己亥年庚午月,睡个好觉是安全这个行业大部分人的奢望,除了国际形势、明星分手、网络安全也是最热的话题之一了。
图1:数字时代是由物理的和非物理组成的
中兴华为事件、委内瑞拉大面积停电、美国对伊朗的网络战已经不断触动了人们神经,又经历了有实战有价值的攻防演练。例如HW,确实促进了很多行业组织各层面安全意识的提升,促进了实实在在安全防御策略的落地,多个视角(攻击者红方和防御者蓝方)看问题总是好的。只有经历了疼才知道痛是啥滋味,尤其是HW排名靠后的……以攻促防推动做好安全防御是个极好的方法,数字时代真安全价值才大,这次同样也是打假的过程,安全圈不大,这几年快成了娱乐圈了,300亿的市场再这么折腾下去变200亿了。
意识意识意识,意识第一位,意识第一位,其他第二位,有问题的,有大问题,有严重问题的基本都是意识出问题了,不是技术出了问题。某国家单位首次被攻破被通报要求尽快整改,由于意识问题领导没重视资源没到位。第二天马上又被攻破领导急了开始重视了,每天开始抓工作清点防护体系,工具,组织,策略,发现了大量的没有的安全防护工具没有启用,策略没落地,问中层领导,中层才意识到好多文件下达的都是空的,眼前的宝贝没使用也没落实。第三天再次被攻破,问题又在基层技术管理人员重视边界,忽视内网域策略和管理员密码。甲方邀请我们一起做了复盘,总结的第一点就是这个,意识,意识,意识,不痛不长心啊。
三人是个概念的代表,第一人是领导(组织中网络安全第一责任人),第二人是CSO首席安全管理者(总体安全策略计划制定者),第三人是一线的网络安全防御团队(PDCA执行安全策略落地和运行)。
国内具备网络安全防御体系经验和实战的人才本来就很稀缺,所以坑多也是自然的,网络安全防御体系庞大而复杂,能洞悉全貌者也很少,格局,眼界,层次。单枪匹马独挡一面的大侠也不少,但更多需要的是三人综合体系,这些年见到的有些决策者的格局真不行,水平一般还限制下面人员的发展,例如(某某组织的某某领导,呵呵),有些领导者看问题水平真高,就是中层执行力就一直太差。例如(某行业单位的网络安全负责人,估计HW结束就被拿下了)…一线干活的安服人员其实很多还是挺好的朴实踏实,但也怕好经坏和尚,政府机关有时候就这体制没办法人也换不了,形形色色确实很难见到很好有效三人体系。
20年来,持续走在网络安全防御的路上,体会到不同的领域和境界,技术无敌到技术都不在是问题的时候,看到的往往是其他问题。数字时代需要考虑的内容是综合的,顶层设计和系统的梳理和体系化落地等包罗万象。网络安全防御体系方法论随着时代的发展我们已经更新了第四版(2019版),网络安全防御体系建立的核心目标就是风险可控,大家参考用吧。
官话不说了,核心就是当领导的要知道本组织的信息系统(资产)的重要性,服务的场景对象是啥,组织要明确需要保护的对象(安全方针就是掂量掂量重要不重要)。投入持续人、财、物、服务和必要的合规工具和安全管理及运营工具(安全策略就是组织建立不建立、啥线路、掂量掂量投多少银子),这层做好了方向不会出大问题,基本可以打30分了。原理能这样想网络安全的领导不多,经过HW的检验,估计未来慢慢会多起来了。
有了上两层的基础,接下来开展工作就好办多了,如果没有上面两层的支持这个阶段基本是不可行的,网络安全保障体系建设一定是围绕业务和数据的,俗称“业务+数据定义安全战略”确定好保护对象和级别,需要协同,需要按照三同步原则(同步规划设计、同步建设、同步运行),选择好规划服务商、建设服务商,踏实规划,体系逐步实现。说的简单,其实这些个环节一个出问题,就是坑坑相连,能按照这些环节都下来顺利的不多。
图3:意识不统一导致的防御体系的降维防护
