買、買、買？網路安全除了買買買還能幹什麼？

導語

在上篇文章里，我們提到，網路安全呈現出以下特點：漏洞或後門爆發越來越不確定、攻擊與防禦越來越不對稱、擴散速度越來越快、擴散速度越來越快。針對各種威脅的不確定性，如何建立有效防禦體系，提高應急響應能力是個相當具有挑戰的話題。本文將小偷防範治理與網路安全治理相結合，思考信息安全防禦的新思路。

01

「君子」的網路，「小人」的攻擊

上個世紀60年代末，美國科學家們發明Internet，那個時候的基本技術訴求只是想把各個孤立的計算機或網路互連起來為大家共享使用，最後卻發展成了今天的全球互聯網。

在這種背景下，互聯網是建立在「好人假設」的基礎之上的，假設網路空間都是正人君子，沒有考慮「小人」的存在。

因此，可以預見在相當長的時期內，漏洞將長期存在並且越來越突出，伴隨著「小人」群體的不確定性和能力與規模的不斷擴大，基於漏洞的「小人」攻擊也將越來越多，正所謂「君子」的網路，「小人」的攻擊。

02

「矛」的攻擊，「盾」的防禦

目前我國從事網路安全的企業眾多，結合產業界目前習慣將信息安全企業分為13類，包括物理安全、主機安全、應用安全、網路安全，還有安全服務、數據取證、安全教育、無線安全、移動安全、物聯安全、數據安全、個人安全、雲安全等。

我國傳統網路安全企業大都從攻防角度考慮安全問題，攻擊的視角有網路、主機、應用、數據、雲計算、物理、物聯網、移動互聯網、無線等多個角度，因此也有其相應的安全解決方案。隨著「矛」的種類越來越多、方式越來越複雜，「盾」的方案也是隨之變化。這種方法，主要有以下幾個問題：

（1）每發現一個「矛」，就買一個「盾」所導致防禦的滯後性。目前大多數企業購置信息安全產品或服務，主要有兩個驅動力：一個是合規驅動；一個是安全事件驅動。合規層面僅能滿足基礎的防護要求，在防護的初級階段起到重要作用，然而面對更高級的攻擊，合規層面的安全措施就顯得力不從心。安全事件驅動就是每發生一個安全事件，就分析其攻擊的「矛」，從而研發出防禦的「盾」，「盾」永遠滯後於「矛」的變化。可悲的是，大多數有組織有意識的攻擊組織，大都不會用已知的「矛」，而是利用「零日漏洞」。這種情況下，大多數的「盾」都僅僅是擺設而已。

（2） 「盾」由「矛」而生所導致防禦的局部性和片面性。目前的「盾」大都針對特定的「矛」進行優化、組合，進而可以有效的防禦已知「矛」的攻擊。這種防禦方式有個挑戰在於，「矛」的「發現」知識的共享、「盾」的「防禦」知識的共享。只有產業界聯合起來，做到一個「矛」的發現，即產生相應「盾」的防禦。隨後將這種知識（威脅情報）通過某種機制共享，從而實現「你的發現，就是我的防禦」的戰略目標。然而，這種知識的共享在目前看來仍有很長的路要走。

近十年來，很多企業在安全攻防鬥爭中，積累了不少經驗，買了一批又一批的「盾」，尤其是互聯網出口，糖葫蘆一樣串了一堆設備。遇到類似「WannaCry」這樣的病毒，大都只能「望毒興嘆」。近幾年，網路安全產業越來越多的人意識的這些問題，並提出「未知威脅檢測」「大數據安全分析」等方法嘗試解決未知「矛」的攻擊問題，寄希望建立一種通用的「盾」。然而，從實際效果來看，仍有需要很長的路要走。

03

"小偷的防範"，「安全的治理」

互聯網是建立在「好人假設」的基礎之上的，在設計之初假設網路空間都是正人君子，沒有考慮「小人」的存在。只要網路空間存在價值資產，「小人」不止，網路空間的安全攻防對抗就會一直存在。

網路攻防對抗的歷史與人們與小偷對抗的歷史有很多相似之處。在原始社會初期，人類過著社群生活，生產力比較薄弱，所有生產資料共享，沒有剩餘生產資料，也就沒有小偷。後來，隨著生產力的發展，剩餘資料越來越多，私有制產生，伴隨著私有制的誕生，以偷竊生產資料為目的的小偷誕生。正如恩格斯在《家庭、私有制和國家的起源》一書中所說，「由於勞動生產率的發展，產生了私有財產，因此形成了階級和階級對立；由於各階級的衝突導致以血親家族為基礎的舊社會被炸毀，被組成國家的新社會所取代；家庭制度受所有制支配。」

