网络安全为什么需要弹性?
--从RSAC报告看大会主题“弹性”的理解与实现
作者:奇安信战略研究中心
RSAC2021已经落下帷幕,大会的主题 “弹性(Resilience)”依然占据着网安人的视野。“弹性”是一个从军事领域引入网络安全领域的单词,引申为从攻防对抗的角度来重新规划网络的安全属性。如同新冠疫情、贸易战对全球社会和经济带来的重大风险一样,当前全球网络风险正在向着多样化、复杂化且难以预判的方向发展,网络安全防护的理念和工作重点也应作相应的调整和转变。
本文从大会官方对弹性的描述,以及演讲嘉宾对弹性的理解入手,谈一谈网络安全为什么需要“弹性”,以及如何实现网络安全的“弹性”。
1.RSAC官方:“弹性”正在成为新时期网络安全行业的基石
5月17日,RSA公司的CEO Rohit Ghai在会议开幕时做了主旨演讲《弹性的历程》。报告中指出,当前全球的网络正在遭受前所未有的网络攻击,而网络的规模和复杂性也在急剧扩大,网络安全防护面对一片混沌的状态。
网络防护方要正视这种现实,转变安全防护的理念与方法,在网络攻击事件无法预测、无法完全阻止的情况下,网络安全防护的重点应从抵御攻击转变为保障业务。网络安全正在变成一个以弹性为基础的行业,需要适应、创新和发展,努力突破混沌、提高整体预警、防护、恢复和适应能力。
2.演讲嘉宾:“弹性”将在网络安全多个细分领域落地
与大会的主题相呼应,多位与会嘉宾发表了以“弹性”为主题的演讲,分享了自己对弹性的理解。本文将简要介绍和分析几位嘉宾的演讲。
(1)构建基于“弹性”的企业网络安全架构-Google
来自谷歌的安全工程高级总监Heather Adkins作了题为“构建安全可靠的系统”的报告。他认为,软件供应链正面临前所未有的攻击,要改变这一现状需要重构网络安全生态系统,建立基于“弹性”的企业网络安全架构。新的架构主要包含三大组件:
零信任网络。在可靠性方面,实现轻量级的、随时随地可用的安全能力;在安全性方面,建立设备和用户基于数据驱动的信任,阻止攻击行为的蔓延。
微服务架构。实现基于云的微服务架构。在可靠性方面实现故障遏制能力;在安全性方面,控制攻击破坏范围且易于快速恢复。
终端零接触。通过安全代理实现终端零接触。在可靠性方面提高容错和纠错能力;在安全性方面提高攻击难度,阻止攻击扩散。
通过以上三个组件的综合运用,构建“弹性”企业网络安全架构,在软件供应链的不同角色之间实现弹性防护能力。
(2)身份安全的弹性-RSA
来自RSA的CDO Zulfikar Ramzan谈到身份的弹性。他认为随着疫情的影响和企业数字化进程的加快,分布式身份安全成为趋势。在分布式的框架下进行身份认证和访问控制需要弹性机制。
零信任是实现弹性身份安全的重要手段。利用微分段来划分网络,并提供应用层威胁防护,以及使用基于风险的连续多因子身份验证作为关键组件。将信任限制在绝对需要的范围内,不要基于不可靠的因素提高信任。
(3)风险管理的弹性-Axio
来自Axio的VP Lisa Young女士谈到了风险管理的弹性。她认为风险管理应向弹性过渡,实体需要部署集成的风险管理解决方案,并实施量化的网络安全风险管理。
弹性的风险管理应能够防止干扰的发生,当受到中断的打击时具有快速适应。在紧急情况下应具有预测,准备和适应不断变化的条件以及抵御干扰并从干扰中恢复的能力。弹性的运营应实现以下能力:
对齐与整合:开发自适应的运营模型并将弹性目标整合到业务战略中。
可见性和可操作性:衡量,监控和传达风险,控制措施的有效性以及抵御能力的水平。
识别和优先级:识别,评估,确定优先级并设计可能影响组织及其弹性的方案。
准备与改进:实施在“管理状况”和“管理结果”之间进行优化的解决方案和“常绿”流程。
(4)供应链安全的弹性与地缘政治-Interos
