踏实实验室推出万字长篇文章,踏实君结合十年团队经验和二十年从业经验深度整理和剖析了网络安全防御体系如何有效建立,推荐阅读预计20分钟。
前言
这个夏天就想睡个好觉
己亥年庚午月,睡个好觉是安全这个行业大部分人的奢望,除了国际形势、明星分手、网络安全也是最热的话题之一了。
世界走向数字化,现在的世界空间已经完全可以按照物理(Physical)和非物理的(cyber)来划分了,6月20日美国对伊朗部分目标明确发动网络战,这是第一次公开作为攻击主力投入战场,网络攻击成为重要军事工具直接服务于美国的对外政策。也让波斯湾成为首次数字世界冲突的舞台,网络超限实战正在成为整体政治战略的重要组成部分,值得纪念MARK 一下。
图1:数字时代是由物理的和非物理组成的
1999年-2019年干了20年网络安全防御体系,形形色色的见多了,直到今年6月才感觉有点儿网络安全大众化的意思了。具体表现在人们觉得这是个事儿了,原来不问的开始问了,不干的开始干了,虚干的实干了,嗯,理解万岁,意识的转变确实需要很长一段时间,就像每个国家政策出台落地都需要3-5年。
中兴华为事件、委内瑞拉大面积停电、美国对伊朗的网络战已经不断触动了人们神经,又经历了有实战有价值的攻防演练。例如HW,确实促进了很多行业组织各层面安全意识的提升,促进了实实在在安全防御策略的落地,多个视角(攻击者红方和防御者蓝方)看问题总是好的。只有经历了疼才知道痛是啥滋味,尤其是HW排名靠后的……以攻促防推动做好安全防御是个极好的方法,数字时代真安全价值才大,这次同样也是打假的过程,安全圈不大,这几年快成了娱乐圈了,300亿的市场再这么折腾下去变200亿了。
进入5月开始,安服事务应急的事儿多了,主要是因为HW,6月白天晚上的电话多了,好像急救中心电话一样,中招的多了就不会消停,每个电话都是急茬,我和团队就像大夫,总是先建议电话那头冷静冷静请他叙述症状。然后就是听到各种各样的“病情”,VPN被渗透,邮箱被暴力破解,内网被拿下,更有严重者业务数据被勒索软件锁定(这一定是混水摸鱼的),听完后大体诊断,开药方安排人抓药……总体感觉,好多问题其实完全可以提前做好工作,不用这麽着急的手足无措的睡不好觉。这些年一直想写些东西(安全情怀➕安全落地),也没时间,现在突然感觉大家意识可能真的到了。这个文章根据多年网络安全防御服务经验和经历,写个如何建立能睡个安稳觉的网络安全防御体系思路吧,供大家参考。
1 网络安全意识到位确实是首位
意识意识意识,意识第一位,意识第一位,其他第二位,有问题的,有大问题,有严重问题的基本都是意识出问题了,不是技术出了问题。某国家单位首次被攻破被通报要求尽快整改,由于意识问题领导没重视资源没到位。第二天马上又被攻破领导急了开始重视了,每天开始抓工作清点防护体系,工具,组织,策略,发现了大量的没有的安全防护工具没有启用,策略没落地,问中层领导,中层才意识到好多文件下达的都是空的,眼前的宝贝没使用也没落实。第三天再次被攻破,问题又在基层技术管理人员重视边界,忽视内网域策略和管理员密码。甲方邀请我们一起做了复盘,总结的第一点就是这个,意识,意识,意识,不痛不长心啊。
不仅仅是这个案例,他只是一个代表,我和团队经历的这样案例太多了,今年转变的特别的多,很欣慰大家都正常的接受了。这两年我们的汇报对象已经从原来的处长主任们逐步汇报到部长层面了也确实体现了这一点。
2 建立从上到下的有效三人体系
三人是个概念的代表,第一人是领导(组织中网络安全第一责任人),第二人是CSO首席安全管理者(总体安全策略计划制定者),第三人是一线的网络安全防御团队(PDCA执行安全策略落地和运行)。
三者缺一就会有坑,缺的多坑多,被攻击后就一定会死,只是死的快慢的问题。不重视肯定不行,重视且有文件没执行不行,有执行方向不对也不行。安全就是不断的填坑,完善这个其实就是很难的过程。
