亚信科技收购趋势科技中国业务—打造产业互联网云安全技术领军者

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享

AI-logo中英文-横排-无阴影

亚信科技收购趋势科技中国业务

—打造产业互联网云安全技术领军者

 

【北京时间2015年9月1日】今日,亚信科技与趋势科技联合发布公告,亚信科技收购趋势科技在中国的全部业务,包括核心技术及知识产权100多项,同时建立独立安全技术公司—亚信安全,将亚信原有的通信安全技术与趋势科技云安全、大数据安全技术相结合,成为世界领先中国自主可控的网络云安全技术公司,为产业互联网新时代保驾护航。

亚信安全董事长何政表示,此次收购趋势科技中国业务,是亚信科技迈向“产业互联网领航者”战略目标的关键一步,是中国网络安全产业发展的重要时刻。在国家高度重视网络安全的大背景下,此次收购使中国企业拥有了国际领先的云安全关键核心技术和产品,将使中国在世界云安全产业版图中占据重要位置,对于保障国家网络安全与云产业安全,实施自主可控战略,具有重要和深远的意义。

收购完成后,亚信安全具备了提供产业互联网整体安全软件的能力,其在通信行业的领导者优势,也将进一步扩展至金融、教育、制造、医疗等行业领域。亚信科技原电信事业部总经理张凡出任亚信安全总裁,领导公司整合和业务发展。原趋势科技中国安全及技术服务业务的全部核心研发与技术人员将整体并入亚信安全。新公司专业团队人数超过2千人,客户超过2万家,服务中国网络安全行业。

趋势科技大中华区总经理张伟钦谈到:“趋势科技是全球最大的独立网络安全软件提供商,是服务器、虚拟化、移动安全及云安全领域的全球领军者,其在云安全领域的市场占有率世界第一,客户包括亚马逊AWS、微软Azure、VMWare等全球领先的云服务提供商;77%的中国500强企业使用了趋势科技的解决方案,包括70%以上的银行、80%的证券公司、65%的汽车制造商和50%的保险公司。本次战略收购,是将趋势科技的国际领先技术融入亚信科技本土化服务的全新实践。通过这一方式,更好地为中国用户带来国际领先的云计算与大数据安全技术、产品和解决方案。”

作为第一家在纳斯达克上市的中国高科技公司,亚信科技自创立始,一直致力于将最好的互联网技术带给中国用户,搭建了中国第一个商业化互联网骨干网、第一个宽带IP网、第一个移动IP骨干网,被誉为“中国互联网的建筑师”。通过不断创新转型,亚信科技目前员工数近1万5千名,是通信核心软件、大数据挖掘及网络安全服务的领先者。2014年,亚信科技提出做“产业互联网领航者“的战略愿景,相继组建了亚信软件、亚信数据、亚信在线等业务与子公司。此次收购趋势科技中国业务并成立亚信安全,为亚信领航产业互联网的蓝图完成了一块重要拼图,使亚信可以为用户提供先进、安全的产业互联网技术和软件。

 

(完)

关于亚信科技

亚信科技1993年创立,总部设在北京,是中国最大、世界第二大电信、通信与大数据核心软件企业。目前全球员工15000名。2000年,亚信成为第一家在美国上市的高科技企业。2014年,亚信完成从美国退市,并成立亚信安全子公司,以期完成公司战略调整与创新。目前公司业务已重组为电信软件、大数据、网络安全与在线服务四个业务与子公司。

欲了解更多信息,请访问亚信集团官方网站www.asiainfo.com.cn

媒体联络:吕光 lvguang@asiainfo.com

 

关于趋势科技(Trend Micro)

趋势科技是全球虚拟化及云计算安全的领导厂商,致力于保障企业及消费者交换数字信息环境的安全。连续多年蝉联“全球虚拟化安全市场第一”,“全球服务器安全市场第一”以及“全球云安全市场第一”殊荣。作为内容安全领域的领军企业,趋势科技提供与企业生态系统无缝集成的安全解决方案以保障企业及个人用户交换数字信息环境的安全,并赋予企业有效管理风险的能力。在中国500强企业中,77%已经使用了趋势科技的解决方案,其中包括70%以上的银行、80%的证劵公司、65%的汽车制造商和50%的保险公司。

更多关于趋势科技公司及最新产品信息,请访问: www.trendmicro.com.cn

趋势科技公关联系人: 刘婷婷 angela_liu@trendmicro.com.cn

(没有打分)

Cortana for business–now the worker’s digital assistant

转载自:http://www.itwire.com

Microsoft revealed a little more about Cortana Analytics and how it is going to use machine learning to revolutionise business intelligence and productivity via its Azure cloud.

