有一则段子,民警在获悉辖区某宾馆内有人聚众赌博,赶到现场后发现房门紧闭。敲门后,屋内传来暗语“天王盖地虎”,民警回答“宝塔镇河妖”后,门居然开了......最终涉赌人员被警方一举抓获。
从对话中我们看出,乙方技术人员建议是好的,就是太反人性了,这种技术思维完全把人带沟里去的节奏。最简单最朴素也是最直接的方式,不如问“您哪位?您找谁?”,为何这么简单的问题在乙方眼里非得考虑这么复杂呢?其实质是甲乙双方思维方式不同,在甲方看来,运营是目的,项目实施是手段。在乙方看来,商业利益是目的,技术是手段。乙方基础支撑是商业思维,利益驱动。乙方利用专业技术优势、信息不对称等来追求更多的商业利益。
从项目定位来看,乙方提供产品或服务,甲方提供资金。乙方需要靠服务好甲方来获取生存和发展的本钱,因此甲方体验和选择就变得特别重要。收钱就要听话,但果真如此么?在信息安全领域,来甲方当爷只是江湖传说。因为信息安全门槛太高,需要熟悉计算机网络、操作系统、数据库管理系统、密码学,了解云计算、物联网、互联网、工业控制、大数据等领域的安全管理、安全技术集成及应用解决方案,还得了解信息安全相关的法律法规、管理规定。一般甲方企业负责安全工作的管理人员都是从IT、网络甚至是行政部门抽调人员过来的,基本上对安全管理没有太多概念。安全不是一个赚钱的部门,自然甲方安全从业人员待遇低,很难吸引技术专家加入,加上对安全从业人员定位“没出问题大家都以为你是吃闲饭的,出了问题大家都确信你是吃闲饭的”,招到合适安全人才的难度不亚于娶到一见钟情的女神。所以甲方在安全管理、安全技术、安全运营能力较乙方差距非常大,信息不对称的市场中,这也就导致整个安全行业几乎由乙方一手主导,甲方真正诉求很难受到关注。
1、甲乙双方安全防御理念偏差
正如科学源于生活,企业在网络安全防御理念方面,因技术与业务视角不同,甲乙双方期望值差距非常大。甲方的诉求是保证业务的稳定性和连续性,防止数据资产被窃取、丢失或破坏,对用户行为和现有生产影响最小。乙方的需求是商业利润最大化和持续利润。所以在业务安全方面,比如网站安全、服务器安全、安全运营方面,以及个人安全方面,比如密码安全、上网安全、办公安全方面,如下面表格所示,甲乙双方防御理念差距非常大。
安全项 | 乙方 | 甲方 | |
个人安全 | 密码安全 | 用户应使用数字、字母、字符组合复杂密码登录,杜绝弱口令,定期修改密码,预防黑客撞库,建议引入安全审计杜绝弱口令现象 | 用户记不住设置的复杂密码,密码多了更记不住。工作和生活中密码基本相同。对频繁改密码很反感,二次验证方式太繁琐 |
上网安全 | 在办公出口部署上网行为管理器,过滤和阻断非法网站及页面,限制上网带宽,审计员工收发信息。远程办公使用VPN登录 | 严格的上网策略也阻挡不了少量非法网站甚至勒索病毒页面。部分员工借口管控策略与业务冲突申请加入白名单。SSLVPN经常连不上 | |
办公安全 | 应使用标准化的办公电脑,安装终端管控软件。禁用优盘口、自动更新操作系统补丁、对用户网络行为监测及审计、自动查杀病毒 | 已有办公电脑各式各样,无法统一化。员工对安装终端管控软件很排斥,感觉被无理由监控。禁用优盘口,部分软件不让安装影响长期以来的工作习惯,各种抵触情绪很高 | |
业务安全 | 网站安全 | 应部署Web应用防火墙+网站防篡改系统+防毒墙+漏扫工具等,定期为服务器、中间件、数据库等更新补丁,及时修复各类漏洞 | 漏洞修复可能影响业务系统运行,部分系统无开发商技术支持,漏洞修复非常困难或无法进行。多种设备采购及运维成本过高 |
服务器安全 | 所有服务器上安装Agent代理软件终端,实现资产管理、基线检查、病毒查杀、漏洞管理、恶意攻击拦截等综合管控,高效实惠 | 在生产系统里安装Agent可能导致服务器及应用程序各种不稳定,可能涉及数据隐私,相当在家里安装个摄像头会让人各种不自在 | |
