里約奧運會沒開幕之前，安全問題就已經成為令奧運村和各國運動員管理機構頭疼的問題。在另一條隱形的戰(zhàn)線上，信息安全的奧運之戰(zhàn)已經在悄然展開。360企業(yè)安全近期發(fā)出了里約奧運期間信息安全指南，比如提防假票務網絡詐騙，攻擊者可利用網站輕松地收集用戶銀行登錄憑證以清空受害者的銀行賬戶。

在今年的IT價值峰會上，360企業(yè)安全集團交付事業(yè)部總經理張龍指出，很多信息安全攻擊看似新鮮卻其實已經在歷史上發(fā)生過，有的信息安全攻擊或威脅甚至是某個歷史性信息安全威脅行為的延續(xù)或新進展。中國有句古語叫“知史而明今”，還有一句古話叫做“溫故而知新”。從歷史大數據中挖掘“金礦”，是信息安全反守為攻的最新策略。

1一個真實的案例

張龍介紹了一個真實的案例。2015年底的時候，360企業(yè)安全的一個客戶發(fā)現了交易系統(tǒng)數據庫有一個異常，當時就聯系了360企業(yè)安全的工程團隊。工程團隊從現場取樣了一個惡意的程序，在隨后的數據同源性分析中，發(fā)現這個惡意程序樣本已經存在很長時間了。

360企業(yè)安全團隊發(fā)現，該惡意程序樣本第一次出現在2006年以前，2011年后曾大批出現，被曝光后就銷聲匿跡了一段，但到了2014年又達到了一個新的高峰。2016年春節(jié)，360企業(yè)安全團隊把該惡意程序上報給了主管監(jiān)管機構，然而上報后依然可以聽到企業(yè)不斷被干擾的消息。

從互聯網大數據挖掘和分析的結果看，可以發(fā)現惡意樣本背后的組織非常嚴密，而且有非常高水平的工程師可以設計出“免殺”或可“逃逸”終端防病毒軟件的查殺。此外，該事情還原之后報給公安部門，抓獲的犯罪份子既出人意料又在預料之中，原來這個組織有一半人都曾是做軟件外包開發(fā)的資深工程師。

基于上述案例，可以得出四個環(huán)環(huán)相扣的漏洞：系統(tǒng)有未知的漏洞、系統(tǒng)有未修復的已知漏洞、員工與合作伙伴有時候不那么可靠、信息系統(tǒng)無法不被滲透。如果企業(yè)同時遭遇上述漏洞，那么該如何制定自己的信息安全策略？

2從防守到響應

傳統(tǒng)信息安全的思路是黑客攻擊、信息安全團隊防守，但在企業(yè)漏洞頻發(fā)，黑客攻擊手段日益復雜的情況下，企業(yè)信息安全很難徹底防住或不能完全防住網絡攻擊，這時加強威脅的檢測和及時響應能力就成為不得已的選擇。

這一方面是在入侵或威脅從企業(yè)外圍向內部進攻的時候，盡量縮短檢測時間；第二是要加強響應和調查，僅有應急預案和應急處置還不夠，在臨時清除掉入侵或威脅的時候，還要把背后的組織挖出來。因此響應之后的深挖、溯源、調查和取證就變得非常非常重要，甚至要更多地與執(zhí)法部門合作。

張龍認為，下一階段企業(yè)信息安全的思路或策略，在以往防御為基石的前提下，要加強檢測與響應兩個方面的投入。檢測調查通常來說，就是發(fā)現信息安全的入侵事件或者滲透事件的一個線索，從一個線索拓展成一個事件，從一個事件擴展到全貌，這個全貌則要把信息安全事件的前世今生挖掘出來，包括惡意樣本背后的組織、目的、危害、相應的整改等。

如何去還原和發(fā)現信息安全事件的前世今生？除了企業(yè)內網的數據外，還有整個互聯網上的數據。

從360整個攻防體系來看，互聯網上的數據對于企業(yè)來說非常有價值。比如企業(yè)信息系統(tǒng)初步被滲透了之后總要與外界通信，通信的時候就一定要求訪問外部域名，甚至出現不太正常的主機行為，這些行為都可以從互聯網獲取相關數據。

