直擊RSAC 2021:從“彈性”看360數(shù)字安全能力體系,如何應(yīng)對(duì)未知威脅
1)前言
摔倒后,站起來!這就是Resilience(彈性)。
注:Resilience和Resiliency是可替換的拼寫方式,譯為彈性、韌性、復(fù)原能力皆可,本文統(tǒng)一為“彈性”。
2020年以出乎意料的疫情考驗(yàn)了全人類,使RSAC 2021的主題“彈性”(Resilience),比歷屆都更能引起共鳴。
RSA 2021已于美國(guó)舊金山時(shí)間5月17日8:00(北京時(shí)間當(dāng)晚23:00)召開,這是RSA大會(huì)有史以來第一次采用網(wǎng)絡(luò)虛擬會(huì)議的形式舉辦。360安全專家團(tuán)隊(duì)和市場(chǎng)團(tuán)隊(duì)第一時(shí)間蹲夜守候,為安全行業(yè)傳遞RSA聲音。
2)變化的是形式,不變的是熱情
RSA大會(huì)始于1991年,由美國(guó)RSA公司發(fā)起,至今正好30歲。正如RSA算法已經(jīng)家喻戶曉,RSA大會(huì)也已成為全球公認(rèn)最權(quán)威的年度安全盛會(huì)。近幾年來,現(xiàn)場(chǎng)參會(huì)人數(shù)多達(dá)4-5萬人。而今年最大的變化是采用線上網(wǎng)絡(luò)虛擬會(huì)議的形式舉辦。
RSAC最早是RSA發(fā)起的,而RSA的名字來自與密碼和安全界無人不知的RSA算法的三位創(chuàng)造者。而其中最著名的R(Rivest)和S(Shamir)都到場(chǎng)了。另外,還有大名鼎鼎的DH算法創(chuàng)造者之一Diffie。
3)何為“彈性”
RSA大會(huì)每年都會(huì)有一個(gè)主題(Theme),本次大會(huì)的主題是Resilience(彈性)。我們由于跟蹤美軍和美國(guó)網(wǎng)絡(luò)安全技術(shù)發(fā)展,很早就意識(shí)到“彈性”有可能成為某界RSAC的主題。比如說:
2017年,MITRE發(fā)布《網(wǎng)絡(luò)彈性設(shè)計(jì)原則》(Cyber Resiliency Design Principles)。
2018年,MITRE發(fā)布《網(wǎng)絡(luò)彈性指標(biāo)、有效性度量和評(píng)分》(Cyber Resiliency Metrics , Measures of Effectiveness , and Scoring)。
2018年,美國(guó)國(guó)防部在《國(guó)防部網(wǎng)絡(luò)戰(zhàn)略2018》中提出“提升美國(guó)關(guān)鍵基礎(chǔ)設(shè)施彈性”的戰(zhàn)略途徑。
2019年11月,NIST正式發(fā)布SP 800-160(卷2)《開發(fā)網(wǎng)絡(luò)彈性系統(tǒng):一種系統(tǒng)安全工程方法》(Developing Cyber Resilient Systems: A Systems Security Engineering Approach)。
2019年11月,美國(guó)國(guó)土安全部和國(guó)務(wù)院共同發(fā)布《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性指南》。
2020年,RAND(蘭德)發(fā)布報(bào)告《度量網(wǎng)絡(luò)空間安全和網(wǎng)絡(luò)彈性》(Measuring Cybersecurity and Cyber Resiliency)。
彈性來自“網(wǎng)絡(luò)彈性”、“業(yè)務(wù)彈性”等概念。咋一聽,它更像是一個(gè)業(yè)務(wù)連續(xù)性概念,通常與備份/恢復(fù)手段密切相關(guān)。
但“彈性”是一個(gè)大概念。NIST SP 800-160(卷2)提出的網(wǎng)絡(luò)彈性解決方案(也稱網(wǎng)絡(luò)彈性工程框架)是比較權(quán)威和全面的(如下圖所示)。它將網(wǎng)絡(luò)彈性(Cyber resiliency)定義為預(yù)防、抵御、恢復(fù)、適應(yīng)那些施加于含有網(wǎng)絡(luò)資源的系統(tǒng)的不利條件、壓力、攻擊或損害的能力。
