一、不可持續的網(wǎng)絡(luò )安全建設困境
大部分國內企事業(yè)單位的網(wǎng)絡(luò )安全的現狀是不容樂(lè )觀(guān)的,這一點(diǎn)從這幾年相關(guān)部門(mén)組織的全國性實(shí)戰攻防演練行動(dòng)可以看出來(lái)。雖然每次攻防演練都有一部分單位“幸存”下來(lái)沒(méi)有被拿下標靶,但我們要認識到這背后所付出的有些“努力”是不可持續的:
- 首先,業(yè)務(wù)影響的不可持續:很多單位為了應對攻防演練,在演練期間通過(guò)拔網(wǎng)線(xiàn)等神操作將很多互聯(lián)網(wǎng)業(yè)務(wù)下線(xiàn),不僅本單位員工的正常工作受到影響,所服務(wù)用戶(hù)也無(wú)法正常辦理業(yè)務(wù)。這類(lèi)神操作日常不可能落地。
- 其次,投入的不可持續:攻防演練期間,除了調動(dòng)單位內部的員工外,還通過(guò)各種方式招募了大量的安服人員,有些是每天花費上萬(wàn)元短期租借的,有些是從安全廠(chǎng)商臨時(shí)借調的。這么多人員的投入在日常是不可持續的。
這幾年國家組織的實(shí)戰攻防演練價(jià)值很大,大幅度提升了各個(gè)單位對網(wǎng)絡(luò )安全的重視程度,也一定程度上促進(jìn)了安全體系的建設。然而大部分企事業(yè)單位臨陣磨槍倉促應戰的這種應對方式并不理想。如何才能變“應試教育”為功夫在平時(shí)的“素質(zhì)教育”方式呢?
從網(wǎng)絡(luò )安全建設和日常運營(yíng)水平這個(gè)角度來(lái)說(shuō),我們可以粗略地將國內企事業(yè)單位分為三大類(lèi):
- 第一類(lèi)網(wǎng)絡(luò )安全建設和日常運營(yíng)水平較高的單位數量不多,全國不超過(guò)100家,主要包括互聯(lián)網(wǎng)大廠(chǎng)、五大行、頭部的股份制銀行、華為等。這類(lèi)單位對安全的重視是自發(fā)的,業(yè)務(wù)驅動(dòng)的。安全方面投入大、能力強,安全體系的建設主要以我為主,安全廠(chǎng)商、服務(wù)商是配角,提供一些產(chǎn)品和外包安服人員。這類(lèi)單位可以相對輕松地應對常規的網(wǎng)絡(luò )安全事件,實(shí)戰攻防演練過(guò)程中也表現的最為淡定。投入大,不僅僅是指購買(mǎi)安全產(chǎn)品、方案、服務(wù),更大的投入是維持一支專(zhuān)門(mén)的安全團隊。團隊中的高端安全人才一個(gè)人一年的收入就可能達到數百萬(wàn),堪比某些大型單位在安全方面全年的預算。這類(lèi)企業(yè)有點(diǎn)像舊時(shí)代的巨富,自己雇傭了不少武林高手看家護院,保護自己的安全。這種方式其他人只能羨慕無(wú)法模仿。
- 第二類(lèi)網(wǎng)絡(luò )安全建設和日常運營(yíng)水平中等的單位大量存在,數量以萬(wàn)計,包括大部分大型和部分中型企事業(yè)單位,比如地市級以上政府委辦局,大型制造型企業(yè)、高速公路集團、地鐵、大型醫院、高等院校等。開(kāi)篇提到的某機場(chǎng)也屬于此類(lèi)范疇。這類(lèi)單位每年一般有上百萬(wàn)到千萬(wàn)不等的安全預算,有一個(gè)很小的網(wǎng)絡(luò )安全部門(mén)或至少有一個(gè)人對網(wǎng)絡(luò )安全負責任。他們的安全投資以合規驅動(dòng)為主,依靠安全廠(chǎng)商或集成商進(jìn)行建設,從廠(chǎng)商或服務(wù)商那里買(mǎi)一些駐場(chǎng)服務(wù),整體安全建設和運維水平無(wú)法令人放心。非攻防演練期間,可能輕易就被普通水平的黑客攻陷;攻防演練期間,通過(guò)“不可持續”的努力防守有可能涉險過(guò)關(guān),但大概率還是會(huì )被攻陷。
- 第三類(lèi)網(wǎng)絡(luò )安全建設和運營(yíng)水平較低的單位普遍存在,數量以百萬(wàn)計,幾乎包括所有的小型和大部分中型企事業(yè)單位,比如非三甲醫院、普通中小學(xué)、一般的制造企業(yè)、縣級政府單位等。這類(lèi)單位在安全上或基本沒(méi)有投資,或每年幾十萬(wàn)以下,沒(méi)有專(zhuān)門(mén)的安全負責人,也買(mǎi)不起駐場(chǎng)安服人員,即使曾經(jīng)投資了基本的安全建設,也由于設備過(guò)于專(zhuān)業(yè),沒(méi)人持續運維而無(wú)法發(fā)揮作用。針對這一類(lèi)單位,一個(gè)具有傳染性的普通病毒,比如勒索軟件就有可能導致整個(gè)信息系統不可用。