這種唯物史觀在解釋互聯網安全發展歷史同樣適用。從互聯網發展歷史來看，1969年10月29日，科學家在加州大學洛杉磯分校通過阿帕網路（ARPANET），在相鄰的兩台計算機之間傳輸了的第一個字母，這是互聯網誕生的起點。在互聯網的「原始社會」時期，是沒有黑客的。因為那時候互聯網的資源並不是很多，大家都共享互聯網資源，也沒有所謂的邊界。隨著互聯網的發展（生產力的發展），網路無形生產資料的產權也得到確認，此時跟傳統小偷的形成類似，專門以偷盜、破壞互聯網無性資產的黑客（本文所提到的「小人」或者「黑客」主要是指惡意黑客，還包括一些內部惡意人員。）群體誕生。

下面讓我們以一個家庭為例，分析防範小偷的方法。

（1） 確定房屋的邊界，圍牆或劃線等。——網路邊界確立

（2）確定房屋的產權，房產證等。——系統公安備案

（3）加強房屋所有入口（例如門、窗）的防護，例如防盜門、金剛紗窗等。——網路邊界防護，鑒權、身份認證、防火牆、IPS等

（4）採用攝像頭，長期出門時啟動家庭攝像頭實時錄像。——全流量審計設備，通過審計提高威懾力

（5）採用保險柜，將重要資產放入保險柜保存。——網路重要資產加密防護、網路保險箱等

（6）一旦發生被竊事件，立即報警。——網路安全法，通過立法提高網路違法成本

（7）處理好鄰里關係，一旦有陌生人入侵，及時告警。——網路協同效用

如果這個「家庭」組織仍需對外提供服務，例如「銀行」，此時除了上述的方法以外，還有以下措施。

（8）內部分區域隔離，重要區域工作人員與外界無法直接互通。——重要區域分級隔離防護

（9） 嚴格控制現金數量，僅保留當天夠用現金。——嚴格控制DMZ區重要資產，按需取用

（10） 僱傭保安，門口守衛——與安全公司合作，長期監測

（11） 與最近公安派出所聯繫，一旦緊急情況，立即撥打110。——與網路安全國家隊合作，提高處置能力。

由此可見，網路空間的防禦跟小偷的防禦有很多相似之處。一直以來網路空間安全側重各種安全防護手段，加了一道又一道的「防盜門」，然而「小偷」們的開鎖技能越來越高，不斷突破。各種網路安全攻防大賽的舉辦，也是一把雙刃劍，側面也提高了「小偷」的開鎖技能，這是值得思考的問題。

04

「監測」與響應，「審計」與處罰

從小偷的防範可以獲知，「路不拾遺」「夜不閉戶」只會發生在社會生產力發展的兩個極端：物資匱乏或極為過剩時期。目前互聯網正處蓬勃發展期，只要網路有資產價值，就存在被網路攻擊的可能。你現在沒有被攻擊，要麼你被攻擊了還沒有發現，要麼你還不被關注而已。

從網路空間的防範治理方面，目前大多數的治理思路在於投入一定規模的資金、人力、物力，提高防禦能力，盡量提高惡意攻擊者的成本，包括技術複雜度成本、時間成本等。然而這種防禦思路在攻擊不確定的今天越來越力不從心。在未來的安全防禦上，可以從以下幾點重點關註：

1、加強全方位監測，形成快速響應能力。在小偷的防範治理上，公安的做法很值得借鑒。對於火車站或者大型商場等公共場所，通過控制入口（訪問控制）的方式顯然不現實。目前的做法，人該進來還是進來，就是安裝大量攝像頭，全方位無死角監測。一旦發現異常，警察立即出動，及時響應。遇到重大節日，為提高應急響應能力，加強巡邏的人數和頻率，前方有「人眼」監視巡邏，後方有攝像頭監視，有效防範惡意事件的發生。

2、加強立法與監督，形成法律威懾。小偷之所以不敢為所欲為，另外一個重要原因在於法律的威懾。對於網路空間而言，如果攻擊者犯罪成本很低、取證困難、無法有效審計，那法律對於惡意攻擊者而言就沒有威懾力。近些年，隨著《網路安全法》的實施，相關配套法律文件亟需完善和補充。

3、加強全方位審計，處處留痕，降低事後追蹤成本。目前，網路空間安全治理大部分投入都在買、買、買，形成糖葫蘆串似的防禦體系，然而攻擊者該攻擊的還是攻擊，事後審計粒度不到位，取證困難。加強全方位審計，就是從終端、網路、應用訪問等多個維度從入口處進行細粒度審計，跟蹤會話整個生命周期進行審計。全方位審計，處處留痕，配合法律的力量，對攻擊者形成有效威懾。

05

小結

說起監測和審計，貌似很多企業都不以為然。安全廠商有太多新的概念、新的系統來應對各種不確定性威脅。演示效果也總能有一大堆，然而實際使用情況相信冷暖自知。面對紛繁複雜的網路安全威脅，真正有效果的可能就是最不起眼內功的修鍊，而不是各種招式的表面學習。相信在未來，會有越來越多的企業會重視監測和審計能力建設，通過長時間的內功修鍊，提高團隊網路安全技能與應急響應能力，從而將各種不確定性威脅的負面影響降低到最低。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！