上世紀90年代,互聯網剛興起不久,我們的信息安全是以終端為界;進入新世紀,當互聯網快速發展之時,信息安全開始以網絡為綱;進入2010年代,互聯網發展進入了快車道,云計算、虛擬化、移動互聯技術引爆互聯網科技革命的時候,“系統化/體系化”的信息安全防護思路得到了大眾企業的青睞;如今,互聯網進入萬物互聯模式,新時代下的信息安全也面臨著全新的挑戰,作為企業信息安全的管理者,該如何改變觀念、尋求變革,是一個值得深研的課題。
被顛覆的傳統安全
在當下的網絡安全領域,相信大家都有一個共識:我們正處于一個全新的時代,它正在顛覆我們傳統的安全觀念,并且時刻鞭策著我們去做出改變。那到底是怎樣的一個網絡安全時代呢?
1.網絡安全威脅的性質在發生根本性的轉變
從2015年的“機鋒論壇被曝出存在高危漏洞致2000多萬用戶信息遭受泄露威脅”、“攜程網長達12小時宕機”、“蘋果開發環境xCode后門事件”;2016年的“因網絡攻擊導致烏克蘭大規模斷電事故”、“黑客入侵孟加拉銀行盜走支付交易憑證事故”、“‘影子經濟人’盜取美國國家安全局大量黑客工具和漏洞利用代碼事故(事實證明,該事件的后續影響才是較深刻的)”、“域名服務商Dyn遭遇DDoS攻擊致使美國西海岸大規模斷網事故”;再到2017年的“WannaCry蠕蟲勒索攻擊”、“德勤和埃森哲等大型企業的數據泄漏事件”等等,不斷出現的網絡安全事件讓我門深刻認識到,網絡攻擊的形勢已發生了根本性的變化,多樣化的攻擊手段、意想不到的攻擊目標、無處不在的數據和信息泄漏的風險點等因素已成為當前網絡攻擊的典型特征。而網絡攻擊帶來的影響,已經逐漸深入擴展到國家、社會和企業的各個層面,進而影響著整個社會的穩定和運轉。而隨著物聯網、智慧城市的推進和普及,網絡攻擊的規模會越來越大,網絡攻擊的手段將越來越多,造成的影響也會越來越嚴重。
2.企業對于網絡安全管理的理念也在發生變化
面對復雜的網絡攻擊形勢,企業已不能再宣稱如何做好防御來避免遭受網絡攻擊,而應該是確保在遭受網絡攻擊時能夠及時發現,及時處理,并及時恢復正常業務,將網絡攻擊帶來的損失降至較低。總結下來就是由于攻擊是持續的,網絡和系統是復雜的,不可能沒有弱點,所以沒有攻不破的網絡和系統。如此一來,未來衡量安全管理的水平不再是看部署了多少安全設備或軟件,而是強調檢測時效和響應時效。檢測時效(MTTD,Mean Time To Detect)指的是攻擊行為從發生到被發現的時間,響應時效(MTTR,Mean Time To Respond)指的是從攻擊行為從被發現到被處置的時效。為保障MTTD和MTTR,自動化安全將是一個轉折點,智能安全是未來發展的必然趨勢。
在2017年的ISC中國互聯網安全大會上,我們可以感受到人工智能與機器學習大興、物聯網安全變熱門、基于ASA的下一代全套終端防護新品類成為安全創業新“寵兒”、NGSOC被安全公司和企業競相追逐……,從新趨勢中不難看出,“科技”將給安全帶來顛覆性的變革,新的安全理念正在形成:
數據是新中心。正如馬云在早年所說的話:人類正從IT時代走向DT時代。現實也驗證了這一點,“數字化”正在改變世界。現階段,數字化技術得到了廣泛應用,在網絡安全領域也不例外,未來企業的網絡安全數字化管理離不開海量安全數據的支撐,包括設備或系統運行日志數據、安全檢測數據、網絡流量數據、企業信息資產數據、業務運營數據、用戶實體行為數據、外部威脅情報數據等等。這些數據則構成了企業網絡安全運營的核心。
身份是新邊界。未來網絡安全管理的重心正在由網絡或系統向數據和人進行轉變。特別是在未來企業網絡邊界逐步消失的情況下,人的身份就成為了唯一能夠識別和安全控制的屆點,也就成為了新的安全邊界。
行為是新控制。既然未來人(用戶)的身份是新的安全邊界,對于人的安全行為順理成章地成為了新的安全控制點。管好了人的身份和行為,就管好了一切安全的源頭。
