我代表北京知道创宇给大家介绍“一带一路”网络安全保护核心技术以及我们相关实践。本次汇报包括三方面的内容：一、企业出海面临的网络安全风险与问题。二、企业出海网络安全需要的关键技术。三、通过案例介绍我们相关的成果。

　　首先，企业出海面临的网络安全问题。海外分支机构的网络安全相对比较薄弱，成为形成企业网络安全的短板。木桶理论。某大型企业邀请我们对他们做一次网络勒索渗透。按照常规套路，首先测绘了互联网曝露面，发现企业办公网做了收口。三年前，我们为这家企业服务的时候有1000多个暴露面，这三年经过SD1的收口，暴露面收敛到2个。下一步我们来测绘企业互联网的业务系统，发现大多数的互联网业务系统已经上了云WAF，下一步我们试探在网络边界VPN设备是否有漏洞。发现这些设备升级及时，没有太多漏洞可以利用。接下来我们尝试入口令、钓鱼邮件，也没有人上钩。看来这家企业经过这几年连续不断的红蓝对抗，相关的网络安全的防护水平，甚至包括企业员工安全意识都有了非常明显提升。下一步该怎么进行呢？进一步测绘其国际分支机构。我们发现这家企业一个海外站点，安装的防火墙存在着若干个漏洞。对其中一两个漏洞的利用，我们打进了它的办公网。通过办公网进入了服务业务网络。它的服务业务网络和总部网络连接，我们进入了总部。

　　总部的网络一般都会部署防火墙、防病毒网关、IPS、IDS、UTM、WAF等等，通常会穿7、8个安全产品在总部的网络里面。并且，总部一般还会有数十人的安全运营团队，帮助网络做安全运营的工作。海外分支机构不是这样，海外分支机构资源比较少，很难在海外有充足的人力物力做网络安全工作，甚至把相应安全产品从国内快递到海外站点也是比较困难的一个工作。即使安全设备、安全产品快递出去之后，当地也很难找到合适的、符合要求的安全运营人员，正确把设备配置、安装，安全运营监事起来。在这个案例里，我们的渗透已经在海外的站点成功实施了3、4天但没有被感知到。因此我们利用这条路，最终反联进总部网络，拿到关键数据库，达成了模拟的勒索攻击效果。

　　过往实践中经常发现，跨国企业集团，总部网络几乎没有可利用途径，但海外机构的安全防护成为集团网络安全的短板，也是最需要关注的薄弱环节。通过这个案例我们了解到实际的薄弱点vpn断开连接会怎么样。下一步就看在当前情况下，企业面临的主要安全威胁和风险有哪些。

　　据我们观察，目前全球企业面临的最大两个风险，勒索攻击、APT攻击。勒索组织、APT组织在当前的技战法上已经高度趋同，他们一起对企业网络安全带来了更加严峻的挑战。据Fortinet公布的数据，全球每100次的网络安全事件中就有62次与勒索相关，2024年上半年全球检测到的勒索事件达到2300起，公开可查的企业支付苏瑾超过33亿人民币，成功的勒索平均每次获益达到1300万人民币，对没有支付赎金的企业数据会放在暗网上免费公海甚至售卖，对企业的安全运行造成了新的风险。我们耳熟能详的很多著名企业的勒索事件，包括今年的PSISoftware、美国能源署以及去年工商银行海外机构和波音公司，甚至再早之前2021年的时候美国的Coloniol管网公司被勒索组织勒索，造成了整个美国东部石油网络瘫痪，因为这个事件整个网络有好几个州宣布进入紧急状态。勒索不光是网络犯罪概念，已经严重影响了现实中的生产生活。

　　勒索组织与国家级APT组织的攻击技术、手法越来越趋同。2017年，在最早版本的WannaCry病毒库中，安全厂商发现，其中存在着APT组织Lazarus使用过的代码，从而判断该病毒是由这个APT组织制造的，这个细节被公布之后，后续版本的WannaCry将这段代码去除了，这个动作进一步验证了这个勒索软件和APT组织的关系。如果把2017年作为APT组织与勒索组织融合的纪元年，此后越来越多的勒索工具、组织流程都和APT高度融合。2020年DarkSide这个勒索组织公开宣布自己活力了9000万美元，并公开了自己的技战法，我们从他们公开的技战法中能够印证，他们的很多活动和APT已经没有什么两样。

　　企业出海落安全建设需要的关键技术。我们列了五个。展开具体技术之前需要明确一个指导思想，在当今的网络安全面临威胁的情况下，必须要以向前防御的指导思想来部署所有防护策略。向前防御是2018年美国网络司令部最早提出，当前网络安全威胁情况下，传统的网络边界实施网络防护的动作和解决方案已经不能满足现实要求了，必须通过各种手段把防护边界向前推进。从交火对抗区甚至推向攻击起源区，才能在网络对抗中位于有利地位。

　　具体展开一下关键技术。SD-WAN技术，大家不陌生，在传统的企业多分支联网的方案里，大多数会采用物理专线或者通过VPN先行组网方式，如果一个跨国大型企业完全采用物理专线明显是不切实际的，而且成本高得多。如果用VPN方式，网络拓扑比较僵化，不可能按照需求随意变更。当SD-WAN这个技术出现之后，我们都获得了低成本、高效的软件定义的局域网的组网方式，迅速获得了工业界的认同。

　　SSD-WAN则是在SD-WAN的基础上，融入了更多的、更全面的安全特性，比如说我们可以集成更多的安全功能，从端到端加密、防火墙、防病毒、日志审计等等，还可以针对多元威胁进行关联分析、自动化同步安全策略到各个分支机构。从而由总部统一制定安全管理规范与要求，监督各分支机构的执行情况，实现集中安全管理。

