【51CTO.com原創稿件】近年來，隨著網絡空間安全上升到國家戰略高度，《中華人民共和國網絡安全法》等法律法規的頒布和實施，以及監管機構的推動，企業機構對網絡安全愈加重視。但是，我們不可否認，在網絡安全技術不斷提升的同時，黑客的攻擊手段也在日益精進、復雜多變。信息泄露、黑客入侵等安全事件接連發生，不勝枚舉，全球各大企業紛紛淪陷。

面對愈加嚴峻的安全風險形勢，企業該如何應對?在有限的安全投入中，企業究竟如何才能獲得最佳的安全收益?帶著以上疑問，51CTO記者采訪了網絡安全專家、漏洞銀行CTO張雪松。

[[251443]]

網絡安全專家、漏洞銀行CTO張雪松

“網絡安全事件無法避免。目前，多數企業機構仍然將安全投入集中于攔截與防御措施上，而高級持續的黑客攻擊總能找到系統的弱點，并通過發現的漏洞實現攻擊達到破壞或竊取數據等目的。”張雪松認為：“面對已知和未知的安全風險，企業想要在有限的安全投入中獲得最佳的安全收益，就需要用更加開放的安全思想來看待安全。”

傳統安全無法解決企業面臨的三大難題

為什么需要更加開放的安全思想，原來的傳統安全思想有何不足之處?張雪松表示，傳統的安全思想，仍停留在對特定風險的防護上，盲目購置大量的安全產品與服務，導致機構的安全能力不進反退。傳統安全無法解決企業面臨的三大難題：一是，如何防范安全領域的“黑天鵝事件”發生;二是，如何應對越來越復雜的安全風險;三是，如何規劃安全投入獲得最佳安全收益。

很多人認為，大型企業機構安全投入大、監管力度大、擁有專業的技術團隊，所以不應該出現安全問題，但“黑天鵝事件”并未停止發生。回顧過去十年發生的“黑天鵝事件”，無一不是造成了嚴重的影響，比如，影響美國大選的希拉里郵件門事件、震驚全球的WannaCry勒索蠕蟲病毒事件、雅虎郵箱數據泄露事件等等。

分析大型企業“黑天鵝事件”不斷曝出的原因，張雪松表示，傳統安全的思想基礎是“防患于未然”，同時普遍存在“不知攻焉知防”的安全認知，所以眾多企業都在重點建設防御能力來阻止黑客攻擊。而傳統安全廠商按照“不知攻焉知防” 理念，也在不斷研究攻擊技術，推出基于特定攻擊的安全產品，來滿足企業對安全的需要。然而，“防患于未然”在現實中很難實現，“黑天鵝事件”無法被機構和安全廠商提前預測，導致企業進行了大量的安全投入，也依然會產生嚴重的安全事故。

同時,企業都采用傳統風險管理的方式來應對安全問題，但如今信息化的復雜度已遠遠超出機構的控制范圍，從硬件系統、底層操作系統、通訊協議到系統模塊、應用服務與第三方框架類庫等，各架構與技術棧都可能存在未知的安全風險，機構在資源有限的情況下，很難對所有層面進行風險管控，導致機構安全建設陷入困境。

看全新安全思想“開放安全”如何破局

為了幫助企業更好的應對未知安全風險，解決以上三大難題，漏洞銀行提出了開放安全的新思想。張雪松解釋說：“開放安全是一種全新的安全視角，也是一種更加開放的思想，作為企業不應拒絕風險，而是直面與利用風險。企業的安全并不是沒有敵人和風險，而是企業不會遭受損失。同時開放安全倡導我們利用敵人和風險，幫助企業從中獲得更多的安全收益，利用敵人提升自我。”

在與張雪松的交談中，記者了解到，開放安全認為：安全風險無法避免，“黑天鵝事件”永遠存在;安全風險是安全收益的最佳來源;而開放安全的核心思想在于：將企業內外部的安全風險轉化成收益。

