面對當前突發的新型冠狀病毒,網絡安全領域有著不同於其他領域更為深刻和特殊的感受。這是因為計算機病毒本身就是借鑑了生物病毒的概念,兩者之間有著極大的相似性,比如傳播性、隱蔽性、感染性、潛伏性、可激發性、表現性或破壞性,並按照一定的週期進行復制或者發生變異,從而導致器官或者機能受損、系統癱瘓和紊亂直至死機,以至於談起病毒感染,很多人最先想到的甚至不是生物病毒而是計算機網絡病毒。
近來,新型冠狀病毒疫情從武漢蔓延至全國,波及全球多個國家。關於新型冠狀病毒的致病機理、傳播途徑、爆發背景等不斷被分析和還原,防控措施也隨之不斷升級。站在大視角下看,新冠病毒與網絡安全攻擊尤其是勒索病毒相似或者相近,新冠病毒的檢測、預防、控制、隔離、治療方式和手段與網絡安全防治思路也大體趨同,研究它們的異同點和規律性,無疑有積極的借鑑意義和啟發作用。
新冠病毒與網絡攻擊的對比分析
這裡以永恆之藍勒索病毒為例,在對新冠病毒與永恆之藍勒索病毒的傳播途徑、傳染路線、感染對象等方面的對比分析可以發現,新冠病毒傳播的爆發與網絡安全攻擊具備一定的相似性:
新冠病毒的防控過程,大概有五步工作,這與網絡安全保障工作中以安全體系為依託,以大數據態勢感知為決策支撐,建立事前防護監測、事中響應處置、事後回溯優化的思路趨同:
第一步:對病毒病例進行發現、上報,分析病毒的特性、治病原理、傳染性等前期和研判工作;
第二步:啟動應急預案,對感染省份、城市、區域進行封鎖隔離,根據不同的疫情情況設置不同的防護區域和措施,對疫情人員進行救治,儘可量的破壞基本傳染路徑。
第三步:通過對病理分析,輔助城市人口流動統計、社區人口流動統計、學校學生健康統計、疫區人員流動統計,感染人員上報數據等進行大數據統計分析和態勢感知分析,為決策、研判和後續的防控策略提供支撐。
第四步:採用病毒核酸檢測手段快速確診病例,確診病例和疑似病例集中收治,密切接觸者隔離觀察,尋找更多的破壞源,降低網狀鏈路傳播,延長復工復課週期,讓潛伏破壞源自我暴露。
第五步:安全意識宣貫傳導,反思優化,加快疫苗研製和提高防控效率。
新冠病毒與網絡攻擊的對比分析
思考1:安全體系的重要性
無論是網絡安全還是疫情防控,都是人、管理、技術的結合體,是體系化而非單一存在的。組織體系、技術體系、管理體系、運營體系的橫縱建立和有效運行是影響疫情防控以及網絡安全保障效果的最主要因素之一。
思考2:大數據態勢感知對決策的支撐作用
新冠病毒疫情的防控期間,大數據和態勢感知起到了決定性作用,無論是為領導層提供決策、防控手段措施落地實施,還是為各省疫情數據統計分析、跟蹤溯源都起到了絕對支撐作用。
網絡安全亦是如此,未來網絡安全必將打破信息孤島呈現數據化、集約化的態勢,海量網絡安全數據更離不開網絡安全大數據和態勢感知對整體網絡安全態勢的研判、分析、決策和及時響應。
思考3:事前監測預警要特別重視
無論疫情防控和網絡安全,事前防護檢測,避免、控制惡性突發事件的發生是最好的處置方式。當前,多數從業人員、企事業單位都對事前預警工作處於無所謂和不重視的態度,抱有“事前防護工作和投入沒有用”的想法,一旦事件發生,便出現恐慌錯亂,無從下手的情況。
面對網絡安全的事前防護檢查,行之有效的方法是建立縱深防禦的安全防護產品,並通過資產排查、安全評估、安全加固、安全運營等手段保證安全防護檢查無死角,識別資產、威脅、脆弱性和風險,並進行有效監控,儘量將風險降至最低或能夠接受的可控範圍內。
