ISC 2020 杜跃进:无安全,不信创
2020-08-15
进入2020年,在复工复产、“新基建”全面启动的背景下,各地信创项目开始大面积铺开,信创产业也随之出现了一个现象级的风口,其必将迎来新的发展与挑战。
恰逢其时,全球首场网络安全万人云峰会 ISC 2020 正式启幕,打破了线上线下的空间桎梏,汇聚全球豪杰,全球顶级安全智囊、专家、学者共同探讨“数字孪生时代下的新安全”解决之道,迸发出网络安全领域新对话、新探讨与新碰撞,为全球万千参会者打造永不闭幕的升级交流体验。
在ISC 2020信创安全论坛上,360首席安全官杜跃进从攻防角度,全局视角,纵观信创产业发展全局,强调“无安全,不信创”,指出信创安全面临的三大挑战、五大问题的同时,提出要以攻防视角、整体思维、统一调度、开放运营、能力驱动的全新思路,构建可信的、安全的、可控的、可对抗的、可存活的信创安全体系。
信创产业全面启航
信创安全面临严峻挑战
众多数据显示,“信创”这个风口,将是一个万亿级的市场,对于网络安全产业来说,既是机遇,也是挑战。
360首席安全官杜跃进指出,信息技术应用创新是必然之路,在软件定义一切、万物互联、数据驱动业务的网络世界里,信创的大规模应用将迅速扩大攻击者可利用的攻击面,信创安全面临三方面严重挑战:
自身弱。每一个软件和系统都可能有漏洞,由于信创产业的厂商、产品和人员目前都没有经历过全世界网络安全人员的挑战,全面的信息技术应用创新,将导致信创系统处于相对脆弱的阶段。
对手强。“人间熙熙皆为利来,人之攘攘皆为利往”。互联网刚刚出来的时候,网络攻击者的动机以技术挑战为主,没有太多的利益考虑。但是,随着网络上开展的业务越来越多,网络攻击带来的利益日趋“诱人”,网络空间里的对手越来越强,单纯的网络攻击逐渐演变成获取非法利益的手段。随着信创的发展,未来关键基础设施、重要信息系统,业务都依赖软件、网络、数据作为基础,攻击者的攻击能力越来越强,信创安全将会面临更多且更强的对手。
动机多。未来,网络安全还会面临越来越复杂的动机。不仅仅是利益驱动,直接对金融机构进行攻击获利等,还会吸引更高级的网络攻击团伙、恐怖组织以及具有国家背景的攻击团伙,他们都有可能对网络空间不同的攻击目标,使用不同的攻击手法,达到个人或国家级别的目的。
与此同时,信创安全本身还面临着:认知偏差、能力不足、积累不足、实战不足四大问题。
认知偏差。要清醒的认识到创新的并不等于安全的,安全产品不等于安全能力。
能力不足。安全本质上是能力之间的对抗,在信创的安全能力领域里仍有安全测试与验证、安全开发与设计、漏洞发现与管理、威胁发现于应对、安全大数据应用等方面能力的不足。
积累不足。能力都不是一蹴而就的,需要长期积累。目前在信创安全领域,攻防经验、威胁情报、安全知识库、安全大数据和安全专家各方面目前的积累不足。
实战不足。首先是产品、用户和业务都未曾经受全球考验,其次是安全管理方面长期存在“捂盖子”的现象。只有揭开“捂盖子”的现象,通过发现问题不断总结、不断改进,才是应对安全挑战的正确道路,信创才能安全发展。
基于此,杜跃进提出“无安全,不信创“,一味照搬过去的安全思维和方法,无法解决当下信息技术应用创新所面临的安全问题,信创安全需要全新的思路。
机遇与挑战并存
信创安全体系设计需要新思路
网络安全和信息化是“一体之两翼,驱动之双轮”,安全作为信创发展的“基石”,需要同步规划、同步建设。
杜跃进提出信创安全体系设计的五大指导思想:
其一,需以攻防视角进行体系设计,网络安全的本质是攻防对抗,因此需要抓住本质,从攻防的视角进行安全设计、运营和检验。
其二,需要整体思维,鉴于主要对手能力远超于我们,而我方基础薄弱、积累不足,任何单独的产品或者用户部门,都不可能有效应对这类威胁。由于攻防的不对称性,要充分利用来自各方的资源与力量,使其相互响应与配合,以实现有效防御。
其三,需要统一调度,为了确保安全体系设计落实到位,特别是保障在运行阶段的攻防对抗能力,需要以统一调度的方式来运转整个安全体系。。
其四,需要开放运营,信创体系的运行环境是开放的,攻击者通常会选择最弱,最有价值的目标进行攻击。对于防御方来说,通过开放运营才能让更好的安全能力接入,才能集中所有力量有效抵御威胁。
最后,需要能力驱动,安全防护的最终效果,由实战的能力决定。合规作为基本要求,还需要以能力的提升、能力的检验为核心,多测多练。只有具备了对抗抵御威胁的能力,才能确保信创安全。
“在这样的指导思想下,整个信创安全的目标可以分为五个层面。”杜跃进表示,第一层基础目标是“可信的”,可信的基础之上是”安全的”。由于漏洞永远无法消除,系统总是可能会被入侵,第三层的目标是增强被入侵之后对攻击事件的”可控性”。第四层是增强安全威胁溯源、取证、慑阻等”可对抗的”能力。基于以上四个层次的目标,第五层目标是增强核心业务“可存活的“能力,守住网络安全最后的“底线“。
落地信创安全体系建设更加势在必行。截止目前,各信创安全厂商已逐步推进了终端安全、安全性测试、漏洞管理、安全开发、安全挑战、数字证书等方面的工作。未来还有更多的工作需要安全行业共同参与,互相配合,才有可能解决信创安全面临的问题。
杜跃进呼吁希望更多的安全企业参与到信创安全的工作之中,以确保国家信息化建设目标的实现。