从全球视野来看,当前的世界并不是一个安全的世界,攻防的博弈一直都在,并且愈演愈烈。我们知道,网络空间已成为继陆、海、空、天之外的第五空间,维护网络安全成为事关国家安全的重大问题。美国等西方发达国家频繁炒作“中国网络威胁言论”,但实际上作为拥有最强大网络武器库、最先进网络基础设施的国家,美国一直依靠其强大的网络攻击能力,对包括中国在内的多个国家持续进行网络攻击,西工大事件的爆发就是一个实例佐证。发达国家利用网络空间的信息不对称和技术门槛,推动网络霸权,进一步加剧信息壁垒和数字鸿沟,从而政治和经济上夺取利益。与此同时,境内外敌对势力、高级持续性威胁(APT)组织、黑客组织每时每刻都在尝试对全球网络中的关键信息基础设施和重要信息系统进行数据窃取、入侵渗透和攻击破坏;利用互联网络实施的隐私窃取、敲诈勒索、恶意植入等网络违法犯罪活动依然猖獗。这些破坏活动既阻碍了网络空间的发展,也给经济运行、社会发展和国家安全带来了严重威胁。
当前我们对全球威胁情况进行了分析,我们先看一个实际案例,方程式事件,隶属于NSA的黑客组织“方程式”实施APT入侵后窥视并控制他国网络长达十几年,受害者波及全球45个国家和地区的287个重要目标。如果棱镜计划是美国对全球平民百姓的隐私监控和窃取,那方程式就已经上升到了对全球国家关键信息基础设施的入侵和破坏。
在漏洞研究方面,各大漏洞库公布的漏洞数量较以往呈明显激增态势。美国国家漏洞数据库(NVD),2022年全年的漏洞总数为6,515个,预期年增长率至少上升170%。
数据泄露方面,全球61个国家在过去的一年共识别近8万个安全事件中数据泄露事件为20000个,与2021年同期相比,2022年的数据泄露事件增长了14%,其中以获利为目的的数据泄漏事件占比最高,约为80%,数据泄露事件的主要动机是利益驱动,而将近一半的泄漏事件,是由攻击者恶意攻击导致。另一半则由组织管理不当人员意识不足疏忽所导致。
安全威胁加速蔓延体现在其攻击领域的不断扩张,我们越来越多的看到攻击从传统互联网向工业互联网领域渗透,经统计工业制造业成为攻击的最常见目标,而当今的攻击方法和手段已逐渐成熟,向隐蔽化、智能化、专业化方式演变,传统的老三样防御方式已经无法抵御新型攻击的洪水猛兽,加之网络空间安全攻防本就不对等。攻击者往往有足够的时间来计划和执行攻击,突破进入系统仅在分钟级内,而防守者发现攻击的情况大多都在周、月这个时间级上,防御的速度、能力、效果都远远滞后于攻击,攻强守弱的局面迫切需要体系化的安全解决方案应对不断扩张和变化的安全威胁。
说起国际安全形势,2017年5月12日爆发的WNNCRY勒索病毒是避不开的全球网络安全大事件,堪称互联网行业的“生化危机”。数小时内影响近150个国家,政府机关、高校、医院的电脑屏幕都被“染”成了红色,致使多个国家几乎全行业的关键信息基础设施遭受前所未有的破坏。直到2020年,WannaCry在所有勒索软件感染排行榜当中仍旧高举第一,成为迄今为止最普遍的最臭名昭著的病毒。此事件之后,勒索软件开始插上翅膀,勒索软件2.0、3.0,各种新型变种层出不穷,已成家族趋势。犯罪分子开辟了新的可乘之机,衍生出双重勒索甚至三重勒索等新趋势的出现,使得攻击变得越发复杂。在三重勒索中,不仅会勒索感染病毒的机构,并向其客户、合作伙伴和供应商索取赎金。而且 “勒索软件即服务” 也逐渐普及,意味着勒索组织趋于专业化,它允许服务商将勒索软件租给机构或个人,勒索软件演变成商品,大大降低了实施勒索攻击的门槛。另外,加密货币越来越多地被用于勒索支付则更加大了追踪难度。在经济利益的刺激下,打击勒索组织俨然成为“打地鼠”游戏,难以有效清除。
