智慧安全3.0之可信任解讀

一個好的安全體系的前提是為合法主體建立信任關係，透過信任在保證業務的前提下降低安全成本，在執行時及時檢測並消除非法主體的惡意行為，所以信任是網路安全的前提。從業界近年的發展來看，無論是Gartner認為信任和彈性是自適應安全的兩個原則，還是“零信任”理念成為業界熱議的流行詞，都說明安全行業已經反思簡單堆砌的安全機制已經無法抵禦日漸複雜的應用場景和攻擊團伙，所以迴歸安全的本源，思考如何構建信任體系，成為當前一種獨特的現象。

綠盟科技於2021年推出“智慧安全3.0”新戰略，其中要素之一就是可信任，這表明如何構建信任機制是新一代安全體系中非常重要一環。本文將詮釋“智慧安全3.0”中可信任的內涵。

一、信任與風險的平衡

在網路空間中，業務發展、環境變化或技術更新是常態，也是數字化轉型的必然，因而風險是永遠存在的，安全團隊不可能為規避所有風險而要求業務不變，甚至讓業務下線。對抗的本質是攻守成本的平衡，安全的本質是防護減少損失超過防護成本，因而安全防護最終是緩解風險，不可能完全去除風險。

圖1 信任與風險的平衡

不信任就不可能開展新的業務，適應並擁抱變化是安全團隊應信奉的哲學。為了保證業務正常執行，安全團隊必須讓渡部分非關鍵風險的處置，也就是在管理風險的前提下，主觀上相信業務會安全執行。例如，邊界就是信任的體現，跨邊界的訪問是不可信的，需要強制認證和訪問控制，而內部網路的訪問預設是可信的，這樣就大大減少了身份認證和訪問控制的部署成本，也提升了使用者的使用體驗。

但安全團隊也應清晰地認識到，信任第三方就意味著存在風險。那麼就應評估和管理風險，將業務受到影響降到最低，保證業務的彈性（Resilience）。

總之，擁抱變化，管理風險，是可信任的內在需求。對於安全廠商，應當構建信任管理體系，以降低整體安全投入的成本，並提升安全防護效率，幫助客戶贏得安全方面投資的回報。

二、信任管理模型

維基百科(Wikipedia)上對信任（Trust）的定義為[1]：一方（信任方）在未來依賴另一方（被信任方）行動的意願。假設給定三方A、B、C，三者之間都有互動，如下圖所示。

圖2 信任度模型

可見，主體A對B的action(B)行為的信任是結合了A對B的歷史行為的觀察{actions(B)}、第三方（如主體C）對其信譽評價Reputation(B,C)的綜合評估。事實上，信任度的度量會更復雜一些，需要考慮到觀察行為（即證據）的可靠度，以及信任度隨著時間推移衰減等因素。 

而信任機制在應用時，根據不同的場景和需求，會有多種形態，如IAM、訪問控制、邊界控制等，具體產品就更五花八門，但核心上看，信任管理有四個要素：

1) 主體身份屬性確認，即Identification

2) 資源的屬性確認，即Attribute Enumeration

3) 主體對資源操作的授權，即Authorization

4) 操作控制，即Enforcement

圖3 信任機制表示

在當前新出現安全模型中，也對信任提出了新的要求。例如零信任（軟體定義邊界）模型要求全方位的信任控制，即主體在任何時間、任何地點訪問客體，均需要遵從全域性的訪問控制策略；而Gartner提的“自適應訪問控制”，則要求控制點在透過主體的訪問請求後，還需要根據上下文進行調整，動態授權其訪問。

而當前行業大多數的信任管理處於被動信任和靜態信任的階段，遠未達到全方位、自適應的階段。

所謂被動信任，就是無條件地信任。例如，客戶在部署了某個安全產品、平臺或服務後，只能黑盒地選擇相信其正常工作、發揮作用；開發團隊在採用某第三方軟體或硬體時，只能假定其沒有後門、漏洞，總之，既來之則安之，除了信任沒有其它辦法。

