颠覆传统观念 安全进入新起点

2017-11-20 19:15:50 安全随行录 首席安全官


上世纪90年代,互联网刚兴起不久,我们的信息安全是以终端为界;进入新世纪,当互联网快速发展之时,信息安全开始以网络为纲;进入2010年代,互联网发展进入了快车道,云计算、虚拟化、移动互联技术引爆互联网科技革命的时候,“系统化/体系化”的信息安全防护思路得到了大众企业的青睐;如今,互联网进入万物互联模式,新时代下的信息安全也面临着全新的挑战,作为企业信息安全的管理者,该如何改变观念、寻求变革,是一个值得深研的课题。

 

被颠覆的传统安全

在当下的网络安全领域,相信大家都有一个共识:我们正处于一个全新的时代,它正在颠覆我们传统的安全观念,并且时刻鞭策着我们去做出改变。那到底是怎样的一个网络安全时代呢?

 

1.网络安全威胁的性质在发生根本性的转变

从2015年的“机锋论坛被曝出存在高危漏洞致2000多万用户信息遭受泄露威胁”、“携程网长达12小时宕机”、“苹果开发环境xCode后门事件”;2016年的“因网络攻击导致乌克兰大规模断电事故”、“黑客入侵孟加拉银行盗走支付交易凭证事故”、“‘影子经济人’盗取美国国家安全局大量黑客工具和漏洞利用代码事故(事实证明,该事件的后续影响才是最深刻的)”、“域名服务商Dyn遭遇DDoS攻击致使美国西海岸大规模断网事故”;再到2017年的“WannaCry蠕虫勒索攻击”、“德勤和埃森哲等大型企业的数据泄漏事件”等等,不断出现的网络安全事件让我门深刻认识到,网络攻击的形势已发生了根本性的变化,多样化的攻击手段、意想不到的攻击目标、无处不在的数据和信息泄漏的风险点等因素已成为当前网络攻击的典型特征。而网络攻击带来的影响,已经逐渐深入扩展到国家、社会和企业的各个层面,进而影响着整个社会的稳定和运转。而随着物联网、智慧城市的推进和普及,网络攻击的规模会越来越大,网络攻击的手段将越来越多,造成的影响也会越来越严重。

 

2.企业对于网络安全管理的理念也在发生变化

面对复杂的网络攻击形势,企业已不能再宣称如何做好防御来避免遭受网络攻击,而应该是确保在遭受网络攻击时能够及时发现,及时处理,并及时恢复正常业务,将网络攻击带来的损失降至最低。总结下来就是由于攻击是持续的,网络和系统是复杂的,不可能没有弱点,所以没有攻不破的网络和系统。如此一来,未来衡量安全管理的水平不再是看部署了多少安全设备或软件,而是强调检测时效和响应时效。检测时效(MTTD,Mean Time To Detect)指的是攻击行为从发生到被发现的时间,响应时效(MTTR,Mean Time To Respond)指的是从攻击行为从被发现到被处置的时效。为保障MTTD和MTTR,自动化安全将是一个转折点,智能安全是未来发展的必然趋势。

在2017年的ISC中国互联网安全大会上,我们可以感受到人工智能与机器学习大兴、物联网安全变热门、基于ASA的下一代全套终端防护新品类成为安全创业新“宠儿”、NGSOC被安全公司和企业竞相追逐……,从新趋势中不难看出,“科技”将给安全带来颠覆性的变革,新的安全理念正在形成: 

·        数据是新中心。正如马云在早年所说的话:人类正从IT时代走向DT时代。现实也验证了这一点,“数字化”正在改变世界。现阶段,数字化技术得到了广泛应用,在网络安全领域也不例外,未来企业的网络安全数字化管理离不开海量安全数据的支撑,包括设备或系统运行日志数据、安全检测数据、网络流量数据、企业信息资产数据、业务运营数据、用户实体行为数据、外部威胁情报数据等等。这些数据则构成了企业网络安全运营的核心。

·        身份是新边界。未来网络安全管理的重心正在由网络或系统向数据和人进行转变。特别是在未来企业网络边界逐步消失的情况下,人的身份就成为了唯一能够识别和安全控制的届点,也就成为了新的安全边界。

·        行为是新控制。既然未来人(用户)的身份是新的安全边界,对于人的安全行为顺理成章地成为了新的安全控制点。管好了人的身份和行为,就管好了一切安全的源头。

