非常滞后，用户没有办法得到及时的更新，这样不仅是资源的浪费，对用户来说是潜在的安全风险。应该把这样的自我完善能力，这种转换能力进行常态化、标准化，这将重新定义DT的能力极限。

DT安全架构下传统的安全分析平台已经遇到了一个瓶颈，第一是数据越来越大，有多元化的数据，有结构化的非结构化的，有日志有业务信息，甚至还有一些外部的情报信息，但是我们常规的安全设备没办法存储这样的海量数据，它的计算能力也没办法具备大数据分析的计算能力。曾经有一个搞运维的朋友跟我说他以前做日志维护的时候，有80%的精力都在收集、整理和处理日志格式的工作，只有20%的精力考虑分析审计这些日志数据。以金融为例，常规的IT架构下制成的银行每分钟的交易峰值在30万笔，数据存储在TB级，但是DT支撑下的金融每分钟是270万笔，而且它的数据存储量是EB级。由此可以看出常规的安全是以设备为单位的能力极限，每一台设备的计算和存储能力都是非常有限的，根本没法满足这样的大容量，DT下面的安全能力，它只能解决局部的条条块块的问题。

我们说DT安全需要进行大数据的分析，这个大平台里全量数据要进行采集，泄露的人员数据库要通过网络爬虫去采集，采集完了之后还要清洗，剔除重复数据冗余数据，进行语义一致的分析，加工、数据分析挖掘、算法选择、模型选择等等大数据的操作过程，这一系列的要求决定了DT安全的基本能力，那就是必须要具备云计算的能力和海量存储的能力。DT的安全是以平台为单位的架构，把成千上万的云计算能力结合在一起，汇集起来的云计算，去解决贯穿全局的问题，用大数据技术去整合挖掘和分析。这样的一个能力极限将会是DT安全最基本的能力要求。我一直认为我们原来常规的安全其实是最基础的保障，它就像围墙、摄像头、监控器、门禁这样的设备，没有它是不行的，区域隔离、访问控制和会话检测这样的老三样是不能丢的，它是最基础的，但是现在黑客实际上已经升级了，升级成黄金圣斗士，但我们还在原地踏步。

有个客户说你讲的挺好，天花乱坠，要花多少钱，没有钱怎么做。有个朋友曾经抱怨过，如果我有10万块钱的预算，我不会把它花在搞安全上，肯定会投在生产发展上、产品研发上，他认为这个东西还是不太重要的，因为太花钱了。安全在很长时间里都要灌输这种思想，一般不出问题，出了问题就很大，很多公司并没有安全管理的能力。其实不用再买很多设备，云计算就是在解决资源和成本的问题，这样的话我们又会遇到另外一个问题，客户说我的安全数据交给云端我不相信你说的大数据云安全中心，这就提到DT安全另外的转变，我们必须把一个个的孤岛防御连接起来形成一个长城，事实也证明单打独斗的结果就是被各个击破。据我所知很多用户没有专门的安全人员，在没有安全人员的情况下怎么办，我们无法回归到云计算的本质，云计算本质是一种服务的模式，没有必要住宾馆的时候自己在门口装个摄像头，装个门禁，雇个保安，这种事情可以交给第三方的人全权负责你的安全。实际上在AWS上也是这么做的，但传统安全建设往往是卖防盗门的在给你解决你全家的安全问题，时不时地帮你检查你家的墙壁、水管、窗户、水电，你打电话他就过来，这样是很没有效率的模式。DT时代的安全运维必将会融合传统的IT架构，会出现一个新的角色，第三方的安全管家，这是我个人的观点，他将帮你代管你的安全运维，为你的安全结果负责，这将是比较有效的安全的解决方式，解决了性能的问题。

刚才讲了DT安全下的架构改变、能力的转换和机械的升级、运营方式的改变，实际还有很多，避暑标准和规范，我们现在正在做的大数据的标准，大数据的国家标准在制定，大数据的安全，要保护大数据的交易交换合法化合规化，甚至销售是也是需要改变的，比如威客安全，他们的口号是让天下没有难做的安全，其实这也是一种非常好的销售模式的创新和改变。不知道在座有没有卖安全产品的，做一个安全项目卖个安全产品真的挺难的，吃饭喝酒不算，要非常拼。希望在DT安全架构下，销售模式的改变能够让我们这些从业者身心越来越健康，做网络安全的攻击者和防御者永远是对抗对立的立场。黑客的工具越来越先进，他们的水平其实都很高，据我所知他们经常通宵达旦地在那干活，在这里讲DT安全的转变无非是想引起大家的重视，人最痛苦的事情是比我们厉害的人比我们更勤奋，我们有什么理由拒绝这样的变化，拒绝这样的转变？大家后面可以再探讨，还有其他的转变，IT到DT的变化，欢迎大家跟我一起探讨，谢谢大家！