在過去多年裡,網絡安全與防禦的思路一直是提供產品和解決方案,渠道合作伙伴則通過產品的銷售和支持為用戶提供長期的有價值的服務。
伴隨信息技術的發展和業務應用從雲、移動互聯向物聯網等環境的推廣,新的威脅層出不窮,受到攻擊的層面也越來越大,網絡安全的風險與日俱增。有這樣的說法,以前企業被人攻擊還遮遮掩掩地說家醜不可外揚,現在天天遭受攻擊已經司空見慣,沒有被攻擊反而是不正常的事情。
實際上,各行業客戶已經採購了各類型各層級的網絡安全產品進行防護,可以說武裝到了牙齒。但是這些對策都是各自獨立,相互難以溝通的,而且用戶的投資也不可能無節制。一旦因攻擊造成實實在在的損失,企業內部又沒有人能承擔起這樣的責任。這還導致新的問題,一方面,網絡安全在不斷跟空間競爭,因為客戶的機房已經無法安置更多的基礎設施,另一方面,安全網絡平臺自身也碰到天花板。
網絡安全應該如何建設?以往的建設是否存在問題?從事網絡安全多年的亞信安全通用安全產品總經理童寧結合自己對網絡安全的思考,談及在網絡安全界引起共鳴的話題——網絡空間的補救與修復。
亞信安全通用安全產品總經理童寧
網絡空間恢復補救能力
毫無疑問,不斷升級的應用需求,也導致用戶的管理和維護成本不斷提升;童寧認為,產品、解決方案和服務已經不再是用戶所能理解和感興趣的事情,而是需要關注“網絡空間恢復補救能力(Resilience)”。
對用戶而言,時下合規要求越來越多,而且遭受攻擊也變成很正常的事情,導致IT系統運行不正常甚至淪陷。在這樣的網絡空間裡,用戶希望能對未知的事情或者會重複發生的事件做出預測和判斷,當某種攻擊發生時也具備跟攻擊者對抗的能力,一旦遭受到損失也要能夠儘快恢復補救,在確保信息系統安全的同時保證業務連續運行。
這是時下最流行的思路,也就是網絡空間恢復補救能力的基本核心。
網絡空間恢復補救能力的構建
如何構建這樣的能力?童寧從政策法規、理論方法與技術工具三個方面進行介紹。
在政策法規方面,《網絡安全法》強調了對網絡安全提供預防、容災、應急處置、演練以及風險評估、培訓等能力。
構建網絡空間恢復補救能力,離不開方法論,方法論離不開戰略原則。這些戰略原則首要的是要聚焦關鍵資產(如基礎設施),其次是框架靈活設計的適應能力,三是儘量減少攻擊界面,四是預設攻擊會進行、系統會淪陷,五是預設攻擊的手段會不斷變化和升級。
童寧提供了一些可供參考的方法,例如權限管理。但是獲得權限、確保權限不會被濫用,都需要可靠的措施保證;又如用後即毀,在任何地方都不保留敏感數據,或者擾亂攻擊界面等等。這裡要提到一個詞——態勢感知,設計方法論之前要對企業的IT系統狀況進行完整的瞭解。
以應急預案為例:針對網絡安全方面的緊急事情發生時要有處理對策,這就是預案。在預案中,有不同的角色,如安全應用團隊、高級威脅響應團隊、外部支持專家。另外,影響預案的因素很多,如財富的影響,用戶的影響,股東的影響,媒體影響,監管機構的影響等。
有效溝通十分重要。一個應急事件的妥善處理過程,各個單位之間能實現迅速、可靠、周全的協調,離不開之前已經制定的完備預案,離不開一個總指揮來統籌和協調。溝通的框架能夠告訴人們,哪些角色用於執行什麼任務,哪些角色用來批准行動計劃,哪些角色是需要聽取相關意見以便決策,等等。
童寧講述了一個網絡釣魚預案的處理過程。