勒索软件和间谍软件依旧全世界范围内肆意蔓延,这将造成严重的国家危机。比如美国头部HR系统供应商克罗诺斯公司私有云平台遭勒索攻击超1个月未恢复,在服务中断期,账务和人事部门均积累了大量记录和报告,必须以手工形式录入克罗诺斯系统。数千家使用该系统的用户被迫下线,全美大量人员均受影响,政府、医院、企业等数千家组织的薪资无法发放,涉及近千万员工。
我们还需要了解以色列间谍软件飞马,当其植入终端后,在不需要用户自己操作的情况下,可实现自动解锁,提取所有数据,打开摄像头和麦克风,监控机主的一切活动,并且不会留下任何攻击痕迹。被称“军事级间谍程序”、“有史以来最强大的间谍软件”、可以“达到无所不能的地步”,西班牙首相、英国首相办公室的设备都发现了被秘密安装了这款软件。受害者为多国政府领导人。这凸显了间谍软件对国家安全构成的威胁。
我们当前的网络世界中离不开WEB应用,它所依赖的框架也存在安全缺陷。以Struts2为例,作为世界级的开源WEB架构,在互联网上有十分广泛的应用,大量重要行业的网站应用构建在其之上,从2017年至今,这个框架就在不断地给互联网以惊吓,在已经收集和统计的Struts2安全问题列表中发现仅远程代码执行的漏洞竟多达13个,爆出的高危漏洞随便拿出一个其危害都是灾难级的,对京东等互联网大厂已经造成了上亿的经济损失。利用该类漏洞黑客可以执行任意命令、直接获取网站服务器权限等,破坏力巨大。虽然这些年阿帕奇官方修修补补,不断在升级救火,而它不争气的还是不定期的曝出高危漏洞,真的可以说是漏洞百出。
而Apache一波未平一波又起,其开源日志组件Log4j在21年爆出远程代码执行漏洞,最早纰漏是在阿里云中,早期阿里还未意识到该漏洞的严重性,直到其波及全球,阿里也因此事件被工信部进行严重处罚。由于log4j是当前最流行的开源Java日志库,攻击者只需发送一个恶意日志字符串即可被录入日志中,这种利用方式使攻击者可以向服务器加载任意Java代码,从而远程控制和利用被攻陷的服务器,也就是RCE。该漏洞直接或间接影响互联网上三分之一的服务器,波及拥有海量用户的互联网巨头的常用服务器,在CVSS漏洞评分为最高得分10分,堪称核弹级漏洞,并不是起初阿里云为了安抚情绪公开纰漏说是BUG这种避重就轻的说法。Log4j2漏洞为开源软件安全和企业漏洞管理敲响警钟。
下面介绍OpenSSL的心脏滴血漏洞,利用此漏洞可以攻击全球三分之二的网站,只要使用的是存在缺陷的OpenSSL通讯组件。原理就是利用OPENSSL心跳检测的拓展内存泄露越界BUG,没有对输入进行适当验证(缺少边界检查),造成了对内存里信息的越界访问,属于缓冲区过读BUG。通过BUG的返回信息,攻击者就获得了服务器上很多敏感信息,如银行帐号信息,电子交易信息。常见引发的后果就是网站的数据泄露,攻击者可轻易攻陷网站服务器,对网站数据库“拖库”,从而获取网站注册用户的帐号密码和个人资料等。之后著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致云上用户信息在互联网上泄露长达数月时间。
