近年來,隨著網絡安全地位日益提高,發展速度可謂是一日千里,尤其是各種新技術的加碼大大豐富和強化了安全產品的功能,企業安全也以肉眼可見的速度在增強。
然而,在安全產品日益強大的今天,為什麼大規模網絡安全事件爆發的頻率越來越高了呢?一次閒聊中,九州聚源老徐提了這麼個問題。
網絡攻擊自動化?安全意識缺乏?安全防護體系不足?老徐搖了搖頭,“你說的這些都對,但還有一塊大多數企業都存在的短板沒有說到”。
隨後,老徐跟我分享了一個故事。
公元1616年,滿清努爾哈赤以十三副兵甲起事,最後將偌大的明朝打得落花流水;然而兩百多年後(公元1900年),曾經不可一世的八旗驍勇卻被船堅炮利的八國聯軍打的一敗塗地,簽訂了一系列喪權辱國的條約。
細細琢磨下,我好像有點明白了。答案是太平日子過久了。
太平日子過久了,八旗子弟早已不復當年驍勇,每日只會熬鷹鬥狗,早已軍紀渙散、武備廢弛,又如何能戰鬥。同時,高層自然不再注重軍備,大幅削減軍費讓清軍裝備遠遠落後於外國。
歸根結底,可用四個字概括:缺乏實戰。
如今,網絡空間何嘗不是如此,“實戰”這大概就是老徐說的企業安全的“那塊短板”吧。
這一點跟老周提出的“安全是靠打出來的”,老齊提出的“內生安全”看法不謀而合。
老周不止一次強調,安全是打出來的,而網絡戰最大的特點就是不宣而戰。攻擊者不會等你準備好後再發起攻擊,而是永遠在你意想不到的時刻,在你意想不到的地方,發起最為隱蔽且致命的一擊。
試想一下,企業一直處於和平、無事的狀態,那麼對安全的投入勢必沒有那麼堅決,安全部門不能上線新式安全產品,企業安全防護實力原地踏步。此時,一旦爆發惡意攻擊事件,久未戰鬥的安全部門很可能措手不及,企業將直接被黑產攻破,蒙受巨大損失。
為什麼網絡攻擊技術越來越厲害,所造成的危害也越來越大?很重要的一個原因是網絡攻擊方一直處於實戰狀態,而企業的實戰機會就要少得多,甚至是直到攻擊爆發的前一刻,依舊未曾處於實戰狀態。此消彼長之下,爆發安全事故也就不足為奇了。
這也是為什麼一個國家,即便是和平狀態也必須要有自己的假想敵,也要一直保持著高頻率的實戰演習。
作為第五極的網絡空間,其形勢比現實世界有過之而無不及。因此,企業安全也必須時刻處於作戰狀態,不斷進行實戰演練。不僅是為了從實戰中尋找自身的漏洞和不足,更是為了讓企業安全一直保持著高昂的鬥志和充足的準備。
換句話說,實戰演練,就像是一塊磨刀石,一塊能在實戰狀態檢驗並提升企業安全能力,卻又不會對企業造成危害的磨刀石。
九州聚源老徐正在做的就是這塊磨刀石。
當安全服務和人工智能相結合
說起來,老徐想要做這塊磨刀石的願景至今已經有十年了。
2017年,為了把團隊、業務、產品的資源進行整合,老徐成立了九州聚源,看準的就是安全服務龐大的潛在市場。事實證明,徐傑的眼光非常準確,如今安全服務的市場規模早已不是一個問題。
時間不負有心人。如今九州聚源結合自身多年的安全服務經驗,參考Gartner的十大安全項目及十四大新興安全技術,最終將安全服務能力建設聚焦於MDR+BAS模式,並形成了以滲透測試、攻擊模擬、安全研究、運營分析、應急響應、規劃治理為完整閉環的安全服務模式和體系,其服務模式及能力輸出也因此得到客戶積極評價。
轉折點發生在2016年。
