网络空间恢复补救能力——新形势下的安全战略与亚信安全的对策

在过去多年里,网络安全与防御的思路一直是提供产品和解决方案,渠道合作伙伴则通过产品的销售和支持为用户提供长期的有价值的服务。

伴随信息技术的发展和业务应用从云、移动互联向物联网等环境的推广,新的威胁层出不穷,受到攻击的层面也越来越大,网络安全的风险与日俱增。有这样的说法,以前企业被人攻击还遮遮掩掩地说家丑不可外扬,现在天天遭受攻击已经司空见惯,没有被攻击反而是不正常的事情。

实际上,各行业客户已经采购了各类型各层级的网络安全产品进行防护,可以说武装到了牙齿。但是这些对策都是各自独立,相互难以沟通的,而且用户的投资也不可能无节制。一旦因攻击造成实实在在的损失,企业内部又没有人能承担起这样的责任。这还导致新的问题,一方面,网络安全在不断跟空间竞争,因为客户的机房已经无法安置更多的基础设施,另一方面,安全网络平台自身也碰到天花板。

网络安全应该如何建设?以往的建设是否存在问题?从事网络安全多年的亚信安全通用安全产品总经理童宁结合自己对网络安全的思考,谈及在网络安全界引起共鸣的话题——网络空间的补救与修复。

亚信安全通用安全产品总经理童宁

网络空间恢复补救能力

毫无疑问,不断升级的应用需求,也导致用户的管理和维护成本不断提升;童宁认为,产品、解决方案和服务已经不再是用户所能理解和感兴趣的事情,而是需要关注“网络空间恢复补救能力(Resilience)”。

对用户而言,时下合规要求越来越多,而且遭受攻击也变成很正常的事情,导致IT系统运行不正常甚至沦陷。在这样的网络空间里,用户希望能对未知的事情或者会重复发生的事件做出预测和判断,当某种攻击发生时也具备跟攻击者对抗的能力,一旦遭受到损失也要能够尽快恢复补救,在确保信息系统安全的同时保证业务连续运行。

这是时下最流行的思路,也就是网络空间恢复补救能力的基本核心。

网络空间恢复补救能力的构建

如何构建这样的能力?童宁从政策法规、理论方法与技术工具三个方面进行介绍。

在政策法规方面,《网络安全法》强调了对网络安全提供预防、容灾、应急处置、演练以及风险评估、培训等能力。

构建网络空间恢复补救能力,离不开方法论,方法论离不开战略原则。这些战略原则首要的是要聚焦关键资产(如基础设施),其次是框架灵活设计的适应能力,三是尽量减少攻击界面,四是预设攻击会进行、系统会沦陷,五是预设攻击的手段会不断变化和升级。

童宁提供了一些可供参考的方法,例如权限管理。但是获得权限、确保权限不会被滥用,都需要可靠的措施保证;又如用后即毁,在任何地方都不保留敏感数据,或者扰乱攻击界面等等。这里要提到一个词——态势感知,设计方法论之前要对企业的IT系统状况进行完整的了解。

以应急预案为例:针对网络安全方面的紧急事情发生时要有处理对策,这就是预案。在预案中,有不同的角色,如安全应用团队、高级威胁响应团队、外部支持专家。另外,影响预案的因素很多,如财富的影响,用户的影响,股东的影响,媒体影响,监管机构的影响等。

有效沟通十分重要。一个应急事件的妥善处理过程,各个单位之间能实现迅速、可靠、周全的协调,离不开之前已经制定的完备预案,离不开一个总指挥来统筹和协调。沟通的框架能够告诉人们,哪些角色用于执行什么任务,哪些角色用来批准行动计划,哪些角色是需要听取相关意见以便决策,等等。

童宁讲述了一个网络钓鱼预案的处理过程。

网络钓鱼邮件就是发送一个邮件欺骗接收者点击链接并填写个人资产信息。当这样的帐号出现时,亚信安全会自动接收至专门的邮箱,并且立即将发送者全部信息提交到本地情报库,在沙盒中分析链接是否存在危害,并回溯相关的历史记录。根据这些信息初步判断出是否为钓鱼邮件的结论,如果不是就关掉预警,否则就启动真正的预案。

一旦预案启动,系统会对所有收到这个邮件的人发出预警、隔离邮件或直接删除,如果有人误点这个邮件,系统将依据现有态势感知系统或者安全运维系统中迅速确定是哪一个终端,同时高级调查取证……整个过程从1个线索变成N条线索。当所有线索汇聚在一起,就可系统地获知伤害导致的最大后果,同时进行整体性地清除有害信息和复原关键信息,提交案件报告、关闭预警。

随着黑客攻击手段的增加,亚信安全提供的预案内容也在不断充实。每个预案从准备、发现、分析、遏制、消除、恢复、优化7个层次提出建议。

快速响应需要经验的积累。在童宁看来,前面提到的这个指挥平台主要由三大部分组成:精密编排(产品各司其职而又管理有序)、联动(各厂商之间的解决方案实现互动)的产品与高度自动的安全运维,本地威胁情报与云端威胁情报相结合以确保对各种信息安全线索进行收集、回溯与准确分析,安全事故响应调查工具、工作手册、专家团队等。

在技术工具方面,上述方法论提到的应急预案、指挥、流程、演练一直到最后的落地,都需要一套体系去执行。

构建完整的体系

在具体实践方面,两年前亚信安全就参与到国家级的重大活动网络安全安保活动中,包括2017年两会,一带一路高峰论坛、金砖五国峰会以及其他的国家级的活动。亚信安全针对这些活动采取的安全措施,独立于国家预防的措施和管理之外。

亚信安全建立了安全自我能力检查的基线。亚信安全推荐20个领域网络安全建设的方向供用户参考和供合作伙伴项目立项。其中包括传统的如授权软件应用、软硬件配置、漏洞发现与恢复等解决方案,也有些新兴的比如事故应急响应、安全技能评估与培训等措施,通过合作伙伴给用户提供基础的能力。

需要指出的是,这个体系的智能化程度非常重要。例如,在钓鱼邮件里面把收到的邮件删掉,这个人工也能实现,但工作量巨大,也许来不及阻止攻击的发生,还能导致误删;而预案做好后,仅仅敲一下关键词就可以彻底消除隐患。

当然,在很多的情况下,自动化操作也需要经过一定的流程和授权。

不同的用户有不同的管理制度和相关机制,在某种程度上会造成成本的提升。亚信安全可根据用户的实际情况进行分级,提供针对性的解决方案。例如,在用户预算不足、无力购置情报设备或者情报威胁设备的情况下,以云化方式提供服务,当然,前期要做好一定的基础工作。

人才的建设

在政策法规、理论方法与技术工具之外,网络空间恢复补救能力还有一个非常重要的元素——人才。

从2000年开始,亚信安全就设置了团队培养专业的安全人才;趋势科技(于2015年被亚信科技收购成立亚信安全)也有一套完整的安全人才培训体系,提供认证销售专家、认证信息安全专家以及认证云安全专家培训及认证。

迄今为止,亚信安全已经形成了包括网络安全认证课程、攻击实战课程、安全管理课程、网络安全技术前沿课程等四大类网络安全课程。亚信安全的人才培养对象分为两类:一类是向亚信的安全产品用户和渠道提供在职人员的培训,另一类是通过与院校合作对在校学生进行入职前培训。

截止2017年,已有上万名用户及渠道伙伴参与了相关培训,并获得了各级认证。