我们接下来重点关注俄乌战争中的网络军事对抗,在2022年2月24日普京下令在顿巴斯地区进行军事行动,至此俄乌冲突正式爆发。但在这之前,两国在网络层面上的对抗就早已开战,所以我们讲网络战成为了现代战争的先导模式,这场网络攻防战争中,既有政府组织发起的行动,也有不确定攻击来源的行动,包括乌克兰地下黑客、俄罗斯民间“网络卫士”到勒索软件组织、国际黑客组织,多方势力纷纷表态和行动,为此次冲突增加了更多复杂性,分析两国网战特点,乌克兰方面组织动员能力强,冲突爆发初期即组成IT网军先发制人,入侵2500多个俄罗斯网站、国家媒体、银行、医院、机场的信息系统。俄罗斯方向网络攻击计划性、针对性强,采用大规模DDOS对政府、武装部队、银行网站试行关键信息基础设施的重点打击。而在这场冲突中我国也不单只是作为看客,从中受到了启发和警醒,当国家顶级域名、DNS解析、国家强制性标准如果受制于人,总是处于被动防御的状态,那么可能会在未来或将面临的与他国大规模网络空间战中处于劣势。
往早追溯,“震网”被称为全球网络安全威胁里程碑事件,因为它是第一个以现实世界中的关键工业基础设施为攻击目标的恶意代码,导致的后果就是伊朗核计划直接流产,证实了通过网络空间手段进行攻击,可以达成与传统物理空间攻击(甚至是火力打击)的等效性。相比美联合以色列在两伊战争中针对伊拉克核反应堆进行军事打击的事件与震网事件进行对比分析看出,通过大量复杂的军事情报和成本投入才能达成的物理攻击效果仅通过网络空间作业就可以达成,而且成本也大大降低。我们以时间线顺序将“震网”病毒从研发、渗透、潜伏、爆发进行了系统性梳理,发现感染源头是靠荷兰情报机构雇佣的内鬼操作完成,总结下来网络战中最薄弱环节还是人,而权威调查超过85%的网络安全威胁来自于内部的人员。所以,究其来讲,当今网络战,注重两大挑战,一个是技术的漏洞,一个是人的漏洞。技术上的漏洞不可避免,需要具备“看得见”、“守得住”的能力;而人的漏洞,则需要我们管理好“身边人”的防线,这里的人可能是内部人,还可能是伪装后的敌人。
可以预见,每年频发的网络攻击对象开始聚焦于国家重要基础设施,对国家安全稳定造成巨大风险,引发全球关于加强关键信息基础设施安全保护的思考。关键信息基础设施支撑着国家重要行业和领域的发展,关系国计民生,是国家运行的神经中枢,当前形势下,针对关基的攻击日益频繁,攻击目标军事化,正如俄乌冲突中的网络攻击那样,用于军事化目的的网络恐怖袭击和网络战争越来越多,电力、军事、高科技、城市交通的网络攻击主要目的就是削弱甚至摧毁敌国综合国力,攻击主体也逐步从个人转换为国家,网络技术爱好者变成了国家军事人员。此态势之下,各国开始推动关基安全保护措施。美国除了大幅增加关键基础设施安全防护的资金投入,还推出多部有关强化关键基础设施网络安全、预防勒索软件攻击等方面的法案和指南文件。我国也于2021年8月出台了《关键信息基础设施安全保护条例》,这是我国首部专门针对关键信息基础设施安全保护工作的行政法规,为开展关基保护工作提供了基本遵循。
面对日益复杂严峻的网络安全形势,美国、俄罗斯、欧盟、日本、意大利等重点国家和地区不断推出举措强化顶层设计和能力体系建设,不断完善网络安全战略布局,持续完善网络安全政策战略,重点加强供应链安全、关键信息基础设施保护、数据安全、个人信息保护等领域的工作。
国际安全标准也在顺应时代做出新的变化,国际标准化组织对此进行了重点更新,加入了涉及最新热点的安全领域,如云计算,移动计算、大数据环境下通信能力和数据隐私方面的安全控制要求,以应对目前信息安全的发展形势。包括信息安全管理领域最佳实践2W7,也从13年的版本更新至2022年版,云安全和客户隐私保护作为本次修订新增控制要求,以应对当前多样的网络攻击手法与复杂的威胁态势。
美国对中国科技产业的重拳政策是我国网信发展面临的长期持久威胁,特别是在高精尖技术产业领域如芯片、半导体产业上美借助政策审查、出口管制实际施以政治霸凌和技术封锁,迫使主要芯片厂商和供应链纷纷选“美”站队,还借助各种法案对其所谓造成国家威胁的特定国家进行卡脖断供,进而实现了对世界芯片供应链各主要环节的垄断控制,极力打压我国境内芯片企业的设计生产制造与发展。
