对于防护一方来说,安全就是一幅图,安全防御需要可视化。
■本报记者 赵广立
二十国集团(G20)峰会召开在即,安全保障工作必须做在前面。
具体到网络安全方面,网络战场上“我在明敌在暗”,要确保网站特别是业务系统不被攻击,现实压力非常大。若此,计将安出?
亚信安全引入了“态势感知”理念和技术,变被动为主动防御黑客入侵。亚信安全TSG产品管理副总经理、移动安全专家刘政平告诉《中国科学报》记者,态势感知技术可以以图形或地图可视化的方式,把威胁的来源、攻击的手段、主要的风险以及可能影响的范围,甚至未来趋势勾划出来,做到对网络空间实时、动态地主动防护。
被动防护落后一步
网络安全的防线有多脆弱?国际知名安全公司FireEye曾于2014年5月发布了一份名为《网络安全的最后防线:深度防御的实境评估》的研究报告。报告称,FireEye分析了全球1217家遭受安全攻击的企业。尽管这些企业广泛部署了诸如防火墙、IPS、沙箱或防病毒产品,但仍有高达97%参与调查的企业曾被黑客成功入侵。
问题出在哪里?
著名白帽子、阿里云云盾负责人吴翰清分析说,虽然这些企业部署了安全设施,但是安全设施感觉到黑客存在的时候往往是在入侵事件发生之后。当然,也有可以实时给予存在感的系统,但只是一大堆的告警。更专业一点地说,是混杂了大量误报和无用信息的信息轰炸——其实这和看不到没什么两样。
这是一件令人郁闷的事情:为什么总是跟在黑客屁股后面?
这种“看不到”并非偶然。在吴翰清看来,安全攻防完全可以用著名的“木桶理论”来解释。按照木桶理论,只有构成木桶的所有木板都足够高,木桶才安全;所有木板比最低木板高出的部分都是没有意义的,要想增加木桶的安全,应该设法增加最低木板的高度,这是最有效也是最直接的途径。因为,黑客总是会从意想不到的地方入侵。
因此,对于防护一方来说,安全就是一幅图,如果没有看整张图的视野,就等于什么也看不到。换句话说,安全防御需要可视化。
关于如何解决安全的可视化,国内外的安全专家已进行过大量的研究。一个关键的突破便是“态势感知”理念的引入。
动态的安全防护
公认的“态势感知”(SA,Situation Assessment的缩写)概念是,在特定时空下,对动态环境中各元素或对象的觉察、理解以及对未来状态的预测。其中,“觉察”又称为一级SA,本质上是“数据收集”;“理解”为二级SA,本质上是掌握数据中的情报;“预测”称为三级SA,本质上是情报的应用。
“态势感知”概念起源于20 世纪80 年代的美国空军,指的是军方通过对空战环境信息的分析,快速判断当前及未来形势并作出正确反应,无疑这对取得胜利具有决定性的作用。然而,信息安全领域要做到态势感知并非易事。
想要实现全面、快速、准确感知过去、现在、未来的安全威胁,首先要充分尊重原始数据,或者称之为基础数据。正是缘于无法获得所有这些基础数据,很多中小企业在“态势感知”面前望而却步。
“现阶段很少有中小企业涉及态势感知,真正有实力关注态势感知的是类似致力于‘平安城市’的成都市政府这样的城市运营方和金融、电力等基础行业的大型企业。”刘政平告诉记者,亚信安全目前也只是与这些“大客户”进行合作,原因就在于他们“有海量的真正的大数据”。
然而,有了这些数据,还并不等于可以精确地得知网络威胁。
“大数据有一个特点,就是价值的低密度。比如,现在在很多楼道里面都有摄像头,但是真正有价值的数据只有几秒钟的时间。同样的道理,黑客对业务系统的访问等数据或者一些攻击行为等也是隐藏在大量的日志文件里面,也是低频的数据,不是密集的攻击。”刘政平指出,这时候就需要平台方对软件运行日志等有非常深刻的理解和研究。