·        情报是新服务。Gartner对于威胁情报的定义是:关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。在以数字为核心的新一代网络安全模式下,单个企业对于威胁情报数据建设的力量是非常有限的,而且更多地是专注在企业内部的情报信息,那么从外部获取有效的数据支撑以弥补内部数据层面的不足,将是许多企业的首选方案,情报即服务的业务模式应运而生,而企业也可以在受控范围内将自身的安全数据与外部进行共享,从而实现双赢的局面。 


3.企业网络安全管理的重心在调整

在2017年ISC中国互联网安全大会上还提出了“万物皆变,人是安全的尺度”的新安全主义,这启发了大家对网络安全的新思考:我们将如何应对新型网络安全威胁?一方面,强调了人的安全技术能力,它是网络安全的终极武器,一群具备强劲实力的高级技术人才,可谓是互联网时代网络安全、以及应对新型网络安全威胁的最大保障;另一方面,人也是网络安全风险管理中最为关键的环节,一旦“人”的环节出了问题,技术防护做得再好也是徒劳。因此,如何做好“人”的管控,将是未来网络安全管理的重心所在。

在总体趋势上,随着云计算、移动互联网及物联网的快速发展,企业IT架构也在发生急剧变化,数据的流动性急速提升,操作系统及终端多样化、异构化成为常态,这对数据安全的跨平台支撑提出了新要求。与此同时,企业的网络边界也正在消失,传统以“网络和系统”为重心的信息安全管理终归回到“数据”本身。而从大多数企业来看,一方面源于信息化程度的全面提升,企业逐步认识到数据才是信息网络中的核心资产;另一方面,传统的系统安全及边界安全防御方法无法应对以数据信息窃取为主要目的复杂攻击行为。

 


4.网络安全新技术在迅速迭代和演进

网络安全技术自互联网兴起、乃至计算机诞生开始,就一直处于不断更新和进化演变状态。从早期的数据加密、防病毒技术,以及逐步加入的防火墙技术、入侵检测、入侵防御、系统漏洞扫描、堡垒机、应用防火墙技术等等,这些技术的一个典型特征就是静态,属于传统的网络安全技术。随着智能网络概念的兴起,NGFW、NGSOC、RASP、UEBA、安全分析、威胁情报、人工智能和机器学习、以及安全整合和运营等新兴技术和产品逐步被得到认可,部分已经投入市场并得到广泛应用。

 

5. 国家网络安全法律监管要求进一步收紧

2016年11月6日,中华人民共和国网络安全法的发布表明中国国家对网络安全的重视达到了一个新的高度。此前其他关于网络信息安全的规定,大多分散在众多行政法规、规章和司法解释中,根本无法形成具有针对性、适用性和前瞻性的法律体系,随着《网络安全法》的出台,国家对于网络安全的管控将进入快车道,该法律既是新的起点,也是重要的转折点。

网络安全法的发布一方面是出于国家整体战略考虑,另一方面,也正是由于网络安全问题正在发展成为一个全球性的问题,已经直接威胁到国家的安全与稳定。在这种新形势下,国家重拳出击,加大了监管力度。而从企业层面来看,未来不做好网络安全,将可能成为违法问题,新时代的网络安全在法律监管上也发生了转变。

 


6. 传统网络安全管理模式正在被颠覆

在互联网公司,基于DevOps方法的开发运维模式已是常态,而近年来,随着安全问题得到了更多的重视,DevSecOps这种全新的安全理念与模式,正逐步从DevOps的概念中延伸、演变而来,被认为是“下一代应用及IT基础设施的安全管理模式”,并渐渐被传统企业所接受。DevSecOps的核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。

进一步延伸,系统开发之时,安全将作为公司业务的一部分,类同于DevSecOps模式的安全运营,将安全团队融入到业务的各个组织和各个环节。相信在未来企业的安全组织架构中,将会以这种全新的模式进行呈现,以应对日趋复杂和快速响应的网络安全运营需求。

 

新安全 新起点

有人说:“未来将不会再有互联网企业,因为所有企业都将成为互联网企业”,这句话正是对当前企业业务互联网化发展趋势的最好预测。外面的网络安全形势在变化,企业的网络安全环境也在改变,企业要想做好网络安全,进而起到保护业务安全的核心目标,则必须要寻求改变。

 

