新冠疫情應(yīng)對給網(wǎng)絡(luò)安全工作的幾點啟示

2020-04-21 21:54 作者：admin

新冠疫情應(yīng)對給網(wǎng)絡(luò)安全工作的幾點啟示

這次抗擊新冠疫情的行動體現(xiàn)了我們國家對公共衛(wèi)生突發(fā)事件強大的應(yīng)急響應(yīng)能力。對比當(dāng)前的全球疫情形勢，可以看出我們國家的應(yīng)對策略非常正確，有效地遏制了疫情的蔓延，已經(jīng)取得了階段性的勝利。
這次抗擊新冠疫情的行動體現(xiàn)了我們國家對公共衛(wèi)生突發(fā)事件強大的應(yīng)急響應(yīng)能力。對比當(dāng)前的全球疫情形勢，可以看出我們國家的應(yīng)對策略非常正確，有效地遏制了疫情的蔓延，已經(jīng)取得了階段性的勝利。目前，國內(nèi)的疫情已由“防擴散”轉(zhuǎn)為“外防輸入、內(nèi)防反彈”。新冠疫情是少有的對中國公共衛(wèi)生醫(yī)療應(yīng)急體系的一場大考，作為一名網(wǎng)絡(luò)安全從業(yè)者，通過審視這次疫情發(fā)展和應(yīng)對的過程，也有諸多感悟。 近年來全球地緣政治沖突不斷升級，國家間的沖突往往在網(wǎng)絡(luò)空間先行，關(guān)鍵信息基礎(chǔ)設(shè)施成為首要目標。重大網(wǎng)絡(luò)安全事件的發(fā)生，輕則造成政府機構(gòu)職能受阻，重則引發(fā)社會、經(jīng)濟秩序混亂，甚至嚴重威脅國家安全。
從此次國家對疫情的有效應(yīng)對中，我們能夠深刻體會到強大的應(yīng)急響應(yīng)能力的重要性。本文結(jié)合疫情應(yīng)急響應(yīng)中的經(jīng)驗體會，探討對網(wǎng)絡(luò)安全防御工作的啟示，希望能為業(yè)界拋磚引玉，提供參考。
一、“早發(fā)現(xiàn)、早隔離”同樣是網(wǎng)絡(luò)安全應(yīng)遵循的基本理念
鐘南山院士表示，對患者的早發(fā)現(xiàn)、早隔離最為關(guān)鍵，甚至比治療過程都重要。在網(wǎng)絡(luò)安全事件的響應(yīng)上，“早發(fā)現(xiàn)、早隔離”的思路同樣適用。在保證業(yè)務(wù)正常運行的基礎(chǔ)上，快速研判事件影響的范圍并對受影響資產(chǎn)進行快速隔離，是從網(wǎng)絡(luò)安全角度保障業(yè)務(wù)連續(xù)性的關(guān)鍵。
近年來，很多網(wǎng)絡(luò)攻擊手段可以輕松地繞過網(wǎng)絡(luò)邊界安全防護措施，一旦進入內(nèi)網(wǎng)就會如入無人之境，帶來很大的安全隱患。“零信任”是近年來比較受認可的網(wǎng)絡(luò)安全理念，即不再區(qū)分網(wǎng)內(nèi)網(wǎng)外，不再信任任何的網(wǎng)絡(luò)實體和用戶身份，假設(shè)黑客已經(jīng)進入了內(nèi)網(wǎng)環(huán)境。首先，內(nèi)網(wǎng)要嚴格執(zhí)行最小權(quán)限原則?；谏矸?、終端環(huán)境、網(wǎng)絡(luò)環(huán)境等因素判斷是否可以提權(quán)，進行細粒度的權(quán)限控制。一旦策略引擎判斷某臺主機的訪問請求存在異常，需要及時阻斷，降低其權(quán)限，甚至將其隔離調(diào)查。如需訪問，要從最初始的身份認證階段再進行提權(quán)申請，或者聯(lián)系 IT 管理員。
安全事件的分析和病毒的研究一樣都需要耗費大量的時間，所以往往具備一定滯后性。零信任理念強調(diào)的實時、動態(tài)認證和授權(quán)機制，可以有效地提高應(yīng)急響應(yīng)的時效性，一定程度上幫助實現(xiàn)早發(fā)現(xiàn)、早隔離的目的，最大程度的隔離威脅，保護整體網(wǎng)絡(luò)的安全。
二、威脅發(fā)展和人才缺乏呼喚網(wǎng)絡(luò)安全運營自動化水平的提高
目前我國醫(yī)療衛(wèi)生體系建設(shè)了包括傳染病疫情直報系統(tǒng)等多套信息系統(tǒng)，但從披露的信息看，這些系統(tǒng)在本次疫情初期發(fā)揮的支撐作用有限，專家組難以及時掌握疫情發(fā)展態(tài)勢并做出準確的判斷，一定程度上說明，這些信息系統(tǒng)需要進一步提高規(guī)范化運營水平和輔助決策能力。