Joseph Sirosh is the corporate vice president of the Information Management and Machine Learning (IMML) team in the Cloud and Enterprise group at Microsoft. He is also a maths nut and perhaps a geek. Almost all of what he said was several levels above my pay grade so I will do my best not to disappoint TWire’s erudite readers (and keep it light).

“I did my PHD in 1995 in neural networks. That led to my working on fraud detection [machine learning] software for a major credit card gateway and that led to joining Microsoft where I can pursue my passion of machine learning,” he said.

“Maths applies to data. Software is eating the world (apologies to Marc Andreessen for that saying) but data is drowning the world,” he said.

“30 years ago data was almost all analogue, now it iP addresss attached almost all analogue, now its all digital and it has an pursue my passionm s all digital and much of it has an IP address attached. The intelligence you can derive is amazing,” he said.

The problem with big data, lots of data, Petabytes, Exabytes or the stuff is that it presents an enormous challenge to store and analyse, especially in real time. Microsoft and its Azure Machine Learning and the Azure Gallery is a good place to find out more.

Joseph spoke about the  ‘connected dairy cow’ , a project from Fujitsu in Japan. Pedometers were attached to each cow and the bovine walking characteristics analysed via Azure to predict estrus. Not only did the data reveal the best insemination time and improved the pregnancy rate by 67% it helped predict the resultant gender of the offspring. The results were so good that Fujitsu expects this to be rolled out to 500,000 cows soon.

Joseph said that with Azure cloud developers could build immensely complex systems in just a few days and introduced two plucky Adelaide undergraduates who hope to move the highly manual and inaccurate vineyard yield prediction models to the cloud using Azure.

Harry Lucas, 20, Liam Ellul, 23 are part of the Seer Insights team. They described an intelligent system that assists vineyard staff, growers and wineries in improving the accuracy of their yield estimates. The key is to use Azure to find patterns and insights from both the current data and from historical data and shifting that from an analysis of what’s happened in the past to an accurate prediction of what might occur in the future.

Joseph commented that what Seer had done is harness computing power, machine learning and analytics that were not available even a few years ago.

Then we heard from Max Valente from Thought studio a software development company he began in Sydney in 2011 as a think tank developing technology to solve business problems and create business opportunities.

Max developed the first virtual wardrobe where a person stands in front of a screen and tries on virtual clothes. The latest venture (it has two sites working as proof of concept) uses sensors and devices like Kinect to map out a shoppers experience in a store.

“Kinect gives us the gender, approximate age and time someone enter and exits the store. We can marry that with things like the weather, promotional activity and more to build a profile. We then use sensors connected to Raspberry Pi to show where they go in the store, where they linger, what they try on – we collect a lot of data,” Max said. One advantage is immediately apparent – identifying shoplifters by facial and other ‘secret’ Kinect recognition.

“The goal is to enhance a shopper experience, understand their journey, to lay out stores more logically, to know what’s hot and what’s not, and of course to increase sales,” said Max.

“The entire system is only possible due to Microsoft’s Azure cloud, analytics, storage and tools,” Max added.

So finally to Cortana

Cortana is a digital assistant that can be personal (as in running on a PC or smartphone) or used for business. The former relies on getting to know you well and the latter on getting to know the company well – and keeping all secrets.

Cortana analytics is too broad a subject to cover here but Joseph demonstrated a medical support practice that uses Cortana as the natural language interface between nurses/doctors and patients in a call centre environment. The result has been much better care, better analysis, easier follow up and less need to hospitalise.

Joseph said that Cortana could develop perceptual intelligence to benefit any business – helping them to get closer to customers, knowing more about what they do, and what customers want etc.