3安全大數據分析可能是解決問題的銀彈

對于各種手段日益先進和復雜的黑客攻擊，能夠及時檢測和響應，這背后需要強大的“大腦”。這種會思考的大腦來自哪里？近兩年業(yè)界比較追捧的基于海量安全大數據的大數據分析可能是解決之道。

今天，在整個互聯網上，惡意代碼可被信息安全軟件檢測出的概率約為50%。惡意軟件為了實現免殺或免發(fā)現，就必須要用信息安全軟件先進行自我檢測，檢測的時候必然會在各大信息安全軟件公司的云端留下原始樣本記錄，這樣的記錄被稱為灰度文件。

張龍介紹說，目前互聯網上有約100億可執(zhí)行文件，百分之百確認的白文件數量約為一個億、百分之百確認的黑文件數量為20億，其余80億左右的文件無法辨別。如果集互聯網全網之力，對這大數據文件進行分析，結果必然比只依靠本地數據完善得多。

基于這些互聯網海量安全大數據形成的威脅情報，可以大大提升企業(yè)發(fā)現各類攻擊的能力。這就像已經留下案底的竊賊，無論如何喬裝，只要他們行動，就可能在第一時間被捕獲：他們過去留下的行為特征，他們與常人不同的異常舉動，都有可能在“安全大數據里”得到驗證。

“在已經不可能完全防住的前提下，利用數據分析的方法、理論和邏輯可能是一條更好的出路。”張龍強調，“一次安全事件所利用的漏洞或者樣本，可能在互聯網上已經出現過。利用互聯網上的海量攻防數據，可以更快發(fā)現甚至預防安全事故。”

顯然，在新的時期，掌握海量安全大數據的企業(yè)將會擁有更強大的發(fā)現能力。

360企業(yè)安全大數據庫包括：全球文件樣本庫，總樣本數達95億+，其中有20億+黑名單和1億+白名單，每天新增900萬樣本；最大中文漏洞庫，總漏洞數超過47萬，每天新增約400個；文件行為庫（主防），總日志數189000億條，每天新增380億條；最大的存活網址庫，每天查詢300億條、每天處理100億條、每天攔截用戶訪問釣魚數超過1.4億URL；互聯網域名信息庫，含90億DNS解析記錄、每天約新增100萬條，13年+的Whois信息存儲，約占中國DNS解析與查詢記錄的25%。

目前360企業(yè)安全團隊通過360瀏覽器、搜索終端應用等累積來自全球5.09億PC安全客戶端、7.44億移動端安全客戶端、互聯網基礎設施DNS、獵網、補天等各類舉報與響應平臺以及 100+第三方數據源。

4安全大數據項目要有清晰目標

張龍表示，目前業(yè)界對大數據在信息安全領域的應用并不十分認同。原因在于大數據分析是一個萬能平臺，大數據分析應用的空間非常大，不能天馬行空的想象，而必須在具體實施信息安全大數據項目之前有一個清晰的項目目標。

真正做好的項目需要目標很明確，例如具體做一個銀行調研系統(tǒng)或者內網系統(tǒng)，就可以配套360企業(yè)安全的大數據資源、平臺、技術和人。

現在每個傳統(tǒng)企業(yè)產品都附加了大數據接口，用于上收防火墻、殺毒軟件、交換機、路由器等來源的數據，把收上來的數據對接互聯網云端信息進行分析，實現安全風險態(tài)勢感知、高危外聯行為感知、安全告警監(jiān)控、Web安全態(tài)勢感知、威脅行為的還原等應用。

360企業(yè)安全團隊的大數據服務器規(guī)模超過60000臺，總存儲數據量接近1.3EB、每天新增超過1.5PB、每天各種數據計算任務10萬個、每天處理數據量10PB。通過與外部信息安全大數據對比，可以發(fā)現與木馬外聯的惡意服務器或暗鏈，幫助企業(yè)與外網進行對接。360企業(yè)安全還可以做到兩三千億條企業(yè)IT日志的檢索，對企業(yè)內部進行信息安全大數據分析。

在信息安全攻防雙方的博弈中，攻方往往手段多樣且會從想象不到的角度滲透系統(tǒng)。傳統(tǒng)政企網絡里面雖然設置了隔離網，然而越是隔離的系統(tǒng)，企業(yè)的信息安全團隊就越放松，只要一放松實際上滲透的概率就越高。