世界走向数字化,现在的世界空间已经完全可以按照物理(Physical)和非物理的(cyber)来划分了,6月20日美国对伊朗部分目标明确发动网络战,这是第一次公开作为攻击主力投入战场,网络攻击成为重要军事工具直接服务于美国的对外政策。也让波斯湾成为首次数字世界冲突的舞台,网络超限实战正在成为整体政治战略的重要组成部分,值得纪念MARK一下。
图1:数字时代是由物理的和非物理组成的
干了近20年网络安全防御感觉该写个东西了
中兴华为事件、委内瑞拉大面积停电、美国对伊朗的网络战已经不断触动了人们神经,又经历了有实战有价值的攻防演练,例如HW,确实促进了很多行业组织各层面安全意识的提升,促进了实实在在安全防御策略的落地,多个视角(攻击者红方和防御者蓝方)看问题总是好的。只有经历了疼才知道痛是啥滋味,尤其是HW排名靠后的……以攻促防推动做好安全防御是个极好的方法,数字时代真安全价值才大,这次同样也是打假的过程,安全圈不大这几年快成了娱乐圈了,300亿的市场再这么折腾下去变200亿了。
NO1网络安全意识到位确实是首位
意识意识意识,意识第一位,意识第一位,其他第二位,有问题的,有大问题,有严重问题的基本都是意识出问题了,不是技术出了问题。某国家单位首次被攻破被通报要求尽快整改,由于意识问题领导没重视资源没到位。第二天马上又被攻破领导急了开始重视了,每天开始抓工作清点防护体系,工具,组织,策略,发现了大量的没有的安全防护工具没有启用,策略没落地,问中层领导,中层才意识到好多文件下达的都是空的,眼前的宝贝没使用也没落实,第三天再次被攻破,问题又在基层技术管理人员重视边界,忽视内网域策略和管理员密码。甲方邀请我们一起做了复盘,总结的第一点就是这个,意识,意识,意识,不痛不长心啊。
不仅仅是这个案例,他只是一个代表,我和团队经历的这样案例太多了,今年转变的特别的多,很欣慰大家都正常的接受了。这两年我们的汇报对象已经从原来的处长主任们逐步汇报到部长层面了也确实体现了这一点。
NO2建立从上到下的有效三人体系
三人是个概念的代表,第一人是领导(组织中网络安全第一责任人),第二人是CSO首席安全管理者(总体安全策略计划制定者),第三人是一线的网络安全防御团队(PDCA执行安全策略落地和运行)。
三者缺一就会有坑,缺的多坑多,被攻击后就一定会死,只是死的快慢的问题。不重视肯定不行,重视且有文件没执行不行,有执行方向不对也不行。安全就是不断的填坑,完善这个其实就是很难的过程。
国内具备网络安全防御体系经验和实战的人才本来就很稀缺,所以坑多也是自然的,网络安全防御体系庞大而复杂,能洞悉全貌者也很少,格局,眼界,层次。单枪匹马独挡一面的大侠也不少,但更多需要的是三人综合体系,这些年见到的有些决策者的格局真不行,水平一般还限制下面人员的发展,例如(某某组织的某某领导,呵呵),有些领导者看问题水平真高,就是中层执行力就一直太差,例如(某行业单位的网络安全负责人,估计HW结束就被拿下了)…一线干活的安服人员其实很多还是挺好的朴实踏实,但也怕好经坏和尚,政府机关有时候就这体制没办法人也换不了,形形色色确实很难见到很好有效三人体系。
NO3安全策略落地是关键,有效性PDCA稽核是关键
20年来,持续走在网络安全防御的路上,体会到不同的领域和境界,技术无敌到技术都不在是问题的时候,看到的往往是其他问题。数字时代需要考虑的内容是综合的,顶层设计和系统的梳理和体系化落地等包罗万象,网络安全防御体系方法论随着时代的发展我们已经更新了第四版(2019版),网络安全防御体系建立的核心目标就是风险可控,大家参考用吧。
图2网络安全防御体系方法论V2019版
3.1管理层安全战略的策略制定
