上世纪90年代,互联网刚兴起不久,我们的信息安全是以终端为界;进入新世纪,当互联网快速发展之时,信息安全开始以网络为纲;进入2010年代,互联网发展进入了快车道,云计算、虚拟化、移动互联技术引爆互联网科技革命的时候,“系统化/体系化”的信息安全防护思路得到了大众企业的青睐;如今,互联网进入万物互联模式,新时代下的信息安全也面临着全新的挑战,作为企业信息安全的管理者,该如何改变观念、寻求变革,是一个值得深研的课题。
被颠覆的传统安全
在当下的网络安全领域,相信大家都有一个共识:我们正处于一个全新的时代,它正在颠覆我们传统的安全观念,并且时刻鞭策着我们去做出改变。那到底是怎样的一个网络安全时代呢?
1.网络安全威胁的性质在发生根本性的转变
从2015年的“机锋论坛被曝出存在高危漏洞致2000多万用户信息遭受泄露威胁”、“携程网长达12小时宕机”、“苹果开发环境xCode后门事件”;2016年的“因网络攻击导致乌克兰大规模断电事故”、“黑客入侵孟加拉银行盗走支付交易凭证事故”、“‘影子经济人’盗取美国国家安全局大量黑客工具和漏洞利用代码事故(事实证明,该事件的后续影响才是最深刻的)”、“域名服务商Dyn遭遇DDoS攻击致使美国西海岸大规模断网事故”;再到2017年的“WannaCry蠕虫勒索攻击”、“德勤和埃森哲等大型企业的数据泄漏事件”等等,不断出现的网络安全事件让我门深刻认识到,网络攻击的形势已发生了根本性的变化,多样化的攻击手段、意想不到的攻击目标、无处不在的数据和信息泄漏的风险点等因素已成为当前网络攻击的典型特征。而网络攻击带来的影响,已经逐渐深入扩展到国家、社会和企业的各个层面,进而影响着整个社会的稳定和运转。而随着物联网、智慧城市的推进和普及,网络攻击的规模会越来越大,网络攻击的手段将越来越多,造成的影响也会越来越严重。
2.企业对于网络安全管理的理念也在发生变化
面对复杂的网络攻击形势,企业已不能再宣称如何做好防御来避免遭受网络攻击,而应该是确保在遭受网络攻击时能够及时发现,及时处理,并及时恢复正常业务,将网络攻击带来的损失降至最低。总结下来就是由于攻击是持续的,网络和系统是复杂的,不可能没有弱点,所以没有攻不破的网络和系统。如此一来,未来衡量安全管理的水平不再是看部署了多少安全设备或软件,而是强调检测时效和响应时效。检测时效(MTTD,Mean Time To Detect)指的是攻击行为从发生到被发现的时间,响应时效(MTTR,Mean Time To Respond)指的是从攻击行为从被发现到被处置的时效。为保障MTTD和MTTR,自动化安全将是一个转折点,智能安全是未来发展的必然趋势。
在2017年的ISC中国互联网安全大会上,我们可以感受到人工智能与机器学习大兴、物联网安全变热门、基于ASA的下一代全套终端防护新品类成为安全创业新“宠儿”、NGSOC被安全公司和企业竞相追逐……,从新趋势中不难看出,“科技”将给安全带来颠覆性的变革,新的安全理念正在形成:
数据是新中心。正如马云在早年所说的话:人类正从IT时代走向DT时代。现实也验证了这一点,“数字化”正在改变世界。现阶段,数字化技术得到了广泛应用,在网络安全领域也不例外,未来企业的网络安全数字化管理离不开海量安全数据的支撑,包括设备或系统运行日志数据、安全检测数据、网络流量数据、企业信息资产数据、业务运营数据、用户实体行为数据、外部威胁情报数据等等。这些数据则构成了企业网络安全运营的核心。
身份是新边界。未来网络安全管理的重心正在由网络或系统向数据和人进行转变。特别是在未来企业网络边界逐步消失的情况下,人的身份就成为了唯一能够识别和安全控制的届点,也就成为了新的安全边界。
行为是新控制。既然未来人(用户)的身份是新的安全边界,对于人的安全行为顺理成章地成为了新的安全控制点。管好了人的身份和行为,就管好了一切安全的源头。
