网络安全滑动标尺模型(The Sliding Scale of Cyber Security)是2015年美国系统网络安全协会(SANS)首次提出,将企业在应对外部攻击时的五个信息安全能力阶段,分别是架构建设、被动防御、积极防御、威胁 情报以及 进攻反制(略 ) 。
安全 能力的构建离不开 产品 的支撑,结合本次 会议 的论坛、展厅等内容, 试图 从 网络 安全滑动标尺模型的角度 尝试着 进行一次总结 :
1、架构安全“现在我们一只脚已经迈入数字时代,但我们的安全信任机制还停留在工业时代。”重构网络安全信任机制是本届会议印象最深的关键词之一。
1) 区块链技术
区块链技术是这次会议的热点,来自柏林工程和经济应用科学大学的教授Katarina Adam带来了题为《区块链如何加强网络安全的防护》的主题演讲,她主张运用区块链技术为网络安全方向提供一些能力,在建立信任机制时,可以使用区块链技术,这是让人耳目一新的观点,既然现在网络信任机制要创新,为什么不试试区块链呢,这个技术本来就是解决信任机制的,这是一个从构建架构安全能力 的 点上给出的方向。
但同时也带来了区块链安全和用区块链技术做安全的很绕口的问题,都是新技术,到底先解决那个问题呢?
2 ) 零信任网络体系登场
《零信任网络》一书的作者Evan Gilman发表了《零信任网络:在不信的世界构建可信网络》的演讲,向与会者展示了什么是零信任网络,如何通过零信任网络构建可信网络,"基于零信任的身份安全理念,架构及实践"、"现代身份管理与访问控制"无不印证一个时代的来临,“8 0%以上的攻击都是来自于内部 机器 , 内部 角色,但不是 内部员工 , 凭证 被盗取,身份被盗用 充斥整个 内网 , 权限 授权 过大,权限 一 成不变 难以 根除 ” , 都说明 了 旧的身份管理体系在当今数字时代需要变革,架构安全信任机制需要重新 梳理, 要 求变,未来零信任网络架构会是一个新的架构。
3 ) 关口前移
360企业 安全集团 总裁吴云坤在他的演讲当中提到,做安全要同步规划,同步建设,同步运营,要将关口前移,是指把安全保障前移到信息化的早期。这样做会形成一个很好的结果:
"把安全内嵌到系统中,而不是建设完成之后外在修补,这样可以从本质上提高安全保障能力"
安全规划和安全架构从时间点上高度一致,一个组织的安全能力最初一定来自于好的规划,安全架构则是好的规划的关键点,架构安全还是从规划阶段做起更好
4) 微分段技术
加州大学伯克利分校电子工程与计算机系教授、Corelight公司创始人Vern Paxson强调"在企业网络安全防御体系当中需要考虑两点。其一是可见度,它能够使我们清楚地了解到企业的网络环境情况,检测威胁,减缓威胁,有效减少损失;其二则是对于各种情况的控制度。事前事后的分析越多,可见度也会随之提升"另一位嘉宾也在他的演讲里强调了微分段技术被作为取代防火墙的技术,这些概念的提出,也从基础架构层面上给出了一些防护和减小损失的建议,我认为也是架构安全的一个创新点,在做安全架构时结合微分段技术,更能做到精细化的控制和运维。
总之,架构安全在本次的会议上虽然没有很明确的主题词,但参会嘉宾的观点和方向还是能看出来一些传统安全架构需要改变的思想的。
2、被动防御1)被动安全能力的构建,一直是传统安全的聚焦点
在本次的展厅中也有涉及,在参展的过程中,厂商呈现出在特定领域更为专注的趋势,没有讲大规模解决方案的,都是聚焦在一些新方向上,其中,云安全,数据安全的厂商占比较多,一些新的方向和更为细化的场景较多比如移动安全,身份认证,数据库防火墙等,展厅的情况也能从3 60 企业 安全集团董事长齐向东 的演讲中得到验证。
"未来对360企业安全影响更大的,不是现在和我们体量相当的一些公司,而是 一些 1 00-200人的公司, 这些真正从技术上进行创新的公司举全公司之力,在整个网络安全市场里头选择单点进行深度突破,他们一定能够获得强大的竞争优势。这些公司应该是我们的激励者,不断地给我们敲警钟。"
2 ) 第二个方面传统安全领域的产品走向
一些参展的传统厂商围绕着自己 的核心产品,一方面在做 提升 产品质量的工作,让产品能够进入到更多的 关键 场景中, 另一方面 围绕着产品的 核心能力,逐渐向更高的能力方向上进行 构建 ,在参展过程中基本都提到威胁情报,安全监测等方向。
3 ) 高中低位能力中的被动防御
"低位能力相当于人的“五官和四肢”。它位于架构安全和被动防御阶段,通过部署终端、边界等安全产品,实现数据的生产和采集,负责听、看、闻、尝、取,以及在大脑指挥下采取动作行动。"
综合,被动安全能力的构建一方面展现出传统安全能力的升级,为产品插上大数据翅膀,另一方面是产生了很多解决特定领域安全问题的创新性企业。
3、积极防御积极 防御 也可以称为 主动防御, 主动 防御的前提是 主动监测 和有效检测, 在 展厅内 印象 最深的不是出现了多少个安全产品,而是出现了蚂蚁金服 安全 应急 响应 中心、平安 集团 安全应急 响应 中心,360补天众测平台等单位 的 入驻 ,他们 一方面 向 参会者 展现 自身 安全 应急的能力,另一方面 在“ 找人”, 还 出现了平安 集团 安全应急响应中心 对 漏洞明码标价的情况, 看来S RC已经被众多甲方接受, 数了一下最少 有7个互联网公司的安全 应急 响应中心出现在了 展厅 上, 如何 实现主动监测和有效检测,这些中心给出了最直观的答案 “人 是最重要的 ”。结合 本次会议的 两 个论坛, 有《关键 信息基础设施 安全 保护与专门人才选拨培养高峰论坛》 、 《 中国 网络安全产业人才培养体系建设论坛》 两个 论坛都提到了人才培养的重要性, 以前 做 安全 是 合规 驱动, 但引入了 众测模式,将 为企业 安全 插上 了事件驱动 引擎 , 挖 自己的洞 让 别人无洞可挖 。
4、威胁情报构建 威胁情报能力, 这是本次 会议 最热的 关键词之一, 《安全 的复杂与复杂的安全》 肖新光从 一次网络攻击入手, 直观的 解析了 网络 攻击发起过程中的 技术 、人员组成和武器装备, 而清华 大学教授段海 新《端到 端安全通信协议的理想与 现实》中的 研究结果 揭露 很多我们不曾 见到 的隐藏 杀机 ,两位 大 咖的分享, 数据翔实 、 逻辑 清晰, 让人 震撼,这也 为建设 威胁情报能力提供了最直观的 证据 ,我们需要这些情报, 这些 情报如何能为企业提供服务变为了 最为 关注的 话题。
威胁 情报在实践过程中的落地引起了参会者的 兴趣 , 相比以前, 问题也从简单的 问“ 可视化界面 是 怎么实现的 ” ,变成了“ 你们 威胁情报是怎么 生产 的、 怎么 保证准确性等问题” ,简单 统计一下,一 半 以上的 参展者 都提 到了 威胁情报在解决方案中的地位,这个领域真的是 燎原 之势。
(本 文作者: 360企业 安全技术 专家 刘 磊)
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。