官话不说了,核心就是当领导的要知道本组织的信息系统(资产)的重要性,服务的场景对象是啥,组织要明确需要保护的对象(安全方针就是掂量掂量重要不重要),投入持续人、财、物、服务和必要的合规工具和安全管理及运营工具(安全策略就是组织建立不建立、啥线路、掂量掂量投多少银子),这层做好了方向不会出大问题,基本可以打30分了。原理能这样想网络安全的领导不多,经过HW的检验,估计未来慢慢会多起来了。
3.2执行层安全路线的策略制定
按照管理层明确的保护对象方向等级,给予人、财物、资源制定具体的工作计划,没有规矩不成方圆,制度要有,要建立可靠的安全组织(自己人十安全服务资源池),制定安全执行策略,具体制度落地策略,建设,运行,持续稽核,这层做好了,至少40分了(提醒:好多地方都是空制度,现在的经验制度十平台结合是可落地的),有一个明白道理的高情商的安全处处长基本上可以走上正确的方向了,知道如何承上启下,和领导说明白和一线的团队做好策略的去落地,随着发展信息安全首席安全官未来应该是个炙手可热的职位。
3.3启动安全建设阶段的策略制定
有了上两层的基础,接下来开展工作就好办多了,如果没有上面两层的支持这个阶段基本是不可行的,网络安全防御体系建设一定是围绕业务和数据的,俗称“业务+数据定义安全战略”确定好保护对象和级别,需要协同,需要按照三同步原则(同步规划设计、同步建设、同步运行),选择好规划服务商、建设服务商,踏实规划,体系逐步实现,说的简单,其实这些个环节一个出问题,就是坑坑相连,能按照这些环节都下来顺利的不多。
这些年看到最大的坑有两个,一个是不了解业务和数据抡起来就瞎设计(可恨,比如国家级的某一体化平台),一个是生搬硬套的安全合规标准(可怜,比如某啥啥潮的),多维的业务需要多维的防护,设计不好就会导致降维防护,做不好就是个豆腐渣工程。HW打瘫的目标对象基本上一种是不合规的,另一种是假合规或者阶段合规持续不合规。
图3意识不统一导致的防御体系的降维防护
除了上面的坑,要考虑安全已经是体系化大安全的概念了,尤其是现在以及未来的系统建设已经是按照“大系统、大平台、大数据”建设的了,涉及到方方面面,所以不管是自建安全体系还是采用安全服务商承建,网络安全防御体系需要思考的边界已经扩大到供应链安全了(包含这些内容也不仅仅这些内容,软件开发的源代码检测、提供链路服务、托管服务、DNS服务、CDN服务、安全运维服务、IT运维服务、以及合规要求的管理、技术、运维、测评的各项要求),尽量可控可信,扎实先把合规扎实了(少看ppt,多看实际效果和系统,从刚需出发到合规,不要仅仅从合规出发,花架子没用,基础安全还是挺重要的,不要被新技术忽悠了),这些做好了可以是50分了,还没有开始建设就要考虑这么多,磨刀不误砍柴工,谋定而后动才是正道。
3.4安全体系建设阶段的策略制定
啰嗦了这么多才开始准备如何建设了,网络安全防御体系的建设是个大工程,不同的人理解不同,汇总起来就是一个风险控制目标、两个视角(国内合规、国外自适应)、三个领域策略融合(管理、技术、运维)、四个体系独立而融合(防御体系、检测体系、响应体系、预测体系)的建立可视、可管、可控、可调度、可持续的弹性扩展的一个很NB的安全管理及运营中心(简称“12341)。
一个风险控制目标:评估保护对象当下的防御成熟度,制定防御成熟度目标,持续动态评估完善程度和风险程度。
图4网络安全防御成熟度阶段与目标
