总22期
Solution    技术前沿
Solution    技术前沿
安全“实战化”中的“作战”思维
文/巫继雨 潘飞
分享

当前随着国内数字化转型的深入与发展,信息化与数字化在社会生产中的占比越来越重,承载数字经济的各类信息化系统所肩负的社会与经济价值越来越高,信息安全重要性凸显。同时,企业信息安全环境发生了改变,从“传说有狼”转变为“狼真来了”的环境,信息安全的主题也由“合规化建设”转变为“实战化建设”。

“实战化”背景下,企业信息安全能力体系的评定不再是以“有没有、建没建”为核心评价指标,而是更看重其“敢不敢战、能不能战、打不打得赢”,“战斗力”建设更为关键,这一点从近几年国家大力开展护网行动中能看出来。

那么企业信息安全“战斗力”如何实现提升呢?对于企业级用户,购买足量级的安全产品和人工服务就具备了自有战斗力吗?对于安全厂商,为用户提供安全先进产品和各类人工服务就能为用户输出战斗力了吗?

图1 我们该如何获得安全能力

新华三认为,这在合规建设时代是具备一定可行性的,但在实战化背景下,以“战斗力”提升为需求对标,其思路和模式需要进一步改善和优化(参见图2)。

针对上述分析,安全厂商的以往不足是什么,需要如何转变呢?

图2 从合规化建设到实战化建设安全服务理念要转变

实战化建设的关键

当前,安全厂商的不足之处主要有两点。

第一,伪“安全从业者”的真“兵工厂”思维。仅对自有产品质量和故障负责,不对战斗结果负责。例如,用户中了勒索病毒,单独找防火墙、防病毒厂商都不能解决,就好像兵工厂只负责枪能打响,仗打得赢不赢和它没关系。

第二,“人是万能的,有人就行”思维。服务人员引入,但发现兵种不全面,各兵种协调不畅,自带武器装备不足,而用户已有的武器装备利用又不到位,做不到完美互补。比如,咨询服务就只管咨询,设备运维服务就只做设备运维,几个服务团队互不沟通,形不成合力。

在实战化建设中,我们要转变思维方式,具体来看有以下六个方面(参见图3)。

图3 在实战化建设中安全保障需要转变思路

1. 以成建制的作战团队向用户提供能力输出

实战化背景下的安全服务,安全服务商为用户提供的是整体安全防护能力,根据用户当前网络安全环境,确定与需要达成的网络安全目标之间的差距,制定完善的作战方案,组建团队,携带服务工具入场。如护网期间,需要根据护网比赛规则和用户单位网络安全环境,开展护网保障工作、补充护网所需设备、为用户制定护网保障方案、协调各参与部门组织开展护网保障启动会、全员安全意识培训等。在整个护网行动中,安全托管服务商是用户的作战部队,怎么打、什么时候打、需要什么武器,需要帮用户布置好,根据战局变化,改变作战布局,最终为用户拿到护网名次。

2. 作战团队是“人+武器+指挥中心”的组合

能打胜仗的部队从来都是装备精良、训练有素、指挥得当,网络安全建设者在考虑作战团队组成时,应该从三个方面考虑——网络安全工作人员、网络安全设备和网络安全指挥中心。作战团队以最终能“打赢”作为目标组建,以“实现用户单位各个网络安全目标、不因信息安全事件对单位造成影响”为主要考核标准。

3. 兵种齐全、武器齐全

只有兵种齐全,才能应对各种不同场景的作战需要,多兵种配合作战,是作战制胜的关键,各兵种之间建立沟通协调机制,不再单独作战,最终目标是能够“打赢”。根据不同作战场景,配置不同的武器装备,包括侦查、战斗、指挥系统等。

兵种齐全、武器齐全在网络安全中,表示在用户方不同的网络安全需求中,根据不同的网络安全需求场景,派出相应的技术支撑人员携带需要的服务工具,帮助用户在各种网络安全挑战中,获取最终的胜利。

