亞信安全通用安全產(chǎn)品總經(jīng)理童寧

網(wǎng)絡空間恢復補救能力

毫無疑問,不斷升級的應用需求,也導致用戶的管理和維護成本不斷提升;童寧認為,產(chǎn)品、解決方案和服務已經(jīng)不再是用戶所能理解和感興趣的事情,而是需要關注“網(wǎng)絡空間恢復補救能力(Resilience)”。

對用戶而言,時下合規(guī)要求越來越多,而且遭受攻擊也變成很正常的事情,導致IT系統(tǒng)運行不正常甚至淪陷。在這樣的網(wǎng)絡空間里,用戶希望能對未知的事情或者會重復發(fā)生的事件做出預測和判斷,當某種攻擊發(fā)生時也具備跟攻擊者對抗的能力,一旦遭受到損失也要能夠盡快恢復補救,在確保信息系統(tǒng)安全的同時保證業(yè)務連續(xù)運行。

這是時下最流行的思路,也就是網(wǎng)絡空間恢復補救能力的基本核心。

網(wǎng)絡空間恢復補救能力的構(gòu)建

如何構(gòu)建這樣的能力?童寧從政策法規(guī)、理論方法與技術工具三個方面進行介紹。

在政策法規(guī)方面,《網(wǎng)絡安全法》強調(diào)了對網(wǎng)絡安全提供預防、容災、應急處置、演練以及風險評估、培訓等能力。

構(gòu)建網(wǎng)絡空間恢復補救能力,離不開方法論,方法論離不開戰(zhàn)略原則。這些戰(zhàn)略原則首要的是要聚焦關鍵資產(chǎn)(如基礎設施),其次是框架靈活設計的適應能力,三是盡量減少攻擊界面,四是預設攻擊會進行、系統(tǒng)會淪陷,五是預設攻擊的手段會不斷變化和升級。

童寧提供了一些可供參考的方法,例如權限管理。但是獲得權限、確保權限不會被濫用,都需要可靠的措施保證;又如用后即毀,在任何地方都不保留敏感數(shù)據(jù),或者擾亂攻擊界面等等。這里要提到一個詞——態(tài)勢感知,設計方法論之前要對企業(yè)的IT系統(tǒng)狀況進行完整的了解。

以應急預案為例:針對網(wǎng)絡安全方面的緊急事情發(fā)生時要有處理對策,這就是預案。在預案中,有不同的角色,如安全應用團隊、高級威脅響應團隊、外部支持專家。另外,影響預案的因素很多,如財富的影響,用戶的影響,股東的影響,媒體影響,監(jiān)管機構(gòu)的影響等。

有效溝通十分重要。一個應急事件的妥善處理過程,各個單位之間能實現(xiàn)迅速、可靠、周全的協(xié)調(diào),離不開之前已經(jīng)制定的完備預案,離不開一個總指揮來統(tǒng)籌和協(xié)調(diào)。溝通的框架能夠告訴人們,哪些角色用于執(zhí)行什么任務,哪些角色用來批準行動計劃,哪些角色是需要聽取相關意見以便決策,等等。

童寧講述了一個網(wǎng)絡釣魚預案的處理過程。

網(wǎng)絡釣魚郵件就是發(fā)送一個郵件欺騙接收者點擊鏈接并填寫個人資產(chǎn)信息。當這樣的帳號出現(xiàn)時,亞信安全會自動接收至專門的郵箱,并且立即將發(fā)送者全部信息提交到本地情報庫,在沙盒中分析鏈接是否存在危害,并回溯相關的歷史記錄。根據(jù)這些信息初步判斷出是否為釣魚郵件的結(jié)論,如果不是就關掉預警,否則就啟動真正的預案。

