解碼2022中國網安強星丨從“單兵突破”到“體系化作戰(zhàn)”，看奇安信的網絡安全“攻守之道”

科技云報道原創(chuàng)。

由中國網絡安全產業(yè)聯(lián)盟（CCIA）、科技云報道共同主辦的“解碼2022中國網安強星”活動正式拉開帷幕。本次活動以“網安力量 照見未來”為主題，邀請榮獲“2022年中國網安產業(yè)競爭力50強、成長之星、潛力之星”的企業(yè)高層做客直播間，從行業(yè)、技術、市場等多角度探討網安相關話題，探究企業(yè)背后的創(chuàng)新力量和安全實力。

時代在變，但網絡安全攻防對抗的本質從未改變。隨著數(shù)字經濟不斷發(fā)展，網絡安全如今已進入“深水區(qū)”。

過去，企業(yè)安全人員大多專注于筑墻式、被動式防御思路，而忽略了豐富的網絡威脅來源和靈活多變的攻擊手段。面對不確定的未來，企業(yè)安全人員既要全方位保護網絡安全，又必須像攻擊者一樣思考。

7月27日，奇安信集團副總裁張龍做客“解碼2022中國網安強星”直播間，與大家分享了網絡攻防和安全防護的最新觀點。

網絡安全市場的“隱形冠軍”

2021年12月24日，北京市經濟和信息化局聯(lián)合北京市工商業(yè)聯(lián)合會公布了北京市首批20家“隱形冠軍”企業(yè)認定名單，名單主要集中于芯片、網絡安全、大數(shù)據(jù)和衛(wèi)星導航等科技創(chuàng)新領域。

作為國內網絡安全產業(yè)第一梯隊的龍頭企業(yè)奇安信科技集團股份有限公司（簡稱奇安信）成功上榜。

當網絡安全市場進入穩(wěn)健增長階段后，頭部企業(yè)在規(guī)模和資源上擁有明顯優(yōu)勢，且隨著時間推移，頭部企業(yè)擁有的市場份額會逐漸擴大。

在2022年6月中國網絡安全產業(yè)聯(lián)盟(CCIA)最新發(fā)布的“2022年中國網絡安全競爭力50強”榜單上，奇安信憑借在網絡安全市場的持續(xù)創(chuàng)新能力，在市場表現(xiàn)與技術產品雙維度上均交出了一份優(yōu)異的答卷，蟬聯(lián)“中國網安產業(yè)競爭力50強”第一。

從“技術思維”到“全局視角”

“安全對處于數(shù)字化轉型過程中的企業(yè)來說，已不再是一個單純的技術問題，而是一個從企業(yè)觀念、流程建設、組織建設、運營體系到IT架構設計的全局視角來思考的問題，更多的需要轉變思維方式”，張龍表示。當站在客戶角度，真正以信息化建設的角度去思考安全問題的時候，會發(fā)現(xiàn)很多安全工作并沒有深入進信息化體系之中。

在張龍看來，網絡安全對企業(yè)來說牽一發(fā)而動全身，要摒棄單點思維，形成體系化思維。

如果想要解決某一方面的安全問題，一定要從最初的架構設計開始，就將安全問題當作其中重要的一部分進行整體考慮。因為當安全體系中的某項功能已經構建完成時，再讓安全團隊去進行后期調整和修改幾乎是不可能的事情，這會涉及整個業(yè)務邏輯和架構的改變。

因此，對于企業(yè)來說，一定是先有數(shù)字化，后有安全體系，而不是先設定一個安全模式，再讓數(shù)字化按照安全模式的路徑去走。

張龍認為，在網絡安全體系的構建中，安全體系建設的一半工作無法通過采購外部安全產品解決，而是需要靠自身的運營來解決，企業(yè)信息化團隊和安全團隊一定是緊耦合的關系。

以某個電子政務云為例，張龍在帶領團隊進行安全檢查時發(fā)現(xiàn)，125個高危漏洞里面有105個是弱口令。事實上，解決這一問題的鑰匙并不握在安全廠商手中，而是需要企業(yè)安全運營體系來解決。為此，除了安全團隊，還需要企業(yè)運維團隊的全程配合。

雖然網絡安全如此重要，但在企業(yè)組織架構中常常處于較低層級的位置。

張龍表示，企業(yè)應當將安全的地位應該提升到最高層級，從全局安全的思路出發(fā)，設計全局的安全架構，從而讓企業(yè)在不斷通過新技術拓展新業(yè)務的時候，不至于遭受不可估量的傷害。

另外，不斷升級或補充安全能力，是筑牢終端安全防線的重要方法。

數(shù)字時代的資產除了傳統(tǒng)IT資產，還包括loT、傳感器、網站域名、數(shù)字證書、敏感數(shù)據(jù)等模塊，資產類別及資產體量在增加。在數(shù)字化背景下，由于數(shù)字業(yè)務開展的更多，企業(yè)并不能監(jiān)管到所有數(shù)字資產，導致安全盲區(qū)的出現(xiàn)，而安全盲區(qū)誕生出的影子資產容易被攻擊者利用。