那時,AlphaGo以4:1的戰績完勝世界圍棋冠軍李世石,讓所有人看到了人工智能的強大,也給老徐帶來了新的安全思路:將滲透平臺和人工智能相結合,進化成新的智能滲透平臺。
同年下半年,安全服務需求徹底爆發,智能滲透平臺這一方向最終確定,也就是九州聚源後來重磅推出的智能滲透機器人,老徐叫它“冰諫”。(這個名字有著特殊的含義,感興趣的讀者可以看安在之前發的老徐人物文章——徐傑:南陽巖冰不是孤獨劍客,連續創業,老黑客發新芽)。
從2016年提出想法到2019年進入2.0版本開發,老徐和團隊打磨“冰諫”智能滲透機器人花了整整三年時間,被寄予極高的期望。
“冰諫”也確實沒有辜負這一期望。
如果要用一句話概括“冰諫”對於企業安全的作用,那就是“通過滲透視角對信息網絡系統整體的體系架構做改進和規劃”。如果奇安信老闆齊向東不斷提出的強調內生安全是一種方向,那麼,面對企業內部信息系統持續性進行檢測並提出整改建議,增強企業信息系統自身安全建設和規劃,就是徐傑理解的內生安全。
簡單來說,“冰諫”就是老徐想要做的企業安全的磨刀石。有了它企業可以7x24小時不間斷對安全防護體系進行智能滲透,找出企業安全的不足之處並進行統一管理和整改,既省時、又省力、還省錢。
其核心功能包括網絡空間資產測繪(情報系統支撐)、持續性自動滲透(需要部分人工干預)、完整滲透路徑展示、風險管理、影響分析展示、已知漏洞管理及驗證分析、資產威脅分析、安全防禦策略優化及整改建議等多個方面。
從這些方面來看,“冰諫”完全可以擔負起企業安全磨刀石的重任,為企業提供持續性模擬驗證形成完整的攻擊鏈條,讓企業時時刻刻處於實戰狀態。在實戰中尋找企業安全存在的漏洞,並提供相應的整改建議,積極完善企業安全防護體系。
可以說,“冰諫”是老徐20多年網絡安全服務能力和經驗的結晶,也是其安全服務團隊多年的積累,再加上人工智能技術和安全服務相結合,試問還有比這更好、更安全的磨刀石嗎?
此外,它還是企業信息安全建設的“參謀”,以滲透視角驗證網絡信息安全體系、架構的有效性,為安全服務團隊提供可靠、有效、快速、直觀的滲透檢查結果,並對信息化安全管理提供輔助決策及建議。
而有了這樣一塊磨刀石,企業安全的“實戰”短板得以補全,其安全防護能力必定能夠再上一層樓。
除了磨刀石外,老徐還給企業安全準備了一道安全保險——逆流時光機。它的神奇之處在於即使企業遭遇網絡安全事故後,依舊可以為企業安全進行託底。以勒索病毒為例,哪怕是電腦和硬件設備已經被感染,“逆流”一樣可以保護企業,不會出現難以承受的重大損失。
其實,“逆流”就是老徐為企業準備的一套應急響應工具。畢竟在如此複雜且多變的網絡環境下,沒有哪家企業敢打包票自己是安全的。一旦出現網絡攻擊,企業能否進行應急響應頗為重要,也是安全部門實力的體現。
這就是老徐為企業安全打造的完整安全服務閉環。
“冰諫”智能滲透機器人可以鍛鍊企業安全的體魄,在實戰狀態下不斷髮掘系統漏洞,積極輔助安全人員修復防線;而“逆流”時光機就是企業安全的底褲,即便企業遭遇網絡攻擊,也不會出現無可挽回的局面。
也就是說,有了“冰諫”和“逆流”,企業憑藉著在實戰演練中的經驗,完全可以將防守反擊的戰術發揮的淋漓盡致。
安全服務走向產品化
老徐告訴我,安全服務他已經琢磨有20多年了,現在他還在琢磨另一個問題:如何將安全服務產品化。
這並不是一個突發奇想的念頭,自打年三十那件事起,老徐就開始琢磨這件事情了。
