亞信安全通用安全產(chǎn)品總經(jīng)理童寧
網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力
毫無疑問�����,不斷升級的應(yīng)用需求�,也導(dǎo)致用戶的管理和維護(hù)成本不斷提升;童寧認(rèn)為���,產(chǎn)品���、解決方案和服務(wù)已經(jīng)不再是用戶所能理解和感興趣的事情,而是需要關(guān)注“網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力(Resilience)”�����。
對用戶而言,時(shí)下合規(guī)要求越來越多�,而且遭受攻擊也變成很正常的事情,導(dǎo)致IT系統(tǒng)運(yùn)行不正常甚至淪陷��。在這樣的網(wǎng)絡(luò)空間里�����,用戶希望能對未知的事情或者會重復(fù)發(fā)生的事件做出預(yù)測和判斷,當(dāng)某種攻擊發(fā)生時(shí)也具備跟攻擊者對抗的能力�����,一旦遭受到損失也要能夠盡快恢復(fù)補(bǔ)救����,在確保信息系統(tǒng)安全的同時(shí)保證業(yè)務(wù)連續(xù)運(yùn)行。
這是時(shí)下最流行的思路���,也就是網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力的基本核心����。
網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力的構(gòu)建
如何構(gòu)建這樣的能力�?童寧從政策法規(guī)�、理論方法與技術(shù)工具三個(gè)方面進(jìn)行介紹����。
在政策法規(guī)方面,《網(wǎng)絡(luò)安全法》強(qiáng)調(diào)了對網(wǎng)絡(luò)安全提供預(yù)防���、容災(zāi)����、應(yīng)急處置�、演練以及風(fēng)險(xiǎn)評估、培訓(xùn)等能力��。
構(gòu)建網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力,離不開方法論����,方法論離不開戰(zhàn)略原則。這些戰(zhàn)略原則首要的是要聚焦關(guān)鍵資產(chǎn)(如基礎(chǔ)設(shè)施)����,其次是框架靈活設(shè)計(jì)的適應(yīng)能力,三是盡量減少攻擊界面���,四是預(yù)設(shè)攻擊會進(jìn)行�、系統(tǒng)會淪陷����,五是預(yù)設(shè)攻擊的手段會不斷變化和升級�。
童寧提供了一些可供參考的方法���,例如權(quán)限管理��。但是獲得權(quán)限���、確保權(quán)限不會被濫用,都需要可靠的措施保證�����;又如用后即毀,在任何地方都不保留敏感數(shù)據(jù)����,或者擾亂攻擊界面等等。這里要提到一個(gè)詞——態(tài)勢感知�����,設(shè)計(jì)方法論之前要對企業(yè)的IT系統(tǒng)狀況進(jìn)行完整的了解。
以應(yīng)急預(yù)案為例:針對網(wǎng)絡(luò)安全方面的緊急事情發(fā)生時(shí)要有處理對策�����,這就是預(yù)案����。在預(yù)案中��,有不同的角色����,如安全應(yīng)用團(tuán)隊(duì)、高級威脅響應(yīng)團(tuán)隊(duì)����、外部支持專家。另外���,影響預(yù)案的因素很多���,如財(cái)富的影響�,用戶的影響�����,股東的影響���,媒體影響���,監(jiān)管機(jī)構(gòu)的影響等���。
有效溝通十分重要。一個(gè)應(yīng)急事件的妥善處理過程����,各個(gè)單位之間能實(shí)現(xiàn)迅速、可靠���、周全的協(xié)調(diào)���,離不開之前已經(jīng)制定的完備預(yù)案��,離不開一個(gè)總指揮來統(tǒng)籌和協(xié)調(diào)�。溝通的框架能夠告訴人們,哪些角色用于執(zhí)行什么任務(wù)�,哪些角色用來批準(zhǔn)行動計(jì)劃�����,哪些角色是需要聽取相關(guān)意見以便決策����,等等。
童寧講述了一個(gè)網(wǎng)絡(luò)釣魚預(yù)案的處理過程���。
網(wǎng)絡(luò)釣魚郵件就是發(fā)送一個(gè)郵件欺騙接收者點(diǎn)擊鏈接并填寫個(gè)人資產(chǎn)信息。當(dāng)這樣的帳號出現(xiàn)時(shí)��,亞信安全會自動接收至專門的郵箱����,并且立即將發(fā)送者全部信息提交到本地情報(bào)庫��,在沙盒中分析鏈接是否存在危害��,并回溯相關(guān)的歷史記錄�����。根據(jù)這些信息初步判斷出是否為釣魚郵件的結(jié)論�,如果不是就關(guān)掉預(yù)警�,否則就啟動真正的預(yù)案�����。