網(wǎng)絡(luò)安全防御體系的建設(shè)也有同樣的短板。網(wǎng)絡(luò)安全人才的缺乏和人才培養(yǎng)速度的不足，使得提高網(wǎng)絡(luò)安全防御體系對威脅的自動化應(yīng)對能力極為重要，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件后，告警的同時自動化的隔離失陷主機，可以有效縮減威脅響應(yīng)的時間窗，有效節(jié)省安全運營的人力資源。
確保網(wǎng)絡(luò)安全運營體系的自動化高效運行至關(guān)重要。為達此目的，我們必須通過經(jīng)常性的的檢測手段來驗證安全運營自動化的有效性，驗證探針的安全監(jiān)測功能的有效性，驗證信息是否能順利到達分析平臺，驗證分析平臺的安全監(jiān)測規(guī)則的有效性，驗證告警和處置方式是否得當(dāng)，甚至我們還需要通過紅藍對抗的方式來實戰(zhàn)檢驗安全運營體系的有效性。
網(wǎng)絡(luò)安全運營平臺對海量告警信息的處理應(yīng)遵循合理的優(yōu)先級策略。聚焦對失陷事件、影響業(yè)務(wù)連續(xù)性事件的捕捉，減少對沒有造成失陷的攻擊流量的關(guān)注。美國的全國網(wǎng)絡(luò)安全保護系統(tǒng)(NCPS)聚焦于能夠追溯到國家攻擊行為的APT攻擊事件，這也體現(xiàn)了美國對網(wǎng)絡(luò)安全威脅清晰的認知。
三、監(jiān)管方、運營方、服務(wù)方在網(wǎng)絡(luò)安全運營體系中的有效融合是提高網(wǎng)絡(luò)安全整體防御能力的重要途徑
2003年SARS過后，國家投入大量資源建設(shè)了直達鄉(xiāng)鎮(zhèn)衛(wèi)生院的全國性的傳染病疫情直報系統(tǒng)。據(jù)悉，該系統(tǒng)可以讓上至國家衛(wèi)健委，下至鄉(xiāng)鎮(zhèn)衛(wèi)生院，各個層級的監(jiān)管部門都能同時獲知各地上報的疫情信息。
重大網(wǎng)絡(luò)安全事件對國計民生的影響可能不亞于疫情，所以，這種“直報”的理念，也值得網(wǎng)絡(luò)安全行業(yè)考慮、借鑒，以有效應(yīng)對突發(fā)的重大事件。
網(wǎng)絡(luò)安全防御體系的建設(shè)和運營，會涉及監(jiān)管、運營、安全服務(wù)等相關(guān)方，如果網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)能將真實的失陷事件在第一時間同時通報給相關(guān)方，各方配合行動，不僅可以極大程度提高對安全事件的響應(yīng)效率，也可以從機制上避免隱瞞不報等違規(guī)現(xiàn)象。
疫情瞞報問題是影響疫情防控的重大風(fēng)險。在網(wǎng)絡(luò)安全領(lǐng)域，部分人員為了一時逃避責(zé)任，瞞報失陷事件也時有發(fā)生。現(xiàn)有的解決思路，無論是監(jiān)管方還是運營方，單方獨立建設(shè)收集、監(jiān)控威脅的態(tài)勢感知系統(tǒng)都很難達到令人滿意的效果，這就意味著，我們需要認真思考如何建立一套理想的架構(gòu)和運營體系，讓網(wǎng)絡(luò)安全運營體系的所有參與方都在一套平臺系統(tǒng)中共享信息，以最高效率協(xié)同、應(yīng)對網(wǎng)絡(luò)威脅，這是傳染病疫情直報系統(tǒng)給網(wǎng)絡(luò)安全工作帶來的啟示。
5G等新技術(shù)的應(yīng)用，更復(fù)雜的安全威脅，更廣泛的攻擊面，都讓監(jiān)管方、運營方、服務(wù)方三方在網(wǎng)絡(luò)安全防御體系中的有效融合成為了關(guān)鍵。當(dāng)然，要實現(xiàn)這點，還需法律層面的有效保障，以及三方之間建立足夠的信任。雖然這些看似困難重重，但不妨礙我們先向前邁出第一步，因為這是所有網(wǎng)絡(luò)安全從業(yè)者的責(zé)任與使命。
四、從安全理念和體系架構(gòu)兩方面深刻理解“關(guān)口前移”
新冠疫情的應(yīng)對重在隔離與預(yù)防。武漢封城的時間如果能夠提前一天，疫情后續(xù)的發(fā)展態(tài)勢可能也會完全不同。
在網(wǎng)信工作會議上，習(xí)主席曾多次強調(diào)網(wǎng)絡(luò)安全“要關(guān)口前移，建立防患于未然的安全體系”。近年來的威脅形勢已經(jīng)證明，完全御敵于城門之外是難以實現(xiàn)的，在傳統(tǒng)安全防御理念失效的今天，安全工作的底線在哪里?關(guān)口又在哪里呢?
