宋辰

網(wǎng)絡安全，不只是“救火隊員”，也可以是“指揮家”。

很多人都夢想川藏自駕游，曾經(jīng)需要準備的一輛越野車、一部充滿電的手機、一張地圖和一個指南針，現(xiàn)在都可以由一輛擁有智能聯(lián)網(wǎng)功能的汽車來代替，自適應巡航、藍牙車載電話、車載導航，一切都很方便地帶我們到任何地方去。但是，這時候卻似乎有個“幽靈”盤繞在我們身邊，這就是黑客。黑客有可能知道車輛的準確位置；車載娛樂系統(tǒng)會被勒索，黑客可以接聽車載系統(tǒng)撥打電話的語音，準確了解到個人隱私；黑客還可以不停撥打車主手機使之與外界隔絕，更可怕的是，他甚至可以欺騙車主通訊錄里的每一個人。

過去25年，消費者互聯(lián)網(wǎng)改變了幾乎每個人的生活。全球的網(wǎng)絡正在面臨積極的革命，我們期待每一架飛機，每一輛汽車，每一個電表，大部分實物和服裝可能都連到網(wǎng)上，我們正在從百億的連接，走向萬億的連接。在萬物互聯(lián)時代，每個人享受便利性，但是新的風險如影隨形，網(wǎng)絡安全尤其是基礎設施安全的重要性更加凸顯。

隨著我國數(shù)字化進程的整體提升，關鍵信息基礎設施已經(jīng)成為金融、交通等關系國計民生重點行業(yè)的神經(jīng)中樞。近年來，針對關鍵信息基礎設施的新型攻擊和破壞手段層出不窮。 傳統(tǒng)網(wǎng)絡安全中心以抵御攻擊為中心、以黑客為防御對象的安全策略和安全體系構(gòu)建存在重大的安全隱患。

當前，網(wǎng)絡安全設備的采購大多以單獨產(chǎn)品采購為主，這些采購的發(fā)起部門也各不相同。這些大型IT組織的建設是否有系統(tǒng)化的方法？是否有新的網(wǎng)絡安全處理策略，通過邊界防護和防止攻擊的方式來保障網(wǎng)絡安全？

網(wǎng)絡空間需要“自愈”

時間回到2008 年，趨勢科技中國（于2015年被亞信科技收購成立亞信安全）在全球范圍內(nèi)提出了云安全（ Secure Cloud ）的概念，并在當年發(fā)布了云安全白皮書。不過，那時云的概念也只是剛剛有些雛形，更不要提企業(yè)究竟有多少業(yè)務真正地跑在云上了。所以，彼時的“云安全”還顯得太過前沿。

但不得不承認的事實卻是，對于未來趨勢的研判，永遠是行業(yè)里頭部企業(yè)最擅長的。

2018年，在“2018 C3安全峰會”上，亞信安全提出了新戰(zhàn)略之一“網(wǎng)絡空間恢復補救能力”，這讓長期跟蹤安全領域的記者們都覺得頗新的理念。

亞信安全通用安全產(chǎn)品總經(jīng)理童寧在采訪中對《計算機世界》記者表示：“近一兩年內(nèi)，這個概念在國際上已經(jīng)開始有了探討和設計，網(wǎng)絡空間恢復補救能力是未來網(wǎng)絡安全重要的發(fā)展方向，是一種面對安全威脅能夠確保企業(yè)業(yè)務的可用性和恢復能力，可以最大限度維系業(yè)務關鍵應用的正常運維，降低風險?！?/p>

亞信安全強調(diào)的網(wǎng)絡空間恢復補救能力更像是漫威電影《X戰(zhàn)警》的人氣主角金剛狼所擁有的強大自愈能力。關鍵信息基礎設施在業(yè)務環(huán)境具備適應性能力、風險預測能力、遭受入侵后的對抗能力、被攻擊后的恢復能力，確保數(shù)據(jù)泄露損失最小化、通過業(yè)務的恢復補救能力，實現(xiàn)業(yè)務連續(xù)性的最大化。

隨著《網(wǎng)絡安全法》和《國家網(wǎng)絡安全事件應急預案》等一系列法律法規(guī)的出臺，對監(jiān)測預警、應急處置也提出了具體要求，構(gòu)建網(wǎng)絡空間恢復補救能力，確保企業(yè)業(yè)務在安全威脅下的可用性和恢復能力，以維系業(yè)務關鍵應用的正常運維、進而降低風險，成為安全能力建設的新方向。

