亞信安全通用安全產(chǎn)品總經(jīng)理童寧
網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力
毫無疑問�����,不斷升級的應(yīng)用需求��,也導(dǎo)致用戶的管理和維護(hù)成本不斷提升�����;童寧認(rèn)為�����,產(chǎn)品����、解決方案和服務(wù)已經(jīng)不再是用戶所能理解和感興趣的事情����,而是需要關(guān)注“網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力(Resilience)”��。
對用戶而言��,時下合規(guī)要求越來越多�,而且遭受攻擊也變成很正常的事情����,導(dǎo)致IT系統(tǒng)運(yùn)行不正常甚至淪陷。在這樣的網(wǎng)絡(luò)空間里����,用戶希望能對未知的事情或者會重復(fù)發(fā)生的事件做出預(yù)測和判斷,當(dāng)某種攻擊發(fā)生時也具備跟攻擊者對抗的能力�����,一旦遭受到損失也要能夠盡快恢復(fù)補(bǔ)救�,在確保信息系統(tǒng)安全的同時保證業(yè)務(wù)連續(xù)運(yùn)行�。
這是時下最流行的思路,也就是網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力的基本核心�����。
網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力的構(gòu)建
如何構(gòu)建這樣的能力�����?童寧從政策法規(guī)、理論方法與技術(shù)工具三個方面進(jìn)行介紹��。
在政策法規(guī)方面����,《網(wǎng)絡(luò)安全法》強(qiáng)調(diào)了對網(wǎng)絡(luò)安全提供預(yù)防、容災(zāi)�����、應(yīng)急處置��、演練以及風(fēng)險評估�、培訓(xùn)等能力。
構(gòu)建網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力����,離不開方法論,方法論離不開戰(zhàn)略原則��。這些戰(zhàn)略原則首要的是要聚焦關(guān)鍵資產(chǎn)(如基礎(chǔ)設(shè)施)����,其次是框架靈活設(shè)計的適應(yīng)能力����,三是盡量減少攻擊界面���,四是預(yù)設(shè)攻擊會進(jìn)行����、系統(tǒng)會淪陷�,五是預(yù)設(shè)攻擊的手段會不斷變化和升級。
童寧提供了一些可供參考的方法����,例如權(quán)限管理。但是獲得權(quán)限���、確保權(quán)限不會被濫用���,都需要可靠的措施保證;又如用后即毀����,在任何地方都不保留敏感數(shù)據(jù),或者擾亂攻擊界面等等��。這里要提到一個詞——態(tài)勢感知��,設(shè)計方法論之前要對企業(yè)的IT系統(tǒng)狀況進(jìn)行完整的了解����。
以應(yīng)急預(yù)案為例:針對網(wǎng)絡(luò)安全方面的緊急事情發(fā)生時要有處理對策,這就是預(yù)案���。在預(yù)案中�����,有不同的角色����,如安全應(yīng)用團(tuán)隊(duì)���、高級威脅響應(yīng)團(tuán)隊(duì)����、外部支持專家���。另外��,影響預(yù)案的因素很多�,如財富的影響,用戶的影響��,股東的影響����,媒體影響,監(jiān)管機(jī)構(gòu)的影響等�����。
有效溝通十分重要�����。一個應(yīng)急事件的妥善處理過程�,各個單位之間能實(shí)現(xiàn)迅速、可靠��、周全的協(xié)調(diào)����,離不開之前已經(jīng)制定的完備預(yù)案�,離不開一個總指揮來統(tǒng)籌和協(xié)調(diào)��。溝通的框架能夠告訴人們�,哪些角色用于執(zhí)行什么任務(wù)�����,哪些角色用來批準(zhǔn)行動計劃�����,哪些角色是需要聽取相關(guān)意見以便決策��,等等���。
童寧講述了一個網(wǎng)絡(luò)釣魚預(yù)案的處理過程�。
網(wǎng)絡(luò)釣魚郵件就是發(fā)送一個郵件欺騙接收者點(diǎn)擊鏈接并填寫個人資產(chǎn)信息��。當(dāng)這樣的帳號出現(xiàn)時�,亞信安全會自動接收至專門的郵箱,并且立即將發(fā)送者全部信息提交到本地情報庫����,在沙盒中分析鏈接是否存在危害���,并回溯相關(guān)的歷史記錄。根據(jù)這些信息初步判斷出是否為釣魚郵件的結(jié)論�,如果不是就關(guān)掉預(yù)警,否則就啟動真正的預(yù)案�。
