解碼2022中國(guó)網(wǎng)安強(qiáng)星丨從“單兵突破”到“體系化作戰(zhàn)”，看奇安信的網(wǎng)絡(luò)安全“攻守之道”

科技云報(bào)道原創(chuàng)。

由中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）、科技云報(bào)道共同主辦的“解碼2022中國(guó)網(wǎng)安強(qiáng)星”活動(dòng)正式拉開帷幕。本次活動(dòng)以“網(wǎng)安力量 照見未來(lái)”為主題，邀請(qǐng)榮獲“2022年中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)、成長(zhǎng)之星、潛力之星”的企業(yè)高層做客直播間，從行業(yè)、技術(shù)、市場(chǎng)等多角度探討網(wǎng)安相關(guān)話題，探究企業(yè)背后的創(chuàng)新力量和安全實(shí)力。

時(shí)代在變，但網(wǎng)絡(luò)安全攻防對(duì)抗的本質(zhì)從未改變。隨著數(shù)字經(jīng)濟(jì)不斷發(fā)展，網(wǎng)絡(luò)安全如今已進(jìn)入“深水區(qū)”。

過去，企業(yè)安全人員大多專注于筑墻式、被動(dòng)式防御思路，而忽略了豐富的網(wǎng)絡(luò)威脅來(lái)源和靈活多變的攻擊手段。面對(duì)不確定的未來(lái)，企業(yè)安全人員既要全方位保護(hù)網(wǎng)絡(luò)安全，又必須像攻擊者一樣思考。

7月27日，奇安信集團(tuán)副總裁張龍做客“解碼2022中國(guó)網(wǎng)安強(qiáng)星”直播間，與大家分享了網(wǎng)絡(luò)攻防和安全防護(hù)的最新觀點(diǎn)。

網(wǎng)絡(luò)安全市場(chǎng)的“隱形冠軍”

2021年12月24日，北京市經(jīng)濟(jì)和信息化局聯(lián)合北京市工商業(yè)聯(lián)合會(huì)公布了北京市首批20家“隱形冠軍”企業(yè)認(rèn)定名單，名單主要集中于芯片、網(wǎng)絡(luò)安全、大數(shù)據(jù)和衛(wèi)星導(dǎo)航等科技創(chuàng)新領(lǐng)域。

作為國(guó)內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)第一梯隊(duì)的龍頭企業(yè)奇安信科技集團(tuán)股份有限公司（簡(jiǎn)稱奇安信）成功上榜。

當(dāng)網(wǎng)絡(luò)安全市場(chǎng)進(jìn)入穩(wěn)健增長(zhǎng)階段后，頭部企業(yè)在規(guī)模和資源上擁有明顯優(yōu)勢(shì)，且隨著時(shí)間推移，頭部企業(yè)擁有的市場(chǎng)份額會(huì)逐漸擴(kuò)大。

在2022年6月中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)最新發(fā)布的“2022年中國(guó)網(wǎng)絡(luò)安全競(jìng)爭(zhēng)力50強(qiáng)”榜單上，奇安信憑借在網(wǎng)絡(luò)安全市場(chǎng)的持續(xù)創(chuàng)新能力，在市場(chǎng)表現(xiàn)與技術(shù)產(chǎn)品雙維度上均交出了一份優(yōu)異的答卷，蟬聯(lián)“中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)”第一。

從“技術(shù)思維”到“全局視角”

“安全對(duì)處于數(shù)字化轉(zhuǎn)型過程中的企業(yè)來(lái)說(shuō)，已不再是一個(gè)單純的技術(shù)問題，而是一個(gè)從企業(yè)觀念、流程建設(shè)、組織建設(shè)、運(yùn)營(yíng)體系到IT架構(gòu)設(shè)計(jì)的全局視角來(lái)思考的問題，更多的需要轉(zhuǎn)變思維方式”，張龍表示。當(dāng)站在客戶角度，真正以信息化建設(shè)的角度去思考安全問題的時(shí)候，會(huì)發(fā)現(xiàn)很多安全工作并沒有深入進(jìn)信息化體系之中。

在張龍看來(lái)，網(wǎng)絡(luò)安全對(duì)企業(yè)來(lái)說(shuō)牽一發(fā)而動(dòng)全身，要摒棄單點(diǎn)思維，形成體系化思維。

