新冠疫情应对给网络安全工作的几点启示
2020-04-20
这次抗击新冠疫情的行动体现了我们国家对公共卫生突发事件强大的应急响应能力。对比当前的全球疫情形势,可以看出我们国家的应对策略非常正确,有效地遏制了疫情的蔓延,已经取得了阶段性的胜利,目前,国内的疫情已由“防扩散”转为“外防输入、内防反弹”。新冠疫情是少有的对中国公共卫生医疗应急体系的一场大考,作为一名网络安全从业者,通过审视这次疫情发展和应对的过程,也有诸多感悟。
近年来全球地缘政治冲突不断升级,国家间的冲突往往在网络空间先行,关键信息基础设施成为首要目标。重大网络安全事件的发生,轻则造成政府机构职能受阻,重则引发社会、经济秩序混乱,甚至严重威胁国家安全。
从此次国家对疫情的有效应对中,我们能够深刻体会到强大的应急响应能力的重要性。本文结合疫情应急响应中的经验体会,探讨对网络安全防御工作的启示,希望能为业界抛砖引玉,提供参考。
一、“早发现、早隔离”同样是网络安全应遵循的基本理念
钟南山院士表示,对患者的早发现、早隔离最为关键,甚至比治疗过程都重要。在网络安全事件的响应上,“早发现、早隔离”的思路同样适用。在保证业务正常运行的基础上,快速研判事件影响的范围并对受影响资产进行快速隔离,是从网络安全角度保障业务连续性的关键。
近年来,很多网络攻击手段可以轻松地绕过网络边界安全防护措施,一旦进入内网就会如入无人之境,带来很大的安全隐患。“零信任”是近年来比较受认可的网络安全理念,即不再区分网内网外,不再信任任何的网络实体和用户身份,假设黑客已经进入了内网环境。首先,内网要严格执行最小权限原则。基于身份、终端环境、网络环境等因素判断是否可以提权,进行细粒度的权限控制。一旦策略引擎判断某台主机的访问请求存在异常,需要及时阻断,降低其权限,甚至将其隔离调查。如需访问,要从最初始的身份认证阶段再进行提权申请,或者联系 IT 管理员。
安全事件的分析和病毒的研究一样都需要耗费大量的时间,所以往往具备一定滞后性。零信任理念强调的实时、动态认证和授权机制,可以有效地提高应急响应的时效性,一定程度上帮助实现早发现、早隔离的目的,最大程度的隔离威胁,保护整体网络的安全。
二、威胁发展和人才缺乏呼唤网络安全运营自动化水平的提高
目前我国医疗卫生体系建设了包括传染病疫情直报系统等多套信息系统,但从披露的信息看,这些系统在本次疫情初期发挥的支撑作用有限,专家组难以及时掌握疫情发展态势并做出准确的判断,一定程度上说明,这些信息系统需要进一步提高规范化运营水平和辅助决策能力。
网络安全防御体系的建设也有同样的短板。网络安全人才的缺乏和人才培养速度的不足,使得提高网络安全防御体系对威胁的自动化应对能力极为重要,在发现网络安全事件后,告警的同时自动化的隔离失陷主机,可以有效缩减威胁响应的时间窗,有效节省安全运营的人力资源。
确保网络安全运营体系的自动化高效运行至关重要。为达此目的,我们必须通过经常性的的检测手段来验证安全运营自动化的有效性,验证探针的安全监测功能的有效性,验证信息是否能顺利到达分析平台,验证分析平台的安全监测规则的有效性,验证告警和处置方式是否得当,甚至我们还需要通过红蓝对抗的方式来实战检验安全运营体系的有效性。
网络安全运营平台对海量告警信息的处理应遵循合理的优先级策略。聚焦对失陷事件、影响业务连续性事件的捕捉,减少对没有造成失陷的攻击流量的关注。美国的全国网络安全保护系统(NCPS)聚焦于能够追溯到国家攻击行为的APT攻击事件,这也体现了美国对网络安全威胁清晰的认知。
三、监管方、运营方、服务方在网络安全运营体系中的有效融合是提高网络安全整体防御能力的重要途径
2003年SARS过后,国家投入大量资源建设了直达乡镇卫生院的全国性的传染病疫情直报系统。据悉,该系统可以让上至国家卫健委,下至乡镇卫生院,各个层级的监管部门都能同时获知各地上报的疫情信息。
重大网络安全事件对国计民生的影响可能不亚于疫情,所以,这种“直报”的理念,也值得网络安全行业考虑、借鉴,以有效应对突发的重大事件。
网络安全防御体系的建设和运营,会涉及监管、运营、安全服务等相关方,如果网络安全态势感知系统能将真实的失陷事件在第一时间同时通报给相关方,各方配合行动,不仅可以极大程度提高对安全事件的响应效率,也可以从机制上避免隐瞒不报等违规现象。