一旦預(yù)案啟動,系統(tǒng)會對所有收到這個郵件的人發(fā)出預(yù)警�����、隔離郵件或直接刪除����,如果有人誤點(diǎn)這個郵件���,系統(tǒng)將依據(jù)現(xiàn)有態(tài)勢感知系統(tǒng)或者安全運(yùn)維系統(tǒng)中迅速確定是哪一個終端���,同時高級調(diào)查取證……整個過程從1個線索變成N條線索。當(dāng)所有線索匯聚在一起�����,就可系統(tǒng)地獲知傷害導(dǎo)致的最大后果����,同時進(jìn)行整體性地清除有害信息和復(fù)原關(guān)鍵信息�����,提交案件報告、關(guān)閉預(yù)警�����。
隨著黑客攻擊手段的增加���,亞信安全提供的預(yù)案內(nèi)容也在不斷充實(shí)����。每個預(yù)案從準(zhǔn)備�����、發(fā)現(xiàn)���、分析��、遏制�����、消除�����、恢復(fù)���、優(yōu)化7個層次提出建議���。
快速響應(yīng)需要經(jīng)驗(yàn)的積累。在童寧看來���,前面提到的這個指揮平臺主要由三大部分組成:精密編排(產(chǎn)品各司其職而又管理有序)�����、聯(lián)動(各廠商之間的解決方案實(shí)現(xiàn)互動)的產(chǎn)品與高度自動的安全運(yùn)維����,本地威脅情報與云端威脅情報相結(jié)合以確保對各種信息安全線索進(jìn)行收集�、回溯與準(zhǔn)確分析,安全事故響應(yīng)調(diào)查工具、工作手冊����、專家團(tuán)隊(duì)等。
在技術(shù)工具方面�����,上述方法論提到的應(yīng)急預(yù)案�����、指揮���、流程、演練一直到最后的落地��,都需要一套體系去執(zhí)行�����。
構(gòu)建完整的體系
在具體實(shí)踐方面��,兩年前亞信安全就參與到國家級的重大活動網(wǎng)絡(luò)安全安?����;顒又校?017年兩會�����,一帶一路高峰論壇���、金磚五國峰會以及其他的國家級的活動���。亞信安全針對這些活動采取的安全措施,獨(dú)立于國家預(yù)防的措施和管理之外����。
亞信安全建立了安全自我能力檢查的基線。亞信安全推薦20個領(lǐng)域網(wǎng)絡(luò)安全建設(shè)的方向供用戶參考和供合作伙伴項(xiàng)目立項(xiàng)����。其中包括傳統(tǒng)的如授權(quán)軟件應(yīng)用、軟硬件配置�、漏洞發(fā)現(xiàn)與恢復(fù)等解決方案,也有些新興的比如事故應(yīng)急響應(yīng)��、安全技能評估與培訓(xùn)等措施�,通過合作伙伴給用戶提供基礎(chǔ)的能力。
需要指出的是,這個體系的智能化程度非常重要����。例如,在釣魚郵件里面把收到的郵件刪掉��,這個人工也能實(shí)現(xiàn)�,但工作量巨大,也許來不及阻止攻擊的發(fā)生���,還能導(dǎo)致誤刪����;而預(yù)案做好后�����,僅僅敲一下關(guān)鍵詞就可以徹底消除隱患�����。
當(dāng)然���,在很多的情況下,自動化操作也需要經(jīng)過一定的流程和授權(quán)。
不同的用戶有不同的管理制度和相關(guān)機(jī)制����,在某種程度上會造成成本的提升。亞信安全可根據(jù)用戶的實(shí)際情況進(jìn)行分級�,提供針對性的解決方案。例如�,在用戶預(yù)算不足、無力購置情報設(shè)備或者情報威脅設(shè)備的情況下�,以云化方式提供服務(wù),當(dāng)然��,前期要做好一定的基礎(chǔ)工作����。
人才的建設(shè)
在政策法規(guī)、理論方法與技術(shù)工具之外�����,網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力還有一個非常重要的元素——人才�。
從2000年開始,亞信安全就設(shè)置了團(tuán)隊(duì)培養(yǎng)專業(yè)的安全人才���;趨勢科技(于2015年被亞信科技收購成立亞信安全)也有一套完整的安全人才培訓(xùn)體系��,提供認(rèn)證銷售專家���、認(rèn)證信息安全專家以及認(rèn)證云安全專家培訓(xùn)及認(rèn)證�。
迄今為止���,亞信安全已經(jīng)形成了包括網(wǎng)絡(luò)安全認(rèn)證課程�����、攻擊實(shí)戰(zhàn)課程���、安全管理課程、網(wǎng)絡(luò)安全技術(shù)前沿課程等四大類網(wǎng)絡(luò)安全課程����。亞信安全的人才培養(yǎng)對象分為兩類:一類是向亞信的安全產(chǎn)品用戶和渠道提供在職人員的培訓(xùn),另一類是通過與院校合作對在校學(xué)生進(jìn)行入職前培訓(xùn)���。
截止2017年,已有上萬名用戶及渠道伙伴參與了相關(guān)培訓(xùn)����,并獲得了各級認(rèn)證�����。