啰嗦了这么多才开始准备如何建设了,网络安全防御体系的建设是个大工程,不同的人理解不同。汇总起来就是一个风险控制目标、两个视角(国内合规、国外自适应)、三个领域策略融合(管理、技术、运维)、 四个体系独立而融合(防御体系、检测体系、响应体系、预测体系)的建立可视、可管、可控、可调度、可持续的弹性扩展的一个很NB的安全管理及运营中心 (简称“12341)。
图4:网络安全防御成熟度阶段与目标
两个视角之二:国内的等级保护1.0– 2.0的合规体系,一个中心, 三重防护的落地。等级保护1.0从04年–14年10年历程不容易,确实要感谢为中国信息安全和等级保护做出贡献的这代人,从安全一个点做到完整的基本防御体系,为中国信息化和信息安全的发展奠定了一个基础。让大家有了一定的安全防御体系的概念,我们很有幸带队做了无数的等级保护和FJ保护的项目。这个领域我们要说第二,估计第一确实要空缺,经验给了我们方法论又应用在实践,实话说等级保护1.0做好了就已经很好了,关键是应付的多落地的少。2014年,云开始规模落地了,数据汇聚了,应用一体化了,物联网、移动互联……,1.0确实不再适用了,14-19年5年的历程,2.0的出台也不容易,仔细看看和研读,按照标准做好了,落地了就踏实了。合规还是基础,三重防护(计算、区域边界、通信网络)是重点的基础性防护建设;然后重点分层保护,资源再多也是有限的,大门和每个门是最关键的,核心保护对象和边缘保护对象的防御,检测,响应,预测体系逐步完成,安全策略一点点上。最小原则开始逐步放宽,到平衡后划个基线,就不要随便动了,关于安全管理中心的坑,这是也个大命题,后面讲吧一些老前辈的思路已经不适合未来了。
图5:网络安全防御体系建设落地的框架
要想做好网络安全防御,就要站在攻击方的视角看问题,网络空间HK惦记的就是你所守护的,沈院士描述的霸权国家、敌对势力、黑客组织和你所守护的对象防御程度成正比。
对于防御者来讲,就是了解自己保护的对象对黑客的吸引力,尽量减少暴露面,IP,端口,服务,主机名,操作系统、支撑软件,web服务,不是自己必要直接外露的,能减少就减少,能在深宅大院,就不要在街口开门。
对于防御者来讲,自身个人的信息,守护对象的信息、外包商服务商的信息、采用的IT系统的信息、暴露面的信息,入侵监控的信息,都是需要保护的和提高警惕的。
对于防御方来讲如果平时的弱点管理的好,及时更新,动态监控做的好还可以,往往弱点的爆出没有及时的采取措施,很可能在这个时间差就已经被侵入了,实践经验中弱点的管理需要交叉异构。我们做了一个站在甲方视角的弱点管理平台,效果确实还是不错,曾经出现的一起事件,某盟的弱点管理发现了问题,但由于操作系统厂商已经没有了,虽然也发现了但没有预警,其实甲方还在大量的使用此操作系统,交叉使用的弱点管理平台起到了很好的效果,预防了一次较高级别的APT攻击事件(两会期间)。
静默型攻击从08年以后就是主流了,大规模的炫耀式的病毒攻击基本消声觅迹了,都已经悄悄地进入打枪的不要,APT、APT、APT是我们天天防护的重点。就如我上文所说,攻击者也很累,现在没有人愿意敲锣打鼓的去说我要攻击你,更多的就是低调低调低调,第一道防线被撕开口子的概率是比较大的,一但进来如果防御者做的好,攻击者就是进入深渊的开始,每个不合适的内网嗅探,试图提权,异常行为,其实很好抓。我们现在总结出来经验,基本上进来的APT跑不了,要不不敢动,一动就会发现。总结几个关键点,全网全流量监控,全网主机系统监控,控制好有限的特权用户/普通用户账户并进行行为监控,安全域策略最小化原则并动态可视监控,在核心主机和数据系统里做好黑白名单的可信验证。一点也不高深特简单,不用PPT吹NB,做好落地了基本保证第二道防线没问题。我们把这些统合起来做了个系统,称为防御平台核心检测功能,现在用了的客户都没有被HW干掉,实施一个满意一个,我们也特别有成就感。这个估计未来会成为主流的趋势,实干简单清晰化防御体系里的检测系统,感谢PCSA联盟的KL,QT,ZX,SBR,ABT,CT,ZR,kx (科来、青藤、中新、圣博润、安博通、长亭、中睿、可信….)安全能力者们。你们做的探针真的很NB,也确实是未来的安全中间力量,和品牌没关系,要看能力,真安全未来大浪淘沙。