在2022 年,境外势力、网络黑客和不法分子对国内重要行业、关键领域和重点机构的网络数据窃密行呈现全新的趋势特征。由于当今数据的商业价值被不断深度挖掘,为了获取数据背后高额的经济利益,网络黑客、不良应用软件开发商等均将目光锁定在公民个人隐私数据上,权威调查,我们国家的互联网用户每五个人就有一个面临或已经遭受隐私泄漏与网络安全的威胁。而在我国疫情防控特殊时期,境外势力伺机趁火打劫,进一步加大了对我国医疗行业,尤其是生物医药数据的网络攻击频次和窃密力度。
在这个数字经济时代,“新基建”项目在我国大面积铺开,如城际高速铁路和城市轨道交通,而“新基建”的本质是数字化,“新基建”领域的数据安全问题也凸显出来。去年4 月,国家安全机关就成功破获首例为境外刺探、非法提供我国高铁重要敏感数据的情报案件。高铁移动通信专网(GSM-R)敏感信号,该数据直接用于高铁列车运行控制和行车调度指挥,承载着高铁运行管理和指挥调度等各项重要指令,直接关乎我高铁运行安全和旅客生命安全。
2022 年,随着网络空间大国博弈较量的持续深入,美西方不断加大对我国境内重要单位、重点目标等的网络攻击频度与力度,从近年网络攻击态势看,境外国家级黑客组织的猖獗活动将愈发增多,我国网络安全将长期处于前所未有的战略承压期和高危风险期,正可谓帝国主义亡我之心不死,西工大事件就是最真切的例子,我们后续也会对其进行详细分析。在此态势之下,我国网络安全国家层面动作势在必行,首先搭建组织,成立领导班子,贯彻国家方针,制定策略、推进建设,迈出体系建设的第一步。在14年初即成立安全委员会,紧接着设立中央网络安全和信息化领导小组,由习总亲自挂帅担任组长,彰显信息安全问题已上升到了史无前例的战略高度,以最高规格来统筹中国成为网络强国的发展战略,在国家中央层面形成一个极具权威性的机构, 体现了中国执政党加强顶层设计的意志、保障网络安全、维护国家利益的决心。
我国党中央的顶层规划设计一直贯穿网安工作始终,以顶层规划为引领,进行全局性的战略部署,统筹网信发展与安全,切实推动网安事业的繁荣发展,党的二十大报告提出了“加快建设网络强国、数字中国”“健全网络综合治理体系,推动形成良好网络生态”“强化网络、数据安全保障体系建设”等部署要求,首次以专章形式对“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”进行全局性的部署,为今后我国网络安全和信息化的发展定下了主旋律。
政策法规方面,网络安全顶层设计不断完善,各地网络安全政策密集出台,安全技术研发和标准制定、人才培养都在助力产业的快速发展,包括对网络安全产品和服务的采购和部署。市场主体方面,网络安全上市企业营收良好、投资热度不减、整体盈利水平优于国际同业。更多关键行业如交通、教育都开始规划安全产业发展的内容,产业发展要素与资源不断集中。
回顾我国网络安全法律体系完善之路,在2000年之初,人们开始认识到互联网强大的媒体属性、商业机会和社会价值,《电信条例》《互联网信息服务管理办法》等规定相继颁布,各部门开始重视参与网络信息治理,直至网络安全法颁布,这是开拓阶段,而作为我国互联网领域第一部专门法律,《网络安全法》一经颁布就拔到至高层面,释放了没有网络安全就没有国家安全的强烈信号,它申明了网络权力原则,建立了等级保护、关键信息基础设施保护制度等,而发布以来,国家层面网络安全法律法规陆续密集出台,有效衔接网安法构筑的制度和规则,这些配套的强监管和强合规国家依法治网的顶层设计和监管落地理念的重要体现,更是维护国家安全、护航数字经济良性发展的重要举措,他们合力构成了网安体系的四梁八柱。