  1. 1.  改变传统被动防御的安全思维才是关键

传统的安全管理理念还是以“安全运维”为主,重在“防御”,企业面对安全威胁,大多扮演“被动”的角色,崇尚“兵来将挡、水来土掩”的基本理念。作为企业安全管理者,其安全心态比较“保守”,重在保护好自己的一方“田地”,“自信”能够做到业务安全的万无一失,对于来自网络的安全攻击,很难去怀着一颗“拥抱风险”的心态。上述现状,最终的结果就会导致企业内部网络安全管理与外部的安全形势脱节,无法跟随外部安全威胁发展态势和业务的发展脚步,久而久之可能无法真正实现为业务保驾护航的终极目标,甚至可能会影响业务的发展。

外面的网络安全形势在变化,企业的网络安全环境也在改变,企业要想做好网络安全防护,进而做到网络安全跟随(至少不落后于)业务发展的步伐,保护业务安全的核心目标,我们必须要寻求改变。

未来,我们的网络安全管理应该是在提升主动检测、监测和持续响应能力的基础上,进而提高对各类安全威胁的动态感知能力和处置能力,以“自适应安全架构”为指导,“拥抱”而不回避风险,逐步实现从安全“运维”为主的网络安全管理向安全“运营”思维的转变。

 

2. 加强安全自研才能自强不息

随着 “互联网+”思维的盛行、以及中国网络安全法的发布,催生了网络安全创业的热潮,许多网络安全技术解决方案顺势而生,许多企业便表现出了极大的安全魄力,大胆尝试,并推陈出新,走出了自己不一样的安全运营之路。而在其中,企业加强自身的研发能力则必不可或缺,因为对于外部成熟技术或产品的过渡依赖,在某些层面会限制企业自身的潜力,甚至会在一定程度上会牺牲企业的一部分安全诉求或愿景目标。

再者,事实证明现有任何单一的技术或产品都无法完全满足企业对网络安全的全部要求。因此,应综合考虑网络安全建设、运行和维护等全过程,这时候加强自身安全研发能力,相对于从众多外部安全厂商寻求解决方案,就更具适宜性,且更能贴合企业自身的网络安全环境、诉求、以及安全控制目标。网络并不存在绝对的安全,因为网络技术不断演进、网络入侵和攻击的手段也是层出不穷,对于企业来说,自身加强安全研究、开发出适合自身诉求的产品就显得尤关重要,也是一项长期工作。

 

3.  以“服务+管理”的理念倡导安全共担当

在新的安全模式下,特别是在互联网思维盛行的当下,企业的网络安全就不能仅仅靠“管”,企业在推崇DevOps以及DevSecOps安全运营方法的同时,更需要强调:网络安全不仅仅是安全团队的责任,而应该是每一个人的义务,是大家共同的责任。

在这种理念之下,安全团队就需要积极发挥其专业特长,深度融入到业务和IT系统开发的各个环节当中,倡导安全“服务”的理念,携手共建,共同担当。

 

4. 将安全运营自动化作为一项长期的奋斗目标

在未来日趋复杂的网络安全威胁形势下,我们对于网络安全威胁防护的首要任务就是进一步完善内部网络安全运营管理框架,以安全自适应的理念搭建集安全防御、检测、响应和预测一体化的安全运营体系,并重点提升安全威胁的检测时效(MTTD)和响应时效(MTTR)。这其中就离不开安全运营的自动化,企业应着手搭建自动化的网络安全运营平台,逐步实现网络安全数据的集中化、网络安全管理的自动化、网络安全状态的可视化、网络安全风险的场景化,进而实现网络安全的全面联动,这是一个长期和动态优化的过程。近阶段主要可以从以下几个方面着手:

·         安全检测的自动化,主要以部署持续的安全检测工具为主。

·          安全监测的自动化,实时对安全相关数据(包括日志、网络流量等)进行分析,识别安全威胁。

·         安全响应的自动化,针对识别出来的安全威胁,通过既定的安全处理策略进行自动化响应处理。

 

要想实现以上三个方面的自动化,需要有完善的数据基础、以及完备的安全大数据的分析技术体系。如何打通从安全威胁检测、分析和响应等各环节的壁垒,并及时有效地去识别、处理安全威胁,企业内部需要一套完善的自动化流程来支撑整个响应的过程,确保对于安全威胁处置的合理性、合规性和正确性。

来源:



—推荐给朋友

如果感觉内容有点价值,请顺手转发下吧

公众微信名:首席安全官 或 CSOWorld

长按二维码,扫描关注属于CSO的社区

欢迎企业CSO投稿。

  安全企业市场与媒体群 

欢迎安全厂商从业者、安全媒体人八卦交流,加微信群

  安全主管汇           

欢迎行业与安全主管交流 (暂不接受厂商)

微信:  CSOChina 自我介绍。