　　SSD-WAN可以在各个分支机构的安全日志自动化的上报总部的安全运营平台，由总部专业的安全运营团队集中分析、研判，提升安全运营能力。在这个领域，世界上很多企业做的非常不错，比如Zscaler、Netskope，他们的SSD-WAN的服务有很多特点，比如说在云里面交付了安全能力，而不需要依赖本地化部署的安全设备，它提供了零信任的网络访问，而且他们都是全球部署的，能够集成了很多安全功能。通过软件定义的网络，在企业云端网络分支机构间实现灵活组网，并实现网络安全认证、安全防御。

　　针对2020年的SolarWinds的供应链的安全事件，Zscaler的表现非常亮眼，2020年12月9日方案公布了这个事件，Zscaler立刻就给他的客户提供了非常方便的、零信任接入的服务，并帮助客户回溯历史流量，确认他们是否受到了相关后门的影响。为什么能这样做？因为他们部署在云端，所有能力都在云端，可以灵活调度。这个事件处理之后的2021年，Zscaler的收入有了巨幅增长，说明全世界对这种方式是非常认可的。

　　下一个关键技术是S-CDN，是内容分发网络，帮助用户在最短的时间内获得想要的内容。S-CDN是在CDN基础上加入了安全防护的功能，比如抗DDoS攻击、比如WAF等等，可以保护用户的在线业务不受安全威胁的影响。我们在全球部署机房，将全球用户的访问利用DNS、BGP等技术切入到最近到机房进行流量清洗，能够实现在空间上的向前防御。有了SCDN之后，我们就可以把客户真实业务系统用真实业务系统IP隐藏起来，可以调度全球资源防护海量的DDoS和CC的攻击，也可以防黑客、防篡改等等，有很多的功能可以在SCDN架构上非常容易的实施。用这种技术应对了很多的威胁，在俄乌冲突刚开始暴发的时候，乌克兰的关键信息、基础设施遭受到了大量的DDoS攻击，Clocklayer（音）联合谷歌在2022年开始，迅速把他们接入到整个Clocklayer（音）安全网络中，为相关基础设施提供了便捷、可用的服务，让他们的关键基础设施的互联网应用一直正常运行直到现在。

　　我们也有类似案例。2014年香港赛马会受到了海量的DDos攻击，他们的业务造成了严重中断。香港赛马会很多业务是线上进行的，当时在全球为了解决这次事件，全球40多家厂商竞标，我们通过SCDN技术远程接入，为他们很快解决了问题，业务重新上线，避免了巨额损失。从这两个例子可以看到，SCDN它的威力，因为它是远程接入的，它非常非常快，不需要部署传统的私有化的设备。

　　前两个关键技术解决了国际化的两个风险，一是海外分支机构安全防护薄弱，安全能力、安全资源不足。二是海外分支机构缺乏专业安全运营人员，我们可以在云端提供共享的安全专家团队支撑。

　　关键技术三是机器学习。2019年微软公布了一种技术，把程序的可执行代码抽象成一张图片，用图像的分类算法，比如接续实施的能力，试图来识别程序的可执行代码中的恶意的行为。在2020年微软和英特尔联合发布的STAMINA的算法，在220万个样板测试里达到了99%点几的识别准确性，而误报只有2.58%，远远超过了普通的安全专家的能力。在这个过程中，机器学习到底解决了什么问题呢？我们知道，随着网络的复杂度和网络应用增多，网络日志越来越海量，要从众多日志、数据、文件中识别攻击事件的难度也越来越大，同时各种安全软件、产品很多告警往往是矛盾，增加了判断威胁的难度。而机器学习可以显著提高对攻击拦截的准确度。

　　关键技术四，网络空间测绘。我们对全球40多亿IPV4的地址空间以及已知的数十亿的IPV6地址空间的IP和数百亿个域名做7×24不间断的测绘，跟谷歌的搜索引擎有点像，只不过谷歌等搜索引擎针对80、43这种Web服务的端口，做深度的测绘和解锁。但是我们对全球的资产的1-5全端口做浅层次的测绘。有了网络空间测绘能干什么呢？一方面，获得企业全球互联网的暴露面、风险和资产，以便提前应对。另一方面，获得全球访问企业的网站系统，企业可以提前应对钓鱼攻击，同时可以通过测绘获取黑客组织的跳板、C2、攻击服务器等等网络资产，通过网络空间测绘可以提前了解企业面临的风险、黑客组织的资产变化情况，从时间角度实现向前防御，获得更好防御效果。

　　关键技术五，大模型。我们发现大模型其实有一定限制，不是所有事儿都做的更好。应对单一种类日志识别中，大模型的效果和性价比和传统的机器学习算法要差的非常多，尤其是性能非常差。但对于复合的、综合任务，尤其是加入人类理解能力的话它的效果非常好，而且能够集成各种各样的功能，包括语音识别、问答、AI代理、ARG等技术。我们可以大大简化安全运营值守的工作。

　　总结一下。第一，海外机构是企业网络安全木桶的短板。第二，企业安全最大两个威胁是勒索和APT组织，他们的技战法正在高度融合。第三，向前防御技术的S-CDN、S-SDWAN能够实现云端网络安全监护，并集成丰富的网络安全功能，提供远程安全运营。网络测绘，能让我们提前掌握的风险提前应对，让我们实现空间和时间的向前。第四，机器学习和AI是网络安全的未来保障。