情報是新服務。Gartner對于威脅情報的定義是:關于IT或信息資產所面臨的現有或潛在威脅的循證知識,包括情境、機制、指標、推論與可行建議,這些知識可為威脅響應提供決策依據。在以數字為核心的新一代網絡安全模式下,單個企業對于威脅情報數據建設的力量是非常有限的,而且更多地是專注在企業內部的情報信息,那么從外部獲取有效的數據支撐以彌補內部數據層面的不足,將是許多企業的首選方案,情報即服務的業務模式應運而生,而企業也可以在受控范圍內將自身的安全數據與外部進行共享,從而實現雙贏的局面。
3.企業網絡安全管理的重心在調整
在2017年ISC中國互聯網安全大會上還提出了“萬物皆變,人是安全的尺度”的新安全主義,這啟發了大家對網絡安全的新思考:我們將如何應對新型網絡安全威脅?一方面,強調了人的安全技術能力,它是網絡安全的終極武器,一群具備強勁實力的高級技術人才,可謂是互聯網時代網絡安全、以及應對新型網絡安全威脅的較大保障;另一方面,人也是網絡安全風險管理中較為關鍵的環節,一旦“人”的環節出了問題,技術防護做得再好也是徒勞。因此,如何做好“人”的管控,將是未來網絡安全管理的重心所在。
在總體趨勢上,隨著云計算、移動互聯網及物聯網的快速發展,企業IT架構也在發生急劇變化,數據的流動性急速提升,操作系統及終端多樣化、異構化成為常態,這對數據安全的跨平臺支撐提出了新要求。與此同時,企業的網絡邊界也正在消失,傳統以“網絡和系統”為重心的信息安全管理終歸回到“數據”本身。而從大多數企業來看,一方面源于信息化程度的全面提升,企業逐步認識到數據才是信息網絡中的核心資產;另一方面,傳統的系統安全及邊界安全防御方法無法應對以數據信息竊取為主要目的復雜攻擊行為。
4.網絡安全新技術在迅速迭代和演進
網絡安全技術自互聯網興起、乃至計算機誕生開始,就一直處于不斷更新和進化演變狀態。從早期的數據加密、防病毒技術,以及逐步加入的防火墻技術、入侵檢測、入侵防御、系統漏洞掃描、堡壘機、上網行為管理、應用防火墻技術等等,這些技術的一個典型特征就是靜態,屬于傳統的網絡安全技術。隨著智能網絡概念的興起,NGFW、NGSOC、RASP、UEBA、安全分析、威脅情報、人工智能和機器學習、以及安全整合和運營等新興技術和產品逐步被得到認可,部分已經投入市場并得到廣泛應用。
5. 國家網絡安全法律監管要求進一步收緊
2016年11月6日,中華人民共和國網絡安全法的發布表明中國國家對網絡安全的重視達到了一個新的高度。此前其他關于網絡信息安全的規定,大多分散在眾多行政法規、規章和司法解釋中,根本無法形成具有針對性、適用性和前瞻性的法律體系,隨著《網絡安全法》的出臺,國家對于網絡安全的管控將進入快車道,該法律既是新的起點,也是重要的轉折點。
網絡安全法的發布一方面是出于國家整體戰略考慮,另一方面,也正是由于網絡安全問題正在發展成為一個全球性的問題,已經直接威脅到國家的安全與穩定。在這種新形勢下,國家重拳出擊,加大了監管力度。而從企業層面來看,未來不做好網絡安全,將可能成為違法問題,新時代的網絡安全在法律監管上也發生了轉變。
6. 傳統網絡安全管理模式正在被顛覆
在互聯網公司,基于DevOps方法的開發運維模式已是常態,而近年來,隨著安全問題得到了更多的重視,DevSecOps這種全新的安全理念與模式,正逐步從DevOps的概念中延伸、演變而來,被認為是“下一代應用及IT基礎設施的安全管理模式”,并漸漸被傳統企業所接受。DevSecOps的核心理念為安全是整個IT團隊(包括開發、運維及安全團隊)每個人的責任,需要貫穿從開發到運營整個業務生命周期的每一個環節。
進一步延伸,系統開發之時,安全將作為公司業務的一部分,類同于DevSecOps模式的安全運營,將安全團隊融入到業務的各個組織和各個環節。相信在未來企業的安全組織架構中,將會以這種全新的模式進行呈現,以應對日趨復雜和快速響應的網絡安全運營需求。