易建科技总监何健:安全防御需足智多谋

来源:比特网 2018-04-16 17:31:00

  何健,10年以上安全领域的攻防研究和安全设计开发工作,现任易建科技安全运维总监,CISP(国家注册信息安全专业人员)、海南省网络安全协会专家组成员。

  一次网络盗号迷上黑客技术

  总觉得采访一位经验丰富的黑客大牛,会有说不完的传奇故事。当问到是怎么当上黑客的,何健讲了一段有趣的故事。初中时期,正处于adsl互联星空拨号上网时代,当时网络安全防控未成体系,人们的网络安全意识淡薄,有一次他家里的上网账户和信息被“黑帽子”被盗用,买了很多东西,导致宽带账户处于欠费状态。由于这个原因,很长一段时间内剥夺了他上网的“权利”。

  “这是为什么?”账户被盗的这道问答题,恰巧让长期沉迷于网游的他如醉初醒,他通过自学多种编程语言找寻答案。同时,也让他看到了安全的瓶颈。那个时代病毒木马泛滥,杀毒软件更新远更不上病毒的角度,只能通过增强口令及安装系统还原精灵来加强系统安全性。此后,他便萌生了学习信息安全的想法,开始了真正的“黑客”之路。之后,他还小试牛刀通过刚掌握不久的技术手段破解了网吧的计费系统,请一众同学免费上了网。

  安全“识”企业核心竞争力

  在大数据和人工智能时代,数据和可用性是互联网企业发展的基石,有数据就有隐私、泄密等安全风险。而信息安全的核心目标,就是保护业务的可持续发展,防止数据泄密等安全事件。两家同等规模和研发技术实力的企业,其核心竞争力在“安全”的这个标尺下很快能分高低。

  几年前,何健加入易建安全运维团队,成为其中一名网络安全工作的“消防员”。何健所在的团队要负责航空、实业、金融、OTA、物流等多个行业的信息安全工作,入职之初,主要工作内容就是对各个生产、运行系统进行安全评估,指哪打哪!他参与了入侵渗透事件、0day漏洞应急响应等多起“救火”场景,也遇到了由于缺乏监控,未知的渗透入侵无法跟踪;也遭遇过当漏洞爆发时告诉各个业务单位要重视、自查和上报,却不被有效处理的尴尬局面。

  每一次救火历程都是“山穷水尽疑无路,柳暗花明又一村”。在救火之余,何健潜心学习,利用开源架构陆续开发了几套安全自动化系统和小工具提升效率,云WAF(NGINX+LUA)、蜜罐、漏扫、威胁分析。WAF是2013年初写的,写WAF时网上开源的案例并不多,各大厂家只是在介绍思路,未直接开放源码,所以何健花了不少时间去收集策略及调优,以云的方式运行,简单点就是nginx实现负载及反向代理+WAF,各业务单位可按需接入云WAF,灵活度较高。

  让何健信心满满的就是易建自研用于安全防控的威胁分析系统,其利用数据镜像方式,全面监控业务系统发布状态,有效整理业务资产信息,通过主动探刺自动化发现业务可能存在的系统漏洞。同时基于大数据分析,精准定位攻击行为,利用二次包重放深度挖掘有效攻击行为。该系统开发完毕后,对后续安全工作开展简直“爽歪歪”。举2个常见使用场景。

  1、0DAY漏洞应急响应,刚投入运行没多久就爆发S2-045,第一时间筛选URL后缀为.do、.action的业务系统进行批量检测,15分钟跑完所有URL,获取上百处存在漏洞的URL,后续爆发的jboss、weblogic漏洞均采用相同方法进行应急。

  2、漏洞检测,在这方面采取主动的方式进行检测,比如SQL注入,在去重入库后的URL通过调用SQLMAP API 进行SQL注入检测,对常见脚本漏洞的发现很有效,但要注意业务影响。

  值得一提的是易建新数据中心投入运行,该数据中心参照行业一流安全设计标准,架构及安全防护能力方面都达到了当时行业最高水平,通过多重技术手段打造了安全可靠和高容错的互联网数据中心。事实证明合理的隔离和IDC防护能力是非常重要的,在某个时间内部爆发蠕虫病毒,新数据中心感染数量不超过个位数。

   图为新数据中心两个区域的阉割版架构图,从图中看,边界防护能力相当充分。

  几年来,在何健与易建安全团队其他成员在网络安全一路进发,安全防护能力不断提升,从当初的被动防御转变为今日的主动防御,主动研发了一系列防攻击系统,主动寻求业内先进安全解决方案,安全工作实现了自动化监测、主动防御等功能。据统计,其每日平均为海航集团网络抵御10万次以上的攻击行为,通过人工持续监控处置,内网病毒感染比例大幅度下降85%。

  “数据证明我们的努力没有白费。当然,这只是阶段性成功,信息安全工作任重道远。”何健说,我们会持续快速改进加强安全管控,尽早实现安全无死角、管控全覆盖的目标。

  安全发展的“双人”

  何健的团队属于时刻打鸡血型的,每逢应急必冲第一线。但是硬碰硬的冲突并不能体现出安全防范的“智慧”。何健认为,信息安全的未来离不开“双人”-人工智能和人才。

  随着大数据及云计算的成熟,人工智能如虎添翼,其在安全领域同样有丰富的应用场景。我们也考虑在自研的威胁分析系统中引入机器学习技术,机器学习更深层次的挖掘未知的攻击行为,挖掘代码漏洞。该项工作一旦落地,对于安全工作效率将大幅度提升。但AI本身也离不开安全,如何保护AI防入侵、防越权、防攻击等也是一项值得深入研究的课题。

  当下网络安全不断升级,安全发展将日趋普遍化,各行各业都离不开信息安全。何健表示,未来,安全岗位将与网管、研发岗位一样成为各公司的标配。企业需要采取培养更多的人才,以降低网络风险并打造竞争优势。值得一提的是,易建网络安全和运维人才也在多个大奖中表现出彩,去年12月21日赢得了第二届“攻城狮”IDC运维大赛冠军,再一次向外界证明了其过硬实力。同时,易建还为金融、航空、旅游、政府等部门提供专业化的网络安全测试、研发和定制服务。

  路漫漫其修远兮,何健说自己是痛并快乐着。喜欢挑战,不惧怕各种漏洞,旨在追求安全技术造诣的炉火纯青。

点击查看原文

相关链接