至顶网安全频道 07月26日 综合消息:
本文作者史中,科技媒体人。
在很多人眼里,互联网是朋友圈的深夜美食,是剁手前后的纠结和伤感。但在保卫互联网的安全人眼里,这里从来不是阳光净土,而是蛮荒的森林。
魑魅魍魉,百鬼夜行。
曾经,为了抵抗来自黑暗中的攻击,人们选择点起篝火,避退山洞;而后选择结成村庄,建立城池。
这个在真实世界持续万年的漫长安全进化,在赛博世界里被压缩到了十几年。
肖力站在长河岸边,几乎完整目睹了企业安全的沧海桑田。
如今作为阿里云安全掌门人的他,曾是阿里巴巴第一个安全工程师。
▲肖力
从2005年至今,肖力亲手参与了阿里巴巴这个全球最大电商的安全建设。
“作为一个发展中的企业,有没有可能建设像阿里巴巴一样强大的安全体系呢?”这是个有趣的问题。如果这个问题由肖力来回答,就变得更有意思。
在今年的阿里云安全峰会上,肖力给出了他的回答。
为企业安全“跑个分”
万物皆须有尺度,企业安全也一样。
所以,不服跑个分。
在肖力眼里,评价企业安全水平有一个非常客观的标准:
1分企业
这样的企业没有专职的安全团队,仅仅购置了一个防火墙,有的甚至连防火墙都没有。
可怕的是,这种几乎完全没防护的企业占了总数的90%,在阿里云上,这样的企业也不在少数。
2-3分企业
这类企业一般成立5年以上,有了专职安全团队。以中型游戏、电商、旅行网站为代表。
他们的业务对安全要求比较高,而且预算也比较充足,可以雇佣一些安全人员(目前安全人员的成本还是比较高的)进行基本的安全建设和应急响应。
这些安全人员一般挂在运维或者研发团队下面,人数在10人以下,一般3-5人。
3-4分企业:
这类企业一般成立十年以上,以BAT、运营商、银行、石化电力央企为代表。安全建设时间超过五年,安全队伍大于10人,有的可以达到五百人以上。每年安全投入超过5000万-1亿。这类企业安全性较好,但数量也最少,只占到全部企业的2%。
从我的标准来看,真正安全合格的企业,在中国不会超过100个。
肖力给出了这个有些惊悚的判断。
但仔细想来,这个判断理由充分:
对于初创企业来说,受困于资金压力和安全意识,没办法把安全建设一蹴而就;
对于发展中的企业来说,市场上有无数的安全产品和公司,声称可以从各个方面保卫你的安全。这些声音最终汇集在一起,成为了噪声,企业反倒一片茫然。
于是很多企业根据朴素的想法和基础的理论,开始自我尝试:
有些索性退守山林,用内网隔离的方法,试着造出一片“世外桃源”,但是今年五月的 Wannacry 病毒已经完整演示了病毒突破隔离,在内网里繁衍肆虐的骇人景象。
经过这些尝试,更多的企业不是“得意尽欢”,而是“四顾茫然”。
2017年5月,WannaCry 病毒席卷全球,造成的损失超过500亿美元。未来安全可能给企业造成的损失只会多不会少。在肖力眼里,赛博世界如此盗匪横行,名驹宝剑或不可少。
于是,企业需要在最后的时间窗口里,练就防身之术。
肖力觉得,企业固然需要手握锋利的武器,但在一切之前,需要手握四个锋利的认知:
认知一:边界已死,隔离要“走心”
WannaCry 在肖力眼中,竟然是个“轻量级”的病毒。
它在某种意义上说是一个偶发事件,虽然席卷全球,但是技术稍显粗糙。我甚至可以猜测到未来勒索病毒的进化方向,那就是有自动渗透能力的‘“机器人’”。
肖力说。
▲WannaCry 病毒勒索界面
其实,机器人自动攻防并不是一个新命题,在2016年的 DEFCON 黑客大赛上,已经出现了“CGC”机器人攻防大赛。这些机器面对复杂的网络环境,表现虽然差强人意。但是肖力觉得,真实世界的网络攻击,单就渗透来说,环境并没有那么复杂。