后兩類(lèi)單位的確需要改進(jìn),然而客觀(guān)地說(shuō),我們不能要求他們在投入有限的情況下向第一類(lèi)單位看齊,奢侈的豪華配置是無(wú)法推廣到這些單位的。在當前的安全建設思路下,他們陷入進(jìn)退維谷的境地:一方面是各種法律、制度、責任、攻防演練、安全事件帶來(lái)的壓力讓其不得不想辦法應對,想找到一個(gè)有奇效的藥方解決網(wǎng)絡(luò )安全問(wèn)題;另一方面業(yè)界不斷涌現的各種網(wǎng)絡(luò )安全新理念、新技術(shù)顯得遙不可及難以落地,安全廠(chǎng)商、服務(wù)商開(kāi)出的各種靈丹妙藥好像都不對癥,至少在自己可獲得的預算前提下解決不了關(guān)鍵問(wèn)題。
這兩類(lèi)單位到底應該采用什么樣的網(wǎng)絡(luò )安全建設思路才能在有限的預算下解決問(wèn)題呢?作為經(jīng)常用APT、有組織的高級黑客等潛在威脅來(lái)“嚇唬”這類(lèi)客戶(hù)、 “忽悠”他們花錢(qián)采購自家安全產(chǎn)品和服務(wù)的安全廠(chǎng)商,我們更應該思考這個(gè)問(wèn)題,否則這個(gè)產(chǎn)業(yè)很難進(jìn)入一個(gè)良性的狀態(tài)。
二、網(wǎng)絡(luò )空間環(huán)境的“破窗理論”
有一個(gè)社會(huì )安全的治理案例可拿來(lái)參考。在1994年之前,紐約的犯罪率居高不下,過(guò)去多年紐約市警察局采用各種措施都不見(jiàn)成效,許多社區、地鐵站很不太平,惡性刑事案件頻發(fā)。新上任的警察局長(cháng)是從交通警察局長(cháng)崗位上提拔的,他把自己過(guò)去4年在地鐵治安秩序治理中所采用的思路引入到紐約市。在地鐵治安治理過(guò)程中,他從以前沒(méi)人管的地鐵涂鴉和逃票開(kāi)始治理。以逃票為例,過(guò)去紐約地鐵逃票成風(fēng),警察基本視而不見(jiàn),抓住逃票者也只是訓斥教育。該局長(cháng)上任后要求每個(gè)逃票者都必須接受盤(pán)問(wèn),后來(lái)發(fā)現1/7的被捕者曾經(jīng)有過(guò)刑事拘留記錄,5%的人隨身攜帶武器。這樣一來(lái),警察們很快就不再懷疑打擊逃票現象的重要意義了。在該警察局長(cháng)的新策略下,紐約市的犯罪率神奇地急速下降,就像地鐵系統曾經(jīng)經(jīng)歷的情況一樣。
從地鐵涂鴉和逃票這種輕度違規行為開(kāi)始治理,帶來(lái)整個(gè)城市的犯罪率下降,這背后的邏輯是什么?答案其實(shí)挺簡(jiǎn)單,就是著(zhù)名的“破窗理論”:如果一個(gè)窗戶(hù)被打破了,過(guò)了很久也沒(méi)有人來(lái)把它修好,行人就會(huì )以此推斷,這是個(gè)沒(méi)人管理的地方。很快,就會(huì )有更多的窗戶(hù)被打破,然后無(wú)政府主義就開(kāi)始從這幢樓向相鄰的街道蔓延。類(lèi)似地,如果某個(gè)區域原本不是倒垃圾的地方,有人扔了一些垃圾在那里,其他人看到后很可能將手中的垃圾扔在同一個(gè)地方,如果一直沒(méi)人清理,最終可能演變成垃圾堆。秩序井然的社會(huì )和秩序混亂的社會(huì )相比,哪一個(gè)犯罪率更高?答案是顯而易見(jiàn)的。
回到網(wǎng)絡(luò )安全的話(huà)題。對于上文提到的后兩類(lèi)企事業(yè)單位來(lái)說(shuō),他們當前的網(wǎng)絡(luò )空間就如同1994年之前的紐約城,涂鴉和逃票這類(lèi)輕微違規行為大量存在。比如大量主機操作系統和軟件版本老舊,漏洞很多。大量機器潛伏著(zhù)木馬或其他病毒,或成為肉雞,或被用于挖礦。我們強調黑客攻擊,強調APT,其環(huán)境如此混亂,這類(lèi)高級威脅一定更容易發(fā)生和得手。誰(shuí)敢肯定某臺已成為肉雞的機器不是APT攻擊的一個(gè)關(guān)鍵環(huán)節呢?