He finished with a haiku:

The cloud turns hardware into software

The cloud turns software into services

The cloud turns data into intelligence

The cloud turns intelligence into action

I then walked outside into Sydney’s beautiful sunshine – not a [visible] cloud in sight! The cloud turns into rain, rain turns into …

(没有打分)

NSA关于中国对美国网络攻击的指控-攻击地域图

近日,美国新闻机构NBC独家披露或者被授意公开了一些所谓的中国网络攻击和窃取美国各种商业和军事机构的地域分布图. 从技术分析的角度看,地域分布主要在西部和东北地区.中西部偏少. 据统计,总共有700次的攻击.


 

“The map uses red dots to mark more than 600 corporate, private or government “Victims of Chinese Cyber Espionage” that were attacked over a five-year period, with clusters in America’s industrial centers. The entire Northeast Corridor from Washington to Boston is blanketed in red, as is California’s Silicon Valley, with other concentrations in Dallas, Miami, Chicago, Seattle, L.A. and Detroit. The highest number of attacks was in California, which had almost 50.”

从上文报道可见,加州是重灾区, 有50个攻击目标.

 

弯曲科技认为,中美之间的鹰派的互相不信任是导致这些误解和潜在对抗的根源. 国家之间的互相情报获取是可以理解的.但中美之间不存在本质的利益冲突和矛盾.

 

弯曲科技认为,网络恐怖主义才是中美政府和世界各国的共同打击目标.而非彼此.

 

———————————–

弯曲评论–深度阅读是一种能力

———————————–

网站:www.valleytalk.org

APP:“弯曲评论”(ios)

微信: 欢迎关注和支持

 

(1个打分, 平均:5.00 / 5)

A Formal Understanding about APT Infection

(没有打分)

美国顶尖网络安全初创公司融资状况调查

公司: Area 1

  • Funding Received
  • $10.5 Million in 2 Rounds from 8 Investors
  • Most Recent Funding
  • $8 Million Series A on December 10, 2014
  • Headquarters:
  • Menlo Park, CA
  • Description:
  • Area 1 actively identifies and prevents advanced socially engineered attacks before they impact your enterprise.
  • Founders:
  • Blake Darché, Oren J. Falkowitz
  • Categories:
  • Cyber Security, Data Security, Security
  • Website:
  • http://area1security.com

公司: CrowdStrike

  • Funding Received
  • $56 Million in 3 Rounds from 3 Investors
  • Most Recent Funding
  • $30 Million Series B on September 9, 2013
  • Headquarters:
  • Irvine, CA
  • Description:
  • CrowdStrike is a provider of security technology and services, focused on identifying threats in advance and on targeted attacks.
  • Founders:
  • Gregg Marston, George Kurtz, Dmitri Alperovitch
  • Categories:
  • Security
  • Website:
  • http://www.crowdstrike.com

公司: Cybereason

  • Funding Received
  • $29.6 Million in 2 Rounds from 3 Investors
  • Most Recent Funding
  • $25 Million Series B on May 5, 2015
  • Headquarters:
  • Cambridge, MA
  • Description:
  • Cybereason Automated Endpoint Detection and Response platform identifies in real all the elements of cyber attacks for effective response
  • Founders:
  • Yossi Naar, Lior Div, Yonatan Amit
  • Categories:
  • Cyber Security, IT and Cybersecurity
  • Website:
  • http://www.cybereason.com

公司: Cyphort 

  • Funding Received
  • $53.7 Million in 4 Rounds from 4 Investors
  • Most Recent Funding
  • $30 Million Series C on June 1, 2015
  • Headquarters:
  • Santa Clara, CA
  • Description:
  • Cyphort offers a threat protection platform that detects and fights targeted and advanced threats, corporate espionage and IP theft.
  • Founders:
  • Jim Binder, Ali Golshan, Fengmin Gong
  • Categories:
  • Network Security, Big Data, Cloud Computing, Security, Enterprise Software
  • Website:
  • http://www.cyphort.com

公司: Endgame

Funding Received

  • $86.3 Million in 3 Rounds from 7 Investors
  • Most Recent Funding
  • $30 Million Series C on November 19, 2014
  • Headquarters:
  • Arlington, VA
  • Description:
  • Endgame provides clarity to digital domain and supports data analysis driven by ease of use, scalability, speed, and effectiveness.
  • Founders:
  • Daniel Ingevaldson, Christopher J. Rouland
  • Categories:
  • Security
  • Website:
  • http://www.endgame.com