国内具备网络安全防御体系经验和实战的人才本来就很稀缺,所以坑多也是自然的,网络安全防御体系庞大而复杂,能洞悉全貌者也很少,格局,眼界,层次。单枪匹马独挡一面的大侠也不少,但更多需要的是三人综合体系,这些年见到的有些决策者的格局真不行,水平一般还限制下面人员的发展,例如(某某组织的某某领导,呵呵),有些领导者看问题水平真高,就是中层执行力就一直太差。例如(某行业单位的网络安全负责人,估计HW结束就被拿下了)…一线干活的安服人员其实很多还是挺好的朴实踏实,但也怕好经坏和尚,政府机关有时候就这体制没办法人也换不了,形形色色确实很难见到很好有效三人体系。
3 安全策略落地是关键 有效性PDCA稽核是关键
1999年刚考完MCSE被推荐到一家提供互联网服务的公司,服务的客户就是现在阿里巴巴的客户。在中美两地进行网上商业贸易和宣传的(几百K的带宽哪个慢啊),我们小组的工作就是几百台服务器群的大网管,确保服务器(NT和FreeBSD)运行稳定防止被黑。刚入司CTO吴先生就给我们小组一本厚厚的手册,从服务器OS,WEB, FTP,远程管理软件等的标准安装,每一步每一层的安全策略设置,每一个系统软件服务的关停判断,每一个多余端口的关闭,每一个账户的谨慎开启,每一个系统和应用的补丁,每一个Admin/ ROOT的更名,权限,强密码,一台服务器基本安全设置完成,基本是一天……回忆当年做纯粹技术的美好日子,一转眼原来小组成员只有我还在干安全,直到现在仍然感谢吴先生和安全小组带给我最原始最体系化的防御手段和原理,就是安全策略落地。在当年的安全攻防战中我们防御的确实不错,估计现在已经没有人记得2000年还有一波互联网的高潮,怀念和E国一小时、人人、当当、易趣等战斗的故事,当年我的QQ号应该还是5位数。
20年来,持续走在网络安全防御的路上,体会到不同的领域和境界,技术无敌到技术都不在是问题的时候,看到的往往是其他问题。数字时代需要考虑的内容是综合的,顶层设计和系统的梳理和体系化落地等包罗万象。网络安全防御体系方法论随着时代的发展我们已经更新了第四版(2019版),网络安全防御体系建立的核心目标就是风险可控,大家参考用吧。
图2:网络安全防御体系方法论V2019版
3.1 管理层安全战略的策略制定
官话不说了,核心就是当领导的要知道本组织的信息系统(资产)的重要性,服务的场景对象是啥,组织要明确需要保护的对象(安全方针就是掂量掂量重要不重要)。投入持续人、财、物、服务和必要的合规工具和安全管理及运营工具(安全策略就是组织建立不建立、啥线路、掂量掂量投多少银子),这层做好了方向不会出大问题,基本可以打30分了。原理能这样想网络安全的领导不多,经过HW的检验,估计未来慢慢会多起来了。
3.2 执行层安全路线的策略制定
按照管理层明确的保护对象方向等级,给予人、财物、资源制定具体的工作计划,没有规矩不成方圆,制度要有,要建立可靠的安全组织(自己人十安全服务资源池)。制定安全执行策略,具体制度落地策略,建设,运行,持续稽核,这层做好了,至少40分了(提醒:好多地方都是空制度,现在的经验制度十平台结合是可落地的)。一个明白道理的高情商的安全处处长基本上可以走上正确的方向了,知道如何承上启下,和领导说明白和一线的团队做好策略的去落地,随着发展信息安全首席安全官未来应该是个炙手可热的职位。
3.3 启动安全建设阶段的策略制定
有了上两层的基础,接下来开展工作就好办多了,如果没有上面两层的支持这个阶段基本是不可行的,网络安全保障体系建设一定是围绕业务和数据的,俗称“业务+数据定义安全战略”确定好保护对象和级别,需要协同,需要按照三同步原则(同步规划设计、同步建设、同步运行),选择好规划服务商、建设服务商,踏实规划,体系逐步实现。说的简单,其实这些个环节一个出问题,就是坑坑相连,能按照这些环节都下来顺利的不多。
