随着互联网的快速发展,社会生活对网络的依赖程度越来越高,网络安全对现实社会的影响也日益凸显。IT网络面临的安全威胁,正如人类面临的病毒挑战,是一个没有终点的伴随。作为IT安全从业者,我们在期盼“山河无恙”的同时,也期望着“网络清朗”。人间的病毒防疫与网络的病毒防御,有没有可相互借鉴之处呢?
网络等同于社会,社会最有意义的主体是人,而网络最有价值的是数据。疫情来临时既要保护人的生命健康,又要兼顾对社会长期发展的影响,即需要面对病毒可能夺去10%的生命,而失业最终可能夺去100%的生命的思考。在疫情防控期间,网络***数量居高不下,网络安全意识更是不能松懈。网络中,病毒来袭时既要确保企业数据资产不被泄露,又要尽可能地做到不影响企业业务的正常运行。
而在网络世界中我们需要面临的则是“安全的数据”和“数据的安全”的辩证关系。“安全的数据”是以数据为核心,在保障数据为企业服务的同时考虑相关安全问题,像云存储、SaaS的出现都是优先考虑到该模式对企业业务的帮助,待普及之后,才会逐渐考虑到数据的安全问题。如果一开始把“安全”作为最重要的考虑因素,这些技术可能多半就会夭折了。而“数据的安全”则是另外一个思路:相关数据对于企业至关重要,安全是核心,一旦泄露,企业将万劫不复。因此,宁可牺牲业务效率,也要保障数据的绝对安全,目前很多安全产品/方案都是在此思路下产生,然后根据实际情况逐渐向业务倾斜做必要的妥协取舍。两种思路的必然结果是:“安全的数据”缺省是设定数据没有访问限制,然后再逐步排除各维度的不安全因素,包括人、设备、时间、地点等等;而“数据的安全”则是先建立数据孤岛,不提供任何自由访问途径,之后根据业务需要逐步打通必要的访问通道。
让我们回到疫情应对的两种方式上来,可以发现:人类社会与网络环境在威胁处理方面确实有类比之处。
隔离,是一种短期内积极的方式。其核心是在出现问题的当前,让所有相关实体(主要是人)相对处于静止状态,直至问题消失或找到解决办法。
这样做最大的好处在于在发现问题根源并找到解决方法之前,壮士断腕,阻止危害进一步扩散。决策过程和执行相对简单。同时,因为相关实体呈静止状态,更容易排查定位,查找原因。
对应于网络上,就是当前大多数***产品/方案的思路:预先设置一个静态规则,试图解决一个相对静态的问题/单一事件,对较为简单的安全问题直接有效。
当然“隔离”同时也需要付出一定代价,社会经济活动暂时停摆。根据以往经验,疫苗研发周期所需时间较长,防御是静态的,***(病毒)却是动态的,防御方式较为被动,存在未知风险。
对应于网络上,因为企业业务是动态的,在某一时间点设置的静态规则又难以随着业务发展及时更新,因此这种防控方式常会出现负面效果。可能出现业务阻断,或是因为缺乏相关规则而对新的安全事件丧失免疫力,不能及时发现该新安全事件而任由其对企业产生破坏。
这种治疫方式对于社会生产流通要求不高的状态效果显著,比如古代社会对天花等恶性传染病也曾经采取封城措施,类似于现代社会的隔离。此类措施,对古代社会发展的影响会小于对现代社会发展的影响。
同理,隔离这种安全手段目的性强,易于操作,对于企业业务网络依赖性低(意味着偶尔的网上业务中断可以接受)或网络行为相对简单易控的环境,不失为最佳的安全管理方式。
流动,则是一种长期相对积极的处理方式。其风险集中在早期,核心思想是在尽量不改变社会当前经济活动的前提下,去定位问题并找出解决方案。
在现实社会中,此种方式首先出现的后果就是短时间内的巨大牺牲,疫情感染人数会远远大于采取隔离方式,尤其涉及到个体生命逝去,对相关人群的心理造成巨大冲击,短期的社会负面效果巨大。
对应于企业网络,这种方式意味着没有预先定义的各种规则,对于网络行为需要一个自我学习的过程,再去判断是否发生异常。在学习过程完成之前无法采取积极的防护措施,因此在该阶段发生安全事件的概率较大。
和隔离的方式相比,流动的方式由于对社会活动的干预较小,因此经济发展受到的影响较小,此外,病毒的危害性有可能随着免疫人群的增多而逐渐降低。大量感染者的存在客观上对于相关药物的研制有一定帮助,不失为一种主动防御的方法。
对应于企业网络,由于该安全事件行为并没有因为采取相关措施而立刻停止,客观上给IT安全人员更多的机会去捕捉现象,探寻其活动轨迹,为尽快查明原因找到解决方案提供更多的数据和机会。
流动的治疫方式代表着一种主动的防控手段,如果做为一种常态不间断的预防措施,能够及时在早期发现未知疫情并提前做出防控部署。但此种防控方式对社会和人的要求较高,思维、管理流程和相关技术手段都需要达到很高层次才能发挥预期效果,否则很容易在关键时刻失控,稍有不慎则导致更糟的局面发生。
这种流动方式在网络安全层面的应用同样是一个“主动”的理念,不再是针对每个已知的安全事件和预设具体的规则,而是在网络行为不受干扰的前提下,围绕数据分析趋势,自我学习,形成动态防护规则,从而达到保障数据安全的目的,尤其是针对未知安全事件(此类安全事件无法通过预设规则去避免防范)。
正如人类随时要面对已知或未知的病毒,企业网络也时刻要应付各种已知和未知的安全挑战,到底采取“隔离”方式还是“流动”方式,并没有一个所谓的绝对答案。最合理的方式应当是结合实际情况对两者的综合使用:平时采取“流动”方式来监控,及早发现疫情的苗头,尽量避免疫情爆发蔓延;而当疫情无可避免爆发之后,冷静地结合两种方式,找到二者之间的最佳平衡点,既要把牺牲降到最低,又要有能力尽快发现最佳解决方案。
在网络世界,企业决策层和其他业务人员关心的是“安全的数据”,自然倾向“流动”;而企业IT安全人员专注的是“数据的安全”,下意识地喜好“隔离”。如何解决这个看似矛盾的问题?其实,两者的共同目的之一都是为了安全地使用企业数据,因此,必然存在交集点。剥茧抽丝,两个方式都需要对保护对象“数据”进行观察分析,以找到安全事件的根本原因。如何有效准确地观察分析网络上“数据”行为、从中找到安全事件的蛛丝马迹就成为两种方式的共同基石。
及时、高效、准确地从网络“数据”行为中发现问题,除了良好的安全意识和科学的管理流程之外,技术上提供有力的方法论和相关工具也必不可少。对于网络上的每一个“数据”实体(人、设备或其他维度的实体等)进行画像,不仅提供某个时间切片的肖像,以清晰展现对应时间点的静态信息,更重要的是描述每个实体在时间轴上的行为轨迹。就像疫情发生时,如果我们可以掌握每个人的详细医疗信息,和TA过去三个月的行为轨迹,对发现疫情根源和尽早找到治愈方案的重要性不言而喻。当企业网络上每个实体的肖像和轨迹都清晰地展现在IT安全人员面前时,如何在“隔离”和“流动”之间做平衡就水到渠成了。
山河(数据)无恙是果,网络清朗是因,而基于全息画像的行为轨迹分析正是做到网络清朗这个瓷器活的金刚钻!
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。