公司: Shape Security

  • Funding Received
  • $66 Million in 3 Rounds from 10 Investors
  • Most Recent Funding
  • $40 Million Series C on February 24, 2014
  • Headquarters:
  • Mountain View, CA
  • Description:
  • Shape Security is a startup that has created advanced technology to defend websites against attacks from malware, botnets, and scripts
  • Founders:
  • Justin Call, Sumit Agarwal, Derek Smith
  • Categories:
  • Network Security, Cyber Security, Information Security, Security
  • Website:
  • http://shapesecurity.com

公司: vArmour

  • Funding Received
  • $42 Million in 3 Rounds from 7 Investors
  • Most Recent Funding
  • $21 Million Series C on August 20, 2014
  • Headquarters:
  • Mountain View, CA
  • Description:
  • vArmour is a leader in data defined perimeter security, built for the mobile, virtual and cloud-dominated world
  • Founders:
  • Michael Shieh, Roger Lian
  • Categories:
  • Software
  • Website:
  • http://www.varmour.com
(没有打分)

Splunk1.9亿美元收购的安全初创企业Caspida

Splunk宣布已经以1.9亿美元的价格收购了安全初创企业Caspida,后者的35人团队将全部加盟Splunk。Caspida在网上能看到的资料很少,拔了几页资料,看看人家的核心理念和实现方法、展现结果。英语不好,多上原图。

可以看出平台厂商+数据分析厂商的整合趋势,目的就是有限的时间窗口期能快速满足用户需求。

 

(一)、Caspida定位

移动云时代的安全新范式,基于机器学习算法和人工智能的大数据分析技术,发现APT攻击、新型的恶意软件以及不可预知的内部威胁行为。

其明确说明了威胁发现不依赖于传统的手段(传统的技术规则、签名、和基于沙箱的分析不够的)。

 

(二)、核心理念:通过对威胁攻击链的检测来发现威胁

(1)安全分析:主要考虑到违规行为、威胁情报的输入(IOCs)、网络攻击链的角度进行分析。

 

(2)威胁检测:强调了威胁的可视化、指标体系、定制化展现等。

 

(三)、提出企业用户面临的挑战:

(1)传统防护手段针对隐藏恶意的恶意软件和定向攻击没有好的办法

(2)缺乏足够的分析力量(缺少技术安全分析师或数据科学家)

(3)安全系统太多的警告和误报无法处理,分析师无法处理或处理不过来

 

 

 

(四)、Caspida主要的使用场景:

(1)发现隐藏的、未知的威胁。包括APT攻击的发现、利用0DAT的新型恶意软件、内部威胁。

(2)减少噪音,以威胁评分为基础的排名,达到可以适合数据分析师的报警量。

(3)不依赖规则的自动的威胁发现。

基于行为的网络威胁的防范:APT、内部威胁、0day攻击。这两张图很不错。

(五)、Caspida主要的分析过程 (1)威胁信息(异常行为)的识别过程:

通过网络流量确定出异常的IP,通过IP关联IAM信息、关联web server信息、关联messaging server信息、关联防火墙日志等,关联APP、数据库server等,把整个的异常行为序列分析出来。

另:也重点谈到了外部的威胁情报输入时分析的一个重要因素。

(2)异常攻击的钻取分析过程

从可疑IP、关联到访问的用户,从可疑的用户关联到其使用应用、数据库或相关敏感文件等,最后以时间维度,确定出恶意行为的行为序列,并给出严重的级别。

(3)谈到了数据源和分析方法

数据源主要包括了web server访问信息、域控制服务器的信息、IAM信息(类似国内的4A)、业务日志信息、邮件服务相关信息等。分析方法查询\统计、关联分析、机器学习等。

(六)、Caspida展现平台

该平台提供API接口可以和第三方产品进行集成,实现自动的数据共享以及共同对风险进行整治和预防。

 

 

(七)、部署方式

云端部署、本地部署两种方式。需要说明的是本地部署强调基于虚拟化形态的软件部署。

(没有打分)

【报告】基于大数据分析的安全管理平台技术研究及应用

<strong>【报告】基于大数据分析的安全管理平台技术研究及应用</strong>

2015-06-14 软件定义世界(SDX)

