产品经理看RSA:网络战争是一场身、心、灵的较量
作者:星期一, 二月 27, 20170

安全圈甚至IT界春节后这几周的热门话题非RSA2017大会莫属,作为产品经理看RSA系列报道的终结篇,我想有必要帮各位读者重新扒一扒历史。

RSA的起源要追溯到40年前,1977年当时麻省理工三位研究员罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)合作提出一套公钥加密算法,并以他们三人的姓氏首字母命名为RSA算法。1982年这三位兄弟共同创业成立了RSA Data Security公司,并将这套算法作为商业软件推广销售。经过10年的不懈努力,1993年RSA体系已发展成为全球IT行业公钥加密领域的事实标准,RSA让密码学普及到了千家万户并奠定了密码技术的应用基础。而经过数轮资本更迭,RSA现在是隶属于Dell集团旗下EMC公司的信息安全事业部,提供完整的信息安全解决方案。

rsa%e4%b8%89%e5%85%84%e5%bc%9f%e5%90%88%e5%bd%b1-600

RSA三兄弟合影

看来RSA大会最大的冠名商就是RSA公司本身,说到这里,大家可能会比较心理不平衡了,凭什么一家商业公司主办的会议成为了安全行业顶级的盛会,而不是由某个第三方组织或协会主办更显得中立,这让Dell公司的竞争对手们情何以堪。然而不仅是Dell的对手HP、华为、IBM、Cisco等巨无霸每年常驻最豪华的北馆黄金展位,更有来自全球大批的安全行业创新创业公司争相涌入会场,这场大会自然有他的神秘魅力。RSA大会起源于1991年一次仅有50人参加的加密理论、技术与标准研讨会,变革要从1995年说起,那年的会议组织者脑洞大开,决定用一个主题故事来讲述当年的网络安全市场发展与走势,当年选择的主题是古埃及圣甲虫印,以此来代表加密技术会像神圣封印一样重要,来保存数据世界的完整性与合法性,这种形象的表征让安全从业者眼前一亮。从此之后,RSA会议慢慢演变为探讨安全行业趋势和风向的聚会,直到今天成为每年有45000人参加的盛会。当然信息安全领域的学术理论与技术标准会议论坛很多,RSA会议绝不是学术水平和行业权威最高的,但当前一定是全球领域商业意义最浓的安全行业盛会。

rsa%e5%85%ac%e5%8f%b8%e5%8d%a0%e6%8d%ae%e4%bc%9a%e5%9c%ba%e6%9c%80%e5%a4%a7%e5%b1%95%e4%bd%8d-600

RSA公司占据会场最大展位

安博通公司从创始之初便一直重视前沿跟进与国际交流,今年已经是安博通第五年参加RSA大会,而且是第一年以参展的形式参会。每年参加大会,都会发生有趣的故事,都能有丰硕的收获,愿意与大家一起分享和感悟。

%e5%ae%89%e5%8d%9a%e9%80%9a%e5%b1%95%e4%bd%8d-600

攻防是不平等的较量

RSA的主会场近几年基本都固定在旧金山举办,硅谷是孕育创新技术的摇篮,大部分网络安全企业的总部都设立在此。独特的地理位置造就了旧金山地区常年风和日丽的适宜气候,自由多元的文化氛围吸引了来自全球各地的旅游、求学、创业和流浪者们。由于外来人员结构复杂,加之城市监控等基础设施不完善,旧金山市区也是有名的治安头疼区。笔者一行在北京生活安心惯了,到市区的当天便接受到异国友人对我们放松警惕的热情“提醒”。就在我们于知名景点下车拍照的20多分钟时间里,车窗被砸的粉碎,多个遗留在车内的背包丢失。去临近警局报案时工作人员慢条斯理习以为常,警官说旧金山每天有大量的类似事件发生,一定要自己时刻保管好财物,就算一件夹克留在车里,也可能招致车损财破,因为犯罪者的作案成本太低!