安全运营 | 在网络总出口设置旁路流量镜像,监测各类攻击威胁流量,通过安全仪表盘、安全大屏及报表,实时呈现安全态势感知 | 每家安全厂商都要求提供一份核心设备镜像流量,个人信息、域账号密码等对第三方无任何隐私。各自设备之间信息孤岛,规则设置复杂,“创口贴”式效果,特征库需持续升级,威胁误报率超高,安全大屏纯属花架子 |
表1:甲乙双方防御理念对比
在个人信息安全方面,如密码安全方面,乙方设置复杂密码策略,目的是防止甲方用户账号被盗用或爆破。但用户根本记不住那么复杂密码或那么多的密码,于是乙方开发了双因素认证,额外又导致用户操作不便利性。在个人上网安全方面,乙方推出上网行为管理,目标是过滤和阻断非法网站及页面,限制上网带宽,审计员工收发信息。理论看确实不赖,但实际情况呢?乙方的管理中心端的黑白灰上网策略清单其实根本更新不过来,办公员工该中毒的还是中毒。另外部分员工借口管控策略与业务冲突申请加入白名单,然后申请加白名单的人越来越多,白名单成了特权象征,违背了管控初衷。在个人办公方面,乙方推出终端管控软件,安装在办公电脑里,无论电脑所属权归个人还是企业,相当居家安装摄像头,谁乐意啊?部分企业花费近7-8年时间推广费力不讨好的终端安全管控软件。想不通那么难走的路,乙方的安全策略让甲方一头走到黑?为何不思考改进呢?原因是乙方技术成本,更人性化的解决方案将导致研发成本大幅提高或后期运维利润的降低,不符合乙方利润最大化目标。
在业务安全领域方面,为了网站运营安全,乙方会建议甲方购买一堆大大小小X86盒子套餐,另外提供挖漏洞、风险评估服务。从业务角度来说,漏洞存在于各个部位,包括网络设备、服务器、操作系统、中间件、数据库、应用系统等,挖洞、补洞、再挖洞、再补洞……这是个死循环,无法修复的过来。类似人体内存在各类病毒和细菌,真正有害的的确需要处置,但尝试完全彻底清除是不现实的事情,也是没必要的。实际上安全永远是成本对抗,没有绝对的安全技术,安全投入是个无底洞。甲方即使倾家荡产的投入也无法达到绝对的安全。但安全圈的各类专家还是忙于研究各种漏洞,厂商忙于发布漏洞声明和修复办法、甲方以即修所即得的忙于修复各类漏洞,黑客忙于利用漏洞闷声发财,都很“忙”,三者形成较为牢固的“漏洞生态圈”。这种安全思路对行业发展真的起到了促进作用吗?在网络流量安全监测方面,不同乙方会建议在网络总出口设置旁路流量镜像,监测各类攻击威胁流量。但实际上所有流量对于监测设备来说必须明文数据或解密报文,如果安全设备本身有漏洞的话可能导致灾难性后果。另外为何每家乙方厂商都要镜像一份数据?实质还是利益之争,非标准化形成门槛才是确保乙方利润的重大保障。近年来乙方推荐的Soar编排也被玩坏了,试想,如果真正能做关联编排学习,甚至引入AI分析,打破各厂家之间壁垒,显然不符合大多数厂商利益啊?。近些年来,为引导甲方领导增加更多的安全投资,乙方推出各种形态的态势感知系统,各种“酷炫地图”孕育而生,美其名曰“安全可视化”,但PPT和大屏版假数据基本把这个领域带入一个坑,各种安全预警结果超高误报率、各种升级改造导致甲方不断的安全投入,问题不断导致对乙方依赖性越来越强,进而造成甲乙方对抗思维,安全成为奢侈品。
从上述差距来看,甲乙双方在安全防御理念偏差较大,如上表所示。乙方关心点在于商业利润、技术成本、持续性更新升级、用户依赖性、源代码安全、内容透明监测、个体监管合规、甲方领导(非甲方一线实施人员)感受。甲方关心点在于新建设及运维成本、已有投资保护、业务稳定性及持续性、数据资产安全、企业隐私保护、整体监管合规、员工感受等。双方利益存在一定冲突点,因为经济利益至上,必定导致整体安全防御体系水平的发展障碍。这个时候就需要被合理引导,优化各类商业化安全产品及服务标准,以提升甲方整体安全为目标,
2、基于甲方视角网络安全防御理念