【内容摘要】本文首先通过介绍大数据的起因,给出了大数据的定义和特征描述,并简要说明了当前大数据的研究概况。接下来,本文阐释了大数据分析技术,对大数据在信息安全领域尤其是安全管理平台领域的应用做了深入分析,并给出了基于大数据安全分析技术的安全管理平台的基本特征。最后,针对一个基于大数据安全分析技术的新一代安全管理平台从5V角度进行了深入介绍,并强调了安全分析师的关键作用。

无所不在的大数据

毫无疑问,我们已经进入了大数据(Big Data)时代。人类的生产生活每天都在产生大量的数据,并且产生的速度越来越快。根据IDC和EMC的联合调查,到2020年全球数据总量将达到40ZB。

什么是大数据?大数据早就存在,只是一直没有足够的基础实施和技术来对这些数据进行有价值的挖据。随着存储成本的不断下降、以及分析技术的不断进步,尤其是云计算的出现,不少公司已经发现了大数据的巨大价值:它们能揭示其他手段所看不到的新变化趋势,包括需求、供给和顾客习惯等等。比如,银行可以以此对自己的客户有更深入的了解,提供更有个性的定制化服务;银行和保险公司可以发现诈骗和骗保;零售企业更精确探知顾客需求变化,为不同的细分客户群体提供更有针对性的选择;制药企业可以以此为依据开发新药,详细追踪药物疗效,并监测潜在的副作用;安全公司则可以识别更具隐蔽性的攻击、入侵和违规。

图:硬盘每GB的成本变化(1980-2009年)【来源:http://www.mkomo.com/cost-per-gigabyte】

《华尔街日报》将大数据时代、智能化生产和无线网络革命称为引领未来繁荣的三大技术变革。麦肯锡公司的报告指出数据是一种生产资料,大数据是下一个创新、竞争、生产力提高的前沿。世界经济论坛的报告认定大数据为新财富,价值堪比石油。

不论从技术、还是商业角度,大数据都成为当下绝对的热点。2013年,Gartner将大数据列为未来信息架构发展的10大趋势之首。Gartner预测将在2011年到2016年间累计创造2320亿美元的产值。

大数据的定义

如何定义大数据?《大数据的冲击》一书将大数据通俗定义为“用现有的一般技术难以管理的大量数据的集合”,并广义地定义为“一个综合性概念,它包括因具备3V(海量/高速/多样,Volume / Variety/Velocity)特征而难以进行管理的数据,对这些数据进行存储、处理、分析的技术,以及能够通过分析这些数据获得实用意义和观点的人才和组织。”

Gartner将大数据定义为“海量、高速、多变的信息资产,需要对它进行经济的、创新性的信息处理从而获得超越以往的洞察力、决策支持能力和处理的自动化”(high volume, velocity and/or variety information assets that demand cost-effective, innovative forms of information processing that enable enhanced insight, decision making, and process automation)。

大数据的基本特征

大数据的三个公认的基本特点是3V,即海量、高速和多变。海量是指数据容量越来越大;高速表示需要处理的速度和响应的时间越来越快,对系统的延时要求相当高;多变就要处理各种各样类型的数据,包括结构化的、半结构化的、甚至是非结构化的数据。

IBM在上述三个特点基础之上增加了一个V(Veracity),即“真实性”、“准确性”。IBM认为只有真实而准确的数据才能让对数据的管控和治理真正有意义。

此外,业界还有人总结出其它的大数据特点,例如低价值密度(Value)、存活性(Viability),等等。低价值密度是指大数据中真正有意义的信息含量比重低;存活性是指特定情况下的大数据具有很强的时效性。

大数据的研究概况

在IT领域,大数据也是最热门的技术领域之一。Gartner在2012年绘制的Hype Cycle曲线展示出了当前大数据技术欣欣向荣的一番景象。

Gartner将大数据相关技术分为三个门类,分别是大数据支撑技术、大数据应用技术和针对新型数据进行分析的技术。

我国工程院院士邬贺铨将大数据技术从所面临的挑战的角度分为四个方面,分别是数据收集、数据存储、数据处理和数据可视化。

微软张亚勤将大数据划分为三个层次,分别是数据的管理、数据的扩充和数据的呈现。

阅读全文»

(1个打分, 平均:5.00 / 5)