这些年看到最大的坑有两个,一个是不了解业务和数据抡起来就瞎设计(可恨,比如国家级的某一体化平台),一个是生搬硬套的安全合规标准(可怜,比如某啥啥潮的),多维的业务需要多维的防护,设计不好就会导致降维防护,做不好就是个豆腐渣工程。 HW打瘫的目标对象基本上一种是不合规的,另一种是假合规或者阶段合规持续不合规。
图3:意识不统一导致的防御体系的降维防护
除了上面的坑,要考虑安全已经是体系化大安全的概念了,尤其是现在以及未来的系统建设已经是按照“大系统、大平台、大数据”建设的了,涉及到方方面面。所以不管是自建安全体系还是采用安全服务商承建,网络安全防御体系需要思考的边界已经扩大到供应链安全了(包含这些内容也不仅仅这些内容,软件开发的源代码检测、 提供链路服务、托管服务、DNS服务、CDN服务、安全运维服务、IT运维服务、以及合规要求的管理、技术、运维、测评的各项要求)。尽量可控可信,扎实先把合规扎实了(少看PPT,多看实际效果和系统,从刚需出发到合规,不要仅仅从合规出发,花架子没用,基础安全还是挺重要的,不要被新技术忽悠了)。这些做好了可以是50分了,还没有开始建设就要考虑这么多,磨刀不误砍柴工,谋定而后动才是正道。
3.4 安全体系建设阶段的策略制定
啰嗦了这么多才开始准备如何建设了,网络安全防御体系的建设是个大工程,不同的人理解不同。汇总起来就是一个风险控制目标、两个视角(国内合规、国外自适应)、三个领域策略融合(管理、技术、运维)、 四个体系独立而融合(防御体系、检测体系、响应体系、预测体系)的建立可视、可管、可控、可调度、可持续的弹性扩展的一个很NB的安全管理及运营中心 (简称“12341)。
一个风险控制目标:评估保护对象当下的防御成熟度,制定防御成熟度目标,持续动态评估完善程度和风险程度。
图4:网络安全防御成熟度阶段与目标
两个视角之一:国外的自适应安全体系包含四个子体系建设。防御体系、检测体系、响应体系、预测体系,四个子体系分下来又是很多。例如网络层检测,传统都在用IDS \IPS ,其实对于新型攻击都已经失效,2014年以后我们的检测方案已经采用全流量层检测分析了,网络层的IDS\IPS其实已经过了价值周期.又如主机层检测,高级马都已经免杀了,传统的安全检测只能防住小贼了,呵呵不说了说多了得罪人。总结一下检测体系的建设一定要由浅到深,由点到面,由特征到全面。国外的安全行业特别侧重检测体系和响应体系的建设,近三届的国际信息安全RSA大会主流也是这个为重点,纵深防御体系的理念也影响了国内安全若干年,其实态势感知预测体系国外也没有落地,还在概念阶段。Norse用假数据欺骗了大家,到2017年倒闭了,国内的安全忽悠们还在用“地图炮”忽悠行业外,态势感知是个大命题,PPT和大屏版的假数据基本把这个领域带入一个坑,一个安全大会满天飞(假数据)已经引起这个行业大多数人的反感。
两个视角之二:国内的等级保护1.0– 2.0的合规体系,一个中心, 三重防护的落地。等级保护1.0从04年–14年10年历程不容易,确实要感谢为中国信息安全和等级保护做出贡献的这代人,从安全一个点做到完整的基本防御体系,为中国信息化和信息安全的发展奠定了一个基础。让大家有了一定的安全防御体系的概念,我们很有幸带队做了无数的等级保护和FJ保护的项目。这个领域我们要说第二,估计第一确实要空缺,经验给了我们方法论又应用在实践,实话说等级保护1.0做好了就已经很好了,关键是应付的多落地的少。2014年,云开始规模落地了,数据汇聚了,应用一体化了,物联网、移动互联……,1.0确实不再适用了,14-19年5年的历程,2.0的出台也不容易,仔细看看和研读,按照标准做好了,落地了就踏实了。合规还是基础,三重防护(计算、区域边界、通信网络)是重点的基础性防护建设;然后重点分层保护,资源再多也是有限的,大门和每个门是最关键的,核心保护对象和边缘保护对象的防御,检测,响应,预测体系逐步完成,安全策略一点点上。最小原则开始逐步放宽,到平衡后划个基线,就不要随便动了,关于安全管理中心的坑,这是也个大命题,后面讲吧一些老前辈的思路已经不适合未来了。