對于這些企事業(yè)單位來(lái)說(shuō),首先應該從諸如打補丁、堵漏洞、排查肉雞、處置簡(jiǎn)單攻擊事件等這類(lèi)基礎網(wǎng)絡(luò )安全治理工作開(kāi)始,而不是一上來(lái)就處理高級威脅。基礎工作做好了,高級威脅發(fā)生的概率一定也隨之下降。換句話(huà)講,在底子還比較薄時(shí),網(wǎng)絡(luò )安全建設的首要目標不是如何防住潛在的高級攻擊,而是要以解決日常安全基礎問(wèn)題、凈化網(wǎng)絡(luò )空間環(huán)境為主。
三、網(wǎng)絡(luò )空間安全治理需要專(zhuān)業(yè)安全服務(wù)
即便如此,“解決日常安全基礎問(wèn)題、凈化網(wǎng)絡(luò )空間環(huán)境”仍然屬于專(zhuān)業(yè)性很強的工作。一般情況下,至少需要部署一套比較完整的安全方案(邊界防護、終端安全、漏洞掃描,甚至資產(chǎn)管理、態(tài)勢感知、SOC等等),并且還要有人在日常進(jìn)行持續的運營(yíng),否則這些方案很可能成為擺設。這些投入,特別是持續運營(yíng)的人員投入,不僅預算少的第三類(lèi)單位難以承受,對預算稍微寬松的第二類(lèi)單位來(lái)說(shuō)也是很大的負擔。很多單位購買(mǎi)了安服人員駐場(chǎng)但對服務(wù)效果并不滿(mǎn)意:我花了每人30萬(wàn)元一年買(mǎi)了幾個(gè)駐場(chǎng),為何這些人水平這么低,還經(jīng)常換人?30萬(wàn)元聽(tīng)起來(lái)不少,然而去掉五險一金和管理開(kāi)銷(xiāo),駐場(chǎng)人員的工資可能只有幾千元。這個(gè)工資到哪里去找就業(yè)大熱門(mén)的專(zhuān)業(yè)安全人員?即使找到幾個(gè)素質(zhì)不錯的進(jìn)步快的新手,有了經(jīng)驗后很快也會(huì )被更高的工資吸引并跑掉。這種基于人的安全服務(wù),經(jīng)常出現買(mǎi)賣(mài)雙方都不滿(mǎn)意的情況:甲方抱怨服務(wù)質(zhì)量不好,乙方抱怨賺不到錢(qián),并指望通過(guò)別的方式把錢(qián)賺回來(lái),于是陷入了一種不健康的狀態(tài)。
過(guò)去,有一定規模的企事業(yè)單位大多有自己的保衛處,保衛處行使一定的治安治理專(zhuān)業(yè)職能,單位的社會(huì )治安某種程度上依靠保衛處的維持。隨著(zhù)社會(huì )的演進(jìn),這類(lèi)專(zhuān)業(yè)職能基本上從單位自身剝離出來(lái),由公安來(lái)承接。一方面因為保衛處的專(zhuān)業(yè)性和能力有限,另一方面單位自己維護一個(gè)保衛處負擔也很重。現在,大部分單位已經(jīng)不存在這種部門(mén),即使會(huì )通過(guò)外包的方式雇一些保安(有點(diǎn)像駐場(chǎng)安服人員),保安的職能也不再和治安治理掛鉤,更多的是承擔基本秩序的維持職能。
對于網(wǎng)絡(luò )空間安全來(lái)說(shuō),未來(lái)發(fā)展路線(xiàn)是類(lèi)似的:大部分企事業(yè)單位的網(wǎng)絡(luò )空間安全治理職能主要由專(zhuān)業(yè)組織承擔,那些擁有強大的專(zhuān)業(yè)安全隊伍的第一類(lèi)單位除外。預算不多的情況下靠雇傭幾名不入流的江湖角色來(lái)對抗潛在的武林高手并不現實(shí)。
而這個(gè)“專(zhuān)業(yè)組織”會(huì )是誰(shuí)呢?基于網(wǎng)絡(luò )空間的特殊性,這個(gè)“專(zhuān)業(yè)組織”應是社會(huì )化的提供安全服務(wù)的組織,比如專(zhuān)業(yè)安全服務(wù)提供商。第二類(lèi)和第三類(lèi)單位通過(guò)購買(mǎi)服務(wù)的方式解決自己的安全問(wèn)題。如同過(guò)去很多單位擁有自己的學(xué)校、醫院,而現在基本全部剝離,教育、醫療問(wèn)題通過(guò)購買(mǎi)服務(wù)解決。