圖-NIST SP 800-160(卷2)網(wǎng)絡(luò)彈性解決方案
由上圖可見,網(wǎng)絡(luò)彈性的目的是預(yù)防、抵御、恢復(fù)、適應(yīng)。這與安全圈里熟知的PPDRR(預(yù)防-防護(hù)-檢測(cè)-響應(yīng)-恢復(fù))安全模型的覆蓋面差不多。NIST SP 800-160專門解釋了為何將網(wǎng)絡(luò)彈性的范疇,定義得如此寬泛。同時(shí)特別強(qiáng)調(diào):所有關(guān)于網(wǎng)絡(luò)彈性的討論,都必須基于以下兩點(diǎn):
聚焦于保障任務(wù)或業(yè)務(wù)功能;
基于這樣一個(gè)假設(shè):對(duì)手必將突破防御,并在組織系統(tǒng)中長(zhǎng)期存在。
彈性如此重要,是因?yàn)槿绻麤]有彈性,政府就可能停擺,企業(yè)就可能停產(chǎn)甚至破產(chǎn)。只要想想全球疫情導(dǎo)致多少無法現(xiàn)場(chǎng)工作的情況,就知道它對(duì)業(yè)務(wù)連續(xù)性產(chǎn)生了多大影響,這也是為什么遠(yuǎn)程辦公突然變得如此重要。最近美國(guó)本土發(fā)生的“油管”勒索事件,也許就是對(duì)本次大會(huì)主題意義的最佳印證吧。
強(qiáng)調(diào)彈性,意味著網(wǎng)絡(luò)安全重點(diǎn)從攻擊預(yù)防轉(zhuǎn)變?yōu)樵鰪?qiáng)網(wǎng)絡(luò)彈性:既然入侵不能避免,考慮維持業(yè)務(wù)正常運(yùn)營(yíng),從攻擊中快速恢復(fù)過來才是更現(xiàn)實(shí)的選擇。
4)開啟“彈性”之旅
開幕式的第一個(gè)演講來自RSA首席執(zhí)行官Rohit Ghai的《彈性之旅》(A Resilient Journey)。Rohit Ghai認(rèn)為,在2020年,網(wǎng)絡(luò)安全經(jīng)受住了全球疫情和網(wǎng)絡(luò)攻擊的考驗(yàn)。但下一次考驗(yàn)隨時(shí)到來,我們必須踏上彈性之旅。
Rohit Ghai認(rèn)為,正確地制定框架對(duì)于解決問題是至關(guān)重要的。而網(wǎng)絡(luò)彈性正是一種很好的方式,來為網(wǎng)絡(luò)安全行業(yè)的問題制定框架。網(wǎng)絡(luò)安全行業(yè)的共同目標(biāo)不是避免摔倒,而是摔倒后能爬起來,這就是韌性。
Rohit Ghai非常擅長(zhǎng)講故事,他通過分享老虎、飛機(jī)、縫紉機(jī)這三個(gè)故事,來傳達(dá)他提高彈性的框架方法:
第一個(gè)故事關(guān)于老虎。這是指2020年上映的《虎王》電影,產(chǎn)生了兩億多的播放人次。這得益于其容錯(cuò)體系結(jié)構(gòu)的設(shè)計(jì)。這使我們聯(lián)想到,如何在當(dāng)今的混亂環(huán)境中,控制安全性。解決思路有3條:
一是預(yù)測(cè):這需要安全檢測(cè)、評(píng)估、可見性、威脅情報(bào)、模擬攻擊等能力;
二是零信任:零信任非常非常重要。而最重要的就是要限制信任,不要把信任過度放大。
三是網(wǎng)絡(luò)分段:包括東西向分段和南北向分段,并隔離所有受到攻擊的部分。就像我們戴口罩,不僅僅是保護(hù)自己,也是為了保護(hù)別人。
第二個(gè)故事關(guān)于飛機(jī)。在第二次世界大戰(zhàn)中,盟國(guó)希望增強(qiáng)對(duì)戰(zhàn)斗機(jī)的保護(hù),所以他們與哥倫比亞大學(xué)的一位統(tǒng)計(jì)學(xué)家合作。統(tǒng)計(jì)學(xué)家檢查了從飛行任務(wù)中返回的受損飛機(jī)后,并沒有去加強(qiáng)彈孔多的部位(如機(jī)翼),反而是加強(qiáng)彈孔少的部位(如尾翼和駕駛艙)。這種反常識(shí)的能力,來自于一個(gè)著名的心理學(xué)現(xiàn)象——幸存者偏差:很多時(shí)候,我們只能統(tǒng)計(jì)幸存者,而無法統(tǒng)計(jì)墜毀者。但仔細(xì)想想就會(huì)恍然大悟,那些被擊落的飛機(jī),可能恰恰是被擊中了那些彈孔少的部位!
