“网络安全是一个攻和防的较量。”
“在数据时代,威胁越来越多越来越大,每种新兴技术都会引起特有的威胁。”
“马其顿方阵由四个兵种和多种不同武器组成。四个兵种包括常备步兵、轻步兵、重骑兵、辅助兵,这些兵种各司其职,互为补充,巧妙配合,缺一不可。在多种不同武器中,6米多长的长矛是主要兵器,辅以短剑、盔甲、盾牌等,形成了完美、坚固的阵型。”
——李雨航
2021年7月27日,ISC2021第九届互联网安全大会在京如期举行,本次大会打破传统大会一届一会桎梏,首次启动“九会并举,全域覆盖”的创新模式,通过权威行业机构与全球网安盛会同场共振,共同促进政、产、学、研、用协同创新生态,优化建设数字时代网络安全新防御体系。
CSA GCR受邀出席本届大会,CSA GCR李雨航主席在会上发表了《马其顿方阵——网络安全产业战略观》的主题演讲。
网络安全是攻和防的较量
网络安全是一个攻和防的较量,它的本质类似于战争。攻击的一方有脚本小子、黑客、黑产组织、高级持续威胁、网军组织等,防御的一方包括网络安全公司、企业的安全团队、第三方安全服务团队等。而战争的目标,也就是需要保护的对象,包括国家网络空间主权、关键基础设施、企业数据资产、消费者的个人隐私等等。
随着新兴技术的迅猛发展,数据时代的安全威胁日益扩大。首当其冲的是云计算,它有11个顶级威胁,云计算把大量数据集中在云数据中心,造成了最大的威胁就是数据泄漏。业界对全球数据泄漏事件进行过统计,2019年数据泄漏事件是涉及150亿条记录左右,2020年则高达370亿条记录,增长率超过了百分之百!边缘计算有12大威胁,第一威胁是通信协议。2016年造成北美大面积网络瘫痪的物联网安全事件就有着协议的脆弱性问题。人工智能作为新兴技术,带来了十大安全威胁,第一威胁是绕过攻击,通过对抗性样本操纵AI决策和结果,比如研究人员发现,自动驾驶汽车本应该在十字路口的STOP Sign停下,但在牌子上贴一块特定的胶布,AI就会识别错误,造成汽车不停,这样会引起交通事故。我再多举个例子,AI的第二安全威胁毒化攻击,注入恶意数据会降低AI系统可靠性和精确度,前几年微软上线了一个人工智能的程序“小娜”,发布以后,大量的网民输入不好的问题问它,结果“小娜”便被带偏了,微软不得不把它下线。其他每种新兴技术也都会带来特有的威胁,导致数字化带来的安全威胁比以往传统的安全威胁更大。
数字时代的防御方太难了,防御其实是投资经济学,像军队需要购买武器的国防预算一样,防御方也需要购买网络安全能力,右边是一张攻防能力图,总体来说,防御方需要更大的预算全方位布防,进攻方能够单点突破攻击成果所以成本小一些,如果用这个成本换取的价值要低,攻击方是不会做亏本买卖的,云中数据的价值巨大,是攻击者的金矿。全球有大量的网络安全公司向业界提供防御能力,美国在数据库可查的网络安全公司有3500多家,中国的网络安全公司有3000多家,全球共有超过1万多家的网络安全公司,但没有一家在市场份额占统治地位,可以说网络安全产业还处于春秋战国的冷兵器时代。
做好布防是一个战略问题,很多安全公司推出了大量的产品和解决方案。而甲方客户要从中选择安全产品、解决方案、服务,预算有限的情况下只能做出割舍。怎样从众多的产品解决方案中选择适合的,怎样从互相竞争的安全公司中选择供应商,怎样选择布防的重点领域,这都是防守方企业很头痛的问题。
02
马其顿方阵在网络安全的应用
回顾人类战争史,我们可以找到一些成功的战略思想,使网络安全产业战略获得借鉴。在公元两千多年前,欧洲处于冷兵器时代,当时各国打仗没有很好的阵型,士兵冲杀时一窝蜂似地杂乱无章,马其顿帝国的亚历山大大帝发明了一种马其顿方阵,方阵由四个兵种和多种不同武器组成。四个兵种包括常备步兵、轻步兵、重骑兵、辅助兵,这些兵种各司其职,互为补充,巧妙配合,缺一不可。在多种不同武器中,6米多长的长矛是主要兵器,辅以短剑、盔甲、盾牌等,形成了完美、坚固的阵型。在战争中大显神威,四大文明古国被马其顿灭亡了三个。马其顿方阵看似一种战术,但它源于亚历山大大帝的协同作战战略思想。
网络安全是一个不断演进的产业,在十多年前云计算刚兴起的时候,云安全联盟借鉴马其顿方阵的思想,在数字时代的早期就提出通过云的能力要打造不同的安全职能,就像各种不同的兵种。当时我也参与了这项工作,带领着几个工作组,为了把传统的安全能力用云的方式传递给用户,给出了十个设计与实施的方法指南,促进了安全即服务的发展,也就是十大安全云,但是兵种的数量还是太多,企业客户选择会比较困难,预算也有压力。于是我们最近像真正的马其顿方阵一样,选取四个不同的兵种作为试点,比如把四个不同但互补性强的安全职能——云端监控云、网络检测云、身份访问云、数据防泄云组合在一起。云端监控云具有态势感知、威胁情报、安全大数据分析等功能成为云端的安全大脑;网络检测云在网络边缘上把关检测并抵御所有流量中的各种安全威胁;身份访问云是零信任的基础能力,动态持续地验证用户与设备的可信度;数据防泄云保障数据安全防范数据泄漏。这四大安全云的组合,能够在有限的预算下,让网络安全风险降低到可控的程度,是一组防御优化的组合。
美国的一个网络安全产业马其顿方阵落地案例是Crowdstrike, Netskope, Okta, Proofpoint这四家公司的协同作战,它们虽然是全球网络市场中估值最高的公司和独角兽企业,但各司其职在自己擅长的领域深耕,在整体防御中相互配合协调对敌,为客户与自身都带来了更大的价值。
网络安全产业马其顿方阵采用的兵器包括零信任,SASE,云原生安全等,零信任中有三大技术SIM,最核心的是现代IAM,或者叫增强IAM,就是身份与访问管理,还有云安全联盟发布的SDP软件定义边界,以及MSG微隔离。SASE是安全访问服务边缘,把网络层的场景和安全整合在一起,其中SD-WAN是一个远程网络接入的重要场景,SASE也是以身份为核心,采用了零信任的类似理念,保障了网络边缘的安全,SASE与零信任的不同点在于它还是依赖于网络边缘,而零信任可以有边缘也可以没有,有边缘时我们叫做ZTE零信任边缘,跟SASE是类似的。云原生是云计算到了第二代把相关技术集合起来的叫法,云原生安全包括了容器、集群、微服务、代码即服务的安全,以及DevSecOps和CI/CD安全等等。
网络安全产业协同作战战略与马其顿产业方阵战术还有很多值得探讨的方向与思路,也值得中国网络安全产业界学习借鉴。在本月的世界人工智能大会上,云安全联盟大中华区成为中国政府正式认可,在公安部备案的第一家也是唯一的一家网络安全类国际非政府组织,代表处落地在上海,今后我们将积极响应当地政府10%预算投入网络安全的政策,协助会员单位开展产业协同,立足中国连接世界,为数字时代的网络安全发展和信任构建贡献一份力量。
云安全联盟大中华区今天(7月28日)上午在北京国家会议中心309A举行的CSA CISO Summit峰会于9点盛启!