由中国网络安全产业联盟(CCIA)、科技云报道共同主办的“解码2022中国网安强星”活动正式拉开帷幕。本次活动以“网安力量 照见未来”为主题,邀请荣获“2022年中国网安产业竞争力50强、成长之星、潜力之星”的企业高层做客直播间,从行业、技术、市场等多角度探讨网安相关话题,探究企业背后的创新力量和安全实力。
时代在变,但网络安全攻防对抗的本质从未改变。随着数字经济不断发展,网络安全如今已进入“深水区”。
过去,企业安全人员大多专注于筑墙式、被动式防御思路,而忽略了丰富的网络威胁来源和灵活多变的攻击手段。面对不确定的未来,企业安全人员既要全方位保护网络安全,又必须像攻击者一样思考。
7月27日,奇安信集团副总裁张龙做客“解码2022中国网安强星”直播间,与大家分享了网络攻防和安全防护的最新观点。
网络安全市场的“隐形冠军”
2021年12月24日,北京市经济和信息化局联合北京市工商业联合会公布了北京市首批20家“隐形冠军”企业认定名单,名单主要集中于芯片、网络安全、大数据和卫星导航等科技创新领域。
作为国内网络安全产业第一梯队的龙头企业奇安信科技集团股份有限公司(简称奇安信)成功上榜。
当网络安全市场进入稳健增长阶段后,头部企业在规模和资源上拥有明显优势,且随着时间推移,头部企业拥有的市场份额会逐渐扩大。
在2022年6月中国网络安全产业联盟(CCIA)最新发布的“2022年中国网络安全竞争力50强”榜单上,奇安信凭借在网络安全市场的持续创新能力,在市场表现与技术产品双维度上均交出了一份优异的答卷,蝉联“中国网安产业竞争力50强”第一。
从“技术思维”到“全局视角”
“安全对处于数字化转型过程中的企业来说,已不再是一个单纯的技术问题,而是一个从企业观念、流程建设、组织建设、运营体系到IT架构设计的全局视角来思考的问题,更多的需要转变思维方式”,张龙表示。当站在客户角度,真正以信息化建设的角度去思考安全问题的时候,会发现很多安全工作并没有深入进信息化体系之中。
在张龙看来,网络安全对企业来说牵一发而动全身,要摒弃单点思维,形成体系化思维。
如果想要解决某一方面的安全问题,一定要从最初的架构设计开始,就将安全问题当作其中重要的一部分进行整体考虑。因为当安全体系中的某项功能已经构建完成时,再让安全团队去进行后期调整和修改几乎是不可能的事情,这会涉及整个业务逻辑和架构的改变。
因此,对于企业来说,一定是先有数字化,后有安全体系,而不是先设定一个安全模式,再让数字化按照安全模式的路径去走。
张龙认为,在网络安全体系的构建中,安全体系建设的一半工作无法通过采购外部安全产品解决,而是需要靠自身的运营来解决,企业信息化团队和安全团队一定是紧耦合的关系。
以某个电子政务云为例,张龙在带领团队进行安全检查时发现,125个高危漏洞里面有105个是弱口令。事实上,解决这一问题的钥匙并不握在安全厂商手中,而是需要企业安全运营体系来解决。为此,除了安全团队,还需要企业运维团队的全程配合。
虽然网络安全如此重要,但在企业组织架构中常常处于较低层级的位置。
张龙表示,企业应当将安全的地位应该提升到最高层级,从全局安全的思路出发,设计全局的安全架构,从而让企业在不断通过新技术拓展新业务的时候,不至于遭受不可估量的伤害。
另外,不断升级或补充安全能力,是筑牢终端安全防线的重要方法。
