滴滴安全運營實踐：威脅情報加持，為數(shù)億用戶提供“安全感”

作為一個全球性的互聯(lián)網(wǎng)出行巨頭，滴滴擁有十萬級服務(wù)器規(guī)模的龐大IT基礎(chǔ)設(shè)施，如何做好企業(yè)安全運營是一個非常大的挑戰(zhàn)。在2020 CTIC 網(wǎng)絡(luò)安全分析與情報大會上，滴滴安全部負(fù)責(zé)人秦波表示，威脅情報是滴滴和外部專業(yè)能力相互打通的一個重要橋梁，讓滴滴更好地提升了安全檢測的能力。

滴滴的威脅情報實踐

秦波介紹到滴滴的安全挑戰(zhàn)非常大體現(xiàn)在其業(yè)務(wù)的特殊性，攻擊者會通過一些手段干擾、破壞來直接獲取利益，或者對平臺公平性造成損害。一方面要保護(hù)用戶的數(shù)據(jù)，比如保護(hù)乘客的行程軌跡以及其他個人數(shù)據(jù)免被利用。另一方面，還要防止司機作弊，比如，避免不具備接單的資格的司機非法搶單，從而影響平臺的公平性并造成資金損失等。

除了出行業(yè)務(wù)以外，滴滴還面臨著物聯(lián)網(wǎng)設(shè)備方面的安全問題，比如青桔單車、無人車、充電樁以及一些智能交通設(shè)施，這些設(shè)備存在著被物理手段或者近源攻擊的可能性，從而對業(yè)務(wù)造成破壞，也損害用戶利益，可能對社會的基礎(chǔ)設(shè)施帶來破壞。

滴滴的安全技術(shù)團(tuán)隊大約有四五百人的規(guī)模。盡管在安全上的投入很大，但仍會感覺不足，秦波表示：“如果完全靠我們自己去識別這些威脅的話，它是有一定欠缺的，因為我們無法把所有流行的攻擊手段、IP、惡意文件都識別出來。而微步在線是專業(yè)性的服務(wù)，把它引入到滴滴內(nèi)部來，能幫我們提供外部的能力。”很多時候滴滴的網(wǎng)絡(luò)安全建設(shè)都依靠自研技術(shù)，但是在威脅情報方面，卻采用了微步在線提供的威脅情報服務(wù)。

秦波介紹，滴滴采用了微步在線的威脅情報API數(shù)據(jù)服務(wù)，它能夠幫滴滴更加快速的去識別檢測到的可疑IP、惡意文件、攻擊手段等，可以幫助滴滴更好的甄別問題，提升安全檢測能力。

在秦波看來，情報的作用不僅體現(xiàn)在被攻擊的時候。他表示，在攻擊發(fā)生前，通過情報來發(fā)現(xiàn)企業(yè)暴露在互聯(lián)網(wǎng)的資產(chǎn)的脆弱性，并且做到快速摸查、修復(fù)、加固;在攻擊正在發(fā)生的過程中，情報作為一個重要的檢測手段，可以確鑿地去發(fā)現(xiàn)每一個攻擊，在整個過程中做到真實、有效和快速。

微步在線最為人所熟知的就是威脅情報，它的威脅情報數(shù)據(jù)非常全面，而且非常準(zhǔn)確，內(nèi)容也很豐富。所謂威脅情報，它能幫助企業(yè)用戶識別出各種網(wǎng)絡(luò)威脅，包括識別攻擊手段、識別IP、識別惡意文件、識別黑客組織等等，引入威脅情報就意味著請了一位安全的吹哨人。

滴滴看重微步在線技術(shù)服務(wù)上的先進(jìn)性，也看到了該服務(wù)對于滴滴安全能力方面的價值，雙方聯(lián)手以新一代的安全技術(shù)加固滴滴整體的安全防護(hù)體系，為數(shù)億用戶帶來更強的安全感。

基于威脅情報的檢測與響應(yīng)

滴滴對于威脅情報的使用方式反映出了大型互聯(lián)網(wǎng)公司業(yè)務(wù)的行業(yè)特性。除了提供威脅情報，微步在線在安全技術(shù)方案層面還有更多解決方案，讓企業(yè)享受到威脅檢測和響應(yīng)帶來的安全感。

在2020 CTIC 網(wǎng)絡(luò)安全分析與情報大會上，微步在線技術(shù)合伙人趙林林表示，目前很多企業(yè)仍在采用傳統(tǒng)的IDS(intrusion detection system-入侵檢測系統(tǒng))，對網(wǎng)絡(luò)威脅進(jìn)行檢測。

