今年ISC互联网安全大会的主题是“安全从0开始”,这让我想到每个人的经历都是如此,我们从呱呱坠地到长大成人,从认知自己的父母到认知整个世界,人的这些经历会使人从对一切的信任到不信任,因为万事万物都是在变化的,你周围的环境变化,你身边的人的变化,都会让你用新的态度或方法去面对,去年的主题为“万物皆变 人是安全的尺度”,强调了人在安全中的巨大作用,今年正是去年主题的一个传承,从0开始也是要依赖我们每一个人从安全的角度,回到安全的本源和原点思考,我们在安全上都做过什么,曾经做过的面对如今的新的威胁形式,是否还有作用。我们曾经认为,我们给用户设计的安全方案多么的具有完整性,给用户提供的安全理念多么的具有前瞻性,给用户提供的产品多么的具有先进性,但是这些真的能够完全为用户解决实际的安全问题吗?这些都经得起反复推敲吗?

当然,不能完全否认我们已经做过的工作的价值,作为在区域工作的技术工程师,我体会更深刻的是我们的行业用户,尤其是主管信息化建设的负责人或相应行业的安全运维人员,他们是否都具有相对成熟和正确的安全意识,我在区域主要负责的是教育和医疗行业用户,从对教育和医疗行业用户的了解,我认为安全意识并没有真正深入人心,如果是工作在一些经济相对不够发达的地区,如区县或乡镇,他们的安全意识就更加淡薄,其实“安全从0开始”就是对薄弱的安全意识的一种挑战,是对已经具有一定安全意识的补充,我见到过一些普教行业的用户,尤其是一些中小学的网管员,当谈到安全的概念时,我首先听到的问题是,“我们网络里有防火墙了,是不是就安全了”,“我们电脑都装杀毒软件了,是不是安全了”,通常,我并不会直接回答他的问题,因为如果我直接回答他不安全,可是确实人家目前并没有发生什么重要的安全事件,我最担心的就是他很有可能反驳,“我们没有发生过网络安全问题呀,谁会来攻击我们这么一个小学校呢?我们哪里有那么多的资金去做安全建设呢?”但是如果我说你们安全了,那我将成为一个极不负责任的网络安全从业人员。

这并不能说明这个学校的网管员没有责任心,我认为很大程度是因为他没有安全意识,或者安全意识不完整、不正确。这里我想到了我们经常谈到的那个安全滑动标尺,还有“零信任”架构,“安全从0开始”就可以理解为是建立“零信任”体系,零信任就是让你不要相信任何人,任何设备和已有的安全策略,ISC大会上很多演讲者也在反复使用这个理念,通过安全滑动标尺结合“零信任”的理念来去提升人的安全意识,我个人认为可以尝试。

首先是安全架构,如果你的系统安全的基本架构有问题,那么你可以说是安全的小学生阶段,那就必须做纯粹的“零信任”,最简单的例子,学校里11班断网,12班就跟着断网,这说明你的基础网络架构就有问题,根本上升不到更高的安全层面,你先去把物理安全问题解决了吧,这时候对于所有的一切都该是不信任的,因为这种失误原本是用最简单的方式就可以修补的。我们必须从零开始建设我们的安全架构。

被动防御,就是不用人为干涉,通过安全防御措施来对抗已知威胁,消耗或延缓攻击,比如前面学校网管员提到的部署防火墙或杀毒软件等措施,这些是必备的防御手段,如果没有被动防御,后面的安全策略也无法进一步实施,或者实施后的效果会大打折扣。但是这里就涉及到网络安全的“四个假设”,假设系统一定有未被发现的漏洞,假设一定有已发现但仍未修补的漏洞,假设系统已经被渗透,假设内部人员不可靠,所以这种被动防御在某种情况下是失效的,我们必须从0开始建设我们的防御体系,对于任何接入网络的事件不管是从内部还是外部,都做出不可信任的态度来。

接下来是积极防御,除了不断的检测响应分析溯源外,积极防御更多的体现人的价值,人在这个过程去参与对安全的思考,于是我们需要从0开始去搭建网络安全运营人才队伍,提升他们的安全技能,尤其是安全意识,不相信任何已知的被动防御手段。

后面的情报和反制是对安全的更高要求,需要借助更强大的组织或力量来实现,情报来源于各种方向,需要对各类数据进行搜集和分析挖掘,才能创造情报,所以我们也要对情报采取怀疑的态度,验证他的真伪,进而实现反制。环境在变,敌人也在变,所以我们的零信任架构也需要跟随变化。

(本文作者:360企业安全技术专家 张智远)

 

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。