阿里雲安全肖力:邊界消亡後,你需要四個“新認知”

dicyt發表於2017-07-27
阿里

摘要: 本文作者史中,科技媒體人。 在很多人眼裡,網際網路是朋友圈的深夜美食,是剁手前後的糾結和傷感。但在保衛網際網路的安全人眼裡,這裡從來不是陽光淨土,而是蠻荒的森林。 魑魅魍魎,百鬼夜行。 曾經,為了抵抗來自黑暗中的攻擊,人們選擇點起篝火,避退山洞;而後選擇結成村莊,建立城池。

本文作者史中,科技媒體人。

在很多人眼裡,網際網路是朋友圈的深夜美食,是剁手前後的糾結和傷感。但在保衛網際網路的安全人眼裡,這裡從來不是陽光淨土,而是蠻荒的森林。

魑魅魍魎,百鬼夜行。

曾經,為了抵抗來自黑暗中的攻擊,人們選擇點起篝火,避退山洞;而後選擇結成村莊,建立城池。

這個在真實世界持續萬年的漫長安全進化,在賽博世界裡被壓縮到了十幾年。肖力站在長河岸邊,幾乎完整目睹了企業安全的滄海桑田。

如今作為阿里雲安全掌門人的他,曾是阿里巴巴第一個安全工程師。

從2005年至今,肖力親手參與了阿里巴巴這個全球最大電商的安全建設。“作為一個發展中的企業,有沒有可能建設像阿里巴巴一樣強大的安全體系呢?”這是個有趣的問題。如果這個問題由肖力來回答,就變得更有意思。

在今年的阿里雲安全峰會上,肖力給出了他的回答。

為企業安全“跑個分”

萬物皆須有尺度,企業安全也一樣。

所以,不服跑個分。

在肖力眼裡,評價企業安全水平有一個非常客觀的標準:

1分企業

這樣的企業沒有專職的安全團隊,僅僅購置了一個防火牆,有的甚至連防火牆都沒有。

可怕的是,這種幾乎完全沒防護的企業佔了總數的90%,在阿里雲上,這樣的企業也不在少數。

2-3分企業

這類企業一般成立5年以上,有了專職安全團隊。以中型遊戲、電商、旅行網站為代表。

他們的業務對安全要求比較高,而且預算也比較充足,可以僱傭一些安全人員(目前安全人員的成本還是比較高的)進行基本的安全建設和應急響應。

這些安全人員一般掛在運維或者研發團隊下面,人數在10人以下,一般3-5人。

3-4分企業:

這類企業一般成立十年以上,以BAT、運營商、銀行、石化電力央企為代表。安全建設時間超過五年,安全隊伍大於10人,有的可以達到五百人以上。每年安全投入超過5000萬-1億。這類企業安全性較好,但數量也最少,只佔到全部企業的2%。

從我的標準來看,真正安全合格的企業,在中國不會超過100個。

肖力給出了這個有些驚悚的判斷。

但仔細想來,這個判斷理由充分:

對於初創企業來說,受困於資金壓力和安全意識,沒辦法把安全建設一蹴而就;

對於發展中的企業來說,市場上有無數的安全產品和公司,聲稱可以從各個方面保衛你的安全。這些聲音最終彙集在一起,成為了噪聲,企業反倒一片茫然。

於是很多企業根據樸素的想法和基礎的理論,開始自我嘗試:

有些把安全產品像“羊肉串”一樣串起來放在閘道器,結果安全性還沒提高,穩定新先崩潰了;

有些索性退守山林,用內網隔離的方法,試著造出一片“世外桃源”,但是今年五月的 Wannacry 病毒已經完整演示了病毒突破隔離,在內網裡繁衍肆虐的駭人景象。

經過這些嘗試,更多的企業不是“得意盡歡”,而是“四顧茫然”。

2017年5月,WannaCry 病毒席捲全球,造成的損失超過500億美元。未來安全可能給企業造成的損失只會多不會少。在肖力眼裡,賽博世界如此盜匪橫行,名駒寶劍或不可少。

於是,企業需要在最後的時間視窗裡,練就防身之術。

肖力覺得,企業固然需要手握鋒利的武器,但在一切之前,需要手握四個鋒利的認知:

認知一:邊界已死,隔離要“走心”