思考4:事中處置要快速及時
網絡安全和疫情防控,在發生確診病例和網絡安全攻擊時,要及時快速響應,通過抑制、根治、恢復等方式快速處理事件,將損失縮小到最小程度;並通過重保、7*24小時值守工作,嚴密監視疫情或網絡安全事件的發展和態勢,及時調整策略和手段應對。
思考5:事後反思優化要落實到位
2003年“非典”疫情過後,各部門機構總結經驗,查漏補缺,我國疾病預防控制體系更加完善和優化,為打贏此次新冠病毒疫情攻堅戰創立了良好的基礎。網絡安全工作也應如此,網絡安全事件處置完成後要及時總結、反思,找出不足和短板,不斷優化,為後續類似事件積累經驗。
思考6:應急響應機制應完善和演練
中國建立了國家、省市、縣級縱深的CDC防控體系,和醫院、研究所、一線專家組組成的一線團隊,並具備完善的公共事件應急響應機制。應急體系是非常完整的,但從疫情爆發之初,應急體系的啟動和應對上還是存在了一定的問題,說明在應急指揮調度和應急實戰化演練上有待提高。
網絡安全工作中,應急響應是重中之重,事前防護監測是防止事件的發生,一旦事件發生就需要應急快速響應、及時抑制根治和恢復止損,因此應急響應領導小組應落實到人,在網絡安全事件出現時起到充分的指揮調度作用。同時,網絡安全攻擊越來越向國家層面、網絡戰的實戰層面發展,以前的桌面演練、模擬演練已經無法滿足需要,越來越多的實戰化演練得到國家、行業和企業的認可,紅藍軍對抗、HW演練、威脅狩獵等一系列實戰會越來越得到重視。
思考7:檢測準確度須優化與提升
新冠病毒肺炎的確診目前主要依據病毒核酸檢成陽性來判斷,而從目前的臨床表現看,有一些病例出現先陰後陽,甚至三次檢測均為陰性但最後確診為新冠病例的情況。無法完全100%的檢測成功率會為疫情防控、醫生判斷救治造成難度,增大感染幾率。網絡安全廠商也應提高網絡安全產品對網絡攻擊的檢測率,將誤報率和漏報率降低至趨近於0,這在網絡安全工作中是非常重要的。
思考8:智能分析和監測技術要同步跟進
“發熱”是新冠病毒肺炎檢測的重要特徵之一,杭州東站採用紅外無感知檢測體溫,已經完成鐵路到達層10個出站口、二層出發大廳4個進站口,新科技的監測手段的應用,降低了監測過程中的交叉感染並加快了監測效率。
網絡安全廠商也應加快智能分析和新的監測技術發展和建設,利用人工智能技術實現對虛擬世界的異常世界快速檢測,在結合大數據分析對異常事件進行快速分析和複診,確保網絡安全事件一個不漏。
黑天鵝事件的快速處理和應對
本次新冠肺炎疫情是典型的黑天鵝事件,初期的應對不足導致疫情在短時間內的集中爆發。網絡安全領域中的黑天鵝事件也不是少數,典型案例如永恆之藍勒索病毒,初期的輕視導致該病毒在短短數日之內大規模肆虐,全球近百個國家超過10萬家組織和機構被攻陷。應對網絡安全黑天鵝事件,除了要加強網絡安全體系建設、做好事前網絡安全防護外,建立網絡安全態勢感知,對網絡安全態勢及時掌控也是必不可少的方式。建立全生命週期的安全運營體系,通過PPDRR模型理念不斷提升安全水平,建立安全應急體系,提前安排預案,加強應急演練和培訓,提升人員意識和能力等,都可有效應對黑天鵝事件。讓我們少一些僥倖應對,多一些未雨綢繆,“外防輸入,內防擴散”,讓網絡安全落到實處。
閱讀更多 e安教育 的文章