由此进入完善阶段。在发展阶段,当今我国网络环境开放、用户角色不断增加、防护边界扩张, 带来了各类新的安全风险,居家办公、远程学习推动着网络环境更加开放、用户角色增加、防护边界扩张,就带来各类新安全风险;5G商用推进工业互联网发展,企业内外网关联增加了工业互联网安全风险;智慧城市、物联网和车联网在开启万物互联的同时,城市安全越来越受重视。国家发展过程要坚持依法治网,而这过程中需要网安企业与数字产业各方协力,广大网民积极参与,才能铸成我国经济社会发展的安全长城。我们也必须从网络空间技术体系的角度,全面、系统地看待网络空间安全的新威胁和新挑战。
《网络安全法》把等级保护拔高至法律强制监督层面,同期为了配合网安法的实施,同时适应云移物联工大等新技术、新应用情况下等级保护工作的开展,对等保1.0体系相关标准进行修订,修订的思路和方法是针对共性安全保护需求提出安全通用要求,针对云移物联工大领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。至此之后进入等保2.0时代。
在治理网络乱象方面,国家相关职能部门开展了多个专项整治行动。2022 年,网信办推进“清朗打击网络谣言和虚假信息”专项行动,督促指导微博、腾讯、抖音、快手、小红书等网站平台加强监测查证,做好全面排查,重拳整治疫情防控、突发事件、社会民生等领域的造谣传谣行为。同时,国家有关部门还积极开展联合行动,深入整治电信网络新型违法犯罪,坚决查办非法网站,建设国家涉诈黑样本库,建立互联网预警劝阻平台,维护人民群众切身利益。
通过行政法规,国家进一步加强了对网络安全、数据安全和个人信息的保护力度。依据《网安法》《数安法》《个信保护法》《关基保护条例》《网安审查办法》等要求,国家网信、公安网安等相关主管部门通过执法约谈、责令整改、通报批评、暂停业务、处理相关责任人等处罚方式,对危害国家网络安全、数据安全、侵害公民个人隐私信息等违法行为进行严厉打击。2022 年 7 月,国家网信办依法对滴滴打车违反《网安法》《数安法》《个信保护法》的违法违规行为处以 80.26 亿元人民币的罚款,成为我国网络安全惩戒罚款最高纪录。头悬利剑形成强大声势和有力震慑,做到以一儆百,不断强调网络不是法外之地,教育引导国内互联网企业依法合规运营,促进网络安全规范有序发展。
需要认识到的是,全球信息化已经进入云化时代,现在云的形态非常的丰富,公有云、私有云、混合云、行业云都在迅速发展,云计算在多个行业得到了广泛应用,大数据、微服务等各种面向云计算的应用和架构也应运而生,所以未来云DC云数据中心将会势必成为业务中心的主流模式,随着全面云化的深入,网络需要围绕云进行建设,需要用云计算的理念优化网络架构,使网络资源能够按照用户的需求,动态、弹性地调度和分配,构建敏捷、弹性、智能的优质网络,SDN也因云而生,而以SDN/NFV为基础技术架构,实现网络的简化、自动化、智能化,构建统一承载的云化网络。新的网络可以根据业务需求,快速灵活地进行资源调整,更好地适配业务创新需求。
与此同时,NFV网络功能虚拟化,是近年来使用虚拟机替代网络设备硬件的新技术,虚拟机使用管理程序运行网络软件和进程,利用IT技术将整个网络节点功能虚拟化到大容量服务器、交换机上,这将允许通信服务与路由器和防火墙等专用硬件分离,这种分离意味着网络运营可以动态提供新服务而不需安装新硬件。部署具有网络功能虚拟化的网络组件只需要数小时,不像传统网络那样数月时间。虚拟化技术使用更少的设备、又具有灵活的扩展性,还降低了成本,但是应该考虑的风险比如网络流量不透明,传统流量监控工具很难在虚拟机之间的东西向流量中发现恶意异常,因此NFV还需要更细粒度的解决方案。