一旦預(yù)案啟動��,系統(tǒng)會對所有收到這個(gè)郵件的人發(fā)出預(yù)警��、隔離郵件或直接刪除��,如果有人誤點(diǎn)這個(gè)郵件�����,系統(tǒng)將依據(jù)現(xiàn)有態(tài)勢感知系統(tǒng)或者安全運(yùn)維系統(tǒng)中迅速確定是哪一個(gè)終端,同時(shí)高級調(diào)查取證……整個(gè)過程從1個(gè)線索變成N條線索��。當(dāng)所有線索匯聚在一起���,就可系統(tǒng)地獲知傷害導(dǎo)致的最大后果���,同時(shí)進(jìn)行整體性地清除有害信息和復(fù)原關(guān)鍵信息����,提交案件報(bào)告、關(guān)閉預(yù)警�。
隨著黑客攻擊手段的增加,亞信安全提供的預(yù)案內(nèi)容也在不斷充實(shí)�。每個(gè)預(yù)案從準(zhǔn)備�����、發(fā)現(xiàn)���、分析����、遏制�����、消除���、恢復(fù)、優(yōu)化7個(gè)層次提出建議�。
快速響應(yīng)需要經(jīng)驗(yàn)的積累�。在童寧看來,前面提到的這個(gè)指揮平臺主要由三大部分組成:精密編排(產(chǎn)品各司其職而又管理有序)�����、聯(lián)動(各廠商之間的解決方案實(shí)現(xiàn)互動)的產(chǎn)品與高度自動的安全運(yùn)維�,本地威脅情報(bào)與云端威脅情報(bào)相結(jié)合以確保對各種信息安全線索進(jìn)行收集、回溯與準(zhǔn)確分析���,安全事故響應(yīng)調(diào)查工具�����、工作手冊���、專家團(tuán)隊(duì)等��。
在技術(shù)工具方面�����,上述方法論提到的應(yīng)急預(yù)案�����、指揮�����、流程��、演練一直到最后的落地�����,都需要一套體系去執(zhí)行。
構(gòu)建完整的體系
在具體實(shí)踐方面��,兩年前亞信安全就參與到國家級的重大活動網(wǎng)絡(luò)安全安保活動中,包括2017年兩會�,一帶一路高峰論壇、金磚五國峰會以及其他的國家級的活動���。亞信安全針對這些活動采取的安全措施�,獨(dú)立于國家預(yù)防的措施和管理之外����。
亞信安全建立了安全自我能力檢查的基線。亞信安全推薦20個(gè)領(lǐng)域網(wǎng)絡(luò)安全建設(shè)的方向供用戶參考和供合作伙伴項(xiàng)目立項(xiàng)���。其中包括傳統(tǒng)的如授權(quán)軟件應(yīng)用��、軟硬件配置、漏洞發(fā)現(xiàn)與恢復(fù)等解決方案��,也有些新興的比如事故應(yīng)急響應(yīng)、安全技能評估與培訓(xùn)等措施��,通過合作伙伴給用戶提供基礎(chǔ)的能力�����。
需要指出的是,這個(gè)體系的智能化程度非常重要���。例如���,在釣魚郵件里面把收到的郵件刪掉,這個(gè)人工也能實(shí)現(xiàn)��,但工作量巨大���,也許來不及阻止攻擊的發(fā)生�,還能導(dǎo)致誤刪�;而預(yù)案做好后�����,僅僅敲一下關(guān)鍵詞就可以徹底消除隱患。
當(dāng)然�,在很多的情況下,自動化操作也需要經(jīng)過一定的流程和授權(quán)���。
不同的用戶有不同的管理制度和相關(guān)機(jī)制��,在某種程度上會造成成本的提升����。亞信安全可根據(jù)用戶的實(shí)際情況進(jìn)行分級�,提供針對性的解決方案。例如��,在用戶預(yù)算不足�、無力購置情報(bào)設(shè)備或者情報(bào)威脅設(shè)備的情況下,以云化方式提供服務(wù)�,當(dāng)然,前期要做好一定的基礎(chǔ)工作�����。
人才的建設(shè)
在政策法規(guī)�����、理論方法與技術(shù)工具之外,網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力還有一個(gè)非常重要的元素——人才�。
從2000年開始,亞信安全就設(shè)置了團(tuán)隊(duì)培養(yǎng)專業(yè)的安全人才�;趨勢科技(于2015年被亞信科技收購成立亞信安全)也有一套完整的安全人才培訓(xùn)體系,提供認(rèn)證銷售專家���、認(rèn)證信息安全專家以及認(rèn)證云安全專家培訓(xùn)及認(rèn)證���。
迄今為止,亞信安全已經(jīng)形成了包括網(wǎng)絡(luò)安全認(rèn)證課程��、攻擊實(shí)戰(zhàn)課程����、安全管理課程、網(wǎng)絡(luò)安全技術(shù)前沿課程等四大類網(wǎng)絡(luò)安全課程�����。亞信安全的人才培養(yǎng)對象分為兩類:一類是向亞信的安全產(chǎn)品用戶和渠道提供在職人員的培訓(xùn)�����,另一類是通過與院校合作對在校學(xué)生進(jìn)行入職前培訓(xùn)���。
截止2017年���,已有上萬名用戶及渠道伙伴參與了相關(guān)培訓(xùn)����,并獲得了各級認(rèn)證。
