作为一个全球性的互联网出行巨头,滴滴拥有十万级服务器规模的庞大IT基础设施,如何做好企业安全运营是一个非常大的挑战。在2020 CTIC 网络安全分析与情报大会上,滴滴安全部负责人秦波表示,威胁情报是滴滴和外部专业能力相互打通的一个重要桥梁,让滴滴更好地提升了安全检测的能力。

滴滴的威胁情报实践

秦波介绍到滴滴的安全挑战非常大体现在其业务的特殊性,攻击者会通过一些手段干扰、破坏来直接获取利益,或者对平台公平性造成损害。一方面要保护用户的数据,比如保护乘客的行程轨迹以及其他个人数据免被利用。另一方面,还要防止司机作弊,比如,避免不具备接单的资格的司机非法抢单,从而影响平台的公平性并造成资金损失等。

除了出行业务以外,滴滴还面临着物联网设备方面的安全问题,比如青桔单车、无人车、充电桩以及一些智能交通设施,这些设备存在着被物理手段或者近源攻击的可能性,从而对业务造成破坏,也损害用户利益,可能对社会的基础设施带来破坏。

滴滴的安全技术团队大约有四五百人的规模。尽管在安全上的投入很大,但仍会感觉不足,秦波表示:“如果完全靠我们自己去识别这些威胁的话,它是有一定欠缺的,因为我们无法把所有流行的攻击手段、IP、恶意文件都识别出来。而微步在线是专业性的服务,把它引入到滴滴内部来,能帮我们提供外部的能力。”很多时候滴滴的网络安全建设都依靠自研技术,但是在威胁情报方面,却采用了微步在线提供的威胁情报服务。

秦波介绍,滴滴采用了微步在线的威胁情报API数据服务,它能够帮滴滴更加快速的去识别检测到的可疑IP、恶意文件、攻击手段等,可以帮助滴滴更好的甄别问题,提升安全检测能力。

在秦波看来,情报的作用不仅体现在被攻击的时候。他表示,在攻击发生前,通过情报来发现企业暴露在互联网的资产的脆弱性,并且做到快速摸查、修复、加固;在攻击正在发生的过程中,情报作为一个重要的检测手段,可以确凿地去发现每一个攻击,在整个过程中做到真实、有效和快速。

微步在线最为人所熟知的就是威胁情报,它的威胁情报数据非常全面,而且非常准确,内容也很丰富。所谓威胁情报,它能帮助企业用户识别出各种网络威胁,包括识别攻击手段、识别IP、识别恶意文件、识别黑客组织等等,引入威胁情报就意味着请了一位安全的吹哨人。

滴滴看重微步在线技术服务上的先进性,也看到了该服务对于滴滴安全能力方面的价值,双方联手以新一代的安全技术加固滴滴整体的安全防护体系,为数亿用户带来更强的安全感。

基于威胁情报的检测与响应

滴滴对于威胁情报的使用方式反映出了大型互联网公司业务的行业特性。除了提供威胁情报,微步在线在安全技术方案层面还有更多解决方案,让企业享受到威胁检测和响应带来的安全感。

在2020 CTIC 网络安全分析与情报大会上,微步在线技术合伙人赵林林表示,目前很多企业仍在采用传统的IDS(intrusion detection system-入侵检测系统),对网络威胁进行检测。

在实际应用中,IDS动辄成千上万的海量告警,还有居高不下的误报率,都令安全人员非常头疼,其结果就是选择忽略IDS。最终让用户下决心彻底抛弃IDS的原因在于,IDS根据规则告警的策略是一种落后的技术,它很可能检测不出真正的威胁,而且响应能力很弱。如今,IDS开始被边缘化,在一些行业条例,比如等保测评条例里已经开始忽略IDS了。

赵林林认为,作为新一代流量检测技术,NDR(Network Detection and Response-网络的检测和响应)将会取代传统的IDS,成为未来企业安全运营能力的标配。与IDS相比,NDR在威胁检测的有效性、检测范围和检测的复杂度方面都要强得多;在威胁响应方面,NDR把响应提升和检测一样的高度。也就是说,NDR能发现问题,也能解决问题。

基于NDR理念,微步在线推出了一款重磅产品——TDP(Threaten Detection Platform-威胁感知平台),帮助企业从发现问题到处置问题,以闭环的方式做好安全运营。通过TDP,安全运营人员不仅能够发现新型的网络威胁,而且可以从网络威胁的背后分析出攻击者的战术、技术和攻击过程,并对攻击者做出画像,从而做出准确、有效的响应。

赵林林强调,TDP是一种可以用的起来的安全方案,能做检测,还能做响应,两种能力的结合最终能给企业网络安全运营带来安全感。这种安全感主要是指能提供检视安全状态的能力,从被入侵的那一刻开始,检测和响应能力就开始发挥作用了,它能让用户看到哪些设备被黑了,突破口是哪里,被谁黑了,入侵者具体做了什么操作,是否做了自动处理等多种信息。

由于TDP源于微步在线强大的威胁情报能力,因此其产品成熟度也比国内大多数同类产品要高。微步在线在TDP方案中的一些具体做法也经常被效仿,颇有一直被模仿,从未被超越的态势。

微步在线为企业带来安全感

除了对产品的解析之外,在大会后的采访中,赵林林还分享了一些在互联网行业的应用案例,例如:

某知名互联网资讯企业,在日常安全运营中发现有一台服务器被黑客攻击了,起初用户并没有太在意,以为只有少部分服务器被黑了。但是,当部署规模扩大之后,用户惊讶地发现被黑的范围其实很大,这才开始意识到自己的系统其实并没有想象中的那么安全。

在尝试微步在线TDP平台后,该企业的安全运营人员能够清楚地看到黑客访问了哪个目录下的数据,哪些数据被窃取了,拿走了多少数据,甚至能够溯源是哪个黑客团体拿走的,许多细节都显示得一清二楚,这在以前是不可想象的。

还有一些互联网企业,对于微步在线TDP平台的安全状况可视化能力印象深刻。因为TDP能够将黑客的攻击信息按照时间线进行非常清晰的展示,让用户看到很多有价值的信息,从而更好地进行安全运营决策。

赵林林在采访中表示,在客户的实际测试中,微步在线的TDP平台有非常出众的表现,能够将攻击信息准确地呈现出来,因此微步在线总能在众多厂商的竞测中胜出。

总体而言,面对新型的网络威胁,检测与响应已经成为互联网企业安全的主要建设方向。因此,在安全建设中引入威胁情报,企业可以及时发现威胁,并做出准确、有效的响应。作为威胁发现与响应的专家,微步在线以云端和本地的全面监控,将情报赋能企业传统安全和业务安全,从而助力企业有效对抗新型攻击手段和未知威胁,给企业满满的安全感。