那么，如何將企業的安全風險轉化成收益呢?張雪松表示：“這要從企業為什么需要安全說起，企業希望通過安全防護避免因攻擊而導致損失，影響品牌和收益。換句話說，企業是考慮如何避免損失，保護企業收益。從開放的視角做安全，就是盡可能多的讓企業從安全風險中獲得收益，讓攻擊轉化成收益。”

假如某企業因一次“黑天鵝事件”而產生了嚴重的經濟損失500萬，而黑客在對企業實施攻擊時，經歷了10個必要的入侵過程。假設黑客在第一個攻擊過程成功后，企業便獎勵黑客50萬安全貢獻獎金，那么“黑天鵝事件”便不會發生。在現實之中，這個獎勵金額甚至會非常低，這就為企業獲得到了非常大的收益。

張雪松透露，開放安全的最佳安全收益策略(BSR，Best Safe Return)，是根據機構遭遇嚴重安全事件的損失進行逆向推導，找出導致嚴重后果的關鍵黑客攻擊行為，并由此分成安全事件和安全后果兩個區域，從而有效的量化解決此安全風險的安全投入與收益情況。

根據BSR的方法指導，找到關鍵黑客攻擊行為十分重要，并根據該行為來制定安全策略，才是最佳的安全方式。針對關鍵黑客攻擊行為之前的環節，應提升更多的免疫能力，同時不斷利用黑客攻擊，來提升自身健壯性，檢驗安全能力的完備性。而之后的部分，則應針對安全后果進行有效防控，構建反向防御的能力。

為了找到黑客，并讓黑客的攻擊“為我所用”，企業需要建立風險獎勵機制，站在開放安全的視角：一方面，獎勵黑客。把安全投入從防火墻、IPS等安全產品上轉移到系統的開放性測試上，讓黑客/白帽幫助企業排查安全風險，為他們提供獎勵。另一方面，安全防護聚焦在核心業務和核心資產上。對企業核心業務進行攻擊防御，對核心資產進行全面監控，做好安全保障工作。最終形成循環，不斷利用黑客攻擊來提升系統的健壯性，讓系統越來越安全，而不是依賴某個安全廠商的產品或服務。

開放安全建議的技術方式

據張雪松介紹，開放安全建議的技術方式主要有：

第一，全面的開放性測試：利用黑客與白帽人群，對IT系統進行整體性的、開放式的、大范圍的安全測試，針對系統各方面功能進行有效的攻擊，從開放性測試中獲得系統風險情報。

第二，構建動態免疫能力：構建對IT系統的動態免疫能力。基于開放安全的理念，利用啟發式人工智能技術，讓IT系統不斷學習黑客行為，獲得基于風險和攻擊的識別能力，形成強有力的防御。

第三，反脆弱防御能力：針對事件后果制定的防御策略，能有效的阻止損失，即使黑客已經入侵和攻擊成功，也無法對最終安全后果產生影響，以確保機構在安全事件中不會遭受損失。

第四，風險處置與轉化。在安全廠商的幫助下，企業應做好風險生命周期跟蹤與分析。一方面，阻止攻擊造成嚴重后果，建立高效有序的應急恢復機制;另一方面，將技術經驗成果回饋于反脆弱與動態防護能力的建設上，實現正向轉化，把攻擊和風險變成安全收益。

第五，將以上四個模塊相結合，形成聯動，將攻擊中的技術經驗反饋給企業，讓動態免疫能力的不斷提升，企業自身安全也不斷加強，從而形成安全閉環。最終，通過持續觀察與對比安全策略帶來的收益，不斷選擇最優方案進行當下安全部署，以BSR策略為指導方法，找到最優方案，實現安全收益的持續提升。

展望開放安全思想下的未來安全，張雪松認為：“對于企業安全來說，未來的安全廠商將會是企業安全建設的助理角色，真正的安全能力將被企業所掌握，而開放安全的思想是持續讓企業獲得最大安全收益的方式。”

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】