這次抗擊新冠疫情的行動體現了我們國家對公共衛生突發事件強大的應急響應能力。對比當前的全球疫情形勢,可以看出我們國家的應對策略非常正確,有效地遏制了疫情的蔓延,已經取得了階段性的勝利,目前,國內的疫情已由“防擴散”轉為“外防輸入、內防反彈”。新冠疫情是少有的對中國公共衛生醫療應急體系的一場大考,作為一名網路安全從業者,透過審視這次疫情發展和應對的過程,也有諸多感悟。
近年來全球地緣政治衝突不斷升級,國家間的衝突往往在網路空間先行,關鍵資訊基礎設施成為首要目標。重大網路安全事件的發生,輕則造成政府機構職能受阻,重則引發社會、經濟秩序混亂,甚至嚴重威脅國家安全。
從此次國家對疫情的有效應對中,我們能夠深刻體會到強大的應急響應能力的重要性。本文結合疫情應急響應中的經驗體會,探討對網路安全防禦工作的啟示,希望能為業界拋磚引玉,提供參考。
“早發現、早隔離”同樣是網路安全應遵循的基本理念
鍾南山院士表示,對患者的早發現、早隔離最為關鍵,甚至比治療過程都重要。在網路安全事件的響應上,“早發現、早隔離”的思路同樣適用。在保證業務正常執行的基礎上,快速研判事件影響的範圍並對受影響資產進行快速隔離,是從網路安全形度保障業務連續性的關鍵。
近年來,很多網路攻擊手段可以輕鬆地繞過網路邊界安全防護措施,一旦進入內網就會如入無人之境,帶來很大的安全隱患。“零信任”是近年來比較受認可的網路安全理念,即不再區分網內網外,不再信任任何的網路實體和使用者身份,假設駭客已經進入了內網環境。首先,內網要嚴格執行最小許可權原則。基於身份、終端環境、網路環境等因素判斷是否可以提權,進行細粒度的許可權控制。一旦策略引擎判斷某臺主機的訪問請求存在異常,需要及時阻斷,降低其許可權,甚至將其隔離調查。如需訪問,要從最初始的身份認證階段再進行提權申請,或者聯絡 IT 管理員。
安全事件的分析和病毒的研究一樣都需要耗費大量的時間,所以往往具備一定滯後性。零信任理念強調的實時、動態認證和授權機制,可以有效地提高應急響應的時效性,一定程度上幫助實現早發現、早隔離的目的,最大程度的隔離威脅,保護整體網路的安全。
威脅發展和人才缺乏呼喚網路安全運營自動化水平的提高
目前我國醫療衛生體系建設了包括傳染病疫情直報系統等多套資訊系統,但從披露的資訊看,這些系統在本次疫情初期發揮的支撐作用有限,專家組難以及時掌握疫情發展態勢並做出準確的判斷,一定程度上說明,這些資訊系統需要進一步提高規範化運營水平和輔助決策能力。
網路安全防禦體系的建設也有同樣的短板。網路安全人才的缺乏和人才培養速度的不足,使得提高網路安全防禦體系對威脅的自動化應對能力極為重要,在發現網路安全事件後,告警的同時自動化的隔離失陷主機,可以有效縮減威脅響應的時間窗,有效節省安全運營的人力資源。
確保網路安全運營體系的自動化高效執行至關重要。為達此目的,我們必須透過經常性的的檢測手段來驗證安全運營自動化的有效性,驗證探針的安全監測功能的有效性,驗證資訊是否能順利到達分析平臺,驗證分析平臺的安全監測規則的有效性,驗證告警和處置方式是否得當,甚至我們還需要透過紅藍對抗的方式來實戰檢驗安全運營體系的有效性。
網路安全運營平臺對海量告警資訊的處理應遵循合理的優先順序策略。聚焦對失陷事件、影響業務連續性事件的捕捉,減少對沒有造成失陷的攻擊流量的關注。美國的全國網路安全保護系統(NCPS)聚焦於能夠追溯到國家攻擊行為的APT攻擊事件,這也體現了美國對網路安全威脅清晰的認知。
監管方、運營方、服務方在網路安全運營體系中的有效融合是提高網路安全整體防禦能力的重要途徑
2003年SARS過後,國家投入大量資源建設了直達鄉鎮衛生院的全國性的傳染病疫情直報系統。據悉,該系統可以讓上至國家衛健委,下至鄉鎮衛生院,各個層級的監管部門都能同時獲知各地上報的疫情資訊。
重大網路安全事件對國計民生的影響可能不亞於疫情,所以,這種“直報”的理念,也值得網路安全行業考慮、借鑑,以有效應對突發的重大事件。
網路安全防禦體系的建設和運營,會涉及監管、運營、安全服務等相關方,如果網路安全態勢感知系統能將真實的失陷事件在第一時間同時通報給相關方,各方配合行動,不僅可以極大程度提高對安全事件的響應效率,也可以從機制上避免隱瞞不報等違規現象。