其实这两个视角都还不错,哪个做扎实了,都可以打70分了。面对甲方层次不同的要求和理解,根据实战经验我们把国内外理念叠加汇总形成网络安全防御体系建设落地的框架供大家参考。
图5:网络安全防御体系建设落地的框架
3.5 运维&运行阶段安全策略的制定
这个阶段原来的理念是七分建设,三分管理和运行,现在的实践表明更合理的是三分建设七分管理和运行, 网络安全防御体系最后一关就是体系合成和运转。合规是基础,策略很关键,落地良运行,保障成体系。我们服务过国内和国外两种客户,最大的不同就是国外企业ITIL+安全管理贯穿可以落地,国内很难,分析了很久可能是文化或者体制的问题,很多的部门设置,运维处和安全处是分开的无法协同,其实ITIL原理和国内的ITSS都还不错,那个落地了都可以确保运维运行阶段的安全策略落地。安全策略这个词从安全战略制定一直贯穿到运维,这个是一条线的,叫法不同但核心意思就是将战略、制度、流程、人员、工具、安全管理和运营平台一体化运转起来。这样的方式做好了运维运行阶段就成功一大半了。其次,安全管理和运行的大平台的建立是关键,其实安全和运维是分不开了,现在运维工具是运维、安全管理是安全,孤立的系统永远不成体系,人员或者岗位一变动就出问题。HW当中防御体系暴露出来的主要问题其实就在这个关键环节,完成这个环节,可以打90分了。
4、攻击方和防御方的对抗视角
要想做好网络安全防御,就要站在攻击方的视角看问题,网络空间HK惦记的就是你所守护的,沈院士描述的霸权国家、敌对势力、黑客组织和你所守护的对象防御程度成正比。
4.1 寻找目标 l 减少目标暴露面
其实攻击者也很累,如果攻下来的目标价值不大甚至被反制,攻击者也会很郁闷,浪费时间和心血也是很耗功力的,初学者会因为兴奋而攻击,老炮们要是没有激励和内在动力。其实也不愿意熬夜了,拿下目标的瞬间荷尔蒙飙升、圈子里的扬名、财富以及为组织增光是主要激励,所以寻找合适的有价值的目标是攻击者的前提。
对于防御者来讲,就是了解自己保护的对象对黑客的吸引力,尽量减少暴露面,IP,端口,服务,主机名,操作系统、支撑软件,web服务,不是自己必要直接外露的,能减少就减少,能在深宅大院,就不要在街口开门。
4.2 收集信息 l 反信息收集
对于攻击方来讲,目标确定后会通过各种方式进行信息的收集,可以采用社工的方法收集关键人的互联网喜好和惯用的工具等等,也可以仅仅是IT信息,信息越多攻击者就可以结合使用,对于高级目标,几个月到半年甚至更长的时间,一点点收集。
对于防御者来讲,自身个人的信息,守护对象的信息、外包商服务商的信息、采用的IT系统的信息、暴露面的信息,入侵监控的信息,都是需要保护的和提高警惕的。
4.3找弱点 l 减少弱点
对于攻击方来讲找弱点的方式,最简单最暴力最直接的就是采用大型扫描器,分布式扫描器,一个目标的地址段暴露面都是弱点集中的地方,往往一次大规模的漏洞爆出,就是找到弱点最简单的办法。不管是网络层的、系统层的、应用层的还是弱口令的。这些简单弱点就是入门第一选择,当然,Oday另外再说。
对于防御方来讲如果平时的弱点管理的好,及时更新,动态监控做的好还可以,往往弱点的爆出没有及时的采取措施,很可能在这个时间差就已经被侵入了,实践经验中弱点的管理需要交叉异构。我们做了一个站在甲方视角的弱点管理平台,效果确实还是不错,曾经出现的一起事件,某盟的弱点管理发现了问题,但由于操作系统厂商已经没有了,虽然也发现了但没有预警,其实甲方还在大量的使用此操作系统,交叉使用的弱点管理平台起到了很好的效果,预防了一次较高级别的APT攻击事件(两会期间)。