情报是新服务。Gartner对于威胁情报的定义是:关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。在以数字为核心的新一代网络安全模式下,单个企业对于威胁情报数据建设的力量是非常有限的,而且更多地是专注在企业内部的情报信息,那么从外部获取有效的数据支撑以弥补内部数据层面的不足,将是许多企业的首选方案,情报即服务的业务模式应运而生,而企业也可以在受控范围内将自身的安全数据与外部进行共享,从而实现双赢的局面。
3.企业网络安全管理的重心在调整
在2017年ISC中国互联网安全大会上还提出了“万物皆变,人是安全的尺度”的新安全主义,这启发了大家对网络安全的新思考:我们将如何应对新型网络安全威胁?一方面,强调了人的安全技术能力,它是网络安全的终极武器,一群具备强劲实力的高级技术人才,可谓是互联网时代网络安全、以及应对新型网络安全威胁的最大保障;另一方面,人也是网络安全风险管理中最为关键的环节,一旦“人”的环节出了问题,技术防护做得再好也是徒劳。因此,如何做好“人”的管控,将是未来网络安全管理的重心所在。
在总体趋势上,随着云计算、移动互联网及物联网的快速发展,企业IT架构也在发生急剧变化,数据的流动性急速提升,操作系统及终端多样化、异构化成为常态,这对数据安全的跨平台支撑提出了新要求。与此同时,企业的网络边界也正在消失,传统以“网络和系统”为重心的信息安全管理终归回到“数据”本身。而从大多数企业来看,一方面源于信息化程度的全面提升,企业逐步认识到数据才是信息网络中的核心资产;另一方面,传统的系统安全及边界安全防御方法无法应对以数据信息窃取为主要目的复杂攻击行为。
4.网络安全新技术在迅速迭代和演进
网络安全技术自互联网兴起、乃至计算机诞生开始,就一直处于不断更新和进化演变状态。从早期的数据加密、防病毒技术,以及逐步加入的防火墙技术、入侵检测、入侵防御、系统漏洞扫描、堡垒机、上网行为管理、应用防火墙技术等等,这些技术的一个典型特征就是静态,属于传统的网络安全技术。随着智能网络概念的兴起,NGFW、NGSOC、RASP、UEBA、安全分析、威胁情报、人工智能和机器学习、以及安全整合和运营等新兴技术和产品逐步被得到认可,部分已经投入市场并得到广泛应用。
5. 国家网络安全法律监管要求进一步收紧
2016年11月6日,中华人民共和国网络安全法的发布表明中国国家对网络安全的重视达到了一个新的高度。此前其他关于网络信息安全的规定,大多分散在众多行政法规、规章和司法解释中,根本无法形成具有针对性、适用性和前瞻性的法律体系,随着《网络安全法》的出台,国家对于网络安全的管控将进入快车道,该法律既是新的起点,也是重要的转折点。
网络安全法的发布一方面是出于国家整体战略考虑,另一方面,也正是由于网络安全问题正在发展成为一个全球性的问题,已经直接威胁到国家的安全与稳定。在这种新形势下,国家重拳出击,加大了监管力度。而从企业层面来看,未来不做好网络安全,将可能成为违法问题,新时代的网络安全在法律监管上也发生了转变。
6. 传统网络安全管理模式正在被颠覆
在互联网公司,基于DevOps方法的开发运维模式已是常态,而近年来,随着安全问题得到了更多的重视,DevSecOps这种全新的安全理念与模式,正逐步从DevOps的概念中延伸、演变而来,被认为是“下一代应用及IT基础设施的安全管理模式”,并渐渐被传统企业所接受。DevSecOps的核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。
进一步延伸,系统开发之时,安全将作为公司业务的一部分,类同于DevSecOps模式的安全运营,将安全团队融入到业务的各个组织和各个环节。相信在未来企业的安全组织架构中,将会以这种全新的模式进行呈现,以应对日趋复杂和快速响应的网络安全运营需求。
