ISC 2020高瀚昭:构建360新一代安全能力框架体系势在必行
2020-08-17
随着5G、大数据、人工智能等新技术发展,网络空间安全和物理世界安全已经交融渗透,当今世界正式进入大安全时代。
近日,作为全球网络安全行业发展趋势风向标的第八届互联网安全大会(ISC 2020)正在云端持续呈现,值得注意的是,特别开设的栏目——ISC Talk,作为国内首场安全行业 TED 演讲,集结了安全圈一众行业大佬,既有专攻技术的安全大牛,也有顶级资深智囊团,还有安全产业领袖人物,将在短短二十分钟的演讲中,告诉你当前国际网络安全形势,重塑你的网络安全观,告诉你面对变化、接受变化的路径。
360企业安全集团轮值总裁高瀚昭以“360安全大脑能力体系框架”为议题,以当下网络安全环境为切入点,聚焦360能力框架体系,提出“四步走”行动建议,并强调,360的长期愿望是各家的安全大脑能够实现互联互通,都能互相输出能力,共同形成国家级的安全大脑,护航数字时代国家安全。
数据“大网”全域织密
传统安全防护模式遇“水土不服“
纵观当下,随着新基建的广泛部署,新基建在日常生活中“存在感”暴增,这样也让承载着国家、社会和个人海量大数据的互联网也成为重点攻击目标,各种网络安全问题已不再只存在于科幻电影中。
高瀚昭表示,任何新概念的提出均是试图解决当前的问题,那360要解决的问题是什么呢?就是用户花了很多钱购买各种各样的安全产品,但安全问题依然层出不穷。为什么传统安全防护模式频遇“水土不服“,主要有三个方面原因。
第一,安全的本质是对抗,大部分厂商能讲很多理论,但缺乏真正的国家级大规模对抗经验。传统安全防护体系是对安全本质认识不足,安全并不像大部分的业务系统,只要按照规划一步步建设便高枕无忧,它要面临持续的攻击,所以安全系统的本质是提升用户对抗的能力。而现实中很多厂商能能提出各种安全理论,但并没有经历过真正国家级大规模实战对抗,就像军队没有上过战场,怎么能够给出行之有效的安全体系架构。所以我们需要一套真正从实战中总结的,能够提升对抗能力的安全新框架。
第二,对抗的关键是持续运营,大部分厂商缺乏攻防专家也缺乏运营战法。如何提升用户的对抗的能力,这就需要持续的运营。传统的安全运营大多数是安全运维,也就是维护安全设备的运转,以及单个设备告警的处置,这样往往一年下来用户的安全能力并没有真正得到提升。真正的安全运营一是看有没有办法评价现状和目标的差距,二是能不能持续的改变现状积累能力,最终达到目标。
第三,持续运营的目的是能力积累,大部分厂商无法提供让客户积累能力的基础设施。持续运营过程中积累的能力存放在哪里呢?有些厂商把安全能力转化为安全设备里的一条条规则,但是一换设备很多能力就丢掉了;还有一些厂商把能力转化为运营手册,但它没有办法自动化。在360看来必须有一个集中的系统来体系化的汇聚运营知识和能力,并且把人的能力转化为系统的能力,这是我们提出的安全大脑和安全基础设施。
显然,在安全大数据的管理、决策及创新方面,深耕安全领域十余年的360拥有绝对的发言权。高瀚昭强调,360提出的新一代安全能力框架体系恰逢其时,而安全能力建设的公式,即“安全能力=安全运营×安全基础设施”对其进行了很好的概括。
“适配“关键基础设施势在必行
构建360新一代安全能力框架体系恰逢其时
众所周知,360是国内唯一一家长期与国家级黑客组织交手,并捕获40多个APT组织的网络安全企业,还是全球范围唯一能与谷歌、微软并行拥有全球最大网络安全大数据的公司,并汇聚了全球顶级的网络安全精英专家,其网络安全实力有目共睹。
高瀚昭谈到,在过去十余年攻防实践中360打造出了一套云端大脑,相当于网络空间的预警机和反导系统。还以安全大脑为核心,360打造了实战云、情报云、漏洞云、专家云、测绘云、连接云、开发云、培训云、通讯云在内的一套云端基础设施。形成安全能力的基础条件。
有了安全云脑的硬核筑基,还需服务赋能,360还将为客户注入“软实力”。所以360根据每一朵云的属性,向城市、行业、企业赋能,输出知识订阅、分析APP、威胁情报、样本鉴定、漏洞检测规则、演练评估、专家服务、认证培训、资产测绘、工作协同、安全开发、访问安全这12大赋能服务。
高瀚昭强调,值得一提的是,360将自己十多年的安全经验“云化”出12项安全服务向用户的安全大脑赋能,使用户可以站在360的肩膀上提高自己的安全能力,能够走得更远。
360还将帮助客户建立起属于“自己”的十大安全基础设施,是涵盖风险发现类、威胁防御类、事件处置类、检验进化类的“一套作战体系”。如其中的资产测绘中心相当于地图测绘部门、威胁情报中心相当于情报部门、人才培养基地相当于军校、国家大数据靶场即练兵场、应急响应中心是快速反应部队等。