那是大年三十下午,所有人都沉浸在過年的氣氛中時,老徐接到了客戶的求助電話,立馬奔赴客戶現場。等老徐完全搞定客戶的問題走出大樓時,這才發現已經到凌晨了。全城歡慶的日子裡,街面上一輛出租車都沒有。無奈之下,老徐只能和客戶一起守歲,一起啃著方便麵,就當是過年了。
這件事情給老徐留下了很深的觸動,網絡攻擊為何偏偏選在這個時間攻擊呢?答案是這個時間人們都回家過年了,是企業安全力量最為薄弱的時候,也是網絡攻擊成功概率最大的時候。研究數據也表明,放假期間企業遭受網絡安全攻擊的次數遠遠大於工作期間。
這一事件既讓老徐堅定了幹安全服務的決心,也讓他萌發了將九州聚源強大的安全服務和安全能力產品化的決心。
畢竟老徐的團隊都有著十幾年的安全服務和產品研發的時間和經驗,若是能夠以標準化的產品進行輸出,對於企業來說才是真正的、有價值的磨刀石。
多年的安全服務經驗讓老徐明白,服務是網絡安全的特性,而產品化則是安全服務的最終方向。因此想要做好安全服務,產品化是必不可少的條件之一。所幸這一步老徐已經邁出去了,上文提到的“冰諫”和“逆流”就是其中的典型代表。
而老徐迫切想要將安全服務產品化的另一個原因是,只有真正實現產品化後,九州聚源才能有更好的發展,才能和其他安全企業進行更深層次的合作。
確實,九州聚源主打的安全服務產品和大多數安全企業並不存在業務上的衝突,反而存在著一定的合作基礎。倘若安全產品能夠和老徐的安全服務產品相互彌補,勢必會讓企業的安全再上一層樓,形成更堅固、更高的安全壁壘。
就像老徐所說,“九州聚源目前主要的發展方向,將會以產品和服務持續展開,產品方面已經開始逐步投放市場,以合作的模式進行銷售,同時也和行業內的部分廠商接觸,並嘗試產品的OEM等營銷工作”。
此時,筆者在心裡默默總結了一下,發現一個有意思的結論:九州聚源既是一個技術型公司,積累有大量的項目經驗;也是一個產品型公司,始終圍繞著業務需求在打磨自己特有的產品。
事實上,九州聚源還是信息安全從業人員的人才搖籃。老徐說,“目前九州聚源已經和高校逐步展開合作,以“黑基”這個從事過多年培訓的品牌為基礎,將會快速培養一批又一批的安全從業人員,無論是從項目交付能力,還是對未來5G、物聯網等等相關的新興領域裡,都在投入研究和戰略培養計劃。”
最後說幾句
網絡攻擊和安全防禦之間存在著天然的不平等,這是由攻防雙方天然的關係決定的。作為一個紮根於安全服務20多年的老兵,老徐心中一直有個豪氣干雲的目標,那就是逐漸將滲透和安全結合在一起,扭轉攻防不平等的關係。
自1995年投身信息安全行業,到2009年開始創業,再到2017年成立以滲透、應急為主營業務的安全服務型公司——九州聚源,老徐已經兜兜轉轉20多年。如今,滲透和安全如同矛和盾般對立的雙方,最終在老徐的手中完美結合在一起,通過持續不斷的智能滲透測試來逐步壯大企業安全的力量。
筆者忽然明白為什麼老徐能夠做好安全服務了。
多年的安全服務垂直領域深耕經驗,經過時間和客戶檢驗的專業團隊,再加上已經將安全服務能力轉化為安全產品輸出,由此可見,老徐已經找到了一條適合自身且充滿光明的發展之路。
說實話,安全服務這塊磨刀石不好做,但是筆者相信,老徐有能力,有經驗,有魄力做好企業安全的磨刀石,最終為企業補齊“實戰”這一塊短板。
閱讀更多 安在信息安全新媒體 的文章