浅析大规模生产网络的纵深防御架构

浅析大规模生产网络的纵深防御架构

2015-06-11 黑客与极客

微信号:freebuf

纵深防御这个在安全行业被用的很烂的词,乙方的顾问写方案时信手捏来,我想大家的理解可能并不一致。其实我比较赞同lake2用的“河防”以及数字公司用的“塔防”的概念,这些都是比较贴近实际的。


下面的篇幅仅从自己的理解来展开,并且主题限定在大规模生产(服务)网络而不是办公网络。

互联网安全的核心

当下各安全公司都偏爱APT和大数据威胁情报之类的概念,在办公网络我想这些是他们圈地运动的战场,不过生产网络似乎仍然遥远。

 

自动化运维的交互模型跟大幅度人机操作的办公网络完全不同,而且现在号称机器学习的方法在实操中表现的很一般,效果不如对攻防模型抽象后定义规则的方式。这里并不是在否定机器学习的方法,只是表达离成熟还尚有距离(我不是在说QVM,请不要对号入座)。

 

先说一下互联网安全的一些理念性的东西,首先没有漏洞是不可能的,互联网追求快速交付,把安全做的太厚重是“不满足业务需求的”,为追求极致的低缺陷率而大幅增加发布成本是不切实际的,但是互联网安全有几个比较核心的需求:快速检测、有限影响、快速溯源,快速恢复

 

通俗解释一遍就是:允许带着一些问题上线,但是有bug或入侵我能快速检测到而不是无知无觉的状态,就算发生了攻击或入侵,我能做到入侵者所获取的权限和造成的影响尽可能的小,并且我有途径或快照还原入侵过程做根因分析,安全事件能在基本不响应不中断业务的情况下恢复到健康状态。

 

当然这个话题也太大,这次只讨论其中关于“有限影响”的部分,在谈及防御之前先看一下攻击路径:

 


Plan-A:通常路径,从目标系统正面找漏洞,远程直接rootshell在现代基本没有了,大多数是从应用为入口,先获取上层应用的权限,然后通过上传webshell等方式间接获得系统shell,最后提权获得rootshell,后面继续扩大战果的事情就不提了,安全建设的思路自然是要反过来,阻止你扩大战果。

 

Plan-B:如果正面没有明显可利用的漏洞的话就需要曲折迂回,从周围信任域开始下手,这个信任域是广义上的,包括可arp重定向的,可嗅探的,可会话中间人的,可链路劫持的,相同内网的,口令满足同一规律的,互联互通信任关系的,灾备或镜像站点等,获取一个点后再折返,之后的路径与A类似。

 

Plan-C:直接针对生产网络不行的话,就需要考虑社会工程学了,针对管理员和办公网络的APT,水坑攻击,针对应用后台管理员的社会工程学技巧,搞定SA自然也就搞定了所有服务器。

纵深防御体系

安全建设是反入侵视角,针对攻击活动中的每一步“埋点”,埋点的寓意在于我假设攻击者到了这一步,我要阻止他进入下一步或者不能带着完全的火力进入下一步还能全身而退。当然这里只针对有限影响,入侵检测之类的部分这里先不展开,后续会有专门的话题。

 

 

第一层安全域划分,这个安全域是对业务的抽象,并不是对物理服务器的划分,在大规模分布式架构中,同一个安全域的机器可能并不一定位于同一个物理机房,但是他们对应相同的安全等级,共享一组相同的访问控制策略,只对其他安全域或Internet暴露有限的协议和接口。

 

即使攻击者渗透了其他相邻的服务器,也只能扫描和访问这个安全域内有限的几个端口,没办法自由渗透,这个问题主要解决Plan-B曲线救国时被入侵者“误伤”,以及获得单点root后进一步渗透的扩散,希望能把安全事件爆发的最大范围抑制在一个安全域中,而不是直接扩散到全网。

 

第二层是基于数据链路层的隔离,只有2层隔离了才能算真正隔离,否则只在3层以上做ACL也是不行的,仍然会被ARP。2层使用VPC,vxlan,vlan等方法相当于在安全域的基础上对一组服务器以更细的粒度再画一道圈,进一步抑制单点沦陷后受害源扩大的问题。

 

在不是特别大的网络中可以直接跳过安全域到这一步。当然安全域的概念在任何时候都是存在的,仅仅是在做划分的事情但不去套这个名词。

 