“代码比对技术、智能化报警等经验的沉淀积累也是很重要的。并不是说有了数据就可以很精确地告知入侵风险。”刘政平说。
此外,现在黑客都是动态的,每次攻击都不一样,用的手法、程序包也都是不一样的,因此需要通过感知系统推动设备自动产生一些安全策略阻断它们。
总体来讲,态势感知技术是一种动态的安全保护。“比如站在城市安全的角度,我们要保护的是基础设施,不能等到已经发生了严重的事情再来‘救火’。必须在黑客发动第一步攻击的时候就要联动到整个体系上的安全策略。”刘政平总结说,态势感知提出了一种新的安全方法论:不是依赖于规则而是依赖于这些安全情报,快速、动态地去改变这些安全配置。这样才能防止这种低频、高速的攻击。
人才和分享是关键
和许多美好的设想一样,态势感知目前也面临着掣肘它施展拳脚的问题。
刘政平告诉记者,在概念提出早期,做不到态势感知的原因很多,比如垃圾数据、数据分析不力等;而在当下,面临的一个重要困境是,没有足够的数据分析师人才队伍。
“没有足够的网络和数据分析师,就没有办法去有效地建模、建立规则库。”刘政平介绍说,这个工作其实非常枯燥,美国采取的办法是专设数据分析师这一岗位,并给予很高的薪水,以让分析师多年如一日地静下心来做。
“在中国,做工程师好像不如做管理的,水平高的工程师最后都去做了管理,那他的经验怎么沉淀呢?”刘政平反问道,缺乏人才团队是很多安全厂商的困惑,亚信安全致力于在成都形成产学研一体化的格局,就意在形成人才梯队,然后才是挖网络安全这座金矿。
此外,态势感知作为一种体系,分享也非常关键。刘政平对记者说,有的安全厂商甫一上马,就想做“大而全”,从数据收集到情报分析、交叉分析想要一口气全做完。“这是不现实的,大家各有专长、各显神通才是把态势感知做好的最佳态度。”
基于此,刘政平认为,“态势感知这种事情就适合政府立项去做,才能推动厂商去互相共享”。
“态势感知是一种合作的生产,一般用户是推动不了的。”他说,现在可行的思路是各做各的专业,共同做生态,而不是做封闭式的、大而全的厂商。
平安城市的构建
引入态势感知的理念和技术,未来的网络安全提供商将扮演怎样的角色?
刘政平以亚信安全为例讲道:“我们更像一个平台,将各个安全技术和方案厂商团结在一起,构成一个大的安全防护体系和网络安全生态,共同为需方提供服务。”他说,构建平安城市这种系统工程的各项技术不是哪家企业或机构能够全部拥有的,比较好的做法就是构建一个开放和共享的平台,形成体系。
搭好了态势感知技术体系的台子,“平安城市”的建设成为最大的期许。早在今年3月,亚信安全就与成都市政府签订战略合作协议,“共建信息安全公共服务平台”。
然而,刘政平指出,还需要两个要素才能真正推进平安城市的建设。
“首先一定要有政策上的支持才能建成平安城市。一方面,毕竟谁都不愿意把自己不好的方面暴露出来,没有一把手推动很难成功。所幸政府高层越来越关注城市网络安全的话题,从贵阳到成都,我们都感受到了来自决策层的重视。另一方面,政策性的支持能够尽快建成良好的平安城市建设示范,包括一地安全生态的打造。这种示范作用对于未来的推广很重要。”刘政平说。
其次就是要联合可靠的安全企业。刘政平解释说,态势感知没有技术上的沉淀不行,采集的数据是否有效、情报分析到不到位、安全策略是否满足要求等都要达标。“不能到最后,连个黑客都抓不到,那是不行的。”
《中国科学报》 (2016-08-30 第6版 前沿)