360吴云坤：基于叠加演进的思路建立协同联动的防御体系

本篇文章1554字，读完约4分钟

北京，6月2日，6月2日，在国家互联网信息办公室的指导下，由中国网络空天津互联网信息办公室主办的“网坛中国行”系列活动启动仪式在天津举行。360公司等联合中国网络空安全协会网络/。

“网络安全中国行”是配合6月1日《网络安全法》正式实施而组织的一系列活动。国家互联网信息办公室、中国网络空办公室安全协会、天津网络安全行业相关部门、相关政府和企业组织的网络安全领导、企业代表和网络安全领域专家出席了启动仪式和主题论坛。

图片:360企业安全集团总裁吴云坤发表主旨演讲

360企业安全集团总裁吴云坤应邀发表了题为《从兰森软件看企业安全的叠加演进》的主题演讲。吴云坤在梳理和总结5月份“永恒的蓝色”网络蠕虫攻击的基础上，分析了网络安全覆盖演化的趋势和方向，基于覆盖演化的思想进行了安全规划，建立了基于数据和智能的协同防御体系。

从永恒的蓝色看企业网络安全的演变

自2017年5月12日以来，犯罪分子一直使用2017年4月泄露的美国国家安全局黑客数字武库中的“永恒的蓝色”(Elevent Blue)工具发起蠕虫攻击，进行勒索。在受害主机被招募后，蠕虫会在受害主机中植入一个勒索程序，存储在硬盘中的文件将被加密并且不可读。

截至5月16日，勒索蠕虫攻击了全球100多个国家，360威胁情报中心发现，中国有30多万台机器被捕获，至少有28，388个机构感染了知识产权。

早在“永恒的蓝色”事件发生前59天，微软就发布了针对相关漏洞的安全补丁，全球许多安全组织(包括360)都发布了相应的安全预警和漏洞修复工具，但许多组织仍然受到影响。

在向数字世界不断演进的过程中，安全领域也随之演变，“未知”领域也不断出现。进化过程是不断叠加和交叉的。

吴云坤从不同的演变阶段分析了“蓝色永恒事件”的内在原因。他认为在五个不同的发展阶段有很多地方需要反思:基础设施安全、被动防御、主动防御、威胁情报和进攻反击措施。例如，在主动防御阶段，企业对资产不清楚，缺乏连续检测和监控技术，不能及时察觉感染，缺乏响应和处置流程以及自动响应手段。

图:360关于“永恒的蓝色”病毒传播的特殊情境意识

吴云坤表示，作为政府、企业和其他组织的安全领导者，他们需要认识到威胁环境的变化，更重要的是，他们需要认识到安全能力建设的趋势和趋势，为自己的组织建设相应的安全能力。不同进化阶段之间的关系应该是叠加进化和安全合作。

用叠加进化思想构建安全防御体系

永恒蓝事件爆发后，360利用其在安全大数据和态势感知领域的优势，迅速推出了“永恒蓝”蠕虫传播的特殊态势感知，并在此基础上建立了应急响应系统。同时，将态势感知系统推向相关主管部门、行业和大型企业，帮助他们及时了解和掌握蠕虫传播情况，从而做出有效的处置和应对行动，有效遏制蠕虫的进一步传播。

吴云坤表示，在处理“永恒的蓝色”事件中，360派出2000多名安全应急人员，为1700多个政府和企业机构提供现场支持，为2000多个机构提供电话支持，生产了5000多个工具u盘和光盘，发布了9个版本的安全警示通告，7个安全维修指南文件，推出了6个维修工具软件。

吴云坤表示，通过“永恒的蓝色”事件，应急响应不仅仅是“高高在上”的分析和判断，还往往是基础设施的“肮脏和疲惫”以及被动防御，其中人是最重要的因素之一。进化的不同阶段都离不开人们的参与；无论环境如何发展，都不能忽视基础设施安全。随着安全的叠加和演化，随着安全态势感知的安全智能，基础设施安全应该做得更多。

吴云坤认为，从“永恒蓝”事件的应急响应来看，有必要补充结构安全和被动防御的一系列基础，促进运行安全运行和维护，努力为主动防御和威胁情报奠定坚实基础。企业应重新审视安全防护体系，基于叠加进化的思想进行安全规划，建立基于数据和智能的协同防御体系。