讀者可能會(huì )說(shuō),現在好像很多單位正在通過(guò)購買(mǎi)服務(wù)的方式來(lái)解決網(wǎng)絡(luò )安全問(wèn)題。然而購買(mǎi)“服務(wù)”的方式和現在主要依靠駐場(chǎng)服務(wù)的方式有很大的區別。教育、醫療服務(wù)不是依靠人員駐場(chǎng)到單位現場(chǎng)教學(xué)和治療來(lái)完成的。這些社會(huì )化的服務(wù)資源并不在本地,而是集中在某處,而是按需購買(mǎi)。這聽(tīng)起來(lái)是不是有點(diǎn)耳熟?資源集中在云端,按需購買(mǎi),是“云服務(wù)”的典型特征。只有類(lèi)似這樣的廣義“云服務(wù)”才能有效提升服務(wù)效率,才有可能用有限的預算真正解決網(wǎng)絡(luò )安全問(wèn)題。
四、安全云服務(wù)是破局之道
說(shuō)到“云服務(wù)”,大家一定會(huì )聯(lián)想到公有云。公有云的出現有效地提升了IT資源的利用效率,正在逐步替代大量本地的IT系統,這個(gè)趨勢目前已經(jīng)沒(méi)有人質(zhì)疑。但公有云并非全部,未來(lái)必然有大量IT資源處于公有云之外。這些資源不僅僅包括私有云,還包括辦公網(wǎng)、城市物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等等,沒(méi)有這些無(wú)法組成完整的網(wǎng)絡(luò )空間(下文用“線(xiàn)下”來(lái)統稱(chēng)這類(lèi)網(wǎng)絡(luò )空間)。
像華為云等頭部的公有云運營(yíng)商擁有強大的安全專(zhuān)業(yè)能力和隊伍,并通過(guò)某種方式給云上的租戶(hù)提供各種專(zhuān)業(yè)的安全云服務(wù)。對于公有云上的租戶(hù)來(lái)說(shuō),通過(guò)購買(mǎi)云服務(wù)的方式解決其網(wǎng)絡(luò )空間基礎的安全問(wèn)題是他們的最佳選擇。
針對線(xiàn)下的網(wǎng)絡(luò )安全問(wèn)題,有沒(méi)有合適的“云服務(wù)”方案可以解決呢?
目前已經(jīng)有一些可以面向線(xiàn)下客戶(hù)提供的安全SaaS云服務(wù),比如云WAF、云抗D、云漏掃等。然而由于技術(shù)上的限制,這些云服務(wù)主要以防護Web網(wǎng)站為主,能夠解決的安全問(wèn)題非常有限。
此外,也有一些安全廠(chǎng)家為客戶(hù)提供線(xiàn)下安全設備的云端管理服務(wù),某種程度上這也屬于“云服務(wù)”。但這種云服務(wù)所提供的價(jià)值也是有限的:主要是將本地設備管理能力放到云端,減少本地部署的代價(jià),并不能通過(guò)云端提供更多的安全服務(wù)。
那么,到底有沒(méi)有真正可以解決客戶(hù)線(xiàn)下網(wǎng)絡(luò )安全問(wèn)題的云服務(wù)方式呢?答案很快將揭曉,12月18日,華為將正式發(fā)布經(jīng)過(guò)過(guò)去一年半醞釀、探索、實(shí)踐的針對線(xiàn)下客戶(hù)的創(chuàng )新的網(wǎng)絡(luò )安全云服務(wù)業(yè)務(wù),重點(diǎn)幫助第二類(lèi)和第三類(lèi)企事業(yè)單位破局安全困境。
這次發(fā)布,和一般的ToB產(chǎn)品有所不同,不是路標,而是已經(jīng)經(jīng)過(guò)了100+客戶(hù)的充分Beta驗證,發(fā)布即可商用。這款網(wǎng)絡(luò )安全云服務(wù)產(chǎn)品已在全國17個(gè)主要省份鋪貨,發(fā)布后可以直接下單購買(mǎi)。
請大家關(guān)注。