飛機(jī)的故事使我們聯(lián)想到當(dāng)今的問題:如何對(duì)最大風(fēng)險(xiǎn)的區(qū)域進(jìn)行優(yōu)先保護(hù)?從網(wǎng)絡(luò)到端點(diǎn),到云到IoT,需要都整合到一起,實(shí)現(xiàn)基于風(fēng)險(xiǎn)的智能優(yōu)先級(jí)排序,從而保護(hù)那些最重要的領(lǐng)域。即使我們跌倒的話,我們也能忍受這樣的風(fēng)險(xiǎn)。
第二個(gè)故事關(guān)于縫紉機(jī)。印度在疫情封鎖期間,要求每個(gè)人必須呆在家里面。而印度某協(xié)會(huì)的婦女們就在家里利用縫紉機(jī),來為醫(yī)院、政府做出貢獻(xiàn)。這個(gè)故事告訴我們,社區(qū)是共同成長(zhǎng)的,所以她們才能夠發(fā)揮更加重要的作用。
類似地,在網(wǎng)絡(luò)安全方面,也需要有包容性,也需要培育安全社區(qū)。只有這樣,才能發(fā)揮更大的價(jià)值。而RSA大會(huì)就起到了這樣的作用。Rohit Ghai還舉了一個(gè)黑客少年從善的案例,并呼吁:“我們永遠(yuǎn)不要放棄這些人才,而是要去招募越來越多的人才,然后共同成長(zhǎng),而不是培養(yǎng)敵人。”
最后,Rohit Ghai提醒我們:我們目前還沒有遇到一個(gè)全球性的網(wǎng)絡(luò)疫情,說明我們還沒有被充分考驗(yàn)。彈性之程才剛剛開始,老虎、飛機(jī)、縫紉機(jī)這三個(gè)故事分別教會(huì)我們?nèi)绾蔚沟酶佟⒏煺酒饋怼⒏袕椥浴?o:p>
5)網(wǎng)絡(luò)安全共創(chuàng)未來
第2個(gè)主題演講來自思科董事長(zhǎng)兼首席執(zhí)行官Chuck Robbins,他的演講題目是《面向包容性未來的網(wǎng)絡(luò)安全》(Cybersecurity for an Inclusive Future)。
Chuck Robbins指出,面對(duì)疫情和新的混合世界,每個(gè)行業(yè)的每個(gè)組織都致力于保持業(yè)務(wù)彈性。我們的目的就是希望能夠?yàn)樗腥舜蛟煲粋€(gè)更具包容性的未來,而安全必須是一切的中心。
他強(qiáng)調(diào)了連接的重要性,對(duì)于落后地區(qū),如果能夠把他們連接起來,然后又給他們一些合適的技術(shù),就能夠很有力的改變他們的現(xiàn)狀。所以,我們需要擴(kuò)展這種連接性帶給人類的機(jī)遇,而連接性又需要受到安全保護(hù)。所以,從疫情中復(fù)蘇必須是一種包容的復(fù)蘇,也必須是一種安全的復(fù)蘇。
Chuck Robbins還強(qiáng)調(diào)了零信任、XDR、安全人才培養(yǎng)的重要性。
6)安全需要直言不諱
第3個(gè)演講是《影響網(wǎng)絡(luò)安全變化的大實(shí)話》(Telling Hard Truths to Impact Change in Cybersecurity),來自VMware全球治理、風(fēng)險(xiǎn)和合規(guī)主管Angela Weinman和Netflix DVD信息安全主管Jimmy Sanders。
兩位演講者聲稱都熱衷于推動(dòng)安全方面的變革。他們認(rèn)為,新的員工工作模式和日益復(fù)雜的入侵行為,要求安全領(lǐng)導(dǎo)人成為講真話者并采取行動(dòng)。
總之,這個(gè)演講的核心就是講真話,解決真實(shí)問題,目的是加強(qiáng)網(wǎng)絡(luò)安全的彈性。
第一句真話是,現(xiàn)在沒有管理好風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)缺乏焦點(diǎn)。而如果不能準(zhǔn)確的識(shí)別確定風(fēng)險(xiǎn),我們就很難很快的從危害的影響當(dāng)中恢復(fù)過來。必須以風(fēng)險(xiǎn)為驅(qū)動(dòng)因素,衡量投入/產(chǎn)出價(jià)值,把有限資源投入在最值得優(yōu)先考慮的領(lǐng)域。
