宋辰

網(wǎng)絡(luò)安全，不只是“救火隊(duì)員”，也可以是“指揮家”。

很多人都?jí)粝氪ú刈择{游，曾經(jīng)需要準(zhǔn)備的一輛越野車、一部充滿電的手機(jī)、一張地圖和一個(gè)指南針，現(xiàn)在都可以由一輛擁有智能聯(lián)網(wǎng)功能的汽車來代替，自適應(yīng)巡航、藍(lán)牙車載電話、車載導(dǎo)航，一切都很方便地帶我們到任何地方去。但是，這時(shí)候卻似乎有個(gè)“幽靈”盤繞在我們身邊，這就是黑客。黑客有可能知道車輛的準(zhǔn)確位置；車載娛樂系統(tǒng)會(huì)被勒索，黑客可以接聽車載系統(tǒng)撥打電話的語音，準(zhǔn)確了解到個(gè)人隱私；黑客還可以不停撥打車主手機(jī)使之與外界隔絕，更可怕的是，他甚至可以欺騙車主通訊錄里的每一個(gè)人。

過去25年，消費(fèi)者互聯(lián)網(wǎng)改變了幾乎每個(gè)人的生活。全球的網(wǎng)絡(luò)正在面臨積極的革命，我們期待每一架飛機(jī)，每一輛汽車，每一個(gè)電表，大部分實(shí)物和服裝可能都連到網(wǎng)上，我們正在從百億的連接，走向萬億的連接。在萬物互聯(lián)時(shí)代，每個(gè)人享受便利性，但是新的風(fēng)險(xiǎn)如影隨形，網(wǎng)絡(luò)安全尤其是基礎(chǔ)設(shè)施安全的重要性更加凸顯。

隨著我國(guó)數(shù)字化進(jìn)程的整體提升，關(guān)鍵信息基礎(chǔ)設(shè)施已經(jīng)成為金融、交通等關(guān)系國(guó)計(jì)民生重點(diǎn)行業(yè)的神經(jīng)中樞。近年來，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的新型攻擊和破壞手段層出不窮。 傳統(tǒng)網(wǎng)絡(luò)安全中心以抵御攻擊為中心、以黑客為防御對(duì)象的安全策略和安全體系構(gòu)建存在重大的安全隱患。

當(dāng)前，網(wǎng)絡(luò)安全設(shè)備的采購(gòu)大多以單獨(dú)產(chǎn)品采購(gòu)為主，這些采購(gòu)的發(fā)起部門也各不相同。這些大型IT組織的建設(shè)是否有系統(tǒng)化的方法？是否有新的網(wǎng)絡(luò)安全處理策略，通過邊界防護(hù)和防止攻擊的方式來保障網(wǎng)絡(luò)安全？

網(wǎng)絡(luò)空間需要“自愈”

時(shí)間回到2008 年，趨勢(shì)科技中國(guó)（于2015年被亞信科技收購(gòu)成立亞信安全）在全球范圍內(nèi)提出了云安全（ Secure Cloud ）的概念，并在當(dāng)年發(fā)布了云安全白皮書。不過，那時(shí)云的概念也只是剛剛有些雛形，更不要提企業(yè)究竟有多少業(yè)務(wù)真正地跑在云上了。所以，彼時(shí)的“云安全”還顯得太過前沿。

但不得不承認(rèn)的事實(shí)卻是，對(duì)于未來趨勢(shì)的研判，永遠(yuǎn)是行業(yè)里頭部企業(yè)最擅長(zhǎng)的。

2018年，在“2018 C3安全峰會(huì)”上，亞信安全提出了新戰(zhàn)略之一“網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力”，這讓長(zhǎng)期跟蹤安全領(lǐng)域的記者們都覺得頗新的理念。

亞信安全通用安全產(chǎn)品總經(jīng)理童寧在采訪中對(duì)《計(jì)算機(jī)世界》記者表示：“近一兩年內(nèi)，這個(gè)概念在國(guó)際上已經(jīng)開始有了探討和設(shè)計(jì)，網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力是未來網(wǎng)絡(luò)安全重要的發(fā)展方向，是一種面對(duì)安全威脅能夠確保企業(yè)業(yè)務(wù)的可用性和恢復(fù)能力，可以最大限度維系業(yè)務(wù)關(guān)鍵應(yīng)用的正常運(yùn)維，降低風(fēng)險(xiǎn)。”

亞信安全強(qiáng)調(diào)的網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力更像是漫威電影《X戰(zhàn)警》的人氣主角金剛狼所擁有的強(qiáng)大自愈能力。關(guān)鍵信息基礎(chǔ)設(shè)施在業(yè)務(wù)環(huán)境具備適應(yīng)性能力、風(fēng)險(xiǎn)預(yù)測(cè)能力、遭受入侵后的對(duì)抗能力、被攻擊后的恢復(fù)能力，確保數(shù)據(jù)泄露損失最小化、通過業(yè)務(wù)的恢復(fù)補(bǔ)救能力，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的最大化。

隨著《網(wǎng)絡(luò)安全法》和《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等一系列法律法規(guī)的出臺(tái)，對(duì)監(jiān)測(cè)預(yù)警、應(yīng)急處置也提出了具體要求，構(gòu)建網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力，確保企業(yè)業(yè)務(wù)在安全威脅下的可用性和恢復(fù)能力，以維系業(yè)務(wù)關(guān)鍵應(yīng)用的正常運(yùn)維、進(jìn)而降低風(fēng)險(xiǎn)，成為安全能力建設(shè)的新方向。