疫情瞒报问题是影响疫情防控的重大风险。在网络安全领域,部分人员为了一时逃避责任,瞒报失陷事件也时有发生。现有的解决思路,无论是监管方还是运营方,单方独立建设收集、监控威胁的态势感知系统都很难达到令人满意的效果,这就意味着,我们需要认真思考如何建立一套理想的架构和运营体系,让网络安全运营体系的所有参与方都在一套平台系统中共享信息,以最高效率协同、应对网络威胁,这是传染病疫情直报系统给网络安全工作带来的启示。
5G等新技术的应用,更复杂的安全威胁,更广泛的攻击面,都让监管方、运营方、服务方三方在网络安全防御体系中的有效融合成为了关键。当然,要实现这点,还需法律层面的有效保障,以及三方之间建立足够的信任。虽然这些看似困难重重,但不妨碍我们先向前迈出第一步,因为这是所有网络安全从业者的责任与使命。
四、从安全理念和体系架构两方面深刻理解“关口前移”
新冠疫情的应对重在隔离与预防。武汉封城的时间如果能够提前一天,疫情后续的发展态势可能也会完全不同。
在网信工作会议上,习主席曾多次强调网络安全“要关口前移,建立防患于未然的安全体系”。近年来的威胁形势已经证明,完全御敌于城门之外是难以实现的,在传统安全防御理念失效的今天,安全工作的底线在哪里?关口又在哪里呢?
2016年FireEye公司的报告称,企业从被攻陷到发现的平均时间(MTTD)是146天。无疑,一次MTTD时长超过企业最大容忍的极限就意味着失败,这也是安全的底线。反过来讲,这也是安全工作的意义和价值所在,将 MTTD 作为一个重要安全工作指标,对态势感知系统的监测预警能力以及企业安全运营的自动化水平和有效性,包括对威胁、对自身态势的理解,都提出了更高的要求。
应急响应是网络安全防御的一道重要关口,我们可以看到的通常情况是,漏洞曝光的第一时间服务方更新安全设备特征库。用户发生安全事件打来电话后,服务方可以在几小时内到达现场。但现实的威胁情况往往又是怎样的呢?漏洞补丁发布的时候,可能漏洞利用工具已经从战略对手的网络武器库中下架,因为对于他们而言,数月之前这个武器已经实现了它的价值——突破了目标系统,虽然这种情况不能代表所有的现实,但这种真实性是完全可以想象的。在这种情况下,如果还将这样的快速响应作为网络安全工作的关口,那么守住这个关口的意义和价值还有多大?应急响应的任务更重要的是尽可能缩短MTTD,如果能缩短到分钟级,可能攻击者来不及做出更多破坏和渗透就被我们隔离、清除,这也是零信任理念近两年火爆的重要原因所在。
五、坚持职业操守、具备家国情怀是对网安从业者的基本要求
回归到人,这次新冠抗疫中涌现出了很多可歌可泣的英雄个人和群体,全国各地的医护人员前赴后继,很多公司和个人捐款捐物,场面令人动容。20余年来,在我国无数次的网络安全事件应急响应中,许多优秀的网络安全公司总能表现出领域的专业水准,担负起自己的责任,想用户之所想,急客户之所急,在维护国家网络空间安全的事业中受到客户的广泛赞誉。
网络安全事件与公共卫生安全事件的应对有众多相似之处。网络安全企业守护的是国家网络空间的安全,当出现重大安全事件时,网络安全企业和个人要能不计得失的冲在第一线,自觉挑起保护国家网络空间安全的重担。
无论哪个行业,对职业操守的坚持、为国家命运担忧的家国情怀都是基本的要求,正所谓“先天下之忧而忧,后天下之乐而乐。”商业公司的价值体现也需要在此。从长远角度看,既具有专业能力和职业操守,又拥有家国情怀的公司,一定能获得市场的关注和肯定。
六、总结与展望
中华民族是从苦难中成长起来的民族,我们能从每一次苦难中汲取到经验和教训,我们具有强大的应对任何困难的能力,党和政府具有强大的领导力,人民具有强大的凝聚力,这都是此次能够成功控制住疫情的重要前提。在网络空间,我们同样也需要这种能力。网络威胁日新月异,层出不穷,所以我们还需要更多的专业能力,既要具备“看见”威胁的能力,也要具备对未知威胁前瞻性的“想象”能力。我们只有在保持这些能力的同时,不断审视自身,创新性地提出更多有效的解决方案和应对措施,才能让我们的网络空间更加安全。