企業IT安全：國防安全之縮影

對於大多數企業的非IT專業人員來說，企業IT安全只是一個較為模糊的大概念。雖然大家在日常工作和生活中通過各種渠道都知道一些基本的IT安全術語，但企業IT安全到底是什麼、如何運作、保護了什麼樣的企業資產，並不是十分清晰。其實，要想理解企業IT安全，有一個很好的參照物，那就是“國防安全”。

譬如，企業IT安全中最基礎的術語“防火牆”，就是一個現實社會中典型的城牆加城門保護住城堡的概念。“防火牆”把企業網路分成兩個區域：安全域（城內）和非安全域（城外），模仿現實中的防禦需求，甚至還有軍事中立緩衝區的概念（DMZ）。企業IT管理流程中必不可少的“口令驗證”機制和著名的後門程式特洛伊木馬也都是直接從軍事上照搬過來的典型場景。可以說，目前所有與企業IT安全相關的概念、技術和產品都可以在國家安全領域裡找到對應的參照物。

事實上，IT技術的起源也確實是來自戰爭的需求：人類歷史上的第一臺計算機就是為破解敵國電臺密碼而產生的。古往今來，國與國之間的戰爭故事比比皆是，我們也都耳熟能詳。所以，通過國家之間明爭暗鬥的案例來理解企業IT安全不失為一個有趣、有效的方法；利用國防安全的思維方式，來思考企業IT中已經存在，或是可能存在的安全隱患，也不失為一個有價值的嘗試。

無論國內國外，企業IT安全領域，在過去三十年的發展中從無到有，從單一產品功能到複雜解決方案，“武器”日趨先進，理論方案愈加成熟，企業的重視程度和投入也在不斷加大。然而，企業IT安全發展的現實卻似乎走進了一個困境：企業投入的資金和人員越來越多；出現的相關安全問題，從表面上看，也在一一被“及時”解決，但企業IT環境面臨的安全隱患卻並未減少，有關企業安全事故的訊息頻出報端；更糟糕的是安全事故帶給企業的損失越來越大，往往是災難級的（一個最有力的證據就是據統計美國的企業首席資訊保安官CISO在同一家公司的職業壽命因為擔責卸任的原因平均下來只有可憐的十八個月），究其原因，我們同樣可以以國防安全的思維來分析企業IT安全的現狀和未來：

1
道高一尺魔高一丈，資訊科技的快速發展在給企業帶來巨大效益的同時，也為威脅企業IT安全提供了更多的途徑和技術手段，正如戰爭中敵我雙方所使用的武器本身並沒有對錯屬性一樣，資訊保安的雙方所依賴的理論和技術也是一樣的。並且，新的技術往往是攻擊方首先掌握並使用，做為企業IT安全的負責人員則處於敵暗我明的被動防禦狀態。可以說，目前的企業安全現狀，基本上都是某一個或一些企業成為新出現的安全攻擊的犧牲者，而其他企業能夠及時亡羊補牢就已經非常不錯。如何能夠及時地跟蹤業界出現的安全事件、快速地自查並發現類似隱患、提供相關的解決方案是企業IT安全人員面臨的重要挑戰。

2
國防安全之於國家的重要性，決定了其本身運作總體上不會採取商業模式，在考慮解決方案時往往並不會將成本作為一個決定性因素（當然微觀區域性還是會適當考慮成本），因此而形成的理論方法多是為達最優效果而不計代價的。而絕大多數企業商業目的第一，成本控制成為企業活動需考慮的先決條件之一，此時再採取與國家安全同樣思維的安全模式往往力不從心，事倍功半。
譬如，近年企業IT安全圈內火熱的紅藍軍對抗演練，原本是軍隊常規演練科目之一，其目的在於檢驗軍隊戰時機動應變能力，該理論應用到IT安全領域的益處不言而喻。但是，除極個別超大型機構外，多數企業無法承擔得起這種理論的真正落地實踐。

