今年RSA大會(huì)的主題是“機(jī)會(huì)的力量”。安博通相關(guān)負(fù)責(zé)人在參加RSA大會(huì)的期間，發(fā)生了一個(gè)小故事。在RSA大會(huì)主辦地美國(guó)下車(chē)拍照的20分鐘時(shí)間里，停在景點(diǎn)的車(chē)子竟然被砸了，車(chē)子里面的包等貴重物品被偷走，而當(dāng)?shù)鼐煲埠軣o(wú)奈，這種情況經(jīng)常發(fā)生，因?yàn)楫?dāng)?shù)氐闹伟埠懿?，而且到處都沒(méi)有攝像頭，犯罪的成本非常低，任何人都能在很短的時(shí)間作案然后逃跑，但是被盜物品竟然在很遠(yuǎn)之外的警局被找到。

由此可以聯(lián)想到網(wǎng)絡(luò)安全行業(yè)是不是也是這樣？攻擊的成本是不是太低了？其實(shí)攻擊者并沒(méi)有想象的那么神秘，也并不一定需要多么高深的技術(shù)，只要有個(gè)工具就可以發(fā)起一場(chǎng)攻擊。發(fā)現(xiàn)一個(gè)漏洞就可以在任何時(shí)候任何地點(diǎn)進(jìn)行攻擊，但是防御者卻要時(shí)刻做好防御措施，關(guān)鍵漏洞還沒(méi)辦法完全杜絕，就像本屆RSA主席Rohit Ghai說(shuō)的“網(wǎng)絡(luò)越發(fā)達(dá)，漏洞也會(huì)越來(lái)越多”。

這種不平等的較量，或者叫攻擊者和防御者的較量，就像一場(chǎng)戰(zhàn)爭(zhēng)一樣。決定一場(chǎng)“戰(zhàn)爭(zhēng)”的勝利有很多因素，下面主要從“身”“心”“靈”三個(gè)方面來(lái)介紹。

“身”是指武器裝備。打贏一場(chǎng)戰(zhàn)爭(zhēng)首先要有基本的武器裝備。網(wǎng)絡(luò)安全也是一樣，基本的設(shè)備肯定要有，像防火墻、IPS、VPN等都要有，所以在今年的RSA大會(huì)上，傳統(tǒng)的提供基本設(shè)備的廠商還是很多的。

“心”是指情報(bào)工作。情報(bào)工作可以很好地了解敵人的戰(zhàn)術(shù)兵力情況，提前部署，對(duì)戰(zhàn)爭(zhēng)可能的動(dòng)向進(jìn)行預(yù)判，才有可能打贏戰(zhàn)爭(zhēng)。網(wǎng)絡(luò)安全中也有情報(bào)，像大量的日志、流量、軌跡、行為等都是情報(bào)，而且這些情報(bào)由人來(lái)是分析不了的，必須要借助大數(shù)據(jù)，需要敏捷的大腦，需要機(jī)器來(lái)學(xué)習(xí)，就像RSA主席說(shuō)的，“感謝機(jī)器人，感謝人工智能”。今年的RSA大會(huì)上，IBM展示了Watson機(jī)器人去做情報(bào)分析，明年可能Google會(huì)展示AlphaGo來(lái)做情報(bào)分析，Watson以前是做商業(yè)決策的，包括IBM的營(yíng)銷(xiāo)決策，數(shù)據(jù)分析，商業(yè)分析，今年是首次用Watson做安全情報(bào)分析。

“靈”是指行動(dòng)力和落實(shí)力。戰(zhàn)爭(zhēng)除了要有武器和情報(bào)，最重要的是要有上傳下達(dá)的執(zhí)行力。網(wǎng)絡(luò)安全中也有策略和命令，比如訪問(wèn)控制原則，流量調(diào)度原則，安全控制原則。但是現(xiàn)在的網(wǎng)絡(luò)還是有很多上面的策略下面不執(zhí)行的情況，很多還是幾年前的靜態(tài)表格策略，但是網(wǎng)絡(luò)運(yùn)維人員可能發(fā)生了很大的變化，這個(gè)過(guò)程中人的權(quán)限就會(huì)發(fā)展很大的變化，策略很難貫穿下去。