两个视角之一:国外的自适应安全体系包含四个子体系建设。防御体系、检测体系、响应体系、预测体系,四个子体系分下来又是很多。例如网络层检测,传统都在用IDS\IPS,其实对于新型攻击都已经失效,2014年以后我们的检测方案已经采用全流量层检测分析了,网络层的IDS\IPS其实已经过了价值周期.又如主机层检测,高级马都已经免杀了,传统的安全检测只能防住小贼了,呵呵不说了说多了得罪人。总结一下检测体系的建设一定要由浅到深,由点到面,由特征到全面。国外的安全行业特别侧重检测体系和响应体系的建设,近三届的国际信息安全RSA大会主流也是这个为重点,纵深防御体系的理念也影响了国内安全若干年,其实态势感知预测体系国外也没有落地,还在概念阶段。Norse用假数据欺骗了大家,到2017年倒闭了,国内的安全忽悠们还在用“地图炮”忽悠行业外,态势感知是个大命题,PPT和大屏版的假数据基本把这个领域带入一个坑,一个安全大会满天飞(假数据)已经引起这个行业大多数人的反感。
两个视角之二:国内的等级保护1.0--2.0的合规体系,一个中心,三重防护的落地,等级保护1.0从04年--14年10年历程不容易,确实要感谢为中国信息安全和等级保护做出贡献的这代人,从安全一个点做到完整的基本防御体系,为中国信息化和信息安全的发展奠定了一个基础,让大家有了一定的安全防御体系的概念,我们很有幸带队做了无数的等级保护和FJ保护的项目,这个领域我们要说第二,估计第一确实要空缺,经验给了我们方法论又应用在实践,实话说等级保护1.0做好了就已经很好了,关键是应付的多落地的少。2014年,云开始规模落地了,数据汇聚了,应用一体化了,物联网、移动互联……,1.0确实不在适用了,14-19年5年的历程,2.0的出台也不容易,仔细看看和研读,按照标准做好了,落地了就踏实了。合规还是基础,三重防护(计算、区域边界、通信网络)是重点的基础性防护建设;然后重点分层保护,资源再多也是有限的,大门和每个门是最关键的,核心保护对象和边缘保护对象的防御,检测,响应,预测体系逐步完成,安全策略一点点上,最小原则开始逐步放宽,到平衡后划个基线,就不要随便动了,关于安全管理中心的坑,这是也个大命题,后面讲吧一些老前辈的思路已经不适合未来了。
其实这两个视角都还不错,哪个做扎实了,都可以打70分了。面对甲方层次不同的要求和理解,根据实战经验我们把国内外理念叠加汇总形成网络安全防御体系建设落地的框架供大家参考。
图5网络安全防御体系建设落地的框架
3.5运维&运行阶段安全策略的制定
这个阶段原来的理念是七分建设,三分管理和运行,现在的实践表明更合理的是三分建设七分管理和运行,网络安全防御体系最后一关就是体系合成和运转。合规是基础,策略很关键,落地良运行,保障成体系。我们服务过国内和国外两种客户,最大的不同就是国外企业ITIL+安全管理贯穿可以落地,国内很难,分析了很久可能是文化或者体制的问题,很多的部门设置,运维处和安全处是分开的无法协同,其实ITIL原理和国内的ITSS都还不错,那个落地了都可以确保运维运行阶段的安全策略落地,安全策略这个词从安全战略制定一直贯穿到运维,这个是一条线的,叫法不同但核心意思就是将战略、制度、流程、人员、工具、安全管理和运营平台一体化运转起来。这样的方式做好了运维运行阶段就成功一大半了,其次,安全管理和运行的大平台的建立是关键,其实安全和运维是分不开了,现在运维工具是运维、安全管理是安全,孤立的系统永远不成体系,人员或者岗位一变动就出问题。HW当中防御体系暴露出来的主要问题其实就在这个关键环节,完成这个环节,可以打90分了。
NO4攻击方和防御方的对抗视角
要想做好网络安全防御,就要站在攻击方的视角看问题,网络空间HK惦记的就是你所守护的,沈院士描述的霸权国家、敌对势力、黑客组织和你所守护的对象防御程度成正比。
4.1寻找目标l减少目标暴露面
对于防御者来讲,就是了解自己保护的对象对黑客的吸引力,尽量减少暴露面,IP,端口,服务,主机名,操作系统、支撑软件,web服务,不是自己必要直接外露的,能减少就减少,能在深宅大院,就不要在街口开门。
4.2收集信息l反信息收集