一旦預案啟動,系統(tǒng)會對所有收到這個郵件的人發(fā)出預警、隔離郵件或直接刪除,如果有人誤點這個郵件,系統(tǒng)將依據(jù)現(xiàn)有態(tài)勢感知系統(tǒng)或者安全運維系統(tǒng)中迅速確定是哪一個終端,同時高級調(diào)查取證……整個過程從1個線索變成N條線索。當所有線索匯聚在一起,就可系統(tǒng)地獲知傷害導致的最大后果,同時進行整體性地清除有害信息和復原關鍵信息,提交案件報告、關閉預警。

隨著黑客攻擊手段的增加,亞信安全提供的預案內(nèi)容也在不斷充實。每個預案從準備、發(fā)現(xiàn)、分析、遏制、消除、恢復、優(yōu)化7個層次提出建議。

快速響應需要經(jīng)驗的積累。在童寧看來,前面提到的這個指揮平臺主要由三大部分組成:精密編排(產(chǎn)品各司其職而又管理有序)、聯(lián)動(各廠商之間的解決方案實現(xiàn)互動)的產(chǎn)品與高度自動的安全運維,本地威脅情報與云端威脅情報相結(jié)合以確保對各種信息安全線索進行收集、回溯與準確分析,安全事故響應調(diào)查工具、工作手冊、專家團隊等。

在技術工具方面,上述方法論提到的應急預案、指揮、流程、演練一直到最后的落地,都需要一套體系去執(zhí)行。

構(gòu)建完整的體系

在具體實踐方面,兩年前亞信安全就參與到國家級的重大活動網(wǎng)絡安全安保活動中,包括2017年兩會,一帶一路高峰論壇、金磚五國峰會以及其他的國家級的活動。亞信安全針對這些活動采取的安全措施,獨立于國家預防的措施和管理之外。

亞信安全建立了安全自我能力檢查的基線。亞信安全推薦20個領域網(wǎng)絡安全建設的方向供用戶參考和供合作伙伴項目立項。其中包括傳統(tǒng)的如授權軟件應用、軟硬件配置、漏洞發(fā)現(xiàn)與恢復等解決方案,也有些新興的比如事故應急響應、安全技能評估與培訓等措施,通過合作伙伴給用戶提供基礎的能力。

需要指出的是,這個體系的智能化程度非常重要。例如,在釣魚郵件里面把收到的郵件刪掉,這個人工也能實現(xiàn),但工作量巨大,也許來不及阻止攻擊的發(fā)生,還能導致誤刪;而預案做好后,僅僅敲一下關鍵詞就可以徹底消除隱患。

當然,在很多的情況下,自動化操作也需要經(jīng)過一定的流程和授權。

不同的用戶有不同的管理制度和相關機制,在某種程度上會造成成本的提升。亞信安全可根據(jù)用戶的實際情況進行分級,提供針對性的解決方案。例如,在用戶預算不足、無力購置情報設備或者情報威脅設備的情況下,以云化方式提供服務,當然,前期要做好一定的基礎工作。

人才的建設

在政策法規(guī)、理論方法與技術工具之外,網(wǎng)絡空間恢復補救能力還有一個非常重要的元素——人才。

從2000年開始,亞信安全就設置了團隊培養(yǎng)專業(yè)的安全人才;趨勢科技(于2015年被亞信科技收購成立亞信安全)也有一套完整的安全人才培訓體系,提供認證銷售專家、認證信息安全專家以及認證云安全專家培訓及認證。

迄今為止,亞信安全已經(jīng)形成了包括網(wǎng)絡安全認證課程、攻擊實戰(zhàn)課程、安全管理課程、網(wǎng)絡安全技術前沿課程等四大類網(wǎng)絡安全課程。亞信安全的人才培養(yǎng)對象分為兩類:一類是向亞信的安全產(chǎn)品用戶和渠道提供在職人員的培訓,另一類是通過與院校合作對在校學生進行入職前培訓。

截止2017年,已有上萬名用戶及渠道伙伴參與了相關培訓,并獲得了各級認證。

分享到

xiesc

相關推薦