数字时代的资产除了传统IT资产,还包括loT、传感器、网站域名、数字证书、敏感数据等模块,资产类别及资产体量在增加。在数字化背景下,由于数字业务开展的更多,企业并不能监管到所有数字资产,导致安全盲区的出现,而安全盲区诞生出的影子资产容易被攻击者利用。
对于企业安全人员,基于攻击者视角驱动运营决策是十分必要的。安全业务人员应当像攻击者一样思考,以攻击者视角监测数字资产,分析攻击者可能利用的弱点,并制订对应的防守策略。
同时,要经常检验防御的有效性。传统以合规为基础的安全运营,已经无法应对复杂的攻防场景,需要以自动化技术和攻击模拟技术,以攻击者视角持续检验现有安全机制的有效性。
此外,还要协同联动各种安全能力以及运营团队,提高安全事件的响应速度,在漏洞被利用前修复漏洞。
对于网络安全体系建设,张龙还打了一个形象比喻,网络安全就像战争,核心因素是“人”。即使买了最好的武器装备,但如果没有成熟的军官、士兵、组织体系、指挥体系,军队还是无法形成强悍的战斗力。
所以网络安全归根结底是一个组织问题,并不是一个技术问题。
体系化防御,数字化运营
克劳塞维茨在《战争论》中曾经对防御作战有过这样的描述:“防御作战这种常见的作战形式,其往往不是单纯的组织静态的防线,而是由无数次的巧妙打击和迂回运动组成的反突击体系。”
所谓的“攻势防御”,也就是我们常说的“积极防御”或者“决战防御”,其精髓就是攻中带守,攻守结合。
作为攻守博弈中较为弱势的一方,防守方应当如何进行更有效地防御,从而化被动为主动,变滞后为前瞻?
张龙认为,防守方重要的是要构建纵深防御体系。单一的产品无法实现安全,构建纵深防御体系、建立全面监控的能力、高效协同等,都是赢得网络安全战的先决条件。
目前,大多数企业网络安全还存在五大方面问题,即资产繁多难管理、运维数据巨大、威胁发现能力不足、安全威胁不可见、缺乏联动防御。
为此,企业亟需建立一个从IT资产梳理、识别到威胁发现、研判、分析溯源和响应处置的大纵深整体防御体系。
张龙表示,纵深防御体系的本质是多层防御,使得入侵者必须突破层层堡垒才能接触到核心数据资产。防守方建立起纵深防御体系后,攻击方的入侵难度和入侵成本将大幅度提高,通常远未到终点时就会被发现,这就使得防守方有充足的时间响应和处置,最大限度地提升安全漏洞的发现机会与修复速度。
纵深防御的基础建立在对威胁风险和资产的识别能力上,因此摸清家底无疑是第一步。
如今,攻击者将关注点更多放在设备上承载的业务系统,甚至是某个服务或中间件,域名、ICP、IOT等,而这些暴露面的资产,以未知资产、僵尸资产更为严重,攻击者会迅速展开精准攻击、获取重要信息、达到入侵目的。
对此,要把已知的资产、未记录资产、隐藏的问题资产全部梳理出来,做到心中有数。
在风险识别方面,不仅是资产存在风险,包括企业的安全策略、运维策略、串联业务线都可能存在逻辑漏洞,弱密码、安全补丁、版本升级等风险漏洞更是比比皆是,这些漏洞都是黑客可利用的攻击点。因此,对于漏洞和风险,企业安全人员需要与时间与攻击者赛跑,早一步发现修复就是胜利。
其次,要建立纵深防御体系。纵深防御体系一旦建立,企业安全人员就可以在攻击路径上部署大量监测手段,甚至是探针、蜜罐等诱捕手段,同时加强对窃取数据、非法删除等异常行为的关联分析,通过这些手段去对攻击者实施诱捕,从而可以通过纵深防御体系给攻击者设置大量的障碍。
第三,要对安全策略进行动态调整,这就需要完整的监测与响应体系,对风险进行持续监测和及时响应,实现全面掌握风险情况、及时评估风险变化、快速灵活应对风险的安全目标。