数据时代,让大数据在当前得到十分广泛的应用,但他有利有弊。利当然是为我们提供更好的决策,欺诈检测:大数据分析能力可以让银行和信用卡公司能够发现被盗信用卡或欺诈性购买,并且通常是在持卡人知道出现问题之前发现问题。而大数据最显而易见的弊端就是对企业敏感数据和个人隐私的冲击,而且企业的大数据分析中包含的敏感个人信息,在收集使用处理过程中会触及法律法规的红线要求,另外就是支持大数据分析的硬件资源在购买和维护方面都是十分昂贵的。
大数据的利弊前面已经提到,这里我们再做下扩展,以知名大数据平台Hadoop为例,因为大数据的引入,在技术层面存在认证授权能力弱,平台自身安全性不足,敏感数据泄露等问题,从而会引入更多的漏洞,增加了大数据平台的攻击面。
SDN技术将网络管理从硬件平面转移到了软件平面,网络只受软件控制器的管理,也引入了软件层面的安全影响。该项技术除了自动化和简化网络管理工作的优势之外,由于SDN创建了一个抽象层,将控制集中到SDN控制器中同时模糊了防护的分层硬件的界限,例如防火墙,一方面网络控制器、其协议以及API增大了攻击面,一方面又削弱了边界控制,导致SDN网络被攻击的风险大大增加。
当前各单位IT资产数量非常庞大且覆盖范围广泛,只要部署发布在互联网,就必将面临着来自互联网的各类外部威胁,这对我们网络安全精细化管理是较大的挑战。那么应对互联网暴露面所带来的外部威胁,应从防护手段、检测手段和运营平台三个方面进行治理。特别是通过互联网资产梳理、暴露面收敛、风险检测与持续监测手段将是应对暴露资产风险的最优解。
物联网设备也面临着安全冲击,Mirai病毒是物联网病毒的鼻祖,能够感染在 ARC 处理器上运行的智能设备,将其变为远程控制的机器人或“僵尸”网络,通常用于发动 DDoS 攻击。而有一款Shodan被称之为互联网上最可怕的搜索引擎。他与谷歌、百度等搜索引擎爬取网页信息不同,它爬取的是互联网上所有设备的IP地址及其端口号。而随着智能家电的普及,家家户户都有许多电器连接到互联网,这些设备存在被入侵的可能性。我们尝试搜索海康威视的摄像头设备便展示出遍及全球的IP及其暴露的端口号,有些端口存在高危漏洞,而有些端口将直接暴露设备的后台管理界面。
我们知道NDay漏洞是已经公开很久的漏洞,利用NDAY的攻击事件必然是由于用户缺乏安全意识,没有更新或者安装官方的补丁,导致攻击者轻松地通过网上公开的漏洞利用代码进行攻击,攻击成本较低.要造成巨大破坏力还得是1day和0day漏洞,即为官方都不知道当然也未被修复的漏洞,前面所提到的STS2、心脏滴血、LOG4J都属于0day,如果被恶意攻击者掌握,如入无人之境,攻击效果最佳,调查显示利用0day攻入和发现比例的时间窗口在扩大,这个时间窗口越大,0DAY产生的破坏力将会越大。
这就涉及到我们当前的防御体系存在的一些弊端,我们假设黑客和安全专家同时发现了漏洞,传统的静态、被动式的防御对于突发漏洞检测慢、反应慢、防护也慢。其实网络空间的战争本身就是敌暗我明,易攻难守的非对称战争,社工库就是一个黑客们将泄漏的用户数据整合分析,然后集中归档的一个例子。我们的账号密码、个人隐私都可以被公开查询,或流入黑产市场进行高价售卖,或进一步引发欺诈和勒索。这场非对称战争中,我们在兵力士气,战术战略武器甚至在安全意识层面全面落后于敌方,就对我们网络运营者主动提升网络空间的攻防对等能力提出要求。
再看看我们当代的安全防御产品,传统的老三样,是否已经逐渐钝化?