網絡釣魚郵件就是發送一個郵件欺騙接收者點擊鏈接並填寫個人資產信息。當這樣的帳號出現時,亞信安全會自動接收至專門的郵箱,並且立即將發送者全部信息提交到本地情報庫,在沙盒中分析鏈接是否存在危害,並回溯相關的歷史記錄。根據這些信息初步判斷出是否為釣魚郵件的結論,如果不是就關掉預警,否則就啟動真正的預案。
一旦預案啟動,系統會對所有收到這個郵件的人發出預警、隔離郵件或直接刪除,如果有人誤點這個郵件,系統將依據現有態勢感知系統或者安全運維繫統中迅速確定是哪一個終端,同時高級調查取證……整個過程從1個線索變成N條線索。當所有線索匯聚在一起,就可系統地獲知傷害導致的最大後果,同時進行整體性地清除有害信息和復原關鍵信息,提交案件報告、關閉預警。
隨著黑客攻擊手段的增加,亞信安全提供的預案內容也在不斷充實。每個預案從準備、發現、分析、遏制、消除、恢復、優化7個層次提出建議。
快速響應需要經驗的積累。在童寧看來,前面提到的這個指揮平臺主要由三大部分組成:精密編排(產品各司其職而又管理有序)、聯動(各廠商之間的解決方案實現互動)的產品與高度自動的安全運維,本地威脅情報與雲端威脅情報相結合以確保對各種信息安全線索進行收集、回溯與準確分析,安全事故響應調查工具、工作手冊、專家團隊等。
在技術工具方面,上述方法論提到的應急預案、指揮、流程、演練一直到最後的落地,都需要一套體系去執行。
構建完整的體系
在具體實踐方面,兩年前亞信安全就參與到國家級的重大活動網絡安全安保活動中,包括2017年兩會,一帶一路高峰論壇、金磚五國峰會以及其他的國家級的活動。亞信安全針對這些活動採取的安全措施,獨立於國家預防的措施和管理之外。
亞信安全建立了安全自我能力檢查的基線。亞信安全推薦20個領域網絡安全建設的方向供用戶參考和供合作伙伴項目立項。其中包括傳統的如授權軟件應用、軟硬件配置、漏洞發現與恢復等解決方案,也有些新興的比如事故應急響應、安全技能評估與培訓等措施,通過合作伙伴給用戶提供基礎的能力。
需要指出的是,這個體系的智能化程度非常重要。例如,在釣魚郵件裡面把收到的郵件刪掉,這個人工也能實現,但工作量巨大,也許來不及阻止攻擊的發生,還能導致誤刪;而預案做好後,僅僅敲一下關鍵詞就可以徹底消除隱患。
當然,在很多的情況下,自動化操作也需要經過一定的流程和授權。
不同的用戶有不同的管理制度和相關機制,在某種程度上會造成成本的提升。亞信安全可根據用戶的實際情況進行分級,提供針對性的解決方案。例如,在用戶預算不足、無力購置情報設備或者情報威脅設備的情況下,以雲化方式提供服務,當然,前期要做好一定的基礎工作。
人才的建設
在政策法規、理論方法與技術工具之外,網絡空間恢復補救能力還有一個非常重要的元素——人才。
從2000年開始,亞信安全就設置了團隊培養專業的安全人才;趨勢科技(於2015年被亞信科技收購成立亞信安全)也有一套完整的安全人才培訓體系,提供認證銷售專家、認證信息安全專家以及認證雲安全專家培訓及認證。
迄今為止,亞信安全已經形成了包括網絡安全認證課程、攻擊實戰課程、安全管理課程、網絡安全技術前沿課程等四大類網絡安全課程。亞信安全的人才培養對象分為兩類:一類是向亞信的安全產品用戶和渠道提供在職人員的培訓,另一類是通過與院校合作對在校學生進行入職前培訓。
截止2017年,已有上萬名用戶及渠道夥伴參與了相關培訓,並獲得了各級認證。
閱讀更多 數字經濟旁觀者 的文章