其中,在这套“作战体系”之下,企业整体战斗力、感知能力、情报能力及应对能力得到提升,并与作为“中央司令部”的安全大脑以数据连接,配合持续运营、专家团队和实战演练的衡量机制及一套互通的标准,形成一张全域覆盖的防护网。
在安全基础设施落成之后,360将通过持续化的运营,从中获取并积累包括安全开发、实战检验、网络测绘、威胁识别、安全防护、检测分析、指挥响应、应急恢复、学习进化还有知识构建这10大安全能力。
其中,安全运营的四个关键部分,也就是安全标准、专家团队、运营战法和实战检验。安全标准分为三个部分:能力、知识和人才。
能力是指一套标准的安全能力成熟度衡量标准,用来评价安全能力的现状,并且给出和成熟的目标之间的差距。
知识是指安全设备之间的互联互通标准,以及人机之间的知识转化标准,有了这些标准人的能力才能转化成机器的能力,而不同的安全设备之间也才能实现互联互通。
人才是指对安全人才的技能和等级的认定标准,也就包括不同类型的安全专家究竟需要具备什么样的能力,这些标准都是开放的,也是安全生态的一个基础。
“ 360只是开了个头,非常欢迎更多的厂商共同参与及完善这些标准。” 高瀚昭介绍,构建以安全大脑为核心的新一代安全能力新框架体系,就是打造1个安全大脑,10套安全基础设施,1套运营战法,1组专家团队,1套实战演练机制以及1套安全互通标准,最终构建形成数字孪生时代的安全能力新框架,为国家、城市、行业构建安全防护“铜墙铁壁”。
直击攻防的本质
需立足实战靶场锻造“网络尖兵”
网络安全的本质是人与人的对抗,近几年网络空间危机四伏,网络安全已经不是靠安装一套软件、硬件就能够简单地应对。
高瀚昭提出,360在日常工作中也把专家团队分成了五种颜色,就如航空母舰上的各个工种用颜色区分。
红队运营防守,基于现有基础设施和工具进行持续运营,并根据实战对抗的需要对黄队下一步建设目标提出要求。
蓝队模拟攻击,持续探测和发现红队防守的薄弱之处,并根据最新威胁知识构建攻击方案。
黄队规划建设,以提高防守效率为目标,持续开展安全基础设施和安全分析工具开发,同时不断将红队的能力转化为知识。
紫队衡量评价,周期性开展观摩,进行分析,提出修复建议,创造分享机会,增强红蓝信息共享,提升红蓝工作效率。
白队管理培训,管理各队运行,控制业务风险,提升安全意识,输出安全能力。
“有了标准、有了人,有了战法就已经可以进行日常的运营了。但是安全能力到底如何,说百遍不如打一遍,这也是我们常说的实战是检验安全能力的唯一标准。”高瀚昭谈到,360提出的实战检验和常见的渗透测试或者红蓝对抗不太一样。一般的实战检验就是找几个白帽子或者攻击队打一下,看看有没有被攻破就结束了,这就带来两个问题:
首先它只给出了问题,没有给出解决的方案,也就是我怎么做下一次才不会被攻破呢?
其次每个攻击队都是凭经验在工作,是否还有不知道的攻击路径和防护的死角呢?
高瀚昭表示,为此360提出了一套体系化的实战检验框架,可以对整个安全体系进行全覆盖的测试,能够指出其中每一个需要改进和提高的地方,甚至哪些安全设备应该发现攻击但却没有发现都可以指出来。同时,基于360特有的网络空间安全攻防的全景知识库,我们的实战检验内容是攻防一体的,在发现问题的同时也就给出了解决方案,因为只有这样才能形成能力的积累和提高。
基于以上观点,最后,高瀚昭提出了“四步走”行动建议:
首先以业务需求为导向,分步骤建设自有安全大脑为核心的十大基础设施;
同时,连接360安全大脑的12项安全服务;
在此基础基于开放的安全标准,由安全专家根据安全运营的战法开展持续的运营;
然后通过实战持续对运营效果进行检验和改进,这样就可以持续的获得能力、积累能力、提升能力,同时输出能力。
高瀚昭强调,360的长期愿望是各家的安全大脑能够实现互联互通,都能互相输出能力,共同形成国家级的安全大脑,护航数字时代的国家安全。
ISC Talk 精彩不断,但ISC 2020还有新颖多元的新增栏目接连“炸场”,例如新增的无时区漫游、ISC 夜谈、CXO观点等特色节目,以及ISC最为重磅的环节之一创新独角兽-沙盒大赛的巅峰对决,将网络安全行业的最前沿、最热议的技术、趋势、理念全景呈现,云端论剑问鼎翘楚,独到见解精彩不断。
今年,ISC 2020再度全面升级,区别于一年仅一次,一期仅一会的传统形式,今年的ISC 2020率先完成“进化”,实现持续运营,届时大会精彩演讲、激烈探讨、领先技术展示等将永存“云端”,众人共享,实现永不闭幕的云上安全交流大生态。