第二句真話是,傳統(tǒng)安全做法正在拖后腿。我們必須創(chuàng)造一種包容性的環(huán)境,讓多元化的想法能夠同臺(tái)競(jìng)爭(zhēng),讓桌上的每一個(gè)聲音都能被聽到,讓最好、最先進(jìn)的想法獲勝。這樣才可以改善我們的整體安全態(tài)勢(shì)。
第三句真話是,安全不是一項(xiàng)單獨(dú)的運(yùn)動(dòng)。在過去一年,正是互相交流幫助我們度過難關(guān)。這也正是安全社區(qū)的價(jià)值,我們需要所有人的努力,需要同行的合作。這反映了“滾雪球效應(yīng)”,因?yàn)樗袀ゴ蟮南敕ǘ际墙⒃诒舜说幕A(chǔ)上的。
7)數(shù)學(xué)卓越獎(jiǎng)
接下來是RSA會(huì)議獎(jiǎng)“數(shù)學(xué)領(lǐng)域卓越獎(jiǎng)”(Excellence in the Field of Mathematics)的頒獎(jiǎng)環(huán)節(jié)。該獎(jiǎng)項(xiàng)旨在表彰那些在密碼學(xué)領(lǐng)域是先驅(qū)者且其工作具有持久價(jià)值的被提名人,他們來自大學(xué)和研究實(shí)驗(yàn)室。
本屆“數(shù)學(xué)領(lǐng)域卓越獎(jiǎng)”獲獎(jiǎng)?wù)呤欠▏?guó)國(guó)家科學(xué)研究院高級(jí)研究員David Pointcheval。他專門從事實(shí)用協(xié)議的設(shè)計(jì)和分析,并提高它們的安全性,不僅推進(jìn)了密碼學(xué)的理論,而且降低了現(xiàn)實(shí)世界中的業(yè)務(wù)風(fēng)險(xiǎn)。
8)密碼學(xué)專家小組討論
RSA大會(huì)每年都會(huì)以“密碼學(xué)專家小組討論”(The Cryptographers' Panel)作為開幕日的必備項(xiàng)目。密碼學(xué)的奠基人和領(lǐng)導(dǎo)者共同討論網(wǎng)絡(luò)安全行業(yè)所面臨的最緊迫問題。有趣的是,會(huì)前并不公布所討論的話題,有時(shí)話題也很發(fā)散,會(huì)隨興所至。
這一次,主持人Ross Anderson與Ronald Rivest、Adi Shamir、Zulfikar Ramzan同臺(tái)在線,談?wù)摿吮忍貛拧⒇?fù)責(zé)任披露、量子計(jì)算機(jī)、機(jī)器學(xué)習(xí)和AI安全、供應(yīng)鏈安全、工程隱私、網(wǎng)絡(luò)彈性等話題。
最后,主持人Ross Anderson還對(duì)Whitfield Diffie進(jìn)行了專訪。當(dāng)主持人詢問:未來的網(wǎng)絡(luò)安全會(huì)是怎么樣的?Whitfield Diffie回答說:人們既想自由,又想連接。但我們的自由是被削減的,我們現(xiàn)在所享受到的自由,在將來看可能非常難得,我們?cè)谀莻€(gè)時(shí)候可能會(huì)特別懷念現(xiàn)在的我們還有一定的隱私性。
9)期待你的發(fā)現(xiàn)
是的,在介紹完開幕式的主題演講之后,需要你繼續(xù)發(fā)現(xiàn)令你感興趣的議題。本次會(huì)議的議題非常多,官方說法是24個(gè)內(nèi)容主題(Track),200多個(gè)具體議題(sessions)。而具體的議程似乎多達(dá)500個(gè)。討論相對(duì)比較多的領(lǐng)域包括:彈性;零信任;威脅情報(bào);安全框架(如MITER ATT&CK攻擊框架和MITER Shield防御框架、NIST CSF網(wǎng)絡(luò)安全框架等);5G網(wǎng)與邊緣計(jì)算;物聯(lián)網(wǎng)安全;云安全;供應(yīng)鏈安全;AI攻防;數(shù)據(jù)安全與個(gè)人隱私等。