WannaCry 在肖力眼中,竟然是個“輕量級”的病毒。

它在某種意義上說是一個偶發事件,雖然席捲全球,但是技術稍顯粗糙。我甚至可以猜測到未來勒索病毒的進化方向,那就是有自動滲透能力的‘“機器人’”。

肖力說。▲WannaCry 病毒勒索介面

其實,機器人自動攻防並不是一個新命題,在2016年的 DEFCON 黑客大賽上,已經出現了“CGC”機器人攻防大賽。這些機器面對複雜的網路環境,表現雖然差強人意。但是肖力覺得,真實世界的網路攻擊,單就滲透來說,環境並沒有那麼複雜。

以目前企業的安全防護水平來看,很多都存在不少已知的可利用的低危漏洞。而從黑客的角度來看,幾個低危漏洞組合在一起,就是高危漏洞。這樣,機器只需要一般智慧,就可以完成滲透動作。

他說。▲2016 DEFCON 黑客大會,參加自動攻防大賽的機器人們

簡單來說,一個如下的世界觀被建立:

世界上第一個利用漏洞的蠕蟲 WannaCry 剛剛過去,它在技術上相當不成熟,卻已經造成了防護欠佳的企業哀鴻遍野。而新的勒索蠕蟲一定正在世界的某個角落整裝待發。

這就像凶猛的洪水一樣,潮頭一定會來,而且一浪高過一浪,在此之前如果沒能尋找到安全的庇護策略,總有一天難免覆巢毀卵。

君不見,有哪一座城池,最終能抵禦敵人潮水般的衝擊。

其實,放下對邊界的幻想和執念,並不容易。在商業領域,永遠會有貿易壁壘;在國家層面,永遠會有國境界碑;在社會階層,永遠有利益團體。

但是,肖力覺得,邊界的概念沒有錯,只是過時了。邊界完全可以被更走心地運用,可以做到進一步精細化部署。就像下面這張企業內部網路拓撲圖:

一家典型的公司,裡面可能有一千臺伺服器。這個內網的拓撲結構方式名為:一鍋粥。

這樣說起來有點刻薄,但是因為伺服器之間的相互連線雜亂無章,造成的效果是:只要內網有一點被突破(看起來不可避免),所有的機器都會淪陷。

而這是一家新型的公司,它的網路拓撲結構看起來是“強迫症風格”。但這種結構絕不止於美觀。強關聯的主機被劃歸在同一個區塊之中,只通過固定的埠(例如1433)和其他機器相連,而所有其他埠的流量都會被系統自動阻斷。

需要說明的是,這種機器的拓撲結構生成,以及埠的白名單策略,都是由安全系統通過機器學習的方法自適應定義的,不需要人工強幹預(否則在系統升級和變化之後,拓撲結構就需要推倒重來)。

在這種情況下,病毒如果入侵一臺機器,造成的影響就非常有限,因為以目前自動化攻防的水平,無法繞開企業內網中這麼多“坑”。

如此,企業內網產生了新的細粒度的隔離,就像《地道戰》中描述的一樣,在鬼子不斷深入村莊的規程中,不斷遇到各種陷阱,導致舉步維艱,損失慘重。

認知二·武器,永遠是人的附屬

還是以 WannaCry 病毒為例,在蠕蟲爆發前28天,這個漏洞已經被曝光在世介面前。從漏洞曝光開始,就是感知影響,修復自身漏洞的“黃金運營時間”。

這是安全運營的基礎。

但正所謂,上工治未病。肖力把它翻譯成為安全語境:“最好的安全是防患於未然。”

企業要的東西很簡單:安全的結果。為了達到這個結果,需要兩個必要條件:

1、全世界最好的產品。

2、可以用好產品的人

如果你還沒有深刻理解“人”的重要性,可以看一下這個GIF:

GIF

肖力舉了一個例子:

一家公司的業務被人攻擊,是因為發現了漏洞。一般人的想法是,用最好的產品來修復漏洞。但是,殊不知漏洞產生的根源卻恰恰是程式碼工程師。如果一家網站的工程師每天產生一百個漏洞,那麼再好的安全產品也修補不過來。

亡羊補牢永遠是亡羊補牢。

在建設網路的時候,有很多錯誤原本就可以不發生。

平心而論,讓程式碼工程師的安全意識提高,這件事並不是無法操作,只是很多公司從內心裡並沒有把它作為問題的的根源。

肖力以阿里巴巴自身為例,“每個工程師上崗之前,都會經過嚴格的培訓,其中一項就是安全培訓。只有通過了安全培訓,工程師才有可能上崗,他的程式碼才有可能進入阿里巴巴的血液。”