二层之上就是协议端口状态过滤,这是绝大多数“防火墙”的场景。解决的还是对黑客暴露的攻击面的问题,即使我的加固做的不到位,不必要的服务没有清理干净,开放了有问题的端口,甚至有些端口上跑着的服务还有漏洞,但是因为被防火墙过滤了,路由不可达,所以攻击者利用不了,他只能在对外或对信任域暴露的端口上去想办法。


本质一点就是给攻击者提供“窄带”,有限的访问通道。不过在有复杂嵌套引用关系的大规模生产网络中,出于运维成本的考虑,有时候访问控制策略不会做的很细粒度,因为那样的话如果有台机器挂了换个ip都麻烦。这也是安全的妥协,我之后会有单独篇幅讲做安全是否需要妥协,应该如何妥协,底线是什么。

 

再往上一层是现在讨论的最多的一层,其实从图中也可以看出你平日的工作都是聚焦于哪层。这一层单独拆开都可以再建一个纵深防御的子体系。应用层通常是暴露在Internet上的攻击面,这一层主要是解决认证鉴权、注入跨站上传之类的应用层漏洞,尽可能把入侵者堵在第一人口之外。如果你在开发WAF,那你对应的也是这一层的工作。

 

应用层上方是容器、运行时环境。这里的目标是假设我的服务器上的应用程序有漏洞,且攻击者找到了漏洞,我不希望这个漏洞能被成功利用直接跳转到系统权限,而是希望能在这一步阻止他,办法就是通过容器加固。

 

比如阻止一些危险函数的运行,比如上传了webshell但是不被解析执行,比如你想执行eval()并用种种方法变形编码字符窜拼接逃过了应用层的检测,但是到了运行时其实是相同的底层指令,那么无论你在上层多么努力的变形我都会希望在更底层把你揪出来,哪怕不直接阻断我也至少报个警。

 

在绝大多数入侵活动中,上传或生成webshell是从应用权限向系统权限转化的关键一步,所以这一层的防御也是比较重要的。以后如果有时间单独篇幅讲如何对抗webshell。

对抗攻击

如果不幸之前的都没阻止攻击者,对方已经得到了普通用户的shell”$”,那么我肯定不希望你继续得到rootshell,对抗的办法就是大家常见的那些系统加固项,那些文章洋洋洒洒写了一大堆主要就是用在这个场景的,不过最主要的还是对抗本地提权以及内核提权,攻击免疫或称攻击缓解机制。

 

例如SMEP、SMAP、DEP、各种ASLR,stack-canay,read-only .PLT .GOT等都是在这里“埋点”,其他的诸如umask=022等也是在这里埋点,似乎看上去这些不太需要安全team的介入,好像都是OS默认的机制?

 

其实不然,安全做到偏执的程度还是有自己出手的地方,Android出手比标准的Linux更快一点,也许以后就真的没太多需要自己出手的地方了。不过当下各种基于LXC的容器,越来越多的multi tenant的云环境,隔离的机制完全依赖于kernel的健壮性,这些场景下对抗这一层的攻击都显得尤为重要。

 

如果被拿走了root自然是很令人不爽的事,但还不是最令人不爽的。如果有一天当你的1万台服务器中有500台被人搞了,而且还不能推断是不是装了kernel rootkit的情况下,这种感觉是最要命的,你生了个肿瘤手术摘掉也就算了,那种情况就像你手术完都不确定摘了没,即便500台服务器备份数据重装系统都不彻底,而且近似于你某个子业务要处于离线状态这种极其影响可用性的事情业务部门会把你逼疯掉。


所以不是特别需求要干掉LKM,/dev/kmem,限制/dev/mem的全地址空间读写,另外kernel MAC内核强制访问控制也能限制root只能做有限的事情,尽管理论上内核提权还是能控制一切,不过要在没有开发环境的服务器上实现完整的kernel rootkit功能并保证不在用户态留下蛛丝马迹的概率还是比较低。

 

这样做还有一个好处,把入侵检测聚焦于用户态,不要动不动就去装一堆内核级别的重量级玩意儿,大规模高并发的生产环境伤不起。

 

在云计算环境中,上面那步可能还不算是单点渗透的终结,更底层还有hypervisor,如果攻击者逃逸出VM那就比较狼狈了,每个厂商都需要考虑一下VMM的保护方案,现在hypervisor这一层很薄不会做的很重,似乎还没有特别成熟和通用的办法,不过肯定会发展起来,会有更多类似于XSM这样的方案。