4.3 强盗式进门攻击 | 第一道防线
DDOS用的越来越少了, 主要是太野蛮也暴露的太快,现在的云服务商、运营商都已经有很好的防护了,加上监管单位打击,这种方式确实实用效果一般。现在强盗式攻击反而采用字典爆破成为主流的,验证码绕过的也不少,12306经受了多少次的洗礼,特色的验证码就是证明,这个领域的防护说起来一点都不难,但这个领域出问题的也是最多的,可以说无知者无畏。总结几点线守则,对外服务的系统甚至内网的系统,多重验证是非常必要的,安全策略加大强制弱口令不得生存,关闭不必要的服务、端口和清理root账号。软件开发商稍微懂点按照安全软件编程开发和防范,其实就这些,一个系统这里的投入不会超过几十万就基本可以安心了。
4.4. 温柔式内网攻击 | 第二道防线
静默型攻击从08年以后就是主流了,大规模的炫耀式的病毒攻击基本消声觅迹了,都已经悄悄地进入打枪的不要,APT、APT、APT是我们天天防护的重点。就如我上文所说,攻击者也很累,现在没有人愿意敲锣打鼓的去说我要攻击你,更多的就是低调低调低调,第一道防线被撕开口子的概率是比较大的,一但进来如果防御者做的好,攻击者就是进入深渊的开始,每个不合适的内网嗅探,试图提权,异常行为,其实很好抓。我们现在总结出来经验,基本上进来的APT跑不了,要不不敢动,一动就会发现。总结几个关键点,全网全流量监控,全网主机系统监控,控制好有限的特权用户/普通用户账户并进行行为监控,安全域策略最小化原则并动态可视监控,在核心主机和数据系统里做好黑白名单的可信验证。一点也不高深特简单,不用PPT吹NB,做好落地了基本保证第二道防线没问题。我们把这些统合起来做了个系统,称为防御平台核心检测功能,现在用了的客户都没有被HW干掉,实施一个满意一个,我们也特别有成就感。这个估计未来会成为主流的趋势,实干简单清晰化防御体系里的检测系统,感谢PCSA联盟的KL,QT,ZX,SBR,ABT,CT,ZR,kx (科来、青藤、中新、圣博润、安博通、长亭、中睿、可信….)安全能力者们。你们做的探针真的很NB,也确实是未来的安全中间力量,和品牌没关系,要看能力,真安全未来大浪淘沙。
5、关键信息基础设施防护之关键点考虑
等级保护2.0已经颁布,关键信息基础设施保护相关的细化标准政策估计也会很快出台,数字时代这些内容都会在网络空间承载。
按照方院士的定义网络空间是一种人造的电磁空间,其以终端、计算机、网络设备等为平台,人类通过在其上对数据进行计算、通信,来实现特定的活动。
在这个空间中,人、机、物可以被有机地连接在一起进行互动,可以产生相应的内容、商务、控制等影响人们生活的各类信息,数字中国万云时代,万种场景、万物互联,所以讨论关键信息基础设施防护需要聚焦落在几个领域为好……
图6:承载国家关键信息基础设施之关键要素
5.1 平台安全
宏观的平台概念太大,具体细化在我们微观的理解中数字中国的特征未来会有无数的平台,例如城市大脑的泛在感知物联平台,支撑工业制造的工业互联网平台、支撑政务云的政务云平台、支撑数据的数据中台,支撑应用的支撑平台,支撑12306的客票平台、支撑电网的调度平台、支撑中小企业的公有云平台(租户+云),支撑大家吃穿住行的电商平台、政务服务的一体化平台、行政监管的一体化平台,每个平台承载的都是一个区域、一个行业、一个场景,现在网络安全行业在每个层面都有新的安全从业者在研究和探讨,概念太庞大。我们已经在研究的就是企业级、行业级、城市级、国家级关键信息基础设施平台防护的要点,2018-2019年,踏实实验室和PCSA联盟和CETE也沟通落地了上海嘉定新一代基础设施的城市及安全管理平台,还是需要很多专门地方需要探讨,随着新一代信息基础设施的前进而前进。
