網絡安全攻防戰

今年RSA大會的主題是“機會的力量”。安博通相關負責人在參加RSA大會的期間，發生了一個小故事。在RSA大會主辦地美國下車拍照的20分鐘時間里，停在景點的車子竟然被砸了，車子里面的包等貴重物品被偷走，而當地警察也很無奈，這種情況經常發生，因為當地的治安很差，而且到處都沒有攝像頭，犯罪的成本非常低，任何人都能在很短的時間作案然后逃跑，但是被盜物品竟然在很遠之外的警局被找到。

由此可以聯想到網絡安全行業是不是也是這樣？攻擊的成本是不是太低了？其實攻擊者并沒有想象的那么神秘，也并不一定需要多么高深的技術，只要有個工具就可以發起一場攻擊。發現一個漏洞就可以在任何時候任何地點進行攻擊，但是防御者卻要時刻做好防御措施，關鍵漏洞還沒辦法完全杜絕，就像本屆RSA主席Rohit Ghai說的“網絡越發達，漏洞也會越來越多”。

這種不平等的較量，或者叫攻擊者和防御者的較量，就像一場戰爭一樣。決定一場“戰爭”的勝利有很多因素，下面主要從“身”“心”“靈”三個方面來介紹。

“身”是指武器裝備。打贏一場戰爭首先要有基本的武器裝備。網絡安全也是一樣，基本的設備肯定要有，像防火墻、IPS、VPN等都要有，所以在今年的RSA大會上，傳統的提供基本設備的廠商還是很多的。

“心”是指情報工作。情報工作可以很好地了解敵人的戰術兵力情況，提前部署，對戰爭可能的動向進行預判，才有可能打贏戰爭。網絡安全中也有情報，像大量的日志、流量、軌跡、行為等都是情報，而且這些情報由人來是分析不了的，必須要借助大數據，需要敏捷的大腦，需要機器來學習，就像RSA主席說的，“感謝機器人，感謝人工智能”。今年的RSA大會上，IBM展示了Watson機器人去做情報分析，明年可能Google會展示AlphaGo來做情報分析，Watson以前是做商業決策的，包括IBM的營銷決策，數據分析，商業分析，今年是首次用Watson做安全情報分析。

“靈”是指行動力和落實力。戰爭除了要有武器和情報，最重要的是要有上傳下達的執行力。網絡安全中也有策略和命令，比如訪問控制原則，流量調度原則，安全控制原則。但是現在的網絡還是有很多上面的策略下面不執行的情況，很多還是幾年前的靜態表格策略，但是網絡運維人員可能發生了很大的變化，這個過程中人的權限就會發展很大的變化，策略很難貫穿下去。

總結到網絡安全中就是，身體要協調，多個產品組合使用；心靈就是大腦一定要聰敏，利用大數據人工智能來分析；靈魂要落地，策略要持續的監控和執行。

網絡安全除了做到以上三點外，還要關注以下幾點。首先要知道防御的本質是什么？防御的本質就是縮小暴露面，這樣自然就會延長攻擊的時間，暴露面太大就會容易被攻擊，延長攻擊時間，這樣成本就會變高。方法有很多，比如這次很多廠商提出的SDP的概念，就是把所有的網絡安全策略隱藏起來，做成動態的策略，網絡中部署SDP Controller(控制器)，控制器在訪問者和資源之間建立動態和細粒度的“業務訪問路徑”。不同于傳統的路由和VPN隧道，SDP的隧道是按照業務需求來生成的，也就是說這是一種單次和單業務的訪問控制策略，SDP控制器建立的訪問規則只對被授權的用戶和服務開放，密鑰和策略也是動態和僅供單次使用的。通過這種類似“白名單”的訪問控制形式，網絡中未被授權的陌生訪問在TCP建立階段就是完全被屏蔽和拒絕，這種“臨時并單一”的訪問控制方式，將私有云資源對非法用戶完全屏蔽，這樣便大大防止了門外“野蠻陌生人”對云的暴力攻擊(如DDoS流量攻擊)、精準打擊(如APT高級持續威脅)、漏洞利用(如心臟出血漏洞)等，通過構建“暗黑網絡”來縮小網絡的暴露面。同時配合策略可視化和流量可視化的手段，對這些海量動態的“業務路徑”進行自動分析和持續監控，以實時發現錯誤路徑、不合規路徑、被篡改的路徑、被入侵的路徑等風險隱患，進一步作出策略修改和補救措施，從而阻止威脅蔓延擴散。

其次是威懾力的作用，安全為什么要講威懾力?為什么車會被砸掉，因為當地沒有攝像頭，作案后很難抓到。有攝像頭的話可以起到威懾作用，這樣就大大降低了犯罪率。網絡攝像頭其實就是網絡監控，監控的方法很多，有基于流量、策略、特征、行為、終端、服務器、網絡設備以及主機等的監控。在今年的RSA大會上，網絡的可視化和網絡監控是個非常火的話題。

最后是數據和情報共享，今年的RSA大會上，幾乎所有的廠商都提到了數據和情報共享。國外在情報共享方面已經做的很好了，比如Redseal與ForeScout的合作等，但是現在國內大部分還處于競爭狀態，很少廠商有情報共享和協作。只有大家都團結起來，才能承擔起網絡安全的責任。