在“等级保护”建设时,需要补充“等保”所需基本设备、安排“等保”咨询专家、协助用户通过“等保”测评。应急期间,协调数据恢复工具、威胁分析工具、杀毒工具,安排应急溯源专家、病毒分析工程师等人员入场。同时,为应对不断变化的网络攻击方式,越来越复杂的网络安全环境,对信息安全时间紧迫的需求,要建立安全运营中心、统一作战指挥、统筹人力资源和武器装备。

安全保障与部队作战资源类比表

4. 作战思想

网络安全作战部队要对整体作战结果负责,作战思想需要从整个战局的角度出发,例如建立“弹性防御体系”。战场上一般会留有“预备队”,在战局发生变化时,投入到最紧要的位置。网络安全防护作战思想中,需要部署“弹性防御体系”,平时不需要启用,在关键时候,“预备队”阻断攻击者攻击途径。

弹性安全策略:信息系统正常访问不需要验证码,但是验证码功能提前开发好,作为弹性安全策略,在信息系统访问量突增,被刷票或者暴力破解时,开启验证码功能,防止恶意访问。

弹性安全资源:在受到DDoS攻击时,信息系统可以通过预先准备好的云资源,快速切换,通过云端清洗访问流量。

在护网期间,可以将信息系统快速切换到可信访问代理平台,通过平台访问信息系统,统一下发账号口令。攻击队如果需要访问用户单位信息系统,只能通过可信访问代理工具访问。可信访问代理工具可以阻挡绝大部分针对信息系统的攻击,尤其是攻击队最常用的口令攻击。

弹性组织资源:日常情况下,用户单位网络安全人员可以胜任网络安全工作开展,在护网、重保、应急等关键时期,邀请服务商参与,运用服务商资源,在关键时期弥补组织资源不足的问题。

5. 作战经验

总结在各用户处的作战经验,输出作战方法论,传递到各作战团队。在网络安全领域有很多理论框架经过了实战论证。理论落实到实践中,才是最佳实践。

截止目前,护网行动已经举办了5年,公安部护网每年举办一次,省市、行业每年也会举办很多次的护网行动,新华三安全服务团队在多次护网行动中获得好名次,包括在用户前期网络安全现状极差的情况下,通过调整网络结构,携带服务工具入场,取得了远远出乎用户意料的好成绩。在勒索病毒应急场景下,熟悉各家族勒索病毒的攻击手法。新华三“作战”人员和“作战”方案是经过实战检验的,并在实战中证明是有效的。

新华三在“战场上”积累下来的经验,通过云端运营中心“总参智囊团”,可以快速同步到每个用户侧,更好地帮用户获取“作战经验”。

6. 能力培养

基础技能学习、沙盘演练是实战成长的方式,能够帮助用户自建网络安全团队。网络安全战斗力除了要在实战中成长,系统化、科学化、全面化的培训也是提升战斗力不可或缺的手段,特别是针对客户自建战斗团队,逐步提升自有战斗力。安全技能培训涵盖了蓝军建设、攻防实训平台、战斗课程、实训基地、产学研究等方面,各单位对信息安全能力培养需要做到各职能培训内容明细、培训课程明细、培训途径明细,保障讲师资源、培训课件、培训工具平台等。新华三安全实训依托于实战经验,通过多途径总结出新华三网络安全方法论,在为用户服务的同时向用户汇报网络安全建设进展,传递其中的安全技能,保障用户网络安全人员在实战中成长。

基于实战背景下的安全服务理念,从提供设备的“兵工厂”到对整体安全目标负责的“作战部队”,这是用户在当前网络安全环境需求下的选择方向,也是安全厂商服务理念的转变目标。

观点

安全服务商要有“荣辱与共”的意识,实现安全担责、安全赔付;“只能共荣,不能共辱”的安全服务商是不足以令客户信服的。

分享到
关闭