%e8%bd%a6%e7%aa%97%e8%a2%ab%e7%a0%b8%e7%aa%83-400

笔者一行车窗被砸窃的作案现场

攻击者的成本太低

是啊,砸车贼可以在几秒钟内轻易敲碎玻璃并拿走财物,又没有监控和巡警威慑,对他来讲这个犯罪成本确实太低了。真实社会是这样,网络空间不也是同样道理么,晚餐期间我们与硅谷几位产品经理一直在探讨这个问题。在美国的网络地下黑市里,各种攻击工具和遭泄露的数据在被成批量的贩卖,有些价格可能就是几个美金。我们通常在谍战大片里看到的“黑客”似乎都是顶尖高手,但真实的状况里就算是个稍微有计算机基础的高中生,参照工具使用说明,就可能发起一场网络攻击。因为攻击者在任何时间,任何地点,找到任何一个漏洞,就可以开展攻势,而防御者根本无暇顾及,攻击和防范是完全不平等的较量。就在本次大会开场的第一天讲座里,RSA新任主席Rohit Ghai也提出了相同的论调,“网络技术越发达,漏洞和威胁就越来越多,坏人只会越来越多,好人根本不够用”。

rsa%e6%96%b0%e4%bb%bb%e4%b8%bb%e5%b8%adrohit-ghai-600

RSA新任主席Rohit Ghai

防御者的事业很伟大

我们务必要打破往日的固有认知,网络攻击者其实并不是各个高深,这些人里当然有顶尖的黑客大盗发起潜伏式定向精准打击,但更多的是初级的小偷小摸制造的随机事件。防御事业才真正更挑战和神圣,因为防御者要千方百计防止形形色色的攻击者进入,而且要尽量考虑持续性和全局性。就像几千年前建造的伟大防御工事万里长城,可以屹立到今日不倒,成为千百年来众人膜拜的对象,甚至在现代化军事的今天还能发挥一定作用,而当年进攻冒犯的那些铁戈胡马,早就淹没在那灰泥尘土的历史长河中(说到这里有点热泪盈眶,真为咱们这些构建网络空间防御体系的工作者感到骄傲)。

%e4%b8%87%e9%87%8c%e9%95%bf%e5%9f%8e%e6%b0%b8%e4%b8%8d%e5%80%92-600

此处必须配图万里长城永不倒

任何一场战争都是身、心、灵的较量

回顾历史上各种伟大的战争,我们可以看到很多不平等的较量。解放战争就是典型的案例,国军手握当时最先进的美式装备武器,拥有齐备的黄埔系高级指挥官梯队和作战知识体系,却硬是输给了伟大的人民解放军。从这场战争联想网络战争,我们又能得到什么启示呢?

1. “身”是武器装备

正如一个人强壮的体格,在一场战役中,装备和武器是获胜的基础。既然是打仗,基本的城门枪炮是必不可少的,网络中基本的安全产品也是必备的,RSA大会上我们可以看到CheckPoint、Juniper、Fortinet等防火墙厂商依然占据着最大的展位。当然也有大量公司展示着更加先进的装备,从底层物理环境保护、代码层防护一直到用户和应用层防护,就像坦克舰船飞机一样来构建整个立体的防御身躯。展会上口袋紧张的客户还在仔细对比各厂家基础产品的性价比,而不差钱的高端用户们热衷追求最先进的装备来武装自己的网络。国内我们每天也可以看到大量的土豪招标,动辄成千万上亿的采购各类安全硬件和软件。然而就像当年的国军,拥有这些先进武器就能一定赢下战争么?

%e5%9f%ba%e7%a1%80%e5%ae%89%e5%85%a8%e8%ae%be%e5%a4%87%e5%8e%82%e5%95%86%e4%be%9d%e7%84%b6%e5%90%b8%e5%bc%95%e5%a4%a7%e6%89%b9%e5%8f%82%e8%a7%82%e8%80%85-600

