亞信安全通用安全產(chǎn)品總經(jīng)理童寧
網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力
毫無(wú)疑問(wèn)��,不斷升級(jí)的應(yīng)用需求,也導(dǎo)致用戶的管理和維護(hù)成本不斷提升�;童寧認(rèn)為�����,產(chǎn)品���、解決方案和服務(wù)已經(jīng)不再是用戶所能理解和感興趣的事情���,而是需要關(guān)注“網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力(Resilience)”���。
對(duì)用戶而言,時(shí)下合規(guī)要求越來(lái)越多��,而且遭受攻擊也變成很正常的事情����,導(dǎo)致IT系統(tǒng)運(yùn)行不正常甚至淪陷。在這樣的網(wǎng)絡(luò)空間里�,用戶希望能對(duì)未知的事情或者會(huì)重復(fù)發(fā)生的事件做出預(yù)測(cè)和判斷,當(dāng)某種攻擊發(fā)生時(shí)也具備跟攻擊者對(duì)抗的能力����,一旦遭受到損失也要能夠盡快恢復(fù)補(bǔ)救,在確保信息系統(tǒng)安全的同時(shí)保證業(yè)務(wù)連續(xù)運(yùn)行���。
這是時(shí)下最流行的思路�,也就是網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力的基本核心���。
網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力的構(gòu)建
如何構(gòu)建這樣的能力����?童寧從政策法規(guī)、理論方法與技術(shù)工具三個(gè)方面進(jìn)行介紹���。
在政策法規(guī)方面,《網(wǎng)絡(luò)安全法》強(qiáng)調(diào)了對(duì)網(wǎng)絡(luò)安全提供預(yù)防��、容災(zāi)�、應(yīng)急處置、演練以及風(fēng)險(xiǎn)評(píng)估����、培訓(xùn)等能力。
構(gòu)建網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力����,離不開(kāi)方法論,方法論離不開(kāi)戰(zhàn)略原則��。這些戰(zhàn)略原則首要的是要聚焦關(guān)鍵資產(chǎn)(如基礎(chǔ)設(shè)施)�����,其次是框架靈活設(shè)計(jì)的適應(yīng)能力����,三是盡量減少攻擊界面,四是預(yù)設(shè)攻擊會(huì)進(jìn)行、系統(tǒng)會(huì)淪陷���,五是預(yù)設(shè)攻擊的手段會(huì)不斷變化和升級(jí)����。
童寧提供了一些可供參考的方法�����,例如權(quán)限管理��。但是獲得權(quán)限����、確保權(quán)限不會(huì)被濫用,都需要可靠的措施保證�;又如用后即毀,在任何地方都不保留敏感數(shù)據(jù)�,或者擾亂攻擊界面等等。這里要提到一個(gè)詞——態(tài)勢(shì)感知����,設(shè)計(jì)方法論之前要對(duì)企業(yè)的IT系統(tǒng)狀況進(jìn)行完整的了解。
以應(yīng)急預(yù)案為例:針對(duì)網(wǎng)絡(luò)安全方面的緊急事情發(fā)生時(shí)要有處理對(duì)策��,這就是預(yù)案。在預(yù)案中�����,有不同的角色�,如安全應(yīng)用團(tuán)隊(duì)、高級(jí)威脅響應(yīng)團(tuán)隊(duì)����、外部支持專家���。另外�����,影響預(yù)案的因素很多���,如財(cái)富的影響,用戶的影響�����,股東的影響��,媒體影響,監(jiān)管機(jī)構(gòu)的影響等��。
有效溝通十分重要���。一個(gè)應(yīng)急事件的妥善處理過(guò)程�����,各個(gè)單位之間能實(shí)現(xiàn)迅速�����、可靠��、周全的協(xié)調(diào)��,離不開(kāi)之前已經(jīng)制定的完備預(yù)案�����,離不開(kāi)一個(gè)總指揮來(lái)統(tǒng)籌和協(xié)調(diào)�。溝通的框架能夠告訴人們�,哪些角色用于執(zhí)行什么任務(wù),哪些角色用來(lái)批準(zhǔn)行動(dòng)計(jì)劃��,哪些角色是需要聽(tīng)取相關(guān)意見(jiàn)以便決策,等等�。
童寧講述了一個(gè)網(wǎng)絡(luò)釣魚(yú)預(yù)案的處理過(guò)程。
網(wǎng)絡(luò)釣魚(yú)郵件就是發(fā)送一個(gè)郵件欺騙接收者點(diǎn)擊鏈接并填寫(xiě)個(gè)人資產(chǎn)信息�����。當(dāng)這樣的帳號(hào)出現(xiàn)時(shí)���,亞信安全會(huì)自動(dòng)接收至專門的郵箱���,并且立即將發(fā)送者全部信息提交到本地情報(bào)庫(kù)����,在沙盒中分析鏈接是否存在危害,并回溯相關(guān)的歷史記錄���。根據(jù)這些信息初步判斷出是否為釣魚(yú)郵件的結(jié)論��,如果不是就關(guān)掉預(yù)警���,否則就啟動(dòng)真正的預(yù)案。