结语

在一个真正建立纵深防御的系统中,入侵者一般到不了root这一步就会被揪出来,只不过完整的纵深防御要以后的篇幅慢慢写了,这里只是选取了其中一个维度来试图解读这个概念。

 

另一方面,完整的纵深防御体系只有大型互联网公司才可能全覆盖,因为跟安全建设成本有关,所以又涉及另外两个话题:不同规模企业的安全需求和同一公司在不同安全建设阶段的需求,以后再展开。


*作者:ayaz3ro,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

(2个打分, 平均:5.00 / 5)

The Dawn of Artificial Intelligence

新一期的经济学人花了比较大的篇幅,两篇文章,介绍了人工智能的现状和担忧,涵盖的内容比较丰富,值得一看

戳图下载阅读文章,资源来自网络

(没有打分)

CYBERSECURITY MARKET REPORT

CYBERSECURITY MARKET REPORT

FROM THE EDITORS AT CYBERSECURITY VENTURES

Q2 2015

The Cybersecurity Market Report is published quarterly by Cybersecurity Ventures. We cover the business of cybersecurity, including market sizing and industry forecasts from consolidated research by IT analyst firms, emerging trends, employment, the federal sector, hot companies on the Cybersecurity 500 list, notable M&A, investment and IPO activity, and more.

MARKET SIZING & PROJECTIONS

The worldwide cybersecurity market is defined by market sizing estimates that range from $71 billion in 2014 to $155+ billion by 2019.

  • Worldwide spending on information security was expected to reach $71.1 billion in 2014, with the data loss prevention segment recording the fastest growth at 18.9 percent, according to a forecast from Gartner, Inc. Total information security spending is expected to grow a further 8.2 percent in 2015 to reach $76.9 billion.
  • The Cyber Security Market 2015-2025: Leading Companies in Network, Data, Endpoint, Application & Cloud Security, Identity Management & Security Operations report by Visiongain indicates that the cyber security market is set to be worth $75.4 Billion in 2015 (a small % difference compared to Gartner’s estimate for 2015), as high-demand continues for information security solutions.
  • The cyber security market is estimated to grow to $155.74 billion by 2019, at a Compound Annual Growth Rate (CAGR) of 10.3 percent from 2014 to 2019, according to a report from Markets and Markets. The aerospace, defense, and intelligence vertical continues to be the largest contributor to cybersecurity solutions. North America is expected to be the biggest market, while the APAC and EMEA regions are expected to experience increased market traction.

“Next generation” cybersecurity spending could reach $15 billion to $20 billion in the next 3 years.

  • FBR Capital Markets was quoted in a recent CIO Journal (published by The Wall Street Journal) article as predicting a 20% increase in “next-generation cybersecurity spending” this year (2015), as companies move beyond traditional firewall and endpoint vendors to cloud and Big Data solutions.
  • About 10% of enterprises and government agencies have upgraded to next-generation security software, such as firewalls that detect and block threats at the application level, or Big Data analytics services geared toward security, said FBR Capital Markets Managing Director and Senior Research Analyst Daniel Ives. “The market for those software tools could be $15 billion to $20 billion over the next three years” added Ives.
  • “Hackers and nation states are increasingly targeting websites in an attempt to gain illicit access to enterprise networks and highly valuable digital assets,” said Frost & Sullivan Network Security Senior Industry Analyst Chris Rodriguez (Apr. 2015). “Since Web applications present a number of unique security challenges that require purpose-built security solutions, such high profile data breaches have piqued the demand for WAF (web application firewall) systems. The worldwide market is expected to reach $777.3 million in 2018.”
  • One of many next generation vendors who are making waves is Spikes Security, based in Los Gatos CA, who is listed at #116 on the Cybersecurity 500 list of the hottest and most innovative cybersecurity companies in the world. Their CEO Branden Spikes served as the chief technologist for Elon Musk, one of the world’s most successful entrepreneurs, engineers, inventors and investors, for over 15 years at Zip2PayPalTesla, and SpaceX. Spikes Security has a unique platform for isolating and eliminating browser-borne malware.
  • 阅读全文»
(没有打分)