2016年FireEye公司的報告稱，企業(yè)從被攻陷到發(fā)現(xiàn)的平均時間(MTTD)是146天。無疑，一次MTTD時長超過企業(yè)最大容忍的極限就意味著失敗，這也是安全的底線。反過來講，這也是安全工作的意義和價值所在，將 MTTD 作為一個重要安全工作指標，對態(tài)勢感知系統(tǒng)的監(jiān)測預(yù)警能力以及企業(yè)安全運營的自動化水平和有效性，包括對威脅、對自身態(tài)勢的理解，都提出了更高的要求。
應(yīng)急響應(yīng)是網(wǎng)絡(luò)安全防御的一道重要關(guān)口，我們可以看到的通常情況是，漏洞曝光的第一時間服務(wù)方更新安全設(shè)備特征庫。用戶發(fā)生安全事件打來電話后，服務(wù)方可以在幾小時內(nèi)到達現(xiàn)場。但現(xiàn)實的威脅情況往往又是怎樣的呢?漏洞補丁發(fā)布的時候，可能漏洞利用工具已經(jīng)從戰(zhàn)略對手的網(wǎng)絡(luò)武器庫中下架，因為對于他們而言，數(shù)月之前這個武器已經(jīng)實現(xiàn)了它的價值——突破了目標系統(tǒng)，雖然這種情況不能代表所有的現(xiàn)實，但這種真實性是完全可以想象的。在這種情況下，如果還將這樣的快速響應(yīng)作為網(wǎng)絡(luò)安全工作的關(guān)口，那么守住這個關(guān)口的意義和價值還有多大?應(yīng)急響應(yīng)的任務(wù)更重要的是盡可能縮短MTTD，如果能縮短到分鐘級，可能攻擊者來不及做出更多破壞和滲透就被我們隔離、清除，這也是零信任理念近兩年火爆的重要原因所在。
五、堅持職業(yè)操守、具備家國情懷是對網(wǎng)安從業(yè)者的基本要求
回歸到人，這次新冠抗疫中涌現(xiàn)出了很多可歌可泣的英雄個人和群體，全國各地的醫(yī)護人員前赴后繼，很多公司和個人捐款捐物，場面令人動容。20余年來，在我國無數(shù)次的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)中，許多優(yōu)秀的網(wǎng)絡(luò)安全公司總能表現(xiàn)出領(lǐng)域的專業(yè)水準，擔(dān)負起自己的責(zé)任，想用戶之所想，急客戶之所急，在維護國家網(wǎng)絡(luò)空間安全的事業(yè)中受到客戶的廣泛贊譽。
網(wǎng)絡(luò)安全事件與公共衛(wèi)生安全事件的應(yīng)對有眾多相似之處。網(wǎng)絡(luò)安全企業(yè)守護的是國家網(wǎng)絡(luò)空間的安全，當(dāng)出現(xiàn)重大安全事件時，網(wǎng)絡(luò)安全企業(yè)和個人要能不計得失的沖在第一線，自覺挑起保護國家網(wǎng)絡(luò)空間安全的重擔(dān)。
無論哪個行業(yè)，對職業(yè)操守的堅持、為國家命運擔(dān)憂的家國情懷都是基本的要求，正所謂“先天下之憂而憂，后天下之樂而樂。”商業(yè)公司的價值體現(xiàn)也需要在此。從長遠角度看，既具有專業(yè)能力和職業(yè)操守，又擁有家國情懷的公司，一定能獲得市場的關(guān)注和肯定。
六、總結(jié)與展望
中華民族是從苦難中成長起來的民族，我們能從每一次苦難中汲取到經(jīng)驗和教訓(xùn)，我們具有強大的應(yīng)對任何困難的能力，黨和政府具有強大的領(lǐng)導(dǎo)力，人民具有強大的凝聚力，這都是此次能夠成功控制住疫情的重要前提。在網(wǎng)絡(luò)空間，我們同樣也需要這種能力。網(wǎng)絡(luò)威脅日新月異，層出不窮，所以我們還需要更多的專業(yè)能力，既要具備“看見”威脅的能力，也要具備對未知威脅前瞻性的“想象”能力。我們只有在保持這些能力的同時，不斷審視自身，創(chuàng)新性地提出更多有效的解決方案和應(yīng)對措施，才能讓我們的網(wǎng)絡(luò)空間更加安全。