一旦預(yù)案啟動(dòng)�����,系統(tǒng)會(huì)對(duì)所有收到這個(gè)郵件的人發(fā)出預(yù)警、隔離郵件或直接刪除��,如果有人誤點(diǎn)這個(gè)郵件�����,系統(tǒng)將依據(jù)現(xiàn)有態(tài)勢(shì)感知系統(tǒng)或者安全運(yùn)維系統(tǒng)中迅速確定是哪一個(gè)終端��,同時(shí)高級(jí)調(diào)查取證……整個(gè)過(guò)程從1個(gè)線索變成N條線索�。當(dāng)所有線索匯聚在一起,就可系統(tǒng)地獲知傷害導(dǎo)致的最大后果�,同時(shí)進(jìn)行整體性地清除有害信息和復(fù)原關(guān)鍵信息,提交案件報(bào)告�、關(guān)閉預(yù)警。
隨著黑客攻擊手段的增加�����,亞信安全提供的預(yù)案內(nèi)容也在不斷充實(shí)��。每個(gè)預(yù)案從準(zhǔn)備�����、發(fā)現(xiàn)、分析�����、遏制����、消除、恢復(fù)��、優(yōu)化7個(gè)層次提出建議�����。
快速響應(yīng)需要經(jīng)驗(yàn)的積累���。在童寧看來(lái),前面提到的這個(gè)指揮平臺(tái)主要由三大部分組成:精密編排(產(chǎn)品各司其職而又管理有序)����、聯(lián)動(dòng)(各廠商之間的解決方案實(shí)現(xiàn)互動(dòng))的產(chǎn)品與高度自動(dòng)的安全運(yùn)維,本地威脅情報(bào)與云端威脅情報(bào)相結(jié)合以確保對(duì)各種信息安全線索進(jìn)行收集�、回溯與準(zhǔn)確分析,安全事故響應(yīng)調(diào)查工具�����、工作手冊(cè)、專家團(tuán)隊(duì)等��。
在技術(shù)工具方面�,上述方法論提到的應(yīng)急預(yù)案、指揮�����、流程����、演練一直到最后的落地,都需要一套體系去執(zhí)行����。
構(gòu)建完整的體系
在具體實(shí)踐方面,兩年前亞信安全就參與到國(guó)家級(jí)的重大活動(dòng)網(wǎng)絡(luò)安全安?����;顒?dòng)中��,包括2017年兩會(huì),一帶一路高峰論壇����、金磚五國(guó)峰會(huì)以及其他的國(guó)家級(jí)的活動(dòng)。亞信安全針對(duì)這些活動(dòng)采取的安全措施��,獨(dú)立于國(guó)家預(yù)防的措施和管理之外���。
亞信安全建立了安全自我能力檢查的基線�����。亞信安全推薦20個(gè)領(lǐng)域網(wǎng)絡(luò)安全建設(shè)的方向供用戶參考和供合作伙伴項(xiàng)目立項(xiàng)�����。其中包括傳統(tǒng)的如授權(quán)軟件應(yīng)用�����、軟硬件配置�����、漏洞發(fā)現(xiàn)與恢復(fù)等解決方案,也有些新興的比如事故應(yīng)急響應(yīng)、安全技能評(píng)估與培訓(xùn)等措施��,通過(guò)合作伙伴給用戶提供基礎(chǔ)的能力��。
需要指出的是�����,這個(gè)體系的智能化程度非常重要�。例如,在釣魚(yú)郵件里面把收到的郵件刪掉����,這個(gè)人工也能實(shí)現(xiàn),但工作量巨大�,也許來(lái)不及阻止攻擊的發(fā)生,還能導(dǎo)致誤刪�;而預(yù)案做好后,僅僅敲一下關(guān)鍵詞就可以徹底消除隱患����。
當(dāng)然,在很多的情況下����,自動(dòng)化操作也需要經(jīng)過(guò)一定的流程和授權(quán)。
不同的用戶有不同的管理制度和相關(guān)機(jī)制,在某種程度上會(huì)造成成本的提升�。亞信安全可根據(jù)用戶的實(shí)際情況進(jìn)行分級(jí),提供針對(duì)性的解決方案����。例如,在用戶預(yù)算不足�、無(wú)力購(gòu)置情報(bào)設(shè)備或者情報(bào)威脅設(shè)備的情況下,以云化方式提供服務(wù)�,當(dāng)然,前期要做好一定的基礎(chǔ)工作���。
人才的建設(shè)
在政策法規(guī)����、理論方法與技術(shù)工具之外�����,網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力還有一個(gè)非常重要的元素——人才���。
從2000年開(kāi)始�����,亞信安全就設(shè)置了團(tuán)隊(duì)培養(yǎng)專業(yè)的安全人才��;趨勢(shì)科技(于2015年被亞信科技收購(gòu)成立亞信安全)也有一套完整的安全人才培訓(xùn)體系�����,提供認(rèn)證銷售專家��、認(rèn)證信息安全專家以及認(rèn)證云安全專家培訓(xùn)及認(rèn)證�����。
迄今為止����,亞信安全已經(jīng)形成了包括網(wǎng)絡(luò)安全認(rèn)證課程����、攻擊實(shí)戰(zhàn)課程、安全管理課程���、網(wǎng)絡(luò)安全技術(shù)前沿課程等四大類網(wǎng)絡(luò)安全課程�。亞信安全的人才培養(yǎng)對(duì)象分為兩類:一類是向亞信的安全產(chǎn)品用戶和渠道提供在職人員的培訓(xùn)����,另一類是通過(guò)與院校合作對(duì)在校學(xué)生進(jìn)行入職前培訓(xùn)��。
截止2017年�����,已有上萬(wàn)名用戶及渠道伙伴參與了相關(guān)培訓(xùn)���,并獲得了各級(jí)認(rèn)證。
