亞信安全通用安全產(chǎn)品總經(jīng)理童寧
網(wǎng)絡空間恢復補救能力
毫無疑問��,不斷升級的應用需求�����,也導致用戶的管理和維護成本不斷提升�����;童寧認為,產(chǎn)品����、解決方案和服務已經(jīng)不再是用戶所能理解和感興趣的事情���,而是需要關注“網(wǎng)絡空間恢復補救能力(Resilience)”�。
對用戶而言�,時下合規(guī)要求越來越多,而且遭受攻擊也變成很正常的事情��,導致IT系統(tǒng)運行不正常甚至淪陷��。在這樣的網(wǎng)絡空間里���,用戶希望能對未知的事情或者會重復發(fā)生的事件做出預測和判斷�����,當某種攻擊發(fā)生時也具備跟攻擊者對抗的能力����,一旦遭受到損失也要能夠盡快恢復補救,在確保信息系統(tǒng)安全的同時保證業(yè)務連續(xù)運行�����。
這是時下最流行的思路��,也就是網(wǎng)絡空間恢復補救能力的基本核心��。
網(wǎng)絡空間恢復補救能力的構(gòu)建
如何構(gòu)建這樣的能力����?童寧從政策法規(guī)、理論方法與技術工具三個方面進行介紹�����。
在政策法規(guī)方面�����,《網(wǎng)絡安全法》強調(diào)了對網(wǎng)絡安全提供預防�、容災、應急處置����、演練以及風險評估、培訓等能力。
構(gòu)建網(wǎng)絡空間恢復補救能力�����,離不開方法論����,方法論離不開戰(zhàn)略原則����。這些戰(zhàn)略原則首要的是要聚焦關鍵資產(chǎn)(如基礎設施),其次是框架靈活設計的適應能力����,三是盡量減少攻擊界面,四是預設攻擊會進行����、系統(tǒng)會淪陷,五是預設攻擊的手段會不斷變化和升級��。
童寧提供了一些可供參考的方法����,例如權限管理。但是獲得權限、確保權限不會被濫用��,都需要可靠的措施保證�;又如用后即毀,在任何地方都不保留敏感數(shù)據(jù)�,或者擾亂攻擊界面等等。這里要提到一個詞——態(tài)勢感知�����,設計方法論之前要對企業(yè)的IT系統(tǒng)狀況進行完整的了解�。
以應急預案為例:針對網(wǎng)絡安全方面的緊急事情發(fā)生時要有處理對策,這就是預案�����。在預案中�����,有不同的角色��,如安全應用團隊��、高級威脅響應團隊�、外部支持專家���。另外,影響預案的因素很多���,如財富的影響�,用戶的影響�,股東的影響,媒體影響���,監(jiān)管機構(gòu)的影響等���。
有效溝通十分重要����。一個應急事件的妥善處理過程,各個單位之間能實現(xiàn)迅速�����、可靠����、周全的協(xié)調(diào)�,離不開之前已經(jīng)制定的完備預案���,離不開一個總指揮來統(tǒng)籌和協(xié)調(diào)����。溝通的框架能夠告訴人們����,哪些角色用于執(zhí)行什么任務,哪些角色用來批準行動計劃�����,哪些角色是需要聽取相關意見以便決策���,等等�。
童寧講述了一個網(wǎng)絡釣魚預案的處理過程�����。
網(wǎng)絡釣魚郵件就是發(fā)送一個郵件欺騙接收者點擊鏈接并填寫個人資產(chǎn)信息��。當這樣的帳號出現(xiàn)時��,亞信安全會自動接收至專門的郵箱,并且立即將發(fā)送者全部信息提交到本地情報庫��,在沙盒中分析鏈接是否存在危害��,并回溯相關的歷史記錄���。根據(jù)這些信息初步判斷出是否為釣魚郵件的結(jié)論����,如果不是就關掉預警��,否則就啟動真正的預案�。