此外,創(chuàng)新沙盒作為安全行業(yè)的技術(shù)風(fēng)向標(biāo),必受關(guān)注。已經(jīng)入選的10強(qiáng)創(chuàng)新產(chǎn)品包括:1)Abnormal-郵件網(wǎng)關(guān);2)Apiiro公司-SDL產(chǎn)品;3)Axis security公司-零信任產(chǎn)品;4)Cape Privacy公司-加密機(jī)器學(xué)習(xí)平臺(tái);5)DEDUCE公司-身份安全驗(yàn)證平臺(tái);6)OPEN RAVEN公司-云數(shù)據(jù)安全平臺(tái);7)Satori公司-數(shù)據(jù)訪問安全平臺(tái);8)STRATA公司-多云身份管理平臺(tái);9)WABBI公司-DevSecOps基礎(chǔ)架構(gòu)平臺(tái);10)WIZ-云基礎(chǔ)設(shè)施安全平臺(tái)。可以看出,云安全、零信任、身份安全、數(shù)據(jù)訪問安全等是被關(guān)注的焦點(diǎn)。
彈性是一個(gè)宣言,是人類不屈的決心!尤其是當(dāng)安全行業(yè)團(tuán)結(jié)在一起時(shí),才可以展現(xiàn)更大的彈性和韌性。當(dāng)每個(gè)你和我都能做出一份努力的話,這個(gè)世界就會(huì)變得更安全、更美好。
NIST網(wǎng)絡(luò)彈性指南專門指出:“對(duì)網(wǎng)絡(luò)彈性領(lǐng)域的指引,來源于對(duì)威脅形勢(shì)的理解,尤其是對(duì)APT的理解。” 作為國(guó)內(nèi)應(yīng)對(duì)APT的超級(jí)核心力量,360政企安全將持續(xù)關(guān)注網(wǎng)絡(luò)威脅形勢(shì)和安全創(chuàng)新動(dòng)態(tài),基于360安全大腦為核心的數(shù)字安全能力體系和安全生態(tài)體系,為國(guó)家、行業(yè)、城市、政企的數(shù)字化轉(zhuǎn)型和網(wǎng)絡(luò)/業(yè)務(wù)彈性保駕護(hù)航。
在實(shí)踐角度而言,360安全大腦為核心的數(shù)字安全能力體系在“彈性”(Resilience)的概念基礎(chǔ)上又向前推動(dòng)一步,因?yàn)檫@是具有“主動(dòng)彈性”(Proactive Resilience)的實(shí)戰(zhàn)體系。
簡(jiǎn)單地說,360數(shù)字安全能力體系,是一個(gè)建立在海量安全大數(shù)據(jù)、實(shí)戰(zhàn)型安全專家團(tuán)隊(duì)、漏洞挖掘能力、安全對(duì)抗知識(shí)庫(kù)、APT狩獵能力、云端公共服務(wù)等安全能力的融合體。其目的,是建立一種同時(shí)具備環(huán)境意識(shí)、自我意識(shí)和改進(jìn)能力的“主動(dòng)彈性”。它不僅是在遭受破壞時(shí)能繼續(xù)運(yùn)作,而是能夠主動(dòng)“看見”破壞,預(yù)測(cè)破壞,并在破壞發(fā)生之前有所準(zhǔn)備。此前,360公司多次率先發(fā)現(xiàn)的全球0day漏洞攻擊,就是得益于這套協(xié)同體系的“主動(dòng)識(shí)別”機(jī)能。
現(xiàn)在我們的國(guó)家、城市、行業(yè)、企事業(yè)單位所構(gòu)建的業(yè)務(wù)系統(tǒng)變得越發(fā)復(fù)雜,以至于沒有誰能夠說明其整個(gè)運(yùn)行本質(zhì)。主動(dòng)識(shí)別由復(fù)雜分布式系統(tǒng)所引起的系統(tǒng)安全故障,主動(dòng)發(fā)現(xiàn)和解決重大漏洞,主動(dòng)暴露“未知的未知”,則能夠更好地發(fā)現(xiàn)和應(yīng)對(duì)非預(yù)期事件。