按照方院士的定义网络空间是一种人造的电磁空间,其以终端、计算机、网络设备等为平台,人类通过在其上对数据进行计算、通信,来实现特定的活动。
图6:承载国家关键信息基础设施之关键要素
图7:城市级平台安全管理及运营
两个维度,一个是站在数据的价值维度看重要性(数据资源级别—保安级、数据资产级别—保镖级、数据资本(流通)级别—武警级、数据托管(交易)级别—银行级)的新思维(海关刘处的思想),一个是站在数据全生命周期维度看重要性(采集、传输、加工、处理、存储、销毁)的传统思维。
总之,数据安全这个范畴可研究和讨论的很多,数据成为有价的资产肯定的确定的,数据有价值肯定是要流动的,不流动就不会产生价值了。所以未来大部分场景都会有数据的提供者、数据的运用者、数据的管理者、数据的使用者、但更重要的是数据合理合法使用的监管者,数据流动安全监管就成为数字时代的重大命题,应用安全能力者不同的安全能力在数据流动的不同场景进行有序和安全的管理就是我们和PCSA联盟和某地大数据局和某行业沟通现在正在做的事情。全程可视,状态可查,权益可管、权限可控、流动可溯、易用扩展。
前几年出国游学和参观时通过朋友参观了几家美国大的云和互联网公司,其中重点是参观安全管理和运营管理,庞大的规模和监控和运营中心由于不能拍照无法描述。在整个参观的过程中给我最大的感触就是几个关键词、事多、人少、全程可视、自动化。这几年在国内信息化建设过程中看到的场景基本上也是这样,没有良好的大安全管理中心和运营中心,任何系统想要长久的安全运行保障基本不可能。2005年开始国内开始有了安全管理中心和平台1.0雏形现在已经被淘汰,2009年安全管理进入2.0,在CC某V和某关、某社我们看到的和审计多个项目,钱花了不少,事情也干了不少,但确实也没起到相应的效果体现价值,收集大量基础数据进行关联分析这个思路,在基本上没有标准、没有生态、没有深度检测能力等等必要的保障。安全管理2.0只能活在PPT和情怀里,这10年我和团队接触过国内99%的安全管理平台,也帮助客户建设了数百个所谓的安全管理平台,实话说我没有看到一个高效的和有高价值的。16年开始,我们的网络防御服务接受了挑战,考虑到未来进入数字时代,安全管理是重中之重,我们给很多生态伙伴提供了思路和想要的安全管理中心的样子,比如围绕保护对象与运维合力成为保障能力中心,管理和建立四大体系,要有深度检测。例如关键业务数据和安全与流量精密关联,让ID和IP清晰自如的展示、让访问路径实时动态可视等等,形成企业级、行业级、城市级的安全管理和运营等等,很庆幸,2017年以来我们理想的安全管理逐步实现了。态势感知逐步实现,这个领域落地的案例已经很多了,也获得了工信部的试点示范,在HW中也有很好的表现,没有白费力气,浪费我的白头发,未来我们会和生态伙伴一起迭代好这个平台,力争成为未来网络防御体系的主力军。
从Struts2的漏洞爆出和coremail的0day,主流应用框架的选择,尤其是对外提供服务的Web和mail,一旦底层出大的安全问题了,会导致整个系统都需要重新构建了。由于很多开发者不回去考虑安全性的问题,往往从易用和易构建的角度去考虑,系统和底层架构是紧耦合的不可轻易分离,严重漏洞的出现,不能修补,勉强弄弄安全运行也有问题,不修补也不能再上线了。这个问题出现后只能重新架构和开发了,经济损失极大,这也是我们12年经历的血淋淋的教训。
