网络安全滑动标尺模型(The Sliding Scale of Cyber Security)是2015年美国系统网络安全协会(SANS)首次提出,将企业在应对外部攻击时的五个信息安全能力阶段,分别是架构建设、被动防御、积极防御、威胁情报以及进攻反制(略)。
安全能力的构建离不开产品的支撑,结合本次会议的论坛、展厅等内容,试图从网络安全滑动标尺模型的角度尝试着进行一次总结:
1、架构安全
“现在我们一只脚已经迈入数字时代,但我们的安全信任机制还停留在工业时代。”重构网络安全信任机制是本届会议印象最深的关键词之一。
1)区块链技术
区块链技术是这次会议的热点,来自柏林工程和经济应用科学大学的教授Katarina Adam带来了题为《区块链如何加强网络安全的防护》的主题演讲,她主张运用区块链技术为网络安全方向提供一些能力,在建立信任机制时,可以使用区块链技术,这是让人耳目一新的观点,既然现在网络信任机制要创新,为什么不试试区块链呢,这个技术本来就是解决信任机制的,这是一个从构建架构安全能力的点上给出的方向。
但同时也带来了区块链安全和用区块链技术做安全的很绕口的问题,都是新技术,到底先解决那个问题呢?
2)零信任网络体系登场
《零信任网络》一书的作者Evan Gilman发表了《零信任网络:在不信的世界构建可信网络》的演讲,向与会者展示了什么是零信任网络,如何通过零信任网络构建可信网络,"基于零信任的身份安全理念,架构及实践"、"现代身份管理与访问控制"无不印证一个时代的来临,“80%以上的攻击都是来自于内部机器,内部角色,但不是内部员工,凭证被盗取,身份被盗用充斥整个内网,权限授权过大,权限一成不变难以根除”,都说明了旧的身份管理体系在当今数字时代需要变革,架构安全信任机制需要重新梳理,要 求变,未来零信任网络架构会是一个新的架构。
3)关口前移
360企业安全集团总裁吴云坤在他的演讲当中提到,做安全要同步规划,同步建设,同步运营,要将关口前移,是指把安全保障前移到信息化的早期。这样做会形成一个很好的结果:
"把安全内嵌到系统中,而不是建设完成之后外在修补,这样可以从本质上提高安全保障能力"
安全规划和安全架构从时间点上高度一致,一个组织的安全能力最初一定来自于好的规划,安全架构则是好的规划的关键点,架构安全还是从规划阶段做起更好
4) 微分段技术
加州大学伯克利分校电子工程与计算机系教授、Corelight公司创始人Vern Paxson强调"在企业网络安全防御体系当中需要考虑两点。其一是可见度,它能够使我们清楚地了解到企业的网络环境情况,检测威胁,减缓威胁,有效减少损失;其二则是对于各种情况的控制度。事前事后的分析越多,可见度也会随之提升"另一位嘉宾也在他的演讲里强调了微分段技术被作为取代防火墙的技术,这些概念的提出,也从基础架构层面上给出了一些防护和减小损失的建议,我认为也是架构安全的一个创新点,在做安全架构时结合微分段技术,更能做到精细化的控制和运维。
总之,架构安全在本次的会议上虽然没有很明确的主题词,但参会嘉宾的观点和方向还是能看出来一些传统安全架构需要改变的思想的。
2、被动防御
1)被动安全能力的构建,一直是传统安全的聚焦点
在本次的展厅中也有涉及,在参展的过程中,厂商呈现出在特定领域更为专注的趋势,没有讲大规模解决方案的,都是聚焦在一些新方向上,其中,云安全,数据安全的厂商占比较多,一些新的方向和更为细化的场景较多比如移动安全,身份认证,数据库防火墙等,展厅的情况也能从360企业安全集团董事长齐向东的演讲中得到验证。
"未来对360企业安全影响更大的,不是现在和我们体量相当的一些公司,而是一些100-200人的公司,这些真正从技术上进行创新的公司举全公司之力,在整个网络安全市场里头选择单点进行深度突破,他们一定能够获得强大的竞争优势。这些公司应该是我们的激励者,不断地给我们敲警钟。"
2)第二个方面传统安全领域的产品走向
一些参展的传统厂商围绕着自己的核心产品,一方面在做提升产品质量的工作,让产品能够进入到更多的关键场景中,另一方面围绕着产品的核心能力,逐渐向更高的能力方向上进行构建,在参展过程中基本都提到威胁情报,安全监测等方向。
3)高中低位能力中的被动防御
"低位能力相当于人的“五官和四肢”。它位于架构安全和被动防御阶段,通过部署终端、边界等安全产品,实现数据的生产和采集,负责听、看、闻、尝、取,以及在大脑指挥下采取动作行动。"
综合,被动安全能力的构建一方面展现出传统安全能力的升级,为产品插上大数据翅膀,另一方面是产生了很多解决特定领域安全问题的创新性企业。
3、积极防御
积极防御也可以称为主动防御,主动防御的前提是主动监测和有效检测,在展厅内印象最深的不是出现了多少个安全产品,而是出现了蚂蚁金服安全应急响应中心、平安集团安全应急响应中心,360补天众测平台等单位的入驻,他们一方面向参会者展现自身安全应急的能力,另一方面在“找人”,还出现了平安集团安全应急响应中心对漏洞明码标价的情况,看来SRC已经被众多甲方接受,数了一下最少有7个互联网公司的安全应急响应中心出现在了展厅上,如何实现主动监测和有效检测,这些中心给出了最直观的答案“人是最重要的”。结合本次会议的两个论坛,有《关键信息基础设施安全保护与专门人才选拨培养高峰论坛》、《中国网络安全产业人才培养体系建设论坛》两个论坛都提到了人才培养的重要性,以前做安全是合规驱动,但引入了众测模式,将为企业安全插上了事件驱动引擎,挖自己的洞让别人无洞可挖。
4、威胁情报
构建威胁情报能力,这是本次会议最热的关键词之一,《安全的复杂与复杂的安全》肖新光从一次网络攻击入手,直观的解析了网络攻击发起过程中的技术、人员组成和武器装备,而清华大学教授段海新《端到端安全通信协议的理想与现实》中的研究结果揭露很多我们不曾见到的隐藏杀机,两位大咖的分享,数据翔实、逻辑清晰,让人震撼,这也为建设威胁情报能力提供了最直观的证据,我们需要这些情报,这些情报如何能为企业提供服务变为了最为关注的话题。
威胁情报在实践过程中的落地引起了参会者的兴趣,相比以前,问题也从简单的问“可视化界面是怎么实现的”,变成了“你们威胁情报是怎么生产的、怎么保证准确性等问题”,简单统计一下,一半以上的参展者都提到了威胁情报在解决方案中的地位,这个领域真的是燎原之势。
(本文作者:360企业安全技术专家 刘磊)
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