如果想要解決某一方面的安全問題，一定要從最初的架構(gòu)設(shè)計(jì)開始，就將安全問題當(dāng)作其中重要的一部分進(jìn)行整體考慮。因?yàn)楫?dāng)安全體系中的某項(xiàng)功能已經(jīng)構(gòu)建完成時(shí)，再讓安全團(tuán)隊(duì)去進(jìn)行后期調(diào)整和修改幾乎是不可能的事情，這會(huì)涉及整個(gè)業(yè)務(wù)邏輯和架構(gòu)的改變。

因此，對(duì)于企業(yè)來(lái)說(shuō)，一定是先有數(shù)字化，后有安全體系，而不是先設(shè)定一個(gè)安全模式，再讓數(shù)字化按照安全模式的路徑去走。

張龍認(rèn)為，在網(wǎng)絡(luò)安全體系的構(gòu)建中，安全體系建設(shè)的一半工作無(wú)法通過采購(gòu)?fù)獠堪踩a(chǎn)品解決，而是需要靠自身的運(yùn)營(yíng)來(lái)解決，企業(yè)信息化團(tuán)隊(duì)和安全團(tuán)隊(duì)一定是緊耦合的關(guān)系。

以某個(gè)電子政務(wù)云為例，張龍?jiān)趲ьI(lǐng)團(tuán)隊(duì)進(jìn)行安全檢查時(shí)發(fā)現(xiàn)，125個(gè)高危漏洞里面有105個(gè)是弱口令。事實(shí)上，解決這一問題的鑰匙并不握在安全廠商手中，而是需要企業(yè)安全運(yùn)營(yíng)體系來(lái)解決。為此，除了安全團(tuán)隊(duì)，還需要企業(yè)運(yùn)維團(tuán)隊(duì)的全程配合。

雖然網(wǎng)絡(luò)安全如此重要，但在企業(yè)組織架構(gòu)中常常處于較低層級(jí)的位置。

張龍表示，企業(yè)應(yīng)當(dāng)將安全的地位應(yīng)該提升到最高層級(jí)，從全局安全的思路出發(fā)，設(shè)計(jì)全局的安全架構(gòu)，從而讓企業(yè)在不斷通過新技術(shù)拓展新業(yè)務(wù)的時(shí)候，不至于遭受不可估量的傷害。

另外，不斷升級(jí)或補(bǔ)充安全能力，是筑牢終端安全防線的重要方法。

數(shù)字時(shí)代的資產(chǎn)除了傳統(tǒng)IT資產(chǎn)，還包括loT、傳感器、網(wǎng)站域名、數(shù)字證書、敏感數(shù)據(jù)等模塊，資產(chǎn)類別及資產(chǎn)體量在增加。在數(shù)字化背景下，由于數(shù)字業(yè)務(wù)開展的更多，企業(yè)并不能監(jiān)管到所有數(shù)字資產(chǎn)，導(dǎo)致安全盲區(qū)的出現(xiàn)，而安全盲區(qū)誕生出的影子資產(chǎn)容易被攻擊者利用。

對(duì)于企業(yè)安全人員，基于攻擊者視角驅(qū)動(dòng)運(yùn)營(yíng)決策是十分必要的。安全業(yè)務(wù)人員應(yīng)當(dāng)像攻擊者一樣思考，以攻擊者視角監(jiān)測(cè)數(shù)字資產(chǎn)，分析攻擊者可能利用的弱點(diǎn)，并制訂對(duì)應(yīng)的防守策略。

同時(shí)，要經(jīng)常檢驗(yàn)防御的有效性。傳統(tǒng)以合規(guī)為基礎(chǔ)的安全運(yùn)營(yíng)，已經(jīng)無(wú)法應(yīng)對(duì)復(fù)雜的攻防場(chǎng)景，需要以自動(dòng)化技術(shù)和攻擊模擬技術(shù)，以攻擊者視角持續(xù)檢驗(yàn)現(xiàn)有安全機(jī)制的有效性。

此外，還要協(xié)同聯(lián)動(dòng)各種安全能力以及運(yùn)營(yíng)團(tuán)隊(duì)，提高安全事件的響應(yīng)速度，在漏洞被利用前修復(fù)漏洞。