另一個典型例子也是這兩年安全領域內炙手可熱的話題：威脅情報。情報對於國家安全的重要性無需贅述，對於企業IT安全乍一聽情報的重要性也是不言而喻的，但對於一個個體企業來說，這並不是一個“接地氣”的操作。不是每個企業都有能力、有精力去收集發生在不同領域、具備不同量級的海量情報，並實時分析出究竟對本企業有多大價值。
這幾年IT安全領域的發展在筆者看來有這樣一種趨勢，值得反思：某些技術思路，對於行業裡的大型企業，或是對安全高度敏感的企業具有很大價值，但考慮到場景和成本因素，其對於其它大多數企業是否具有同樣價值值得思考。沒有經過切實分析的盲目照抄解決方案，不僅成本巨大，工作負荷增加，最終效果也往往事倍功半。因此，如何在本企業的IT安全領域，合理均衡地採用此類理論及技術，更是企業領導面臨的一個重要課題。

3
經過三十多年的發展演進，目前的企業IT安全早已經過了單兵（種）作戰的時期，用單一技術或產品就解決企業IT的安全問題已成為奢望。目前出現的真正能給企業帶來巨大損失的安全問題往往都是一個複雜的攻擊鏈，綜合各種技術，在時間、深度和廣度上展開全方位攻擊。做為防守方的企業IT安全團隊，在應對思路上也需要象現代軍事的防守理念一樣，具備多兵種橫向、縱向、聯動作戰的思維。但是，在企業內部進行如此操作會是一個跨業務部門，上下互動的行動，需要各方面的感知與配合，這往往會對企業業務產生一定影響。需要提出的是，國防安全在任何形式下都是一個國家的最高優先順序工作，而企業IT安全的性質則不一樣，企業IT安全任務往往需要承擔對企業正常業務無影響、讓企業員工無感知的承諾，所以是否能夠採取這種全方位、諸部門協調的安全應對措施對於企業的決策管理層是一個不小的考驗。

4
最後一點是筆者認為企業IT安全發展到今天的最嚴重的一個方向問題，而這個問題也恰恰是最容易出現隱患的環節：發展至今的企業IT安全領域，太過專注於類似在國家短時緊急戰爭狀態時期的攻防應對策略和技術，忽略了絕大部分時間國家所處的和平狀態時期的安全考慮。也就是說，目前企業IT安全領域絕大部分的思路/方案/產品都聚焦於防禦來自敵方對企業網路的攻擊事件（防火牆、防毒、防DOS等），以及發現企業網路可能被攻擊的弱點（漏洞掃描打補丁等），還有一小部分在考慮戰後恢復工作（安全事故發生後的審計溯源），卻忽視了國防安全重要程度不亞於戰時，而又是最持久、最難操作的工作：和平時期的防微杜漸策略和戰爭危機來臨前夕的預警應對策略（國防安全中由國安和公安承擔這部分任務）。這就要求企業IT安全需要具備在日常工作中，尤其是無異常攻擊事件發生時（這應該是企業IT環境的常態）能夠發現蛛絲馬跡的動力和能力，需要有與之相配合的理論/技術和方案/產品。這套理論有明顯的如下幾個需求：
1）關聯能力，僅僅IT域的資訊已經不夠，需要關聯企業的業務及其操作的資料行為；2）預測能力，傳統安全的單個攻防事件和事後的審計追責功能已經不夠，需要有提前發現安全隱患可能性的能力；3）及時報警能力，由於非戰時場景，依賴IT安全運維人員每天去“主動”地從海量資料中發現可能的巨大安全隱患是不現實的，因此需要相關解決方案能夠讓安全運維人員“被動”地及時地獲得安全報警；4）去噪能力，“狼來了”的場景是企業IT安全的最大忌諱，不僅是做無用功，企業IT安全團隊在企業決策管理層失去信用才是安全的最大隱患，因此需要提供的安全隱患報警儘量精準。

近幾年，這個問題的重要性日趨受到業界重視，相關的理論方法/技術產品也逐漸顯現，“態勢感知”便是對應於此類問題的解決思路，只是目前市場上的態勢感知解決方案多是現有安全廠商利用已有產品舊酒換新瓶的產物，無法真正為企業IT安全在和平時期的工作保駕護航，企業IT安全急需一款真正意義上的“審計過去、監控現在、防患未來”的解決方案。

關於全息網禦：全息網禦科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術，結合機器學習（人工智慧），發現並實時重構網路中不可見的”使用者-裝置-資料”互動關係，推出以使用者行為為核心的資訊保安風險感知平臺，為企業的資訊保安管理提供無感知、無死角的智慧追溯系統，高效精準的審計過去、監控現在、防患未來，極大提高IT安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復IT系統的能力和效率。