对于防御者来讲,自身个人的信息,守护对象的信息、外包商服务商的信息、采用的IT系统的信息、暴露面的信息,入侵监控的信息,都是需要保护的和提高警惕的。
4.3找弱点l减少弱点
对于攻击方来讲找弱点的方式,最简单最暴力最直接的就是采用大型扫描器,分布式扫描器,一个目标的地址段暴露面都是弱点集中的地方,往往一次大规模的漏洞爆出,就是找到弱点最简单的办法,不管是网络层的、系统层的、应用层的还是弱口令的。这些简单弱点就是入门第一选择,当然,Oday另外再说。
4.4强盗式进门攻击|第一道防线
DDOS用的越来越少了,主要是太野蛮也暴露的太快,现在的云服务商、运营商都已经有很好的防护了,加上监管单位打击,这种方式确实实用效果一般,现在强盗式攻击反而采用字典爆破成为主流的,验证码绕过的也不少,12306经受了多少次的洗礼,特色的验证码就是证明,这个领域的防护说起来一点都不难,但这个领域出问题的也是最多的,可以说无知者无畏,总结几点防线守则,对外服务的系统甚至内网的系统,多重验证是非常必要的,安全策略加大强制弱口令不得生存,关闭不必要的服务、端口和清理root账号。软件开发商稍微懂点按照安全软件编程开发和防范,其实就这些,一个系统这里的投入不会超过几十万就基本可以安心了。
4.5温柔式内网攻击|第二道防线
NO5关键信息基础设施防护之关键点考虑
图6:承载国家关键信息基础设施之关键要素
5.1平台安全
宏观的平台概念太大,具体细化在我们微观的理解中数字中国的特征未来会有无数的平台,例如城市大脑的泛在感知物联平台,支撑工业制造的工业互联网平台、支撑政务云的政务云平台、支撑数据的数据中台,支撑应用的支撑平台,支撑12306的客票平台、支撑电网的调度平台、支撑中小企业的公有云平台(租户+云),支撑大家吃穿住行的电商平台、政务服务的一体化平台、行政监管的一体化平台,每个平台承载的都是一个区域、一个行业、一个场景,现在网络安全行业在每个层面都有新的安全从业者在研究和探讨,概念太庞大,我们已经在研究的就是企业级、行业级、城市级、国家级关键信息基础设施平台防护的要点,2018-2019年,踏实实验室和PCSA联盟和CETE也沟通落地了上海嘉定新一代基础设施的城市及安全管理平台,还是需要很多专门地方需要探讨,随着新一代信息基础设施的前进而前进,。
图7:城市级平台安全管理及运营
5.2数据安全
说起数据安全,先说一个概念两个维度两个热点,一个概念就是数据的基本分类(国家级、行业级、城市级、企业级、群体级、个体级),个人数据有可能也是国家级别的防护,国家级的数据也有可能之采取个人级别的防护。
两个维度,一个是站在数据的价值维度看重要性(数据资源级别—保安级、数据资产级别—保镖级、数据资本(流通)级别—武警级、数据托管(交易)级别—银行级)的新思维(海关刘处的思想),一个是站在数据全生命周期维度看重要性(采集、传输、加工、处理、存储、销毁)的传统思维。
两个热点,一个是各地大数据局政府机构的成立,数据共享、交换、流通,2014年我的硕士毕业论文提到的现在政务的“盲数据、死数据”未来都会随着数据的流动起来产生价值。一个是公共平台隐私数据的保护,数字时代APP和网站以及其他公共设施收集的每个人的身份信息、手机信息、地址信息、人脸信息、支付习惯信息、吃穿住行信息….想起来就恐怖,这个环节基本上还没有啥政策要求,其实这个也是个大市场,当然需要监管的来临,商人自发花钱保护客户信息的可能几乎没有。
总之,数据安全这个范畴可研究和讨论的很多,数据成为有价的资产肯定的确定的,数据有价值肯定是要流动的,不流动就不会产生价值了,所以未来大部分场景都会有数据的提供者、数据的运用者、数据的管理者、数据的使用者、但更重要的是数据合理合法使用的监管者,数据流动安全监管就成为数字时代的重大命题,应用安全能力者不同的安全能力在数据流动的不同场景进行有序和安全的管理就是我们和PCSA联盟和某地大数据局和某行业沟通现在正在做的事情。全程可视,状态可查,权益可管、权限可控、流动可溯、易用扩展。