图7:城市级平台安全管理及运营
5.2 数据安全
说起数据安全,先说一个概念两个维度两个热点,一个概念就是数据的基本分类( 国家级、行业级、城市级、企业级、群体级、个体级),个人数据有可能也是国家级别的防护,国家级的数据也有可能之采取个人级别的防护。
两个维度,一个是站在数据的价值维度看重要性(数据资源级别—保安级、数据资产级别—保镖级、数据资本(流通)级别—武警级、数据托管(交易)级别—银行级)的新思维(海关刘处的思想),一个是站在数据全生命周期维度看重要性(采集、传输、加工、处理、存储、销毁)的传统思维。
两个热点,一个是各地大数据局政府机构的成立,数据共享、交换、流通,2014年我的硕士毕业论文提到的现在政务的“盲数据、死数据”未来都会随着数据的流动起来产生价值。一个是公共平台隐私数据的保护,数字时代APP和网站以及其他公共设施收集的每个人的身份信息、手机信息、地址信息、人脸信息、支付习惯信息、吃穿住行信息….想起来就恐怖,这个环节基本上还没有啥政策要求,其实这个也是个大市场,当然需要监管的来临,商人自发花钱保护客户信息的可能几乎没有。
总之,数据安全这个范畴可研究和讨论的很多,数据成为有价的资产肯定的确定的,数据有价值肯定是要流动的,不流动就不会产生价值了。所以未来大部分场景都会有数据的提供者、数据的运用者、数据的管理者、数据的使用者、但更重要的是数据合理合法使用的监管者,数据流动安全监管就成为数字时代的重大命题,应用安全能力者不同的安全能力在数据流动的不同场景进行有序和安全的管理就是我们和PCSA联盟和某地大数据局和某行业沟通现在正在做的事情。全程可视,状态可查,权益可管、权限可控、流动可溯、易用扩展。
图8:数据流动安全监管
5.3安全管理中心和运营
前几年出国游学和参观时通过朋友参观了几家美国大的云和互联网公司,其中重点是参观安全管理和运营管理,庞大的规模和监控和运营中心由于不能拍照无法描述。在整个参观的过程中给我最大的感触就是几个关键词、事多、人少、全程可视、自动化。这几年在国内信息化建设过程中看到的场景基本上也是这样,没有良好的大安全管理中心和运营中心,任何系统想要长久的安全运行保障基本不可能。2005年开始国内开始有了安全管理中心和平台1.0雏形现在已经被淘汰,2009年安全管理进入2.0,在CC某V和某关、某社我们看到的和审计多个项目,钱花了不少,事情也干了不少,但确实也没起到相应的效果体现价值,收集大量基础数据进行关联分析这个思路,在基本上没有标准、没有生态、没有深度检测能力等等必要的保障。安全管理2.0只能活在PPT和情怀里,这10年我和团队接触过国内99%的安全管理平台,也帮助客户建设了数百个所谓的安全管理平台,实话说我没有看到一个高效的和有高价值的。16年开始,我们的网络防御服务接受了挑战,考虑到未来进入数字时代,安全管理是重中之重,我们给很多生态伙伴提供了思路和想要的安全管理中心的样子,比如围绕保护对象与运维合力成为保障能力中心,管理和建立四大体系,要有深度检测。例如关键业务数据和安全与流量精密关联,让ID和IP清晰自如的展示、让访问路径实时动态可视等等,形成企业级、行业级、城市级的安全管理和运营等等,很庆幸,2017年以来我们理想的安全管理逐步实现了。态势感知逐步实现,这个领域落地的案例已经很多了,也获得了工信部的试点示范,在HW中也有很好的表现,没有白费力气,浪费我的白头发,未来我们会和生态伙伴一起迭代好这个平台,力争成为未来网络防御体系的主力军。
图9:安全管理及运营
6、等级保护标准中不会提到的经验
6.1 注意应用的底层框架选择和应用之间的松紧耦合要适中