對(duì)于網(wǎng)絡(luò)安全體系建設(shè)，張龍還打了一個(gè)形象比喻，網(wǎng)絡(luò)安全就像戰(zhàn)爭(zhēng)，核心因素是“人”。即使買了最好的武器裝備，但如果沒有成熟的軍官、士兵、組織體系、指揮體系，軍隊(duì)還是無(wú)法形成強(qiáng)悍的戰(zhàn)斗力。

所以網(wǎng)絡(luò)安全歸根結(jié)底是一個(gè)組織問題，并不是一個(gè)技術(shù)問題。

體系化防御，數(shù)字化運(yùn)營(yíng)

克勞塞維茨在《戰(zhàn)爭(zhēng)論》中曾經(jīng)對(duì)防御作戰(zhàn)有過這樣的描述：“防御作戰(zhàn)這種常見的作戰(zhàn)形式，其往往不是單純的組織靜態(tài)的防線，而是由無(wú)數(shù)次的巧妙打擊和迂回運(yùn)動(dòng)組成的反突擊體系?！?/p>

所謂的“攻勢(shì)防御”，也就是我們常說(shuō)的“積極防御”或者“決戰(zhàn)防御”，其精髓就是攻中帶守，攻守結(jié)合。

作為攻守博弈中較為弱勢(shì)的一方，防守方應(yīng)當(dāng)如何進(jìn)行更有效地防御，從而化被動(dòng)為主動(dòng)，變滯后為前瞻？

張龍認(rèn)為，防守方重要的是要構(gòu)建縱深防御體系。單一的產(chǎn)品無(wú)法實(shí)現(xiàn)安全，構(gòu)建縱深防御體系、建立全面監(jiān)控的能力、高效協(xié)同等，都是贏得網(wǎng)絡(luò)安全戰(zhàn)的先決條件。

目前，大多數(shù)企業(yè)網(wǎng)絡(luò)安全還存在五大方面問題，即資產(chǎn)繁多難管理、運(yùn)維數(shù)據(jù)巨大、威脅發(fā)現(xiàn)能力不足、安全威脅不可見、缺乏聯(lián)動(dòng)防御。

為此，企業(yè)亟需建立一個(gè)從IT資產(chǎn)梳理、識(shí)別到威脅發(fā)現(xiàn)、研判、分析溯源和響應(yīng)處置的大縱深整體防御體系。

張龍表示，縱深防御體系的本質(zhì)是多層防御，使得入侵者必須突破層層堡壘才能接觸到核心數(shù)據(jù)資產(chǎn)。防守方建立起縱深防御體系后，攻擊方的入侵難度和入侵成本將大幅度提高，通常遠(yuǎn)未到終點(diǎn)時(shí)就會(huì)被發(fā)現(xiàn)，這就使得防守方有充足的時(shí)間響應(yīng)和處置，最大限度地提升安全漏洞的發(fā)現(xiàn)機(jī)會(huì)與修復(fù)速度。

縱深防御的基礎(chǔ)建立在對(duì)威脅風(fēng)險(xiǎn)和資產(chǎn)的識(shí)別能力上，因此摸清家底無(wú)疑是第一步。

如今，攻擊者將關(guān)注點(diǎn)更多放在設(shè)備上承載的業(yè)務(wù)系統(tǒng)，甚至是某個(gè)服務(wù)或中間件，域名、ICP、IOT等，而這些暴露面的資產(chǎn)，以未知資產(chǎn)、僵尸資產(chǎn)更為嚴(yán)重，攻擊者會(huì)迅速展開精準(zhǔn)攻擊、獲取重要信息、達(dá)到入侵目的。

對(duì)此，要把已知的資產(chǎn)、未記錄資產(chǎn)、隱藏的問題資產(chǎn)全部梳理出來(lái)，做到心中有數(shù)。

在風(fēng)險(xiǎn)識(shí)別方面，不僅是資產(chǎn)存在風(fēng)險(xiǎn)，包括企業(yè)的安全策略、運(yùn)維策略、串聯(lián)業(yè)務(wù)線都可能存在邏輯漏洞，弱密碼、安全補(bǔ)丁、版本升級(jí)等風(fēng)險(xiǎn)漏洞更是比比皆是，這些漏洞都是黑客可利用的攻擊點(diǎn)。因此，對(duì)于漏洞和風(fēng)險(xiǎn)，企業(yè)安全人員需要與時(shí)間與攻擊者賽跑，早一步發(fā)現(xiàn)修復(fù)就是勝利。

