2.1 没有绝对的安全
安全问题一直都是一个难题,大部分人认为自己的家是安全的,直到有一天被盗了才发现原来漏洞非常明显,甚至门窗都没关好。
从外部来看,窃贼、黑客和蓄意破坏者一直在寻找突破口,他们利用所学的技能,在无限逻辑空间寻找破坏之路。然而,从内部来看,大多数人过于自信,觉得锁很好,门很厚,安全系统很高级,并且还有看门狗,就足以把大部分坏人拒之门外了。正是这种外部严密但内部松散的情况导致许多网络安全问题的发生。
2.1.1 人是最脆弱的环节
保罗·威尔逊(Paul Wilson)在《骗术真相》(The Real Hustle)中举了一个例子:把骗局地点设在本地的一个咖啡厅,他西装革履,坐在一个相对安静的空桌旁,一位女士(后续称L女士)和她朋友一起坐到他的邻桌,L女士把包放在了旁边的椅子上。亚历克斯和杰丝装成一对夫妻,上前请L女士帮忙拍合影,L女士很高兴能帮上忙。L女士将手从包上拿开,保罗轻松自如地伸手拿起她的包,并将其锁进他的公文箱。没过多久,L女士就意识到包不见了,在询问完信用卡是哪家银行后,保罗便告诉L女士自己碰巧是那家银行的员工,要马上注销信用卡。保罗拨通了客服中心的号码,事实上是亚历克斯的电话号码,然后肯定地告诉L女士信用卡注销很方便,但为了确认她的身份,需要她在通话手机的键盘上输入信用卡的密码。接下来就没有任何悬念了。得到密码后,保罗起身离开了L女士和她的朋友,径直向门外走去。
防御方和进攻方的思维方式是不同的,进攻方会考虑翻、钻、绕,甚至穿越等各种方式,以进入为最终目标。就像保罗经常告诫观众的一样:“如果你认为自己不可能被骗,那么你就是我最想骗的那个人。”
无独有偶,著名的黑客凯文·米特尼克(Kevin David Mitnick)以擅长社交工程而著称,他也被称为“头号黑客”。他曾经进入美国国防部、五角大楼、美国国家税务局、纽约花旗银行等美国最安全的网络系统,轻松地行走其中。当时,他以骗取信息为乐,可以引诱人们泄露各种信息,例如密码、上网账号、技术信息等。他甚至窃听技术人员的电话,监控政府官员的电子邮件,并利用员工的人性弱点来破解“安全长城”。万幸的是,他是一个白帽子的角色。
你觉得遇到这样的对手,你能坚持多久?
2.1.2 安全体系
网络安全是一个复杂而广泛的领域,涉及多个层面和维度。随着网络攻击手法越来越高级,防火墙策略不断升级,入侵检测变得更加复杂,恶意代码库也在不断增长。因此,维护与管理日益烦琐,并且对于安全方面的投资也在持续增加。从点、线、面、体的维度来看待网络安全问题,我们可以更好地理解防御体系。
尽管如此,在防御局限性逐渐显现的情况下,安全问题并没有得到完全解决,并且防御作用正在逐渐减小。在数据时代(Data Technology,DT),谁拥有数据就拥有更多可能,这一点对于网络安全同样成立。未来政企用户会以点带面,在安全管理平台集成多家厂商的威胁检测及响应引擎,并收集足够多的数据构建网络安全立体防线以提升安全效果。
如图2-1所示,网络安全中的点、线、面、体是指网络安全防护的4个层次。
• 点:利用单元产品,针对基本攻击元素的检测(动/静态检测、AI模型检测等新型检测技术),包括个人终端产品、服务器、网络设备等单点设备及配套的安全产品等,如图2-1中的“Z实体单元”部分。
• 线:更多指数据传输的安全,包括网络通信的安全和数据传输的加密。利用访问链路的上下游,在网络侧针对单一攻击活动的分析(实时或准实时分析),如图2-1中的“Y协议层次”部分。
• 面:指逻辑层面的安全,包括网络拓扑、协议、应用程序等方面的安全。利用大数据技术,支撑周期范围内的网络攻击上下文关联分析(非实时分析),如图2-1中的“X安全服务”部分。
• 体:指网络安全中的整体安全体系,构建以人为中心、以数据为中心的双中心防御体系,基于AI技术,结合外部力量,实现针对潜在攻击的全方位持续挖掘和长周期跟踪分析,如图2-1中X、Y、Z部分组成的整体。
图2-1 立体安全体系
大量政企应用上云,原来以网络边界为核心的防御理念随之变化,身份认证将成为政企新的安全边界。基于统一的身份认证,结合用户活动日志,形成上下文,总结出正常用户的访问规律、订单转换率、用户流失漏洞等,构建全面、实时的安全智能分析能力。