当你绕开技术思维不再被迷惑双眼时,对网络安全防御就有了很多新鲜的思路,比如登陆认证,实质是身份鉴别问题,用户密码、系统动态令牌、指纹、近距离蓝牙等信息都是可取的,不再仅仅只能依靠密码,终有一天密码会消失,人们再也不用记忆密码了。关于安全设备部署节点位置,用户电脑内、电脑外设、接入交换机、核心交换机、运营商网络等空间位置都可以部署,反过来可部署位置那么多?为何一开始不去考虑无缝集成进操作系统、主机、交换机或运营商网络?还是继续开展缝缝补补“贴膏药”模式呢?很多疑问经不起推敲,实质还是“利益”两个字,小到商业利润,大到国家政治利益。没有绝对纯粹的技术,或多或少夹杂着人的主观思想,甚至是国家的意识形态。安全问题实质是由人引起的,计算机世界里存在的问题在自然界并不存在,通过“人”的因素去影响政治、经济、社会和生活。
再如关于登录验证码。这方面技术设计基本由乙方来主导,1.0的时代是数字、字母混杂的,从简单的数字,数字加字母,到闪烁变形字母,中间添加干扰线的变形字母。典型案例是12306验证码号称轻松打败了全国99%的用户。据12306业内人士称,设置复杂验证码的目的之一是防止服务器被恶意请求,也就是其他浏览器刷票抢票。12306验证码出发点是好的,就是那个时代技术水平太落后而已。验证码1.5时代引入了随机数字运算概念,2.0时代引入所谓的智能识别,核心是鉴别人的行为或者机器行为,从一定程度来说用户使用起来更简单。预测3.0时代在人机交互界面取消了验证码,取而代之的是更加易用的、自然的、人性化的生物指纹认证。
在安全防御理念方面,因技术与业务视角不同、安全技术水平限制,甲方关于网络安全期望参考表2。现阶段来看似乎有些理想化,部分理念甚至被常识认为是违反信息安全工作原则,但从未来某个时间点来看,这些需求再正常不过,只不过现阶段技术水平有限而已。网络安全防御实质是人与人之间的对抗,有人的地方,就有江湖,利益是人性的曝光剂。黑灰产将这块充满暴利的江湖演绎的淋漓尽致,黑灰产的触角渗透在我们网络里的各个角落,这也是互联网安全的症结所在,也是安全工作的压力和动力,监管压力排名也得靠后。甲方在生产运营中面临的威胁在不断变化。正如狼群喜欢攻击跑的最慢的羊,安全永远是攻击代价的PK。
安全项 | 目标期望 | |
个人安全 | 密码安全 | 允许使用弱口令,允许系统记住密码,最好免密登录 |
上网安全 | 自由切换公司内网和外部互联网,在家或出差期间也能方便、稳定连入公司内网办公 | |
办公安全 | 办公电脑不需安装任何杀毒软件或安全管控软件,上网不中毒、办公文件不被窃取 | |
业务安全 | 网站安全 | 现有网站端无需任何改造、不需频繁和繁琐修复高中低危漏洞,也能抗网络攻击、抗爬虫、抗数据窃取、抗篡改、抗ZeroDays漏洞攻击 |
服务器安全 | 无需安装任何Agent,服务器漏洞无需打补丁,无需设置基线配置。也具备抗病毒、抗攻击、抗高危权限非法操作 | |
安全运营 | 无需罗列一堆大大小小安全盒子设备,或者小盒子设备换成大盒子,一套就够,保护已有投资,充分利旧。安全告警深度融合业务,降低甲方人才门槛,有限人力处理最重要、最有风险的安全事件,剩下的系统自动处置 |
表2:基于甲方视角的网络安全
基于甲方视角的网络安全应该是:以确保业务安全平稳运行为最基本要求,最小成本保护核心数据资产为根本目的,最大程度减少对人的行为和业务运行影响。如果网络安全工作不能做到以人为本,以保障甲方业务生产为基础,而是以技术成本、经济利益为本,上升到企业角度,就会造成甲方投资越来越多,安全事件依然有增无减,无底洞式投资降低了甲方信心,客观上造成甲乙方思想对抗。上升过国家层面,我们的网络安全发展就失去了发展动力源泉,核心技术研究无人关注,自主研发内耗不能形成合力,在当前复杂多变的安全形势下,就会更落后于欧美国家。