人,才是肖力心中真正的安全運營。

認知三·藍軍,是一種“核威懾”

在網路安全中,有一個很重要的概念——藍軍。

這個概念脫胎于軍事演習。顧名思義,所謂藍軍,實際上就是一支攻擊隊伍。他們的目的就是通過進攻的方法找到紅軍的漏洞弱點。用這種方式提高紅軍的安全能力。

這種方法已經被廣泛地應用於大公司。

微軟曾經推出十萬美金獎勵計劃,就是讓全球的高手幫自己來發現漏洞;

各大企業的SRC(漏洞響應平臺),就是讓白帽子們可以集思廣益,幫助企業找到漏洞所在。

一個企業自身的安全隊伍在強大,也許只能找到自身80-90%的漏洞,就算照到了99%的漏洞,剩下的一個被黑客利用,所有的防護還是功虧一簣。

肖力說。

這就說到了很多人都熟悉的眾測平臺。

例如美國的 HackerOne 眾測平臺,例如國內的補天、阿里先知眾測平臺。

安全界有一個共識:

雖然中國的眾測平臺在發展過程中受到了一些非議。但是我們看到國外有很多成功的眾測平臺模式,這說明眾測本身的邏輯沒錯,我們只是需要把它做得更規範,更透明。

而藍軍的另外一個作用,是對攻擊的反擊能力。

藍軍平時可以通過攻擊的方式來驗證自身的安全,但是在遭遇攻擊的時候,它同樣可以作為精銳之師,討伐敵人。

如果你沒有任何還手之力。哪怕攻擊者只有一個,如果他天天盯著你,總有一天會衝進來把你殺死。

如果你有反擊的能力,就對攻擊者有了威懾,這就從根本上扭轉了攻防的局勢。

肖力說。

至此,我們可以構建如下世界觀:

面對核武器,如果我們只是修建地下工事,企圖躲避進攻,那麼對方永遠會拿出更大當量的武器來轟擊我們。

如果我們擁有一套頂尖的反導系統,可以在敵人剛發射核彈的時候就進行攔截,甚至可以讓核彈在敵人的領土上爆炸。那麼敵人就會完全重估進攻我們的成本和收益。▲藍軍從根本上來說是一種“核威懾”

認知四·看見,本質是演算法

企業“看見”這種能力尤為重要。

所謂:“攻防的過程中,第一時間發現攻擊者,戰鬥就結束了。"

這大概就像你在公交車上斷喝一聲“有小偷!”蟊賊一定馬上收手。

這就是“態勢感知”的意義。

這裡有一個令人遺憾的事實:很多企業,多了一臺伺服器都沒有感知,更遑論記錄這臺伺服器上的全量日誌記錄了。▲全量資料是“看見”的基礎而肖力覺得,完整的資料來源只是態勢感知的基礎:

真正考驗企業安全能力的時候是企業有沒有足夠的計算能力,能不能檢測出威脅。資料模型演算法,是否優化到了讓誤報和漏報都在可用的範圍,而不是滿屏的誤報,或是漏過很多攻擊。

也就是說,演算法才是“看見”的核心能力。

打個比方:市場上一定有賺錢的股票,但是這並不意味著普通人就可以毫不費力地找出它們。相反,只有具備極強的經濟學能力和相關知識的專家,才能從股市裡挖掘出價值。

這樣的智慧,一半來自於頂尖的演算法工程師,這些演算法工程師不但要精於資料模型,也要對安全有深刻的理解。

這件事情如很多人所想,並不容易。但是,一旦建立了精確的演算法模型,就像在城池中央點起了一盞燈塔。它的意義不亞於在黑暗的世界,點燃一支火把。

結語

人人都在說“邊界已死”。這個判斷簡單利落,帶有先知的光芒。

但邊界死後,我們又該做什麼呢?

從阿里巴巴的角度來看,肖力和同事用了十幾年的時間,建設了一個不依賴邊界防禦的企業樣本。肖力覺得,這些經驗不應該僅僅成為個人經歷,而是應該分享出來。

這也是他熱情地讚頌雲安全的原因之一。

雲安全的價值,是“普惠”。用優秀的標準品把企業安全分數從1拉到3,讓我們每年投資過億的安全能力建設,可以瞬間被普通的企業所使用。

他說。

肖力提出的四個認知,無一不在昭示著安全建設的長期和艱鉅。而面對越來越嚴峻的安全形勢,雲安全也許是一個捷徑。

來源:史中

相關文章