其次，要建立縱深防御體系。縱深防御體系一旦建立，企業(yè)安全人員就可以在攻擊路徑上部署大量監(jiān)測(cè)手段，甚至是探針、蜜罐等誘捕手段，同時(shí)加強(qiáng)對(duì)竊取數(shù)據(jù)、非法刪除等異常行為的關(guān)聯(lián)分析，通過這些手段去對(duì)攻擊者實(shí)施誘捕，從而可以通過縱深防御體系給攻擊者設(shè)置大量的障礙。

第三，要對(duì)安全策略進(jìn)行動(dòng)態(tài)調(diào)整，這就需要完整的監(jiān)測(cè)與響應(yīng)體系，對(duì)風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)和及時(shí)響應(yīng)，實(shí)現(xiàn)全面掌握風(fēng)險(xiǎn)情況、及時(shí)評(píng)估風(fēng)險(xiǎn)變化、快速靈活應(yīng)對(duì)風(fēng)險(xiǎn)的安全目標(biāo)。

通過不間斷、全方位地開展協(xié)同防護(hù)，對(duì)保護(hù)對(duì)象的威脅、數(shù)據(jù)和漏洞三個(gè)安全要素進(jìn)行持續(xù)安全運(yùn)營(yíng)的設(shè)計(jì)，實(shí)現(xiàn)人、機(jī)、信息的協(xié)同聯(lián)動(dòng)，構(gòu)建體系化的網(wǎng)絡(luò)防御陣地。

張龍表示，防守方雖然處于相對(duì)被動(dòng)地位，但如果防御體系城墻建得足夠厚、護(hù)城河挖得足夠深，也會(huì)讓攻擊者知難而退。

同時(shí)，依靠單個(gè)企業(yè)的防御能力已不足以應(yīng)對(duì)日益多元化的威脅風(fēng)險(xiǎn)，需要在企業(yè)間形成網(wǎng)絡(luò)安全威脅情報(bào)共享機(jī)制，制定威脅情報(bào)共享標(biāo)準(zhǔn)，實(shí)現(xiàn)協(xié)同聯(lián)防。

體系化網(wǎng)絡(luò)安全的“中國(guó)方案”

在張龍的職業(yè)生涯中，曾多次帶領(lǐng)團(tuán)隊(duì)出色完成國(guó)家級(jí)網(wǎng)絡(luò)安全防護(hù)任務(wù)，其中就包括北京冬奧會(huì)及冬殘奧會(huì)的網(wǎng)絡(luò)安保工作，為世界展現(xiàn)出了網(wǎng)絡(luò)安全的“中國(guó)方案”。

作為中國(guó)網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)廠商，奇安信于2019年12月正式成為北京2022年冬奧會(huì)及冬殘奧會(huì)官方網(wǎng)絡(luò)安全服務(wù)和殺毒軟件贊助商。

事實(shí)上，奧運(yùn)會(huì)近年來(lái)已成為網(wǎng)絡(luò)攻擊的重點(diǎn)對(duì)象。無(wú)論追逐經(jīng)濟(jì)利益的黑客組織，還是謀求政治目的國(guó)家級(jí)黑客，都在期間頻現(xiàn)魅影。

比如2016年里約奧運(yùn)會(huì)期間，政府和贊助商網(wǎng)站遭到APT攻擊，大量數(shù)據(jù)泄露；2018年平昌冬奧會(huì)開幕期間，黑客攻擊使得互聯(lián)網(wǎng)和廣播系統(tǒng)中斷、奧運(yùn)會(huì)網(wǎng)站癱瘓數(shù)小時(shí)、開幕式直播信號(hào)中斷。