来自Interos的VP Andrea Little Limbago女士将供应链弹性与地缘政治联系到了一起。她认为全球贸易战、美国监管方式的转变以及疫情带来的各州之间的对立正在摧毁全球供应链,这种情况下弹性将成为一种竞争优势,应通过技术手段建立可信供应链,应对复杂性,不透明性,脆弱性和不安全性挑战,包括但不限于:
重塑网络风险:数据在哪,供应链网络中是否存在不安全的链接,对方的公司级别,行业级别和国家/地区级别的网络风险。
不要重蹈覆辙:内化过去的经验教训,为重大转变做准备,加固互联网边界,考虑气候变化,疫情大流行及ESG风险等因素。
(5)基于安全混沌工程的弹性漏洞挖掘-Verica
来自Verica的CTO Aaron Rinehart等人谈及通过安全混沌工程探索未知的网络威胁。混沌工程学是在系统上进行实验并注入干扰条件以了解系统如何响应的学科。它能够在对手进行攻击之前主动测试系统的安全性,进行持续安全验证通过建立对系统实际运行方式的信心来减少不确定性。主要测试方法包括:事件响应、安全控制验证、安全可观察性、合规监控。
该报告给出了医疗领域应用的案例,通过混沌工程学技术找出未知的技术安全漏洞,并与组织合作在漏洞被利用之前进行补救。通过持续认证和检验挖掘漏洞,主动修复,并建立长期的监测机制。
(6)PNT(定位、导航和时间)服务的弹性-NIST&CISA
来自美国政府机构NIST和CISA的两位专家James McCarthy和James Platt谈到了PNT服务的弹性。
美国政府2020年2月发布有关PNT的13905号行政命令,要求如果发生破坏或操纵,应最大程度地减少对国家安全的影响。实体企业应遵循NISTIR 8323的要求,使用PNT配置文件并满足相应的网络安全要求、业务目标和技术环境,负责任的使用PNT服务。
(7)用弹性的方法建立弹性标准-NSA
来自美国国家安全局的两位专家Mike Boyle和Jessica Fitzgerald-McKay谈到建立弹性标准的话题,提出从防护、检测、恢复三个维度建立弹性标准,以提高弹性的互通性、协商功能和可评估性。
NSA的专家认为组织制定标准的方法会影响其标准的“弹性”,即标准的适应性和可落地性。NSA的专家举了可信平台模块TPM、IETF远程认证RATS、5G网络自动化框架三个例子,说明了标准制定过程中在开放与收费、国家与个人、共识与投票、供应商与用户之间实现弹性的均衡。
3.总结:借鉴“弹性”理念建设新一代网络安全框架
全球网络安全风险的加剧和不确定性是“弹性”需求产生的背景。随着贸易战爆发和新冠疫情的蔓延,国家间对抗升级,网络空间成为科技利益、数字主权争夺和再分配的战场,网络空间安全成为国家安全、经济发展和社会稳定的基础和保障。近年来各种勒索病毒攻击、涉网犯罪和APT攻击对世界各国的关键基础设施和重要信息系统带来极大的安全威胁和巨额损失。
如何应对新常态下的网络安全威胁,防范化解重大网络安全风险,“弹性”或将成为网络安全新的需求和发展趋势,特别是政企网络安全建设的刚需,但仍需将这一理念落地并转化为真实的安全能力。
当前我国正处于“十四五”开局阶段,网络安全产业也进入新的发展阶段,新基建、数字化、智能化驱动网络安全变革,正需要规划建设新的网络安全理念和发展格局。“弹性”理念是很好的借鉴,我们一方面应当关注不断升级的外部网络威胁,防御和消除网络攻击;另一方面也需要考虑在遭受网络攻击时保持网络的可用性以及网络恢复的能力。通过体系化的安全框架、模块化的安全产品、实战化的安全运行、共生共赢的安全生态,将有限的安全资源转化为最大限度的安全能力,“弹性”应对严峻、复杂、未知的网络安全挑战。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