疫情瞞報問題是影響疫情防控的重大風險。在網路安全領域,部分人員為了一時逃避責任,瞞報失陷事件也時有發生。現有的解決思路,無論是監管方還是運營方,單方獨立建設收集、監控威脅的態勢感知系統都很難達到令人滿意的效果,這就意味著,我們需要認真思考如何建立一套理想的架構和運營體系,讓網路安全運營體系的所有參與方都在一套平臺系統中共享資訊,以最高效率協同、應對網路威脅,這是傳染病疫情直報系統給網路安全工作帶來的啟示。
5G等新技術的應用,更復雜的安全威脅,更廣泛的攻擊面,都讓監管方、運營方、服務方三方在網路安全防禦體系中的有效融合成為了關鍵。當然,要實現這點,還需法律層面的有效保障,以及三方之間建立足夠的信任。雖然這些看似困難重重,但不妨礙我們先向前邁出第一步,因為這是所有網路安全從業者的責任與使命。
從安全理念和體系架構兩方面深刻理解“關口前移”
新冠疫情的應對重在隔離與預防。武漢封城的時間如果能夠提前一天,疫情後續的發展態勢可能也會完全不同。
在網信工作會議上,習主席曾多次強調網路安全“要關口前移,建立防患於未然的安全體系”。近年來的威脅形勢已經證明,完全禦敵於城門之外是難以實現的,在傳統安全防禦理念失效的今天,安全工作的底線在哪裡?關口又在哪裡呢?
2016年FireEye公司的報告稱,企業從被攻陷到發現的平均時間(MTTD)是146天。無疑,一次MTTD時長超過企業最大容忍的極限就意味著失敗,這也是安全的底線。反過來講,這也是安全工作的意義和價值所在,將 MTTD 作為一個重要安全工作指標,對態勢感知系統的監測預警能力以及企業安全運營的自動化水平和有效性,包括對威脅、對自身態勢的理解,都提出了更高的要求。
應急響應是網路安全防禦的一道重要關口,我們可以看到的通常情況是,漏洞曝光的第一時間服務方更新安全裝置特徵庫。使用者發生安全事件打來電話後,服務方可以在幾小時內到達現場。但現實的威脅情況往往又是怎樣的呢?漏洞補丁釋出的時候,可能漏洞利用工具已經從戰略對手的網路武器庫中下架,因為對於他們而言,數月之前這個武器已經實現了它的價值——突破了目標系統,雖然這種情況不能代表所有的現實,但這種真實性是完全可以想象的。在這種情況下,如果還將這樣的快速響應作為網路安全工作的關口,那麼守住這個關口的意義和價值還有多大?應急響應的任務更重要的是儘可能縮短MTTD,如果能縮短到分鐘級,可能攻擊者來不及做出更多破壞和滲透就被我們隔離、清除,這也是零信任理念近兩年火爆的重要原因所在。
堅持職業操守、具備家國情懷是對網安從業者的基本要求
迴歸到人,這次新冠抗疫中湧現出了很多可歌可泣的英雄個人和群體,全國各地的醫護人員前赴後繼,很多公司和個人捐款捐物,場面令人動容。20餘年來,在我國無數次的網路安全事件應急響應中,許多優秀的網路安全公司總能表現出領域的專業水準,擔負起自己的責任,想使用者之所想,急客戶之所急,在維護國家網路空間安全的事業中受到客戶的廣泛讚譽。
網路安全事件與公共衛生安全事件的應對有眾多相似之處。網路安全企業守護的是國家網路空間的安全,當出現重大安全事件時,網路安全企業和個人要能不計得失的衝在第一線,自覺挑起保護國家網路空間安全的重擔。
無論哪個行業,對職業操守的堅持、為國家命運擔憂的家國情懷都是基本的要求,正所謂“先天下之憂而憂,後天下之樂而樂。”商業公司的價值體現也需要在此。從長遠角度看,既具有專業能力和職業操守,又擁有家國情懷的公司,一定能獲得市場的關注和肯定。
總結與展望
中華民族是從苦難中成長起來的民族,我們能從每一次苦難中汲取到經驗和教訓,我們具有強大的應對任何困難的能力,黨和政府具有強大的領導力,人民具有強大的凝聚力,這都是此次能夠成功控制住疫情的重要前提。在網路空間,我們同樣也需要這種能力。網路威脅日新月異,層出不窮,所以我們還需要更多的專業能力,既要具備“看見”威脅的能力,也要具備對未知威脅前瞻性的“想象”能力。我們只有在保持這些能力的同時,不斷審視自身,創新性地提出更多有效的解決方案和應對措施,才能讓我們的網路空間更加安全。