因此，北京冬奧會(huì)的網(wǎng)絡(luò)安全保障工作，尤其是開幕式的網(wǎng)絡(luò)安全保障工作成為重中之重。

實(shí)戰(zhàn)化水平是檢驗(yàn)網(wǎng)絡(luò)安全能力的唯一標(biāo)準(zhǔn)。

為了確保冬奧會(huì)萬(wàn)無(wú)一失，早在冬奧會(huì)開始800多天前，奇安信就已經(jīng)啟動(dòng)了冬奧網(wǎng)絡(luò)安全保障服務(wù)；30天前，啟動(dòng)了北京冬奧會(huì)網(wǎng)絡(luò)安全保障中心，成立了11支保障團(tuán)隊(duì)，1500余名員工堅(jiān)守崗位。

對(duì)于冬奧網(wǎng)絡(luò)安全保障來(lái)說(shuō)，這是一個(gè)體系化工程，是奇安信所有前沿安全能力的匯集，產(chǎn)品的標(biāo)準(zhǔn)化、統(tǒng)一化和關(guān)聯(lián)化是重要課題。

為保障冬奧會(huì)各項(xiàng)工作的信息網(wǎng)絡(luò)安全，奇安信共計(jì)部署包括防火墻、終端安全管理、Web應(yīng)用防火墻等在內(nèi)的各類安全設(shè)備近千套。

更重要的是，在冬奧會(huì)開始前的800多天里，奇安信主動(dòng)開展了十輪攻防演習(xí)，將高強(qiáng)度的攻擊防御做到了常態(tài)化。

其中，200多名分析人員，每天處理超過10億條各類網(wǎng)絡(luò)安全日志，對(duì)其中產(chǎn)生的數(shù)千條告警信息深入細(xì)致研判，在最短的時(shí)間內(nèi)實(shí)現(xiàn)對(duì)安全事件的檢測(cè)和響應(yīng)，基于大數(shù)據(jù)建模，并對(duì)未來(lái)的安全趨勢(shì)進(jìn)行精準(zhǔn)預(yù)測(cè)。

除此之外，奇安信還啟動(dòng)了一套從攻擊者視角思考問題的系統(tǒng)，里面記錄了過去七、八年主要攻擊組織的行為和特征，幫助奇安信攻防團(tuán)隊(duì)從攻擊者視角思考，力圖在發(fā)起攻擊之前提前捕獲攻擊者。

基于扎實(shí)的安全技術(shù)和艱苦的攻防演習(xí)，奇安信最終創(chuàng)下了北京冬奧會(huì)開幕式網(wǎng)絡(luò)安全“零事故”的世界紀(jì)錄。

據(jù)奇安信網(wǎng)絡(luò)安全保障中心統(tǒng)計(jì)，在冬奧、冬殘奧重保期間，奇安信共檢測(cè)日志數(shù)量累積超1850億，日均檢測(cè)日志超37億，累計(jì)發(fā)現(xiàn)修復(fù)漏洞約5800個(gè)，發(fā)現(xiàn)惡意樣本54個(gè)，排查風(fēng)險(xiǎn)主機(jī)150臺(tái)，累積監(jiān)測(cè)到各類網(wǎng)絡(luò)攻擊超3.8億次，跟蹤、研判、處置涉奧輿情和威脅事件105件。

正如張龍所說(shuō)，盡管冬奧會(huì)期間攻擊量高達(dá)上億次，但經(jīng)歷了冬奧會(huì)之前800多天的準(zhǔn)備和努力，讓奇安信對(duì)自身的防守能力有了充分的底氣。

過去，社會(huì)發(fā)展的第一要?jiǎng)?wù)是“求增長(zhǎng)”，而當(dāng)下及未來(lái)很長(zhǎng)一段時(shí)間的主題將變?yōu)椤氨０踩薄?/p>

在“大安全”的宏觀架構(gòu)下，全局化、智能化、自動(dòng)化成為抵御威脅和風(fēng)險(xiǎn)的微觀切入點(diǎn)。

在滌蕩不可預(yù)知風(fēng)險(xiǎn)的路上，會(huì)涌現(xiàn)出一大批像奇安信這樣的網(wǎng)絡(luò)安全廠商，通過全局化視角、縱深防御體系、智能化決策、自動(dòng)化執(zhí)行，將“中國(guó)方案”應(yīng)用到更多領(lǐng)域和場(chǎng)景，引領(lǐng)中國(guó)網(wǎng)絡(luò)安全走向更廣闊的天地。

來(lái)源：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無(wú)關(guān)。文章僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。