基础安全设备厂商依然吸引大批参观者

2. “心”是情报工作

我们从各类典籍和文学作品中看到,解放战争时期是我党情报工作发展的最高峰。从揭穿和谈骗局到决胜三大战役,情报系统发挥了关键作用,被周恩来赞为“迅速、准确、及时”,甚至说“蒋介石的作战命令还没有下达到军长,毛主席就先看到了”。战争中情报工作讲求敏捷和精准,就像一个人的心智一样,一定要聪慧细腻。在网络空间中,情报工作过去一直被忽视,本次RSA大会上美国国土安全委员会主席Michael McCault的演讲中就提到,当年9.11事件前夕,大量威胁情报其实已经在网络上出现,但国家相关部门压根没有监控和共享,从而酿下惨剧。在一场网络战争中大量的数据和信息流动的过程,其实留下了大量可以追寻的轨迹和线索,以前用SIEM技术(国内更习惯用SOC概念)来汇总和分析这些数据,但是真正有效的情报很难从海量数据库中及时筛选提取出来。幸运的是,大数据与人工智能技术飞速发展,比如IBM的Watson、Google的AlphaGo这些原本用于商业决策的系统,终于可以为安全情报分析所用。IBM在本次展会上,就发布了用Watson机器人做安全情报分析的“认知安全”概念原型。认知安全解决方案使用数据挖掘、机器学习、自然语言处理和人机交互能力,模仿人类大脑的运转和学习方式。这种解决方案会随时间的推移而不断完善,从每次交互中进行学习,能够越来越出色地主动阻止威胁。RSA主席Rohit Ghai在会上说,感谢人工智能,终于可以解决上述“好人不够用”的困境。

ibm-watson%e4%ba%ba%e5%b7%a5%e6%99%ba%e8%83%bd%e8%a2%ab%e7%94%a8%e4%ba%8e%e5%ae%89%e5%85%a8%e6%83%85%e6%8a%a5%e5%88%86%e6%9e%90-600

IBM Watson人工智能被用于安全情报分析

3. “灵”是行动力与落实力

影视剧中我们经常看到的国军,总是一副勾心斗角欺上瞒下的状态,外表看似精锐,实际战斗力松松垮垮,被毛主席称为“纸老虎”。人民解放军之所以能抵御强大的美式先进装备,并取得最终的胜利,除了睿智的军事情报,最关键是能够自始至终贯穿整个作战思想,誓死服从中央命令的执行力。在网络安全世界里,软硬件设备和数据流之间也存在这种严格的思想和命令,可以堪称为网络战争的“灵魂”,那就是访问控制策略和流量调度规则,从国际通行的ISO27001标准,到金融行业PCI DSS安全准则,再到中国网络安全等级保护制度,无不围绕安全规则和访问策略开展风险评估与合规要求。而网络中的访问者和资源是随需变化的,安全管理员也可能更替和轮换,网络中的流量和策略关系一定也是高度动态的,特别是近几年云计算环境盛行,云中的资源和访问者刹那生灭,瞬息万变,其中形成的流量和策略更如恒河沙砾般难以算计。在这个变化过程中,对安全策略的动态监控、变更管理、实时跟踪、及时生效、强制落实等各个环节都显得尤为重要。此时,我们有必要反省,是不是大部分网络就像“纸老虎”一样,规则和策略早就名存实亡?我们有多少管理员还在依靠一张多年未更新的访问策略矩阵Excel表格来“掌控”管理整个网络?有多少流量还在用静态路由、静态VPN隧道和静态ACL规则调度“指挥”?我们的网络里目前有多少错误甚至危险的路径和流量,而我们却始终没有发现?读到这里,是不是诸位读者正在倒吸一口冷气?

%e4%b8%80%e5%bc%a0%e5%85%b8%e5%9e%8b%e7%9a%84%e7%bd%91%e7%bb%9c%e8%bf%90%e7%bb%b4%e4%ba%ba%e5%91%98%e5%b8%b8%e7%94%a8%e7%9a%84%e7%ad%96%e7%95%a5%e7%9f%a9%e9%98%b5%e8%a1%a8%e6%a0%bc-800

一张典型的网络运维人员常用的策略矩阵表格

上面我们分析了网络战争中的三层要素:产品与设备、数据与情报、规则与策略。做个小结,打赢这场身心灵的战争需要采取的关键举措:

  • 身体要协调——多种产品的组合使用
  • 心灵要聪敏——大数据人工智能分析
  • 灵魂要落地——策略持续监控与执行

网络安全行业需要关注的方向

从上面的分析我们看到,“战争”与“打仗”完全不是一个概念,一场战争是多么的立体,原本认为的武力对抗其实只是战争中很单一的层面。作为网络安全行业的风向标,RSA大会的关注点也早已跳出了单纯基于特征或基于行为的拦截,更多的去思考防御的本质。