先看防火墙,传统的墙只能识别IP和端口,识别不出数据包的payload,无法有效的监测和防护攻击。基于传统防火墙边界隔离措施面对信息收集能力和针对性很强的APT 攻击,是无能为力的。
IPS,入侵防御系统,主要依靠特征库、黑名单来发现和阻断威胁,特征库怎么来的?还是依靠安全专家对威胁特征的研究、提取,形成的,并给出对应的规则。但专家的资源有限,已经纰漏的威胁也只是冰山一角,应对未知的威胁IPS就显得力不从心。
AV,防病毒软件,AV与IPS的方式类似,也是基于病毒库。一方面是病毒样本库更新太慢,另一方面基于“特征”的匹配很容易通过病毒的变形、加壳被“躲避”。
传统的安防体系一方面核心软硬件基础设施中存在多种安全漏洞,另一方面安防设备呈现“孤岛化”,各自为战,加上安全运维中各类告警事件,数据量大、误报率高;而敌方各类攻击手段在像APT攻击这种已经高度工具化、自动化、持续化,并且掌握了大量0DAY蓄势待发,这些我们的防御还是以被动响应为主,缺乏对抗能力和关分析能力,导致预判能力不足。我们现在如果还是将安全重点工作集中在修补漏洞和加固安全基础设施这种纯静态防御将会越来越滞后,更加无法阻止蓄意的攻击和漫无目的的随机性攻击。
我们前面提到信息孤岛,是由于分散的安全信息采集方式导致信息之间相互割裂形成无法关联形成的,这对我们安全管理工作提出挑战,比如:
各应用系统用户账号孤立分散,缺乏统一的管理规范和安全标准,存在大量 “僵尸账号” 和 “孤儿账号”。
运营效率低:运维人员在管理用户、授权、重置密码等方面需花费大量的时间。
用户体验差:每个用户需记忆多套用户名和密码。
无法有效支撑合规审计:大多采用人为数据采集、分析,缺乏实时有效的事前、事中审计,事后责任难以追溯到人。
综上所述,我们强调主动的安全,主动安全的核心解决方案就是态势感知,通过全局视角对网络安全整体的风险状况进行发现识别、理解分析、响应处置,但是当前态感技术还存在一些问题比如仅能实现可视化的展示,并不能处理计算复杂海量的数据。各子系统之间的耦合度较低,导致信息要素共享不及时,还有溯源能力比较薄弱,大多数情况下,防御只做到了感知攻击存在,但是对于何时攻击、受害“点位”、攻击者真实形象、意图一无所知,所以我们说态势感知的能力有待加强。
当前我们已经明显感知到网络攻击能力随时代的变化已显著提升,应对网络安全新的变化和挑战,我们改进、重构目前已经相对滞后的攻击防御体系是势在必行的,这要求我们网络运营者和守护者首先需要从思路上要做三个转变,即从静态特征检测向动态异常检测转变、从边界防护向全网防护转变、从被动防御到充分利用威胁情报向主动防护转变。基于这个思路,需要具有丰富安全经验和能力的组织和单位提出切实有效的安全保障体系建设思路和方法,给信息安全防护体系的未来建设发展的提出一些参考和建议。关于网络安全态势的防护和应对,我们接下来会另起新篇进行讨论和探索。