从Struts2的漏洞爆出和coremail的0day,主流应用框架的选择,尤其是对外提供服务的Web和mail,一旦底层出大的安全问题了,会导致整个系统都需要重新构建了。由于很多开发者不回去考虑安全性的问题,往往从易用和易构建的角度去考虑,系统和底层架构是紧耦合的不可轻易分离,严重漏洞的出现,不能修补,勉强弄弄安全运行也有问题,不修补也不能再上线了。这个问题出现后只能重新架构和开发了,经济损失极大,这也是我们12年经历的血淋淋的教训。
6.2 注意品牌一致性误区和大小众品牌的选择
这个点也是几个案例的体现,主要提醒大家IT主流品牌一定是APT攻击者的重点,因为发现一个0DAY,基本上和挖到金矿一样,我们经常在网络安全防御体系建设中看到品牌一致性的要求。从统一管理的角度上来说也是对的,但一旦出现0day或者被攻破,基本上就是全军覆没,充其量就是个马奇诺防线,而且大厂的OEM产品太多,其实每个安全厂商真正的安全能力不会超过3-5个,其他都是非重点能力。一个安全能力没有3-5年的研究研发,不可能成功的。这些年我们总结经验就是大众品牌选择部署可以在外围,解决复杂管理和高性能、高可靠性,在核心数据区或者关键管理区选择小众的品牌,或者多层异构。例如:在新**全国大网的设计上,纵深防御选择了6个品牌(非OEM)的红、黄、蓝区、数据、管理、业务在不同层,有解决性能为主的,也有解决高安全性为主的、也有解决高策略最小原则稳住的,可能都是防火墙,设计时也会有不同的侧重点。管理和安全性一定是平衡使用的。
6.3 多角度能力异构的灵活使用
同类型功能不同能力者的异构其实在管理者眼里是麻烦的,但在攻击者眼里同样也是麻烦的,如果做好落地,呵呵,累死Y的。例如防火墙多层异构解决避免一网通杀、防护策略失效的问题,防病毒网关、桌面防病毒和沙箱邮件追溯异构解决病毒木马、钓鱼邮件的交叉检测和查杀,威胁情报和弱点管理不同供应商的异构解决风险管理的全面化,多重身份认证和特权账号不同认证异构解决被轻易获取权限一路畅通,陷阱和蜜罐的异构设置可以让攻击到内网的黑客一头雾水。总之,不同的安全能力之间的多角度异构的灵活应用会给APT攻击者一路障碍,这些花不了多少经费,但确实有效,唯一的就是给管理者有一定难度,需要将统一管理的平台做好。
6.4 高级马是一定会免杀的
无论你用的是多高级的病毒软件和木马查杀软件,记住一点,任何高级货制作出来的第一步就是跑一遍所有的主流病毒和木马查杀软件。一个好的马,制作不容易,传输不容易,运行不容易,弄不好还被反控了,所以高级马是不容易对付的,加上中国在EDR领域一家广告公司独大,其他基本被消灭,这几年才出现一些新能力,所以,一家主流的免杀后,高级马基本上解决了大部分的问题。
6.5 供应链安全开始要注意了
也许你没听说过的方法未来都会出现,一个外卖小哥、一个保洁阿姨,一个好久不联系的朋友到了办公区,他们离开的时候,会留下继续进来的U盘状的无线发射器当作跳板,一个供应商送入的一批服务器和交换机在芯片上有可能的后门。有个电视剧叫做“密战”,建议大家看看,一个外包的软件开发商交付的代码中间有隐藏的不应该的代码,一个离职的安全管理员仍然可以拨入VPN,用root权限获取数据……这些都是现在以及未来可以发生的。
6.6 多重身份认证和易用的平衡
网络社会,EID的认证和识别是关键中的关键,互联网个人隐私泄密太多,通过社工的方式可以轻易获取一个既定目标的网络行为方式(网络习惯、网络id、网络密码)。人的习惯是很难改变的,所有认证的用户名,密码总是那么几个,一但破解全网通吃,HW期间碰到的单认证方式和特权用户被拿下,其实还没用到社工这种高级货。说白了,我们现在的政府企业每个单位先检查一遍全网的特权用户管理就明白了,70%的特权用户就是没有被管理、被监控,更别说其他的用户了。
7、未来其实已经在身边