通过不间断、全方位地开展协同防护,对保护对象的威胁、数据和漏洞三个安全要素进行持续安全运营的设计,实现人、机、信息的协同联动,构建体系化的网络防御阵地。
张龙表示,防守方虽然处于相对被动地位,但如果防御体系城墙建得足够厚、护城河挖得足够深,也会让攻击者知难而退。
同时,依靠单个企业的防御能力已不足以应对日益多元化的威胁风险,需要在企业间形成网络安全威胁情报共享机制,制定威胁情报共享标准,实现协同联防。
体系化网络安全的“中国方案”
在张龙的职业生涯中,曾多次带领团队出色完成国家级网络安全防护任务,其中就包括北京冬奥会及冬残奥会的网络安保工作,为世界展现出了网络安全的“中国方案”。
作为中国网络安全领域的领导厂商,奇安信于2019年12月正式成为北京2022年冬奥会及冬残奥会官方网络安全服务和杀毒软件赞助商。
事实上,奥运会近年来已成为网络攻击的重点对象。无论追逐经济利益的黑客组织,还是谋求政治目的国家级黑客,都在期间频现魅影。
比如2016年里约奥运会期间,政府和赞助商网站遭到APT攻击,大量数据泄露;2018年平昌冬奥会开幕期间,黑客攻击使得互联网和广播系统中断、奥运会网站瘫痪数小时、开幕式直播信号中断。
因此,北京冬奥会的网络安全保障工作,尤其是开幕式的网络安全保障工作成为重中之重。
实战化水平是检验网络安全能力的唯一标准。
为了确保冬奥会万无一失,早在冬奥会开始800多天前,奇安信就已经启动了冬奥网络安全保障服务;30天前,启动了北京冬奥会网络安全保障中心,成立了11支保障团队,1500余名员工坚守岗位。
对于冬奥网络安全保障来说,这是一个体系化工程,是奇安信所有前沿安全能力的汇集,产品的标准化、统一化和关联化是重要课题。
为保障冬奥会各项工作的信息网络安全,奇安信共计部署包括防火墙、终端安全管理、Web应用防火墙等在内的各类安全设备近千套。
更重要的是,在冬奥会开始前的800多天里,奇安信主动开展了十轮攻防演习,将高强度的攻击防御做到了常态化。
其中,200多名分析人员,每天处理超过10亿条各类网络安全日志,对其中产生的数千条告警信息深入细致研判,在最短的时间内实现对安全事件的检测和响应,基于大数据建模,并对未来的安全趋势进行精准预测。
除此之外,奇安信还启动了一套从攻击者视角思考问题的系统,里面记录了过去七、八年主要攻击组织的行为和特征,帮助奇安信攻防团队从攻击者视角思考,力图在发起攻击之前提前捕获攻击者。
基于扎实的安全技术和艰苦的攻防演习,奇安信最终创下了北京冬奥会开幕式网络安全“零事故”的世界纪录。
据奇安信网络安全保障中心统计,在冬奥、冬残奥重保期间,奇安信共检测日志数量累积超1850亿,日均检测日志超37亿,累计发现修复漏洞约5800个,发现恶意样本54个,排查风险主机150台,累积监测到各类网络攻击超3.8亿次,跟踪、研判、处置涉奥舆情和威胁事件105件。
正如张龙所说,尽管冬奥会期间攻击量高达上亿次,但经历了冬奥会之前800多天的准备和努力,让奇安信对自身的防守能力有了充分的底气。
过去,社会发展的第一要务是“求增长”,而当下及未来很长一段时间的主题将变为“保安全”。
在“大安全”的宏观架构下,全局化、智能化、自动化成为抵御威胁和风险的微观切入点。
在涤荡不可预知风险的路上,会涌现出一大批像奇安信这样的网络安全厂商,通过全局化视角、纵深防御体系、智能化决策、自动化执行,将“中国方案”应用到更多领域和场景,引领中国网络安全走向更广阔的天地。