安全,往往在業務前進的道路上充當著管理者的角色,安全專家變成業務專家,控制是安全的核心要素。然而人的天性各有不同,面對同一件事,背景不同、受教育培訓的程度不同,都會導致多種態度的存在、執行力上的差異、以及互斥看法的產生,這些因素在安全策略落地後,就可能化為木桶上的短板,成為黑客入侵的靶標。這不僅摧毀著從業者的信心,來自外界的批評也不同程度的放大著安全行業最大的缺陷 —— 被攻破是必然的。因為安全設計本身違揹人類的本性,有人性的因素存在,攻擊者撕破缺口進入系統的機會就將持續存在。
從RSA大會近幾年的持續性來看,2017年Forcepoint公司的CEO ——Matt Moynahan在主題演講中,以員工Matt和CEO Matt遭受的安全威脅事件為背景,討論是否公司應聚焦於重點資產防護,可以說是首次正式提出將全員防禦變為重點防禦。接下來幾年的重點持續聚焦風險識別,各家公司和企業都意識到,安全是無法進行100%阻斷的,只有識別到重要的風險並做出應對,才是安全防護的正道。但從另一個角度來講,這也是對安全從業者的一個打擊,我們放棄了全矩陣的防護,轉變成了重點資產保護,隱約有屠龍之術卻無計可施的英雄氣短之感。但今年RSA大會的主題頗有不同,大會呼籲我們如果正視人性在安全中的影響,利用人性而不是對抗人性,可能會打開另一種安全世界的可行性—— 安全部門協助業務部門,不再去填充一個木桶上的短板和缺口,而是共同設計一個能把水帶走的木桶,即使路上仍有不平,但通過為業務提供可持續性保障,幫助企業的業務目標的達成,就是安全目標的達成。
這裡選取了一篇給綠盟君很有啟發的主題演講文章。Duo的首席諮詢師Wendy Nather 帶來的《We the People: Democratizing Security》,她也代表思科為與會人員分享了建議考慮的三個新安全設計理念,使用它們來實現安全對人性因素的考慮。
Step1. 協作而不是控制
改變產品的設計理念,協助企業完成業務目標,才應該是正確的安全道路。安全需要做的,是在數字化轉型的道路上,保障業務健康發展,不被網絡攻擊所破壞。一個典型的例子就是亞特蘭大政府遭到勒索。城市級的勒索攻擊雖然成功了,但由於城市業務體系設計的安全性,讓政府可以不支付贖金,完美的延續了政府業務運行,讓攻擊者無功而返。同時客戶對業務更熟悉,事件發生時由客戶的負責人進行決策。相信客戶,讓權於客戶。
Step2. 結合而不是強制
簡化安全組件的侵入性、使用難度。儘量以無感知的方式嵌入安全能力,或者將安全控制嵌入在正常工作流程之中,使得安全基因融入業務。而不是額外進行身份驗證、授權許可、釣魚識別。
Step3. 多元而不是晦澀
不要對抗人性,而是順從人性,降低產品的使用成本,更多的使用客戶的語言,而不是0101的炫技和高深莫測的專業術語,安全既可以是企業每一名員工都理解、都可以參與的日常存在,也可以是分析高級攻擊專業的Hunting工具。
實際操作中,這種理念的變化,也會對安全產品產生一些實質性的影響和變化。以一款綠盟科技自有產品為例——機器人管理網關,主要解決客戶業務系統的機器人流量問題, 面對爬蟲、撞庫、API濫用等潛在的各種機器人流量。在2018年左右,Bot Mitigation作為防止濫用的新技術,被第一次引入到Gartner機構的應用安全架構體系設計之中,位於DDoS與WAF之間,處理經過清洗後的業務流量。在這個階段,以Shieldsquare為主的幾家創業公司,將重心放在自動化識別之上,為客戶和WAF類廠商提供出色的BOT阻斷能力,同時IMPERVA、F5等公司,紛紛收購了領域中頭部的廠商,組建WAAP解決方案。但不論是WAAP還是單獨的BOT產品,廠商、諮詢機構包括綠盟科技,也都在WAF和BMG之間徘徊,無法找到一個能夠進入客戶實際使用場景的切入點。因為機器人流量完全異於之前WAF廠商面對的SQL注入、暴力破解、漏洞掃描等行為,特別是Tob業務中,機器人流量大量的存在於第三方接口調用的業務之中,如果簡單的阻斷和偽裝,將會給業務部門帶來巨大的商譽影響,而在這個領域,如果事後發現,安全的價值將會大大縮水,乃至給人以安全部門無能的印象。
在2019年, Forrester將Bot管理和Bot檢測一併列為該類產品的兩大價值,這可能也是歷史上首次將業務管理能力,作為產品的核心定義之一。通過幾次交流以及與客戶的探討,最終形成產品規劃的新版本,可能正是此次Human Element主題希望
安全產品未來應有的樣子:1、重新簡化的安全組件,用意圖介紹安全風險和業務事件,減去系統用戶再學習的成本,直接呈現當前網站訪問的各種用戶側寫,例如哪些機器人在圍繞活動進行惡意斂財?哪些機器人在頁面爬取關鍵的業務數據?又有哪些開放、認可的機器人在對網站進行健康性檢查?
2、協助設計安全的“水桶”,提供部分最佳實踐,比如將業務營銷活動設置為抽獎的形式,通過與業務系統進行SDK、API等交互,可以有效的將機器人賬戶中獎率直接置為零。避免了採取搶單方式的活動,庫存被直接清空的風險。
因此,是繼續堵住千瘡百孔的木桶,還是一起設計能把水帶走的木桶?當我們無法控制所有人操作的時候,也許是時候改變我們自己,重裝上路了。
閱讀更多 綠盟科技 的文章