對于企業(yè)安全人員，基于攻擊者視角驅動運營決策是十分必要的。安全業(yè)務人員應當像攻擊者一樣思考，以攻擊者視角監(jiān)測數(shù)字資產，分析攻擊者可能利用的弱點，并制訂對應的防守策略。

同時，要經常檢驗防御的有效性。傳統(tǒng)以合規(guī)為基礎的安全運營，已經無法應對復雜的攻防場景，需要以自動化技術和攻擊模擬技術，以攻擊者視角持續(xù)檢驗現(xiàn)有安全機制的有效性。

此外，還要協(xié)同聯(lián)動各種安全能力以及運營團隊，提高安全事件的響應速度，在漏洞被利用前修復漏洞。

對于網絡安全體系建設，張龍還打了一個形象比喻，網絡安全就像戰(zhàn)爭，核心因素是“人”。即使買了最好的武器裝備，但如果沒有成熟的軍官、士兵、組織體系、指揮體系，軍隊還是無法形成強悍的戰(zhàn)斗力。

所以網絡安全歸根結底是一個組織問題，并不是一個技術問題。

體系化防御，數(shù)字化運營

克勞塞維茨在《戰(zhàn)爭論》中曾經對防御作戰(zhàn)有過這樣的描述：“防御作戰(zhàn)這種常見的作戰(zhàn)形式，其往往不是單純的組織靜態(tài)的防線，而是由無數(shù)次的巧妙打擊和迂回運動組成的反突擊體系?！?/p>

所謂的“攻勢防御”，也就是我們常說的“積極防御”或者“決戰(zhàn)防御”，其精髓就是攻中帶守，攻守結合。

作為攻守博弈中較為弱勢的一方，防守方應當如何進行更有效地防御，從而化被動為主動，變滯后為前瞻？

張龍認為，防守方重要的是要構建縱深防御體系。單一的產品無法實現(xiàn)安全，構建縱深防御體系、建立全面監(jiān)控的能力、高效協(xié)同等，都是贏得網絡安全戰(zhàn)的先決條件。

目前，大多數(shù)企業(yè)網絡安全還存在五大方面問題，即資產繁多難管理、運維數(shù)據(jù)巨大、威脅發(fā)現(xiàn)能力不足、安全威脅不可見、缺乏聯(lián)動防御。

為此，企業(yè)亟需建立一個從IT資產梳理、識別到威脅發(fā)現(xiàn)、研判、分析溯源和響應處置的大縱深整體防御體系。

張龍表示，縱深防御體系的本質是多層防御，使得入侵者必須突破層層堡壘才能接觸到核心數(shù)據(jù)資產。防守方建立起縱深防御體系后，攻擊方的入侵難度和入侵成本將大幅度提高，通常遠未到終點時就會被發(fā)現(xiàn)，這就使得防守方有充足的時間響應和處置，最大限度地提升安全漏洞的發(fā)現(xiàn)機會與修復速度。

縱深防御的基礎建立在對威脅風險和資產的識別能力上，因此摸清家底無疑是第一步。

如今，攻擊者將關注點更多放在設備上承載的業(yè)務系統(tǒng)，甚至是某個服務或中間件，域名、ICP、IOT等，而這些暴露面的資產，以未知資產、僵尸資產更為嚴重，攻擊者會迅速展開精準攻擊、獲取重要信息、達到入侵目的。

對此，要把已知的資產、未記錄資產、隱藏的問題資產全部梳理出來，做到心中有數(shù)。

在風險識別方面，不僅是資產存在風險，包括企業(yè)的安全策略、運維策略、串聯(lián)業(yè)務線都可能存在邏輯漏洞，弱密碼、安全補丁、版本升級等風險漏洞更是比比皆是，這些漏洞都是黑客可利用的攻擊點。因此，對于漏洞和風險，企業(yè)安全人員需要與時間與攻擊者賽跑，早一步發(fā)現(xiàn)修復就是勝利。

其次，要建立縱深防御體系。縱深防御體系一旦建立，企業(yè)安全人員就可以在攻擊路徑上部署大量監(jiān)測手段，甚至是探針、蜜罐等誘捕手段，同時加強對竊取數(shù)據(jù)、非法刪除等異常行為的關聯(lián)分析，通過這些手段去對攻擊者實施誘捕，從而可以通過縱深防御體系給攻擊者設置大量的障礙。

第三，要對安全策略進行動態(tài)調整，這就需要完整的監(jiān)測與響應體系，對風險進行持續(xù)監(jiān)測和及時響應，實現(xiàn)全面掌握風險情況、及時評估風險變化、快速靈活應對風險的安全目標。

