传统安全做法基本逻辑:
基础设施层面:主机入侵,扫描等。
应用层面:漏洞利用,爆破等。
业务层面:业务逻辑相关的安全问题,比如拼多多的安全事故;薅羊毛等。
优势:多个层级形成安全防御矩阵,防御点全面,符合体系化防御的要求,多数时候也能解决绝大多数问题。
劣势:
各个点独立性强,缺乏联动机制,对于安全风险的成因以及发展、变化过程缺乏认知,整个团队忙于救火,缺乏形成长效机制的基础。
解法:
1,现有的这些做法依然必须有,他们的问题并不是各个点做的不够好,仅仅是缺乏有机融合。 而且这些做法很多时候也能解决80%、90%的问题。只不过对于安全来说,不管你是多大安全概率,一次严重损失可能就足以抹杀之前的所有工作,所以做到这些依然不够。
2,部署深度分析和防御相关产品,加强攻击视角的全流程分析,加强风险与业务的关联性分析,从而形成完整的风险-价值链。具体来说,主要几个方面:
A,资产识别。
B,脆弱性检测。
C,信息安全威胁分析。
D,业务层面威胁分析。
E,用户行为分析。
F,安全事件复盘。
这是几个主要要做的内容,具体细节就不展开了。但是有个基本要求就是,这几点实际是有内在关联性的,每一点都需要考虑其目标是什么,整个安全大视角角度,起到什么作用。
然后有几个基本原则:
1,小企业来说,尽量多用简单工具,降低学习成本以及工具本身可能引入的风险点。毕竟工具是为目标服务的,不能在工具上花太多精力。
2,每件事都必须闭环,不能有孤立的功能点;不能闭环的功能点宁愿不做,非做不可的先解决不能闭环的原因:比如应急响应的发现、处理、回馈、复盘、再回馈,整个流程必须完整,从而保证处理结果能积累到后续的安全工作中,尽量不做重复的事。
3,需要有阶段性目标和长期规划,不能把手段当目标。
其实以上说了这么多,看起来很充实,实际上总体来说,依然是对现有方案的修修补补,没有本质上的提高。当然,这些方案确实是任何一个企业安全方案都必须落实的、作为基础方案的内容。只不过在我看来,这些做法实在没有新意,也面临很多不好解决的问题。这也是我希望引入新技术和新思路的原因。而且作为我个人讲,我并不希望安全部门就只是保安角色,保安是什么?保安是纯成本部门、不产生任何直接收益的部门。我更希望除了确保安全外,还能对公司产生直接的价值。这里就不得不提泛安全技术和产品。
泛安全技术和产品指的是本身能满足业务需要,同时又具有很强的安全属性的产品和服务。比如深信服的一系列组网产品就是泛安全产品,更明确点,比如vpn相关产品。
关于泛安全产品,我有个基本观点:安全问题的根本原因是信任问题,所以泛安全产品的一个最基础的东西就是可信逻辑。比如可信网络,可信计算,可信身份等等。
他们解决什么问题?以可信计算为例:
我们的数据之所以会泄露,是因为数据要产生价值,就必须要使用、流转,在这个过程中就会有各种安全风险。可信计算解决的就是这样的问题:能用,但是看不到,拿不走,自然也就无法泄露。
还有个例子就是可信网络。它解决什么问题?
在网络入侵中的一个重要环节就是横向漫延,就其根本原因,实际就在于传统网络基础设施没有鉴权逻辑,任何网络中的设备和服务间,只要没有链路障碍存在,就一定可以连通。这就给网络扫描、爆破、嗅探等入侵手段留下机会。而可信网络里,设备或服务间能互通的前提是双方的身份是可信的、有权限的,从而解决了上面说的这些问题。
另一方面,在资产发现和管理上,可信网络还解决了影子设备问题,避免了资产风险导致的安全问题。
所以,我更期望是通过这些新手段,在另外一个纬度上,以一种新的思维,对整个安全做法有一个大的升级和革新;
同时,这些新思维、新技术,本身也是一个新的业务点,能够产生业务层面的价值。
比如,可信计算对于金融行业的账户互通、联合征信等就是一个不错的落地场景。对账户互通、联合征信这样的事来说,最大的障碍就在于商业机密的保密问题。比如道理上讲,所有银行的客户信息合在一起是更有商业价值的,但是所有银行的客户信息合在一起也就意味着不同银行的商业机密的泄露,可能导致进一步的商业竞争的不利局面。而可信计算本身能用不能看、拿不走的特性,就解决了这个障碍。
因此,我认为安全角度的新思维、新技术,未来也会是企业的一个新的增长点。企业安全部门在做好传统安全业务的同时,有必要在这方面有所突破,这不仅是对公司的贡献,也是对整个安全行业发展方向的一个新的探索。