而所謂靜態信任，則是採用了確定性的信任評估方式，設定後長期不變。這也是行業內主流的信任管理機制，雖然簡化了策略制定、系統執行時機制，但沒考慮到上下文變化，是造成現在網路安全事件頻發的根本原因之一。

事實上，信任是主觀、動態、不確定，信任管理是要基於風險為基礎的，安全策略需要根據主體行為等上下文動態調整，因而，在下一代安全體系中，信任管理應當具備可信任的安全能力、可信任的訪問機制，以及可信任的供應鏈管理。

三、可信任的安全能力

隨著地緣政治和數字化轉型深化，網路安全將從滿足合規性要求轉向攻防對抗，客戶對於安全廠商的要求將越來越偏向其安全能力可信任。這主要有兩個層面：安全運維可信任和安全運營可信任。

首先，網路安全裝置本質上就是一類網路裝置，與其它的路由器、交換機無異，都是部署在網路中。但在以往的安全運維中，除了金融等重要業務場景中，客戶對安全裝置的穩定性沒有網路裝置那麼高。但現在大背景下，安全裝置的重要性將越發凸顯，邊界側、串接型的安全裝置一旦故障，很有可能出現斷網的事故，影響正常生產；而旁路側的裝置，雖然不至於影響生產，但如果故障，也可能會丟失重要的事件、告警和日誌，對後續排查溯源帶來不可逆的影響。因而，安全廠商的安全裝置、平臺和服務必須具有極高的穩定性和可靠性。

其次，安全廠商也是安全服務提供商，參與到客戶的實際安全運營中，應對各類真實威脅和攻防演練。由於這類安全運營需要實打實的安全防護、檢測和響應能力，因而安全廠商的運營能力必須是可信任的。以前在安全運營中最大的挑戰是告警泛洪，一臺入侵檢測裝置單天可能會產生數萬條告警，大部分告警指示的並非關鍵性事件，而且有不少是誤報，這對於安全運營而言是災難性，一位安全運營人員是不會信任這樣裝置產生的告警，海量告警中尋找真正的攻擊，無異於大海撈針。

當前，安全廠商已經開始利用一些先進技術，例如人工智慧、劇本編排等，將頂尖的安全運營專家知識賦能智慧引擎，從而大幅減少安全運營的邊際成本。例如綠盟科技於2021年釋出的《AISecOps智慧安全運營技術白皮書》[2]介紹了透過人工智慧技術進行安全運營的技術路線和關鍵技術，例如可以透過多引擎評估和智慧推薦演算法，將關鍵告警推薦給安全運營人員，從而擺脫大海撈針的困境。一旦安全運營團隊透過短期調整，固化其場景下的運營需求及其推薦模型，則可在日常運營中在最短時間內發現關鍵安全事件，建立對安全廠商能力的信任。

此外，在對抗過程中，攻擊者繞過安全裝置的規則也將成為常態，這非常考驗安全廠商對安全漏洞、安全事件的的日常收集、研判和產品轉化能力。當前的攻擊手法主要是規則繞過，而隨著攻防技術的進一步發展，基於人工智慧的引擎也可能被攻擊者繞過，這就要求人工智慧演算法是可解釋、可信任的，不會發生類似“熊貓變長臂猿”[3]的攻擊案例。

四、可信任的訪問機制

網路安全的本質是保證網路中主體對客體的訪問是合規、合法、合理的，然而太多的機構資料洩露事件表明當前的訪問控制無法滿足以上要求。例如攻擊者利用服務漏洞進行持續滲透，或是惡意內部使用者嘗試竊取非授權的資料，如果透過常規的訪問控制或入侵檢測是很難發現的。

當前業界一方面使用欺騙、沙箱等高階對抗技術，極大增加了檢測、防護的投入成本；另一方面也會使用使用者實體行為分析（User & Entity Behavior Analytics, UEBA），分析訪問主體的行為模式，能從一定程度補全行為和業務層面的安全機制空白，但也存在大量誤報，同樣也需要投入較多運營成本。

如果從安全對抗的本質出發，一方面，從正常業務的使用者體驗的角度，應確保大部分合法主體的訪問不被安全機制所困擾，另一方面，將安全控制前移，在前期投入較少資源以獲得較大收益，以避免後期的各類成本（包括投入新安全機制的投資成本CAPEX和緩解誤報的運營成本OPEX）。