在實際應(yīng)用中，IDS動輒成千上萬的海量告警，還有居高不下的誤報率，都令安全人員非常頭疼，其結(jié)果就是選擇忽略IDS。最終讓用戶下決心徹底拋棄IDS的原因在于，IDS根據(jù)規(guī)則告警的策略是一種落后的技術(shù)，它很可能檢測不出真正的威脅，而且響應(yīng)能力很弱。如今，IDS開始被邊緣化，在一些行業(yè)條例，比如等保測評條例里已經(jīng)開始忽略IDS了。

趙林林認(rèn)為，作為新一代流量檢測技術(shù)，NDR(Network Detection and Response-網(wǎng)絡(luò)的檢測和響應(yīng))將會取代傳統(tǒng)的IDS，成為未來企業(yè)安全運營能力的標(biāo)配。與IDS相比，NDR在威脅檢測的有效性、檢測范圍和檢測的復(fù)雜度方面都要強得多;在威脅響應(yīng)方面，NDR把響應(yīng)提升和檢測一樣的高度。也就是說，NDR能發(fā)現(xiàn)問題，也能解決問題。

基于NDR理念，微步在線推出了一款重磅產(chǎn)品——TDP(Threaten Detection Platform-威脅感知平臺)，幫助企業(yè)從發(fā)現(xiàn)問題到處置問題，以閉環(huán)的方式做好安全運營。通過TDP，安全運營人員不僅能夠發(fā)現(xiàn)新型的網(wǎng)絡(luò)威脅，而且可以從網(wǎng)絡(luò)威脅的背后分析出攻擊者的戰(zhàn)術(shù)、技術(shù)和攻擊過程，并對攻擊者做出畫像，從而做出準(zhǔn)確、有效的響應(yīng)。

趙林林強調(diào)，TDP是一種可以用的起來的安全方案，能做檢測，還能做響應(yīng)，兩種能力的結(jié)合最終能給企業(yè)網(wǎng)絡(luò)安全運營帶來安全感。這種安全感主要是指能提供檢視安全狀態(tài)的能力，從被入侵的那一刻開始，檢測和響應(yīng)能力就開始發(fā)揮作用了，它能讓用戶看到哪些設(shè)備被黑了，突破口是哪里，被誰黑了，入侵者具體做了什么操作，是否做了自動處理等多種信息。

由于TDP源于微步在線強大的威脅情報能力，因此其產(chǎn)品成熟度也比國內(nèi)大多數(shù)同類產(chǎn)品要高。微步在線在TDP方案中的一些具體做法也經(jīng)常被效仿，頗有一直被模仿，從未被超越的態(tài)勢。

微步在線為企業(yè)帶來安全感

除了對產(chǎn)品的解析之外，在大會后的采訪中，趙林林還分享了一些在互聯(lián)網(wǎng)行業(yè)的應(yīng)用案例，例如：

某知名互聯(lián)網(wǎng)資訊企業(yè)，在日常安全運營中發(fā)現(xiàn)有一臺服務(wù)器被黑客攻擊了，起初用戶并沒有太在意，以為只有少部分服務(wù)器被黑了。但是，當(dāng)部署規(guī)模擴(kuò)大之后，用戶驚訝地發(fā)現(xiàn)被黑的范圍其實很大，這才開始意識到自己的系統(tǒng)其實并沒有想象中的那么安全。

在嘗試微步在線TDP平臺后，該企業(yè)的安全運營人員能夠清楚地看到黑客訪問了哪個目錄下的數(shù)據(jù)，哪些數(shù)據(jù)被竊取了，拿走了多少數(shù)據(jù)，甚至能夠溯源是哪個黑客團(tuán)體拿走的，許多細(xì)節(jié)都顯示得一清二楚，這在以前是不可想象的。

還有一些互聯(lián)網(wǎng)企業(yè)，對于微步在線TDP平臺的安全狀況可視化能力印象深刻。因為TDP能夠?qū)⒑诳偷墓粜畔凑諘r間線進(jìn)行非常清晰的展示，讓用戶看到很多有價值的信息，從而更好地進(jìn)行安全運營決策。

趙林林在采訪中表示，在客戶的實際測試中，微步在線的TDP平臺有非常出眾的表現(xiàn)，能夠?qū)⒐粜畔?zhǔn)確地呈現(xiàn)出來，因此微步在線總能在眾多廠商的競測中勝出。

總體而言，面對新型的網(wǎng)絡(luò)威脅，檢測與響應(yīng)已經(jīng)成為互聯(lián)網(wǎng)企業(yè)安全的主要建設(shè)方向。因此，在安全建設(shè)中引入威脅情報，企業(yè)可以及時發(fā)現(xiàn)威脅，并做出準(zhǔn)確、有效的響應(yīng)。作為威脅發(fā)現(xiàn)與響應(yīng)的專家，微步在線以云端和本地的全面監(jiān)控，將情報賦能企業(yè)傳統(tǒng)安全和業(yè)務(wù)安全，從而助力企業(yè)有效對抗新型攻擊手段和未知威脅，給企業(yè)滿滿的安全感。