以目前企业的安全防护水平来看,很多都存在不少已知的可利用的低危漏洞。而从黑客的角度来看,几个低危漏洞组合在一起,就是高危漏洞。这样,机器只需要一般智能,就可以完成渗透动作。
他说。
▲2016 DEFCON 黑客大会,参加自动攻防大赛的机器人们
简单来说,一个如下的世界观被建立:
世界上第一个利用漏洞的蠕虫 WannaCry 刚刚过去,它在技术上相当不成熟,却已经造成了防护欠佳的企业哀鸿遍野。而新的勒索蠕虫一定正在世界的某个角落整装待发。
这就像凶猛的洪水一样,潮头一定会来,而且一浪高过一浪,在此之前如果没能寻找到安全的庇护策略,总有一天难免覆巢毁卵。
君不见,有哪一座城池,最终能抵御敌人潮水般的冲击。
其实,放下对边界的幻想和执念,并不容易。在商业领域,永远会有贸易壁垒;在国家层面,永远会有国境界碑;在社会阶层,永远有利益团体。
但是,肖力觉得,边界的概念没有错,只是过时了。边界完全可以被更走心地运用,可以做到进一步精细化部署。就像下面这张企业内部网络拓扑图:
一家典型的公司,里面可能有一千台服务器。这个内网的拓扑结构方式名为:一锅粥。
这样说起来有点刻薄,但是因为服务器之间的相互连接杂乱无章,造成的效果是:只要内网有一点被突破(看起来不可避免),所有的机器都会沦陷。
而这是一家新型的公司,它的网络拓扑结构看起来是“强迫症风格”。但这种结构绝不止于美观。强关联的主机被划归在同一个区块之中,只通过固定的端口(例如1433)和其他机器相连,而所有其他端口的流量都会被系统自动阻断。
需要说明的是,这种机器的拓扑结构生成,以及端口的白名单策略,都是由安全系统通过机器学习的方法自适应定义的,不需要人工强干预(否则在系统升级和变化之后,拓扑结构就需要推倒重来)。
在这种情况下,病毒如果入侵一台机器,造成的影响就非常有限,因为以目前自动化攻防的水平,无法绕开企业内网中这么多“坑”。
如此,企业内网产生了新的细粒度的隔离,就像《地道战》中描述的一样,在鬼子不断深入村庄的规程中,不断遇到各种陷阱,导致举步维艰,损失惨重。
认知二·武器,永远是人的附属
还是以 WannaCry 病毒为例,在蠕虫爆发前28天,这个漏洞已经被曝光在世界面前。从漏洞曝光开始,就是感知影响,修复自身漏洞的“黄金运营时间”。
这是安全运营的基础。
但正所谓,上工治未病。肖力把它翻译成为安全语境:“最好的安全是防患于未然。”
企业要的东西很简单:安全的结果。为了达到这个结果,需要两个必要条件:
1、全世界最好的产品。
2、可以用好产品的人。
如果你还没有深刻理解“人”的重要性,可以看一下这个GIF:
肖力举了一个例子:
一家公司的业务被人攻击,是因为发现了漏洞。一般人的想法是,用最好的产品来修复漏洞。但是,殊不知漏洞产生的根源却恰恰是代码工程师。
如果一家网站的工程师每天产生一百个漏洞,那么再好的安全产品也修补不过来。
亡羊补牢永远是亡羊补牢。
在建设网络的时候,有很多错误原本就可以不发生。
平心而论,让代码工程师的安全意识提高,这件事并不是无法操作,只是很多公司从内心里并没有把它作为问题的的根源。
肖力以阿里巴巴自身为例,“每个工程师上岗之前,都会经过严格的培训,其中一项就是安全培训。只有通过了安全培训,工程师才有可能上岗,他的代码才有可能进入阿里巴巴的血液。”
人,才是肖力心中真正的安全运营。
认知三·蓝军,是一种“核威慑”
在网络安全中,有一个很重要的概念——蓝军。
这个概念脱胎于军事演习。顾名思义,所谓蓝军,实际上就是一支攻击队伍。他们的目的就是通过进攻的方法找到红军的漏洞弱点。用这种方式提高红军的安全能力。
这种方法已经被广泛地应用于大公司。
微软曾经推出十万美金奖励计划,就是让全球的高手帮自己来发现漏洞;