图8:数据流动安全监管
5.3安全管理中心和运营
图9:安全管理及运营
NO6等级保护标准中不会提到的经验
6.1注意应用的底层框架选择和应用之间的松紧耦合要适中
从Struts2的漏洞爆出和coremail的0day,主流应用框架的选择,尤其是对外提供服务的Web和mail,一旦底层出大的安全问题了,会导致整个系统都需要重新构建了,由于很多开发者不回去考虑安全性的问题,往往从易用和易构建的角度去考虑,系统和底层架构是紧耦合的不可轻易分离,严重漏洞的出现,不能修补,勉强弄弄安全运行也有问题,不修补也不能再上线了,这个问题出现后只能重新架构和开发了,经济损失极大,这也是我们12年经历的血淋淋的教训。
6.2注意品牌一致性误区和大小众品牌的选择
这个点也是几个案例的体现,主要提醒大家IT主流品牌一定是APT攻击者的重点,因为发现一个0DAY,基本上和挖到金矿一样,我们经常在网络安全防御体系建设中看到品牌一致性的要求,从统一管理的角度上来说也是对的,但一旦出现0day或者被攻破,基本上就是全军覆没,充其量就是个马奇诺防线,而且大厂的OEM产品太多,其实每个安全厂商真正的安全能力不会超过3-5个,其他都是非重点能力,一个安全能力没有3-5年的研究研发,不可能成功的。这些年我们总结经验就是大众品牌选择部署可以在外围,解决复杂管理和高性能、高可靠性,在核心数据区或者关键管理区选择小众的品牌,或者多层异构,例如:在新**全国大网的设计上,纵深防御选择了6个品牌(非OEM)的红、黄、蓝区、数据、管理、业务在不同层,有解决性能为主的,也有解决高安全性为主的、也有解决高策略最小原则稳住的,可能都是防火墙,设计时也会有不同的侧重点。管理和安全性一定是平衡使用的。
6.3多角度能力异构的灵活使用
同类型功能不同能力者的异构其实在管理者眼里是麻烦的,但在攻击者眼里同样也是麻烦的,如果做好落地,呵呵,累死Y的。例如防火墙多层异构解决避免一网通杀、防护策略失效的问题,防病毒网关、桌面防病毒和沙箱邮件追溯异构解决病毒木马、钓鱼邮件的交叉检测和查杀,威胁情报和弱点管理不同供应商的异构解决风险管理的全面化,多重身份认证和特权账号不同认证异构解决被轻易获取权限一路畅通,陷阱和蜜罐的异构设置可以让攻击到内网的黑客一头雾水,总之,不同的安全能力之间的多角度异构的灵活应用会给APT攻击者一路障碍,这些花不了多少经费,但确实有效,唯一的就是给管理者有一定难度,需要将统一管理的平台做好。
6.4高级马是一定会免杀的
6.5供应链安全开始要注意了
也许你没听说过的方法未来都会出现,一个外卖小哥、一个保洁阿姨,一个好久不联系的朋友到了办公区,他们离开的时候,会留下继续进来的U盘状的无线发射器当作跳板,一个供应商送入的一批服务器和交换机在芯片上有可能的后门,有个电视剧叫做“密战”,建议大家看看,一个外包的软件开发商交付的代码中间有隐藏的不应该的代码,一个离职的安全管理员仍然可以拨入VPN,用root权限获取数据……这些都是现在以及未来可以发生的。
6.6多重身份认证和易用的平衡
网络社会,EID的认证和识别是关键中的关键,互联网个人隐私泄密太多,通过社工的方式可以轻易获取一个既定目标的网络行为方式(网络习惯、网络id、网络密码),人的习惯是很难改变的,所有认证的用户名,密码总是那么几个,一但破解全网通吃,HW期间碰到的单认证方式和特权用户被拿下,其实还没用到社工这种高级货,说白了,我们现在的政府企业每个单位先检查一遍全网的特权用户管理就明白了,70%的特权用户就是没有被管理、被监控,更别说其他的用户了。