一旦預案啟動,系統(tǒng)會對所有收到這個郵件的人發(fā)出預警��、隔離郵件或直接刪除���,如果有人誤點這個郵件,系統(tǒng)將依據(jù)現(xiàn)有態(tài)勢感知系統(tǒng)或者安全運維系統(tǒng)中迅速確定是哪一個終端���,同時高級調(diào)查取證……整個過程從1個線索變成N條線索��。當所有線索匯聚在一起��,就可系統(tǒng)地獲知傷害導致的最大后果���,同時進行整體性地清除有害信息和復原關鍵信息�,提交案件報告��、關閉預警�。
隨著黑客攻擊手段的增加,亞信安全提供的預案內(nèi)容也在不斷充實�。每個預案從準備、發(fā)現(xiàn)�����、分析��、遏制��、消除�、恢復、優(yōu)化7個層次提出建議�����。
快速響應需要經(jīng)驗的積累���。在童寧看來�����,前面提到的這個指揮平臺主要由三大部分組成:精密編排(產(chǎn)品各司其職而又管理有序)���、聯(lián)動(各廠商之間的解決方案實現(xiàn)互動)的產(chǎn)品與高度自動的安全運維�,本地威脅情報與云端威脅情報相結(jié)合以確保對各種信息安全線索進行收集�、回溯與準確分析,安全事故響應調(diào)查工具���、工作手冊����、專家團隊等�����。
在技術工具方面����,上述方法論提到的應急預案��、指揮、流程��、演練一直到最后的落地����,都需要一套體系去執(zhí)行。
構(gòu)建完整的體系
在具體實踐方面�,兩年前亞信安全就參與到國家級的重大活動網(wǎng)絡安全安保活動中����,包括2017年兩會,一帶一路高峰論壇�����、金磚五國峰會以及其他的國家級的活動��。亞信安全針對這些活動采取的安全措施��,獨立于國家預防的措施和管理之外�����。
亞信安全建立了安全自我能力檢查的基線。亞信安全推薦20個領域網(wǎng)絡安全建設的方向供用戶參考和供合作伙伴項目立項�。其中包括傳統(tǒng)的如授權軟件應用、軟硬件配置�、漏洞發(fā)現(xiàn)與恢復等解決方案,也有些新興的比如事故應急響應����、安全技能評估與培訓等措施,通過合作伙伴給用戶提供基礎的能力���。
需要指出的是�����,這個體系的智能化程度非常重要���。例如,在釣魚郵件里面把收到的郵件刪掉�����,這個人工也能實現(xiàn)�����,但工作量巨大,也許來不及阻止攻擊的發(fā)生�,還能導致誤刪����;而預案做好后,僅僅敲一下關鍵詞就可以徹底消除隱患�����。
當然����,在很多的情況下,自動化操作也需要經(jīng)過一定的流程和授權��。
不同的用戶有不同的管理制度和相關機制��,在某種程度上會造成成本的提升�����。亞信安全可根據(jù)用戶的實際情況進行分級�,提供針對性的解決方案。例如��,在用戶預算不足、無力購置情報設備或者情報威脅設備的情況下�����,以云化方式提供服務��,當然����,前期要做好一定的基礎工作。
人才的建設
在政策法規(guī)���、理論方法與技術工具之外�����,網(wǎng)絡空間恢復補救能力還有一個非常重要的元素——人才��。
從2000年開始��,亞信安全就設置了團隊培養(yǎng)專業(yè)的安全人才���;趨勢科技(于2015年被亞信科技收購成立亞信安全)也有一套完整的安全人才培訓體系,提供認證銷售專家�、認證信息安全專家以及認證云安全專家培訓及認證��。
迄今為止�,亞信安全已經(jīng)形成了包括網(wǎng)絡安全認證課程����、攻擊實戰(zhàn)課程�����、安全管理課程���、網(wǎng)絡安全技術前沿課程等四大類網(wǎng)絡安全課程���。亞信安全的人才培養(yǎng)對象分為兩類:一類是向亞信的安全產(chǎn)品用戶和渠道提供在職人員的培訓,另一類是通過與院校合作對在校學生進行入職前培訓���。
截止2017年�,已有上萬名用戶及渠道伙伴參與了相關培訓�,并獲得了各級認證。
