不久前,和国内某头部机场客户高层会面时,对方对机场当前网络安全现状忧心忡忡,提出了很多具体的问题,希望华为能够帮助他们建立一套安全体系,彻底地解决安全问题。我窃喜生意来了,毫不含糊地答应下来。
这类交流场景日渐普遍,让我感受到越来越多客户高层对网络安全的关心和重视,同时更感受到了他们的担心和焦虑。面对这个现象,从事网络安全产业的我理应开心,但其实内心极度不安:且不说管理、制度、流程、员工意识等非技术方面的因素对客户安全建设效果的影响,仅就技术、产品、服务等相对可控的因素而言,大部分客户在非常有限的预算下,如何才能“彻底地解决安全问题”呢?
一、不可持续的网络安全建设困境
大部分国内企事业单位的网络安全的现状是不容乐观的,这一点从这几年相关部门组织的全国性实战攻防演练行动可以看出来。虽然每次攻防演练都有一部分单位“幸存”下来没有被拿下标靶,但我们要认识到这背后所付出的有些“努力”是不可持续的:
首先,业务影响的不可持续:很多单位为了应对攻防演练,在演练期间通过拔网线等神操作将很多互联网业务下线,不仅本单位员工的正常工作受到影响,所服务用户也无法正常办理业务。这类神操作日常不可能落地。
其次,投入的不可持续:攻防演练期间,除了调动单位内部的员工外,还通过各种方式招募了大量的安服人员,有些是每天花费上万元短期租借的,有些是从安全厂商临时借调的。这么多人员的投入在日常是不可持续的。
这几年国家组织的实战攻防演练价值很大,大幅度提升了各个单位对网络安全的重视程度,也一定程度上促进了安全体系的建设。然而大部分企事业单位临阵磨枪仓促应战的这种应对方式并不理想。如何才能变“应试教育”为功夫在平时的“素质教育”方式呢?
从网络安全建设和日常运营水平这个角度来说,我们可以粗略地将国内企事业单位分为三大类:
第一类高水平的单位数量不多,全国不超过100家,主要包括BAT这类互联网大厂、五大行、头部的股份制银行、华为等。这类单位对安全的重视是自发的,业务驱动的。安全方面投入大、能力强,安全体系的建设主要以我为主,安全厂商、服务商是配角,提供一些产品和外包安服人员。这类单位可以相对轻松地应对常规的网络安全事件,实战攻防演练过程中也表现的最为淡定。投入大,不仅仅是指购买安全产品、方案、服务,更大的投入是维持一支专门的安全团队。团队中的高端安全人才一个人一年的收入就可能达到数百万,堪比某些大型单位在安全方面全年的预算。这类企业有点像旧时代的巨富,自己雇佣了不少武林高手看家护院,保护自己的安全。这种方式其他人只能羡慕无法模仿。
第二类中等水平的单位大量存在,数量以万计,包括大部分大型和部分中型企事业单位,比如地市级以上政府委办局,大型制造型企业、高速公路集团、地铁、大型医院、高等院校等。开篇提到的某机场也属于此类范畴。这类单位每年一般有上百万到千万不等的安全预算,有一个很小的网络安全部门或至少有一个人对网络安全负责任。他们的安全投资以合规驱动为主,依靠安全厂商或集成商进行建设,从厂商或服务商那里买一些驻场服务,整体安全建设和运维水平无法令人放心。非攻防演练期间,可能轻易就被普通水平的黑客攻陷;攻防演练期间,通过“不可持续”的努力防守有可能涉险过关,但大概率还是会被攻陷。