通過不間斷、全方位地開展協(xié)同防護，對保護對象的威脅、數(shù)據(jù)和漏洞三個安全要素進行持續(xù)安全運營的設計，實現(xiàn)人、機、信息的協(xié)同聯(lián)動，構建體系化的網絡防御陣地。

張龍表示，防守方雖然處于相對被動地位，但如果防御體系城墻建得足夠厚、護城河挖得足夠深，也會讓攻擊者知難而退。

同時，依靠單個企業(yè)的防御能力已不足以應對日益多元化的威脅風險，需要在企業(yè)間形成網絡安全威脅情報共享機制，制定威脅情報共享標準，實現(xiàn)協(xié)同聯(lián)防。

體系化網絡安全的“中國方案”

在張龍的職業(yè)生涯中，曾多次帶領團隊出色完成國家級網絡安全防護任務，其中就包括北京冬奧會及冬殘奧會的網絡安保工作，為世界展現(xiàn)出了網絡安全的“中國方案”。

作為中國網絡安全領域的領導廠商，奇安信于2019年12月正式成為北京2022年冬奧會及冬殘奧會官方網絡安全服務和殺毒軟件贊助商。

事實上，奧運會近年來已成為網絡攻擊的重點對象。無論追逐經濟利益的黑客組織，還是謀求政治目的國家級黑客，都在期間頻現(xiàn)魅影。

比如2016年里約奧運會期間，政府和贊助商網站遭到APT攻擊，大量數(shù)據(jù)泄露；2018年平昌冬奧會開幕期間，黑客攻擊使得互聯(lián)網和廣播系統(tǒng)中斷、奧運會網站癱瘓數(shù)小時、開幕式直播信號中斷。

因此，北京冬奧會的網絡安全保障工作，尤其是開幕式的網絡安全保障工作成為重中之重。

實戰(zhàn)化水平是檢驗網絡安全能力的唯一標準。

為了確保冬奧會萬無一失，早在冬奧會開始800多天前，奇安信就已經啟動了冬奧網絡安全保障服務；30天前，啟動了北京冬奧會網絡安全保障中心，成立了11支保障團隊，1500余名員工堅守崗位。

對于冬奧網絡安全保障來說，這是一個體系化工程，是奇安信所有前沿安全能力的匯集，產品的標準化、統(tǒng)一化和關聯(lián)化是重要課題。

為保障冬奧會各項工作的信息網絡安全，奇安信共計部署包括防火墻、終端安全管理、Web應用防火墻等在內的各類安全設備近千套。

更重要的是，在冬奧會開始前的800多天里，奇安信主動開展了十輪攻防演習，將高強度的攻擊防御做到了常態(tài)化。

其中，200多名分析人員，每天處理超過10億條各類網絡安全日志，對其中產生的數(shù)千條告警信息深入細致研判，在最短的時間內實現(xiàn)對安全事件的檢測和響應，基于大數(shù)據(jù)建模，并對未來的安全趨勢進行精準預測。

除此之外，奇安信還啟動了一套從攻擊者視角思考問題的系統(tǒng)，里面記錄了過去七、八年主要攻擊組織的行為和特征，幫助奇安信攻防團隊從攻擊者視角思考，力圖在發(fā)起攻擊之前提前捕獲攻擊者。

基于扎實的安全技術和艱苦的攻防演習，奇安信最終創(chuàng)下了北京冬奧會開幕式網絡安全“零事故”的世界紀錄。

據(jù)奇安信網絡安全保障中心統(tǒng)計，在冬奧、冬殘奧重保期間，奇安信共檢測日志數(shù)量累積超1850億，日均檢測日志超37億，累計發(fā)現(xiàn)修復漏洞約5800個，發(fā)現(xiàn)惡意樣本54個，排查風險主機150臺，累積監(jiān)測到各類網絡攻擊超3.8億次，跟蹤、研判、處置涉奧輿情和威脅事件105件。

正如張龍所說，盡管冬奧會期間攻擊量高達上億次，但經歷了冬奧會之前800多天的準備和努力，讓奇安信對自身的防守能力有了充分的底氣。

過去，社會發(fā)展的第一要務是“求增長”，而當下及未來很長一段時間的主題將變?yōu)椤氨０踩薄?/p>

在“大安全”的宏觀架構下，全局化、智能化、自動化成為抵御威脅和風險的微觀切入點。

在滌蕩不可預知風險的路上，會涌現(xiàn)出一大批像奇安信這樣的網絡安全廠商，通過全局化視角、縱深防御體系、智能化決策、自動化執(zhí)行，將“中國方案”應用到更多領域和場景，引領中國網絡安全走向更廣闊的天地。

來源：科技云報道

生成海報

免責聲明：此文內容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權歸作者所有，且僅代表作者個人觀點，與極客網無關。文章僅供讀者參考，并請自行核實相關內容。投訴郵箱：editor@fromgeek.com。

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。