NO7未来其实已经在身边
7.1安全和运维会合成综合能力保障体系
数字中国万云时代,万种场景、万物互联,大数据、大平台、大系统的建设模式是中国现在以及未来的模式,政务服务一体化、行业监管一体化、城市大脑运行一体化、工业智能一体化,不可否认,数字中国急切需要打通数据孤岛,公共服务更便捷、效率更高、更智能、更便捷、行政监管更准确、更有效,数据越聚合越重要,黑市价值越高,攻击者越多,保障体系就越需要更紧密,不得不形成“大安全大运维”的合成能力保障体系,才能确保业务的安全稳定运行,产品堆砌的时代以及过去了,服务才是真价值,安全服务高级人才稀缺会更大。听说HW驻场的人有一天一万的,恭喜安全人才价值提高了不少。
7.2中国式安全逐渐走向务实
世界的安全,未来会是中国式的和非中国式的,看好数字中国的开启模式,百花齐放,开源开放万种场景、万云时代、万物互联、(云、数据、应用、智能、智能制造、泛在感知、小到一个人的吃穿住行,到一个城市的实时运行,到一个社会的公共安全、到一个行业的智能发展,离不开新模式、新技术、新应用,同时一个十几亿人口的大国也必将走向自主可控,中国式网络安全会走向和世界不同的方向,也会越来越务实。
7.3网络安全产业需要供给侧的改革
中国网络安全产业相比国际同行处于弱势,在国家高度重视网络安全的背景下依然难以依靠自身力量快速做大做强,持续下去将在国际网络对抗中愈发落后,最终损害对关键信息基础设施的有效保护能力。
当前我们虽然也面临资金不足、人才匮乏,但更需要有好的环境,好的平台,好的政府扶持政策,通过网络安全产业的供给侧改革让更多的创新者、创业者,通过统一窗口、统一平台有机会展现创新能力,在网络安全科技领域中不断贡献力量,通过基于实战的靶场演练,不断提升国家关键信息基础设施防护水平。
2018、19年参加了几次工信部和WXB关于网络安全产业的调研会,圈子里的专家其实共识度还是挺高的明白人不少,大部分观点不说了就说创新这一件事情,把它做透了就需要很多方面的合力,比如国外的合作是A.B公司的能力叠加,在国内就是大品牌的OEM,鼓励小品牌,新能力的合作。比如国内公共靶场的建立,让大家创新能力有练兵之地,总不能违法乱纪,也不能闭门造车吧,比如建立国家级的生态化安全能力展示平台和中心。让大家都有露脸的秀肌肉的地方…..供给侧的改革,确实需要百花齐放和有效的政策扶持。
7.4不能再用民兵方式对抗攻击链
现在的攻防大赛、武器库、漏洞库,不管是为了实战还是演习,攻击方现在已经新型攻击武器平台化武器库快速有效渗透,说白了已经是集团军作战了,下图示意一下,呵呵,不代表其他意思。
图10:数字时代是由物理的和非物理组成的
现在我们看到的大部分行业、企业的网络安全防御现状基本上是民兵式的,,没有正规的组织建制、没有持续的和合适的后勤保障,没有先进的防御和反击工具和武器,未来这种防御体系基本上都是炮灰,不信明年HW见,不多讲了大家都懂见下图:
图11:“民兵式”网络安全防御体系
7.5未来需要的是网络安全防御综合平台
这个是我们最近对于未来5年的研究方向的框架确定,有些涉及到商业秘密不方便公开说了,有兴趣的一起交流,也可以一起加入进来,为自己、为企业、为国家做些事情。
图12:踏实实验室研究成果网络综合防御平台框架
结束语
1999-2019年从业20周年,网络安全生涯挥挥手也是瞬间……
2009-2019年团队10周年,已经成为国内网络安全防御主力军之一……
人生没有太多的10年和20年,愿和安全业界一起身心安康,踏实前行,感谢,感恩,再继续…..按照周其仁老师讲的持续去“做难得事情,做有挑战的事情,做有积累的事情”,因为数字时代到来,没有安全没有数字时代!