第三类网络安全建设和运营水平较低的单位普遍存在,数量以百万计,几乎包括所有的小型和大部分中型企事业单位,比如非三甲医院、普通中小学、一般的制造企业、县级政府单位等。这类单位在安全上或基本没有投资,或每年几十万以下,没有专门的安全负责人,也买不起驻场安服人员,即使曾经投资了基本的安全建设,也由于设备过于专业,没人持续运维而无法发挥作用。针对这一类单位,一个具有传染性的普通病毒,比如勒索软件就有可能导致整个信息系统不可用。
后两类单位的确需要改进,然而客观地说,我们不能要求他们在投入有限的情况下向第一类单位看齐,奢侈的豪华配置是无法推广到这些单位的。在当前的安全建设思路下,他们陷入进退维谷的境地:一方面是各种法律、制度、责任、攻防演练、安全事件带来的压力让其不得不想办法应对,想找到一个有奇效的药方解决网络安全问题;另一方面业界不断涌现的各种网络安全新理念、新技术显得遥不可及难以落地,安全厂商、服务商开出的各种灵丹妙药好像都不对症,至少在自己可获得的预算前提下解决不了关键问题。
这两类单位到底应该采用什么样的网络安全建设思路才能在有限的预算下解决问题呢?作为经常用APT、有组织的高级黑客等潜在威胁来“吓唬”这类客户、 “忽悠”他们花钱采购自家安全产品和服务的安全厂商,我们更应该思考这个问题,否则这个产业很难进入一个良性的状态。
二、网络空间环境的“破窗理论”
有一个社会安全的治理案例可拿来参考。在1994年之前,纽约的犯罪率居高不下,过去多年纽约市警察局采用各种措施都不见成效,许多社区、地铁站很不太平,恶性刑事案件频发。新上任的警察局长是从交通警察局长岗位上提拔的,他把自己过去4年在地铁治安秩序治理的思路引入到纽约市治安治理中。在地铁治安治理过程中,他从以前没人管的地铁涂鸦和逃票开始治理。以逃票为例,过去纽约地铁逃票成风,警察基本视而不见,抓住逃票者也只是训斥教育。该局长上任后要求每个逃票者都必须接受盘问,后来发现1/7的被捕者曾经有过刑事拘留记录,5%的人随身携带武器。这样一来,警察们很快就不再怀疑打击逃票现象的重要意义了。在该警察局长的新策略下,纽约市的犯罪率神奇地急速下降,就像地铁系统曾经经历的情况一样。
从地铁涂鸦和逃票这种轻度违规行为开始治理,带来整个城市的犯罪率下降,这背后的逻辑是什么?答案其实挺简单,就是著名的“破窗理论”:如果一个窗户被打破了,过了很久也没有人来把它修好,行人就会以此推断,这是个没人管理的地方。很快,就会有更多的窗户被打破,然后无政府主义就开始从这幢楼向相邻的街道蔓延。如果某个区域原本不是倒垃圾的地方,有人扔了一些垃圾在那里,其他人看到后很可能将手中的垃圾扔在同一个地方,如果一直没人清理,最终可能演变成垃圾堆。秩序井然的社会和秩序混乱的社会相比,哪一个犯罪率更高?答案是显而易见的。
回到网络安全的话题。对于上文提到的后两类企事业单位来说,他们当前的网络空间就如同1994年之前的纽约城,涂鸦和逃票这类轻微违规行为大量存在。比如大量主机操作系统和软件版本老旧,漏洞很多。大量机器潜伏着木马或其他病毒,或成为肉鸡,或被用于挖矿。我们强调黑客攻击,强调APT,其环境如此混乱,这类高级威胁一定更容易发生和得手。谁敢肯定某台已成为肉鸡的机器不是APT攻击的一个关键环节呢?