總結(jié)到網(wǎng)絡(luò)安全中就是，身體要協(xié)調(diào)，多個(gè)產(chǎn)品組合使用；心靈就是大腦一定要聰敏，利用大數(shù)據(jù)人工智能來(lái)分析；靈魂要落地，策略要持續(xù)的監(jiān)控和執(zhí)行。

網(wǎng)絡(luò)安全除了做到以上三點(diǎn)外，還要關(guān)注以下幾點(diǎn)。首先要知道防御的本質(zhì)是什么？防御的本質(zhì)就是縮小暴露面，這樣自然就會(huì)延長(zhǎng)攻擊的時(shí)間，暴露面太大就會(huì)容易被攻擊，延長(zhǎng)攻擊時(shí)間，這樣成本就會(huì)變高。方法有很多，比如這次很多廠商提出的SDP的概念，就是把所有的網(wǎng)絡(luò)安全策略隱藏起來(lái)，做成動(dòng)態(tài)的策略，網(wǎng)絡(luò)中部署SDP Controller(控制器)，控制器在訪問(wèn)者和資源之間建立動(dòng)態(tài)和細(xì)粒度的“業(yè)務(wù)訪問(wèn)路徑”。不同于傳統(tǒng)的路由和VPN隧道，SDP的隧道是按照業(yè)務(wù)需求來(lái)生成的，也就是說(shuō)這是一種單次和單業(yè)務(wù)的訪問(wèn)控制策略，SDP控制器建立的訪問(wèn)規(guī)則只對(duì)被授權(quán)的用戶和服務(wù)開(kāi)放，密鑰和策略也是動(dòng)態(tài)和僅供單次使用的。通過(guò)這種類(lèi)似“白名單”的訪問(wèn)控制形式，網(wǎng)絡(luò)中未被授權(quán)的陌生訪問(wèn)在TCP建立階段就是完全被屏蔽和拒絕，這種“臨時(shí)并單一”的訪問(wèn)控制方式，將私有云資源對(duì)非法用戶完全屏蔽，這樣便大大防止了門(mén)外“野蠻陌生人”對(duì)云的暴力攻擊(如DDoS流量攻擊)、精準(zhǔn)打擊(如APT高級(jí)持續(xù)威脅)、漏洞利用(如心臟出血漏洞)等，通過(guò)構(gòu)建“暗黑網(wǎng)絡(luò)”來(lái)縮小網(wǎng)絡(luò)的暴露面。同時(shí)配合策略可視化和流量可視化的手段，對(duì)這些海量動(dòng)態(tài)的“業(yè)務(wù)路徑”進(jìn)行自動(dòng)分析和持續(xù)監(jiān)控，以實(shí)時(shí)發(fā)現(xiàn)錯(cuò)誤路徑、不合規(guī)路徑、被篡改的路徑、被入侵的路徑等風(fēng)險(xiǎn)隱患，進(jìn)一步作出策略修改和補(bǔ)救措施，從而阻止威脅蔓延擴(kuò)散。

其次是威懾力的作用，安全為什么要講威懾力?為什么車(chē)會(huì)被砸掉，因?yàn)楫?dāng)?shù)貨](méi)有攝像頭，作案后很難抓到。有攝像頭的話可以起到威懾作用，這樣就大大降低了犯罪率。網(wǎng)絡(luò)攝像頭其實(shí)就是網(wǎng)絡(luò)監(jiān)控，監(jiān)控的方法很多，有基于流量、策略、特征、行為、終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備以及主機(jī)等的監(jiān)控。在今年的RSA大會(huì)上，網(wǎng)絡(luò)的可視化和網(wǎng)絡(luò)監(jiān)控是個(gè)非?；鸬脑掝}。

最后是數(shù)據(jù)和情報(bào)共享，今年的RSA大會(huì)上，幾乎所有的廠商都提到了數(shù)據(jù)和情報(bào)共享。國(guó)外在情報(bào)共享方面已經(jīng)做的很好了，比如Redseal與ForeScout的合作等，但是現(xiàn)在國(guó)內(nèi)大部分還處于競(jìng)爭(zhēng)狀態(tài)，很少?gòu)S商有情報(bào)共享和協(xié)作。只有大家都團(tuán)結(jié)起來(lái)，才能承擔(dān)起網(wǎng)絡(luò)安全的責(zé)任。