各大企业的SRC(漏洞响应平台),就是让白帽子们可以集思广益,帮助企业找到漏洞所在。
一个企业自身的安全队伍在强大,也许只能找到自身80-90%的漏洞,就算照到了99%的漏洞,剩下的一个被黑客利用,所有的防护还是功亏一篑。
肖力说。
这就说到了很多人都熟悉的众测平台。
例如美国的 HackerOne 众测平台,例如国内的补天、阿里先知众测平台。
安全界有一个共识:
虽然中国的众测平台在发展过程中受到了一些非议。但是我们看到国外有很多成功的众测平台模式,这说明众测本身的逻辑没错,我们只是需要把它做得更规范,更透明。
而蓝军的另外一个作用,是对攻击的反击能力。
蓝军平时可以通过攻击的方式来验证自身的安全,但是在遭遇攻击的时候,它同样可以作为精锐之师,讨伐敌人。
如果你没有任何还手之力。哪怕攻击者只有一个,如果他天天盯着你,总有一天会冲进来把你杀死。
如果你有反击的能力,就对攻击者有了威慑,这就从根本上扭转了攻防的局势。
肖力说。
至此,我们可以构建如下世界观:
面对核武器,如果我们只是修建地下工事,企图躲避进攻,那么对方永远会拿出更大当量的武器来轰击我们。
如果我们拥有一套顶尖的反导系统,可以在敌人刚发射核弹的时候就进行拦截,甚至可以让核弹在敌人的领土上爆炸。那么敌人就会完全重估进攻我们的成本和收益。
▲蓝军从根本上来说是一种“核威慑”
认知四·看见,本质是算法
企业“看见”这种能力尤为重要。
所谓:“攻防的过程中,第一时间发现攻击者,战斗就结束了。"
这大概就像你在公交车上断喝一声“有小偷!”蟊贼一定马上收手。
这就是“态势感知”的意义。
这里有一个令人遗憾的事实:很多企业,多了一台服务器都没有感知,更遑论记录这台服务器上的全量日志记录了。
▲全量数据是“看见”的基础
而肖力觉得,完整的数据源只是态势感知的基础:
真正考验企业安全能力的时候是企业有没有足够的计算能力,能不能检测出威胁。数据模型算法,是否优化到了让误报和漏报都在可用的范围,而不是满屏的误报,或是漏过很多攻击。
也就是说,算法才是“看见”的核心能力。
打个比方:市场上一定有赚钱的股票,但是这并不意味着普通人就可以毫不费力地找出它们。相反,只有具备极强的经济学能力和相关知识的专家,才能从股市里挖掘出价值。
这样的智慧,一半来自于顶尖的算法工程师,这些算法工程师不但要精于数据模型,也要对安全有深刻的理解。
这件事情如很多人所想,并不容易。但是,一旦建立了精确的算法模型,就像在城池中央点起了一盏灯塔。它的意义不亚于在黑暗的世界,点燃一支火把。
结语
人人都在说“边界已死”。这个判断简单利落,带有先知的光芒。
但边界死后,我们又该做什么呢?
从阿里巴巴的角度来看,肖力和同事用了十几年的时间,建设了一个不依赖边界防御的企业样本。肖力觉得,这些经验不应该仅仅成为个人经历,而是应该分享出来。
这也是他热情地赞颂云安全的原因之一。
云安全的价值,是“普惠”。用优秀的标准品把企业安全分数从1拉到3,让我们每年投资过亿的安全能力建设,可以瞬间被普通的企业所使用。
他说。
肖力提出的四个认知,无一不在昭示着安全建设的长期和艰巨。而面对越来越严峻的安全形势,云安全也许是一个捷径。
end
好文章,需要你的鼓励
最近《Gartner十大战略技术趋势报告(2025)》正式出炉,人工智能众望所归成为焦点,在多个趋势中得到了充分体现。
CIO越来越多地利用云和分析引领数字化变革,尤其是在零售和服务公司,但本质上交叉点是与创收密切相关,在这方面IT优先级也不断提高。
谷歌云(Google Cloud)希望通过推出新的谷歌云人工智能代理生态系统计划,将人工智能代理的销售和客户采用率提升到新的高度,通过新的技术和市场资源帮助合作伙伴建立并共同创新人工智能代理。