对于这些企事业单位来说,首先应该从诸如打补丁、堵漏洞、排查肉鸡、处置简单攻击事件等这类基础网络安全治理工作开始,而不是一上来就处理高级威胁。基础工作做好了,高级威胁发生的概率一定也随之下降。换句话讲,在底子还比较薄时,网络安全建设的首要目标不是如何防住潜在的高级攻击,而是要以解决日常安全基础问题、净化网络空间环境为主。
三、网络空间安全治理需要专业安全服务
即便如此,“解决日常安全基础问题、净化网络空间环境”仍然属于专业性很强的工作。一般情况下,至少需要部署一套比较完整的安全方案(边界防护、终端安全、漏洞扫描,甚至资产管理、态势感知、SOC等等),并且还要有人在日常进行持续的运营,否则这些方案很可能成为摆设。这些投入,特别是持续运营的人员投入,不仅预算少的第三类单位难以承受,对预算稍微宽松的第二类单位来说也是很大的负担。很多单位购买了安服人员驻场但对服务效果并不满意:我花了每人30万元一年买了几个驻场,为何这些人水平这么低,还经常换人?30万元听起来不少,然而去掉五险一金和管理开销,驻场人员的工资可能只有几千元。这个工资到哪里去找就业大热门的专业安全人员?即使找到几个素质不错的进步快的新手,有了经验后很快也会被更高的工资吸引并跑掉。这种基于人的安全服务,经常出现买卖双方都不满意的情况:甲方抱怨服务质量不好,乙方抱怨赚不到钱,并指望通过别的方式把钱赚回来,于是陷入了一种不健康的状态。
过去,有一定规模的企事业单位大多有自己的保卫处,保卫处行使一定的治安治理专业职能,单位的社会治安某种程度上依靠保卫处的维持。随着社会的演进,这类专业职能基本上从单位自身剥离出来,由公安来承接。一方面因为保卫处的专业性和能力有限,另一方面单位自己维护一个保卫处负担也很重。现在,大部分单位已经不存在这种部门,即使会通过外包的方式雇一些保安(有点像驻场安服人员),保安的职能也不再和治安治理挂钩,更多的是承担基本秩序的维持职能。
对于网络空间安全来说,未来发展路线是类似的:大部分企事业单位的网络空间安全治理职能主要由专业组织承担,那些拥有强大的专业安全队伍的第一类单位除外。预算不多的情况下靠雇佣几名不入流的江湖角色来对抗潜在的武林高手并不现实。
而这个“专业组织”会是谁呢?基于网络空间的特殊性,这个“专业组织”应是社会化的提供安全服务的组织,比如专业安全服务提供商。第二类和第三类单位通过购买服务的方式解决自己的安全问题。如同过去很多单位拥有自己的学校、医院,而现在基本全部剥离,教育、医疗问题通过购买服务解决。
读者可能会说,现在好像很多单位正在通过购买服务的方式来解决网络安全问题。然而购买“服务”的方式和现在主要依靠驻场服务的方式有很大的区别。教育、医疗服务不是依靠人员驻场到单位现场教学和治疗来完成的。这些社会化的服务资源并不在本地,而是按需购买。这听起来是不是有点耳熟?资源在云端,按需购买,是“云服务”的典型特征。只有这样才能有效提升服务效率,才有可能用有限的预算真正解决网络安全问题。
四、安全云服务是破局之道
说到“云服务”,大家一定会联想到公有云。公有云的出现有效地提升了IT资源的利用效率,正在逐步替代大量本地的IT系统,这个趋势目前已经没有人质疑。但公有云并非全部,未来必然有大量IT资源处于公有云之外。这些资源不仅仅包括私有云,还包括办公网、城市物联网、工业互联网等等,没有这些无法组成完整的网络空间(下文用“线下”来统称这类网络空间)。
头部的公有云运营商(如AWS、Azure、阿里云、华为云等)拥有强大的安全专业能力和队伍,并通过某种方式给云上的租户提供各种专业的安全云服务。对于公有云上的租户来说,通过购买云服务的方式解决其网络空间基础的安全问题是他们的非常好的选择。
针对线下的网络安全问题,有没有合适的“云服务”方案可以解决呢?
目前已经有一些可以面向线下客户提供的安全SaaS云服务,比如云WAF、云抗D、云漏扫等。然而由于技术上的限制,这些云服务主要以防护Web网站为主,能够解决的安全问题非常有限。
此外,也有一些安全厂家为客户提供线下安全设备的云端管理服务,某种程度上这也属于“云服务”。但这种云服务所提供的价值也是有限的:主要是将本地设备管理能力放到云端,减少本地部署的代价,并不能通过云端提供更多的安全服务。
那么,到底有没有真正可以解决客户线下网络安全问题的云服务方式呢?答案很快将揭晓,12月18日,华为将正式发布经过过去一年半酝酿、探索、实践的针对线下客户的创新的网络安全云服务业务,帮助第二类和第三类企事业单位破局安全困境。请大家关注。
华为安全产品领域总裁 宋端智