精密編排的安全

童寧強(qiáng)調(diào)，在網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力的構(gòu)建過程中，簡(jiǎn)單來看可以分為三層結(jié)構(gòu)，分別是戰(zhàn)略層、戰(zhàn)術(shù)層和工具層。在戰(zhàn)略層構(gòu)建完善的恢復(fù)補(bǔ)救能力框架，在戰(zhàn)術(shù)層構(gòu)建威脅事件響應(yīng)流程，并通過技術(shù)工具進(jìn)行精密編排聯(lián)動(dòng)，建立安全事務(wù)指揮平臺(tái)的整體體系。

以我們每天日常工作中都會(huì)接觸到的郵件為例，當(dāng)我們的郵箱收到郵件時(shí)，附件、URL、服務(wù)器IP、標(biāo)題和發(fā)件人數(shù)據(jù)會(huì)被提交到沙盒分析并產(chǎn)出黑名單，黑名單聯(lián)動(dòng)阻斷惡意網(wǎng)絡(luò)鏈接，進(jìn)行網(wǎng)絡(luò)活動(dòng)及樣本分析，之后，提交黑名單至防毒墻控制管理中心，同步黑名單至亞信安全的終端安全OSCE，終端安全OSCE再依據(jù)黑名單進(jìn)行查殺阻斷。

網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救中的應(yīng)急響應(yīng)需要通過一個(gè)統(tǒng)一的指揮平臺(tái)，把每種應(yīng)急情況都變成工作流，再將一個(gè)一個(gè)任務(wù)分發(fā)下去。平臺(tái)的核心是工作流以及預(yù)案應(yīng)對(duì)的角色，也就是說，平臺(tái)上的每一個(gè)角色都按照既定的工作流去執(zhí)行，每一個(gè)節(jié)點(diǎn)做什么事情都清清楚楚有預(yù)案可參考。

“我們開發(fā)了三、四十種預(yù)案。不論哪一種預(yù)案，都是按照準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)和優(yōu)化這七個(gè)階段，把一個(gè)個(gè)工作流分發(fā)下去?！蓖瘜幷f，“這和消防部門的消防演練十分相似，我們也需要按照預(yù)案去演練。消防跟我們產(chǎn)品很像的，有很多工具，但它們之間是沒有關(guān)系的，一個(gè)梯子，一把斧頭是沒有關(guān)系的，但是只要有了預(yù)案，我們就可以把這些‘救火的東西組合起來，實(shí)施有效施救?！?/p>

目前，亞信安全正在不斷完善網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力的理論方法與技術(shù)工具，將威脅分析、調(diào)查取證、威脅情報(bào)、應(yīng)急響應(yīng)服務(wù)等方面的新興技術(shù)優(yōu)勢(shì)融入到體系建設(shè)的整體框架之中。隨著現(xiàn)代企業(yè)辦公空間逐漸延伸到虛擬化和云端，網(wǎng)絡(luò)安全的邊界正在變得模糊，本地部署與周邊防御遠(yuǎn)遠(yuǎn)不能對(duì)抗日益精進(jìn)的網(wǎng)絡(luò)安全威脅，構(gòu)建全方位安全態(tài)勢(shì)感知的“多層次防護(hù)體系”至關(guān)重要。

亞信安全技術(shù)支持中心總經(jīng)理蔡昇欽指出：“要構(gòu)建多層次防護(hù)體系，單個(gè)網(wǎng)絡(luò)安全產(chǎn)品或是企業(yè)往往存在解決方案單點(diǎn)上的短板，難以有效地防護(hù)包括關(guān)鍵基礎(chǔ)設(shè)施在內(nèi)的防護(hù)目標(biāo)。因此，亞信安全倡導(dǎo)與前沿的科技和策略研究，以及網(wǎng)絡(luò)安全業(yè)界的產(chǎn)品及方案全面聯(lián)動(dòng)，共奏和諧共生的‘交響樂，實(shí)現(xiàn)集中式威脅共享和可視性，幫助客戶對(duì)抗無邊界風(fēng)險(xiǎn)?！?/p>

在網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力的實(shí)踐中，亞信安全希望為客戶“賦能”，幫助客戶建立內(nèi)部的威脅情報(bào)中心，例如當(dāng)檢測(cè)到惡意IP時(shí)，設(shè)備及時(shí)阻斷，同時(shí)，通過不同安全產(chǎn)品之間聯(lián)動(dòng)的精密編排機(jī)制，即可同步感知到平臺(tái)。“實(shí)現(xiàn)全方位安全態(tài)勢(shì)感知，是構(gòu)建安全聯(lián)動(dòng)體系的方法和關(guān)鍵點(diǎn)，亞信安全正在通過產(chǎn)品聯(lián)動(dòng)，實(shí)現(xiàn)威脅信息通過Web API與第三方應(yīng)用程序共享，以提升整體的安全態(tài)勢(shì)感知能力”。蔡昇欽強(qiáng)調(diào)，“目前，亞信安全的安全聯(lián)動(dòng)解決方案已經(jīng)在能源、交通等多個(gè)行業(yè)落地，通過云端與本地的威脅情勢(shì)共享，幫助行業(yè)客戶保護(hù)關(guān)鍵基礎(chǔ)設(shè)施安全?！?/p>

在筆者看來，在與跨平臺(tái)、跨架構(gòu)的安全產(chǎn)品、方案的聯(lián)動(dòng)中，網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力特別需要的是安全事務(wù)指揮平臺(tái)進(jìn)行統(tǒng)一的管理，只有這樣，才能共奏和諧共生的“交響樂”，幫助客戶對(duì)抗無邊界風(fēng)險(xiǎn)。