1. 防御的本质是缩小暴露面

既然觊觎数据的坏人越来越多,软硬件漏洞和隐患又在所难免,那么被攻击就是迟早的事,此时最为有效的手段就是尽量隐蔽目标,缩小攻击暴露面,让敌人到达核心数据的时间更长,成本更高,从而为发现敌人争取到时间,最终制止威胁。回想旧金山街头为什么砸车抢劫最为盛行,就是因为车辆的暴露面太大,四周都是脆弱的玻璃,随便从哪里下手都毫不费工夫,相比入室盗劫和扒窃财物,砸车自然成为盗贼的最优选项。在RSA期间,看到有多个新一代的安全防御方案都以缩小暴露面作为核心思想。

云计算环境中已经没有物理的网络设备,所有流量都在Overlay虚拟网络层面用Vxlan技术牵引,这种环境非常易于构建一张“隐蔽”的网络。采用SDN理念可以构建软件定义的安全边界(SDP)方案,网络中部署SDP Controller(控制器),控制器在访问者和资源之间建立动态和细粒度的“业务访问路径”,不同于传统的路由和VPN隧道,SDP的隧道是按照业务需求来生成的,也就是说这是一种单次和单业务的访问控制策略,SDP控制器建立的访问规则只对被授权的用户和服务开放,密钥和策略也是动态和仅供单次使用的。通过这种类似“白名单”的访问控制形式,网络中未被授权的陌生访问在TCP建立阶段就是完全被屏蔽和拒绝,这种“临时并单一”的访问控制方式,将私有云资源对非法用户完全屏蔽,这样便大大防止了门外“野蛮陌生人”对云的暴力攻击(如DDoS流量攻击)、精准打击(如APT高级持续威胁)、漏洞利用(如心脏出血漏洞)等,通过构建“暗黑网络”来缩小网络的暴露面。同时配合策略可视化和流量可视化的手段,对这些海量动态的“业务路径”进行自动分析和持续监控,以实时发现错误路径、不合规路径、被篡改的路径、被入侵的路径等风险隐患,进一步作出策略修改和补救措施,从而阻止威胁蔓延扩散。

skybox%e4%ba%a7%e5%93%81%e7%94%a8%e5%8f%af%e8%a7%86%e5%8c%96%e6%89%8b%e6%ae%b5%e5%8f%91%e7%8e%b0%e7%bd%91%e7%bb%9c%e6%9a%b4%e9%9c%b2%e9%9d%a2-600

Skybox产品用可视化手段发现网络暴露面

2. 威慑力是最有力的无形武器

战争中还有一种看不见的打击力——“威慑力”,特别是现代战争中,更强调威慑力的作用。在现实中,也有很多威慑力无形中起着重要作用。还用砸车作为案例,之所以北京现在很少听说砸车盗窃的事件,是因为遍布街头巷尾的摄像头,给犯罪分子形成强大的心理威慑,让他知道一旦作案便无所遁形。RSA大会上很多厂家也发出了同样的声音,采用网络流量监控和回溯手段,来提高网络的持续可视化水平,就像网络中处处安置摄像头,一旦坏人露头,所有行为和轨迹都被持续监控和记录,最终可以追溯到源头,再配合地面执法力量和法律武器,让犯罪分子受到应有惩戒。这种方案要求积累深厚的协议分析和大数据功底,所以很多掌握NGFW(下一代防火墙)技术、NPM(网络性能管理)技术、DPI(深度报文检测)技术的厂家都在纷纷涉足这个领域,比如Palo Alto(NGFW开创者)、Forcepoint(前身是Websense)、Arbor(现为Netscout安全事业部),甚至擅长报文分析的老牌网络测试仪厂商IXIA也在试图转型杀入这个战场。

%e5%ae%89%e5%85%a8%e5%8f%af%e8%a7%86%e5%8c%96%e6%8a%80%e6%9c%af%e5%8f%af%e4%bb%a5%e7%9b%91%e6%8e%a7%e4%b8%8e%e5%ae%a1%e8%ae%a1%e7%bd%91%e7%bb%9c%e4%b8%ad%e7%9a%84%e6%b5%81%e9%87%8f%e4%b8%8e%e8%a1%8c