在安全運營的閉環中，防護、檢測、響應階段的投入依次增加，安全效果卻依次降低。因而，應適度將部分檢測、響應階段的投入轉移到前期防護階段，即將安全控制前置。首先，保證訪問主體對客體的訪問關係是可信任的，即主體具備合法的身份，主體對客體的訪問是授權的，主體的行為是合理的。

前述的“零信任”模型是可以達到這樣的要求的， “持續驗證、永不信任”是零信任的理念，但其本質還是信任主體的身份，但需要動態的上下文評估其行為，從而確保該訪問是能夠被信任的。

五、可信任的供應鏈管理

可信任的供應鏈管理有兩層含義：安全產品可信任和第三方軟硬體可信任。

安全產品可信任，是客戶對安全廠商信任的基石。安全產品在企業的安全運營中處於非常重要的地位，其自身安全不容忽視。無論是處於網路邊界的網路安全裝置，還是管理大量終端的終端安全平臺，一旦被攻破，都可能導致攻擊者滲透入內網或控制大量的終端。近年的安全演練出現的安全廠商的產品出現漏洞導致被攻破，便是明證。

因而安全廠商應重視其產品的安全，從開發到交付過程，需建立安全開發、程式碼審查、上線前檢查等一系列安全流程，此外，應建立漏洞懸賞計劃和應急響應機制，以確保及時發現潛在的安全漏洞，並在最短時間內確認安全事件、釋出安全修復計劃和相應的安全更新。我們說過，攻防是成本和收益的平衡，安全產品與其它的IT軟體一樣，漏洞是不可避免的，但透過事前、事中和事後的預防和應對機制，可以將安全產品變為最不易攻破的防線；而對於攻擊者而言，攻破安全產品的成本明顯高於其它元件，而收益幾乎沒有，則不太會以它為靶標。

在更多的案例中，第三方的軟硬體的漏洞或後門成為企業被入侵的重要原因。例如，今年的SolarWind旗下軟體Orion 軟體更新包中被駭客植入後門，波及範圍極大，包括政府部門、關鍵基礎設施以及多家全球500強企業，影響及其深遠[4]。此外，地緣政治衝突日益加劇，國家安全要求第三方硬軟體安全可信，國內正在構建信創生態體系，覆蓋非常長的硬軟體供應鏈。無論是要避免來自第三方的安全漏洞，還是構建安全可信的體系，都需要對供應鏈的第三方提供商進行持續的安全評估，使得客戶避免使用具有風險的提供商或產品，Gartner將其稱為安全評級服務（Security Rating Service, SRS）。

在實踐過程中，應當根據客戶的開發和運營流程，科學評估存在的供應鏈風險，例如在開發環節，應當識別軟體專案中引入的開原始碼和第三方軟體庫，並評估其潛在的安全漏洞；在整合環節，應當對第三方的模組、系統或映象等進行安全評估。

六、總結

信任是人類社會快速前進的基石，也是數字化業務迅速發展的前提，在“智慧安全3.0”的藍圖中，我們協助客戶構建信任管理的體系。首先，我們具備客戶可信任的安全產品和安全服務能力，其次，我們提供可信任的訪問機制和可信任的供應鏈管理，在降低整體投資和運營成本、提升使用者體驗的前提下，提供堅實、有效、全面的安全防護效力。

    ·    參考文獻    ·    

[1] Trust (social science) https://en.wikipedia.org/wiki/Trust_(social_science)

[2] AISecOps智慧安全運營技術白皮書, https://www.nsfocus.com.cn/html/2020/92_1218/142.html

[3] 「熊貓」變「長臂猿」，「烏龜」變「來復槍」，深度學習模型被攻擊，破解之道有哪些？, http://leiphone.com/news/201910/W4Wm5jfL19ZWbIbp.html

[4] 初探 SOLARWINDS 供應鏈攻擊事件來龍去脈,http://blog.nsfocus.net/solarwinds-unc2452-1222/