同类型功能不同能力者的异构其实在管理者眼里是麻烦的,但在攻击者眼里同样也是麻烦的,如果做好落地,呵呵,累死Y的。例如防火墙多层异构解决避免一网通杀、防护策略失效的问题,防病毒网关、桌面防病毒和沙箱邮件追溯异构解决病毒木马、钓鱼邮件的交叉检测和查杀,威胁情报和弱点管理不同供应商的异构解决风险管理的全面化,多重身份认证和特权账号不同认证异构解决被轻易获取权限一路畅通,陷阱和蜜罐的异构设置可以让攻击到内网的黑客一头雾水。总之,不同的安全能力之间的多角度异构的灵活应用会给APT攻击者一路障碍,这些花不了多少经费,但确实有效,唯一的就是给管理者有一定难度,需要将统一管理的平台做好。
也许你没听说过的方法未来都会出现,一个外卖小哥、一个保洁阿姨,一个好久不联系的朋友到了办公区,他们离开的时候,会留下继续进来的U盘状的无线发射器当作跳板,一个供应商送入的一批服务器和交换机在芯片上有可能的后门。有个电视剧叫做“密战”,建议大家看看,一个外包的软件开发商交付的代码中间有隐藏的不应该的代码,一个离职的安全管理员仍然可以拨入VPN,用root权限获取数据……这些都是现在以及未来可以发生的。
数字中国万云时代,万种场景、万物互联,大数据、大平台、大系统的建设模式是中国现在以及未来的模式,政务服务一体化、行业监管一体化、城市大脑运行一体化、工业智能一体化。不可否认,数字中国急切需要打通数据孤岛,公共服务更便捷、效率更高、更智能、更便捷、行政监管更准确、更有效,数据越聚合越重要,黑市价值越高,攻击者越多,保障体系就越需要更紧密,不得不形成“大安全大运维”的合成能力保障体系,才能确保业务的安全稳定运行。产品堆砌的时代以及过去了,服务才是真价值,安全服务高级人才稀缺会更大。听说HW驻场的人有一天一万的,恭喜安全人才价值提高了不少。
中国网络安全产业相比国际同行处于弱势,在国家高度重视网络安全的背景下依然难以依靠自身力量快速做大做强,持续下去将在国际网络对抗中愈发落后,最终损害对关键信息基础设施的有效保护能力。
2018、19年参加了几次工信部和WXB关于网络安全产业的调研会,圈子里的专家其实共识度还是挺高的明白人不少,大部分观点不说了就说创新这一件事情,把它做透了就需要很多方面的合力。比如国外的合作是A.B公司的能力叠加,在国内就是大品牌的OEM,鼓励小品牌,新能力的合作。比如国内公共靶场的建立,让大家创新能力有练兵之地,总不能违法乱纪,也不能闭门造车吧,比如建立国家级的生态化安全能力展示平台和中心。让大家都有露脸的秀肌肉的地方…..供给侧的改革,确实需要百花齐放和有效的政策扶持。
图10:数字时代是由物理的和非物理组成的
图11:“民兵式”网络安全防御体系
图12:踏实实验室研究成果网络综合防御平台框架
<p font-size:16px;text-align:justify;background-color:#ffffff;"="" style="overflow-wrap: break-word; margin-top: 0px; margin-bottom: 12px; white-space: normal; padding: 0px; line-height: 30px; color: rgb(51, 51, 51); font-size: 14px; text-indent: 2em; background-color: rgb(255, 255, 255); font-family: "Microsoft YaHei" !important;">列完提纲也陆陆续续的利用业余时间写了20天,也算一气呵成,不是写书写论文所以随性了些,毕竟是网络安全有些地方意会大于言传。也确实还有好多的话也没说完,比如云安全的误区、比如数据流动安全监管的未来、比如工业安全的坑,比如说信息安全、网络安全、数字安全的区别……以后在和大家一起讨论吧,文章中的案例和思考都是团队这些年的经历,肯定也有很多不见得大家都认同的地方,欢迎指正。期望未来中国网络安全产业更好,毕竟我的青春献给了这个产业20年,也想用本文纪念和致敬一下过去的20年。