7.1 安全和运维会合成综合能力保障体系
数字中国万云时代,万种场景、万物互联,大数据、大平台、大系统的建设模式是中国现在以及未来的模式,政务服务一体化、行业监管一体化、城市大脑运行一体化、工业智能一体化。不可否认,数字中国急切需要打通数据孤岛,公共服务更便捷、效率更高、更智能、更便捷、行政监管更准确、更有效,数据越聚合越重要,黑市价值越高,攻击者越多,保障体系就越需要更紧密,不得不形成“大安全大运维”的合成能力保障体系,才能确保业务的安全稳定运行。产品堆砌的时代以及过去了,服务才是真价值,安全服务高级人才稀缺会更大。听说HW驻场的人有一天一万的,恭喜安全人才价值提高了不少。
7.2 中国式安全逐渐走向务实
世界的安全,未来会是中国式的和非中国式的,看好数字中国的开启模式,百花齐放,开源开放万种场景、万云时代、万物互联、(云、数据、应用、智能、智能制造、泛在感知、小到一个人的吃穿住行,到一个城市的实时运行,到一个社会的公共安全、到一个行业的智能发展,离不开新模式、新技术、新应用。同时一个十几亿人口的大国也必将走向自主可控,中国式网络安全会走向和世界不同的方向,也会越来越务实。
7.3网络安全产业需要供给侧的改革
中国网络安全产业相比国际同行处于弱势,在国家高度重视网络安全的背景下依然难以依靠自身力量快速做大做强,持续下去将在国际网络对抗中愈发落后,最终损害对关键信息基础设施的有效保护能力。
当前我们虽然也面临资金不足、人才匮乏,但更需要有好的环境,好的平台,好的政府扶持政策,通过网络安全产业的供给侧改革让更多的创新者、创业者,通过统一窗口、统一平台有机会展现创新能力,在网络安全科技领域中不断贡献力量,通过基于实战的靶场演练,不断提升国家关键信息基础设施防护水平。
2018、19年参加了几次工信部和WXB关于网络安全产业的调研会,圈子里的专家其实共识度还是挺高的明白人不少,大部分观点不说了就说创新这一件事情,把它做透了就需要很多方面的合力。比如国外的合作是A.B公司的能力叠加,在国内就是大品牌的OEM,鼓励小品牌,新能力的合作。比如国内公共靶场的建立,让大家创新能力有练兵之地,总不能违法乱纪,也不能闭门造车吧,比如建立国家级的生态化安全能力展示平台和中心。让大家都有露脸的秀肌肉的地方…..供给侧的改革,确实需要百花齐放和有效的政策扶持。
7.4不能再用民兵方式对抗攻击链
现在的攻防大赛、武器库、漏洞库,不管是为了实战还是演习,攻击方现在已经新型攻击武器平台化武器库快速有效渗透,说白了已经是集团军作战了,下图示意一下,呵呵,不代表其他意思。
图10:数字时代是由物理的和非物理组成的
现在我们看到的大部分行业、企业的网络安全防御现状基本上是民兵式的,没有正规的组织建制、没有持续的和合适的后勤保障,没有先进的防御和反击工具和武器,未来这种防御体系基本上都是炮灰,不信明年HW见。不多讲了大家都懂见下图:
图11:“民兵式”网络安全防御体系
7.5未来需要的是网络安全防御综合平台
这个是我们最近对于未来5年的研究方向的框架确定,有些涉及到商业秘密不方便公开说了,有兴趣的一起交流,也可以一起加入进来,为自己、为企业、为国家做些事情。
图12:踏实实验室研究成果网络综合防御平台框架
结束语
列完提纲也陆陆续续的利用业余时间写了20天,也算一气呵成,不是写书写论文所以随性了些,毕竟是网络安全有些地方意会大于言传。也确实还有好多的话也没说完,比如云安全的误区、比如数据流动安全监管的未来、比如工业安全的坑,比如说信息安全、网络安全、数字安全的区别……以后在和大家一起讨论吧,文章中的案例和思考都是团队这些年的经历,肯定也有很多不见得大家都认同的地方,欢迎指正。期望未来中国网络安全产业更好,毕竟我的青春献给了这个产业20年,也想用本文纪念和致敬一下过去的20年。