精密編排的安全

童寧強調(diào)，在網(wǎng)絡空間恢復補救能力的構(gòu)建過程中，簡單來看可以分為三層結(jié)構(gòu)，分別是戰(zhàn)略層、戰(zhàn)術層和工具層。在戰(zhàn)略層構(gòu)建完善的恢復補救能力框架，在戰(zhàn)術層構(gòu)建威脅事件響應流程，并通過技術工具進行精密編排聯(lián)動，建立安全事務指揮平臺的整體體系。

以我們每天日常工作中都會接觸到的郵件為例，當我們的郵箱收到郵件時，附件、URL、服務器IP、標題和發(fā)件人數(shù)據(jù)會被提交到沙盒分析并產(chǎn)出黑名單，黑名單聯(lián)動阻斷惡意網(wǎng)絡鏈接，進行網(wǎng)絡活動及樣本分析，之后，提交黑名單至防毒墻控制管理中心，同步黑名單至亞信安全的終端安全OSCE，終端安全OSCE再依據(jù)黑名單進行查殺阻斷。

網(wǎng)絡空間恢復補救中的應急響應需要通過一個統(tǒng)一的指揮平臺，把每種應急情況都變成工作流，再將一個一個任務分發(fā)下去。平臺的核心是工作流以及預案應對的角色，也就是說，平臺上的每一個角色都按照既定的工作流去執(zhí)行，每一個節(jié)點做什么事情都清清楚楚有預案可參考。

“我們開發(fā)了三、四十種預案。不論哪一種預案，都是按照準備、發(fā)現(xiàn)、分析、遏制、消除、恢復和優(yōu)化這七個階段，把一個個工作流分發(fā)下去。”童寧說，“這和消防部門的消防演練十分相似，我們也需要按照預案去演練。消防跟我們產(chǎn)品很像的，有很多工具，但它們之間是沒有關系的，一個梯子，一把斧頭是沒有關系的，但是只要有了預案，我們就可以把這些‘救火的東西組合起來，實施有效施救?！?/p>

目前，亞信安全正在不斷完善網(wǎng)絡空間恢復補救能力的理論方法與技術工具，將威脅分析、調(diào)查取證、威脅情報、應急響應服務等方面的新興技術優(yōu)勢融入到體系建設的整體框架之中。隨著現(xiàn)代企業(yè)辦公空間逐漸延伸到虛擬化和云端，網(wǎng)絡安全的邊界正在變得模糊，本地部署與周邊防御遠遠不能對抗日益精進的網(wǎng)絡安全威脅，構(gòu)建全方位安全態(tài)勢感知的“多層次防護體系”至關重要。

亞信安全技術支持中心總經(jīng)理蔡昇欽指出：“要構(gòu)建多層次防護體系，單個網(wǎng)絡安全產(chǎn)品或是企業(yè)往往存在解決方案單點上的短板，難以有效地防護包括關鍵基礎設施在內(nèi)的防護目標。因此，亞信安全倡導與前沿的科技和策略研究，以及網(wǎng)絡安全業(yè)界的產(chǎn)品及方案全面聯(lián)動，共奏和諧共生的‘交響樂，實現(xiàn)集中式威脅共享和可視性，幫助客戶對抗無邊界風險?！?/p>

在網(wǎng)絡空間恢復補救能力的實踐中，亞信安全希望為客戶“賦能”，幫助客戶建立內(nèi)部的威脅情報中心，例如當檢測到惡意IP時，設備及時阻斷，同時，通過不同安全產(chǎn)品之間聯(lián)動的精密編排機制，即可同步感知到平臺?！皩崿F(xiàn)全方位安全態(tài)勢感知，是構(gòu)建安全聯(lián)動體系的方法和關鍵點，亞信安全正在通過產(chǎn)品聯(lián)動，實現(xiàn)威脅信息通過Web API與第三方應用程序共享，以提升整體的安全態(tài)勢感知能力”。蔡昇欽強調(diào)，“目前，亞信安全的安全聯(lián)動解決方案已經(jīng)在能源、交通等多個行業(yè)落地，通過云端與本地的威脅情勢共享，幫助行業(yè)客戶保護關鍵基礎設施安全。”

在筆者看來，在與跨平臺、跨架構(gòu)的安全產(chǎn)品、方案的聯(lián)動中，網(wǎng)絡空間恢復補救能力特別需要的是安全事務指揮平臺進行統(tǒng)一的管理，只有這樣，才能共奏和諧共生的“交響樂”，幫助客戶對抗無邊界風險。