安全可视化技术可以监控与审计网络中的流量与行为

3. 数据与情报共享既是亡羊补牢也是未雨绸缪

大家知道,产品经理的电脑里存有十余年来收藏保存的大量珍贵产品资料与投标文档,本次被砸车后电脑丢失,笔者早已伤心欲绝。然而,就在我们即将离开旧金山的前夜,竟然接到警局电话,我们的背包找回来了!虽然包内钱财被洗劫一空,但最宝贵的电脑得以幸存,令我有劫后余生的愉悦感。打电话并让我们去认领的警局,竟然是与事发地相隔几十公里的另一个警局,他们是通过后台的数据共享系统,匹配到我们报案时描述的失物特征,从而联系到我们。想想这几个背包遭遇了怎样的多舛命运,最终还是因为情报共享的利益,挽回了部分损失。本届RSA大会的主题便是Power of Opportunity,并特意在UNITY上加粗,会上从美国政府官员的演讲到行业联盟领袖的意见,从各个厂商的方案到客户切实的需求,无不在呼吁安全从业者要加强合作,只有优势协同和数据共享才能发挥最大的力量。展会期间各种战略合作发布活动频频,比如华为和Avira合作、Panaseer与Qualys的集成、Redseal与ForeScout的协同等。感兴趣的读者还可以翻看安全牛前些天一篇《既是竞争对手也是朋友 安全厂商小心翼翼迈向合作》的报道,更是道尽了网络安全行业发展的未来。

redseal%e4%b8%8eforescout%e7%9a%84%e5%8d%8f%e5%90%8c%e6%a1%88%e4%be%8b-600

RedSeal与ForeScout的协同案例

关于中国全球化战略对安全行业发展的思考

相较于硅谷,中国在网络安全知识和技术能力层面差距依然存在,比如安全界近10年内热门的NGFW(下一代防火墙)、APT(高级持续威胁)、Threat Intelligence(威胁情报与态势感知)、SDP(软件定义边界)、Adaptive Security(自适应安全体系)、EDR(终端检测与响应)、Security Visibility(安全可视化)等理念,硅谷一直是提出者、倡导者和实践者,国内不管在学术理论上、设计方法论上、工程产品化上,始终处在跟随和学习阶段。但可以明显看到的是,国内企业的创新力量越来越强,差距的鸿沟越来越小,这个进步一方面得益于国家高层对网络安全的重视,使得大型企业加大了对这个领域的投入,而中小型创新创业企业也在大量涌现贡献力量。另一方面,中国国际化的进程加快,中国企业与硅谷的交流互动更加频繁。比如安博通这样的很多企业在积极聘用硅谷人才,甚至在硅谷设立研发中心,从而保持技术先进性。

%e4%b8%ad%e5%9b%bd%e5%86%9b%e5%9b%a2-600

参加RSA大会的中国军团一角

而从实践层面讲,中国的网络安全事业发展路线和美国又有不同,甚至某些思想和做法比美国还要先进。

在合规合法层面,中国将网络安全等级保护制度、网络安全审查制度、个人信息保护制度等写进法律,并且通过行政与法制手段强制推广,充分发挥社会主义建设效率,相信在具体落实上会大幅提升中国网络安全行业的发展速度,甚至在国际竞争上实现弯道超车。

中国当下推行网络安全自主可控的力度很大,通过这个手段强制确保信息系统基础设施自身的安全与可靠。在这点上,美国就走了弯路。比如本次RSA大会上美国国土安全委员会主席Michael McCault就提出,美国过去的几年在国家安全和个体安全之间的矛盾没处理好,在网络设备里安置后门,最终被证明是件大错特错的事。

%e7%be%8e%e5%9b%bd%e5%9b%bd%e5%9c%9f%e5%ae%89%e5%85%a8%e5%a7%94%e5%91%98%e4%bc%9a%e4%b8%bb%e5%b8%admichael-mccault%e5%9c%a8rsa%e4%bc%9a%e4%b8%8a%e5%8f%91%e8%a8%80-600

美国国土安全委员会主席Michael McCault在RSA会上发言

中国政府推行国际化的大战略下,相信会有更多的像安博通一样的企业走出去,把先进的理念学进来,甚至加以创新,使其更加适合中国的网络安全现状。本届RSA2017上中国企业从参会和参展数量上都已经相当具有规模,成为仅次于美国的第二大力量。而我们也诚心希望中国力量能真正团结起来,“共担时代责任,共促全球发展”,这是我们这个时代的创业者应有的担当,更是国家和用户对我们的期待!

相关阅读

产品经理看RSA:新的软件定义边界“新”在哪儿?

 


相关文章

写一条评论

 

 

0条评论