當前,隨著網絡安全相關技術的飛速發展,人在網絡安全攻防中起到的作用被各方都重視起來。一方面政企機構需要重視人在網絡安全中的不確定性。另一方面還需要看到網絡安全的本質是攻防兩端人的對抗。
一個月前,在美國舊金山召開的全球信息安全大會(RSAC),“人是安全的要素”作為大會主題,呼吁網絡安全發展注重人的作用。在此次萬人云峰會上,RSAC總經理琳達·格雷·馬丁(LindaGrayMartin)表示,我們每個人都有獨特的思想,它來自于個人的經歷,不管我們有多少不同點,但我們都有面對威脅時做出預防、檢測、響應的共同反應,這讓我們認真思考人的因素在安全當中所扮演的作用。
為此,本次萬人云峰會技術峰會上,思科首席技術官BretHartman,洛杉磯市首席信息安全官TimothyLee,著名信息安全專家、網絡安全防御矩陣的提出者SounilYu,以及清華大學奇安信集團聯合研究中心主任段海新等人,在安全技術層面就人的作用進行了探討。
“我們希望在控制因安全產品數量增加而造成的復雜性的同時,也讓每一款安全產品本身的安全能力得到足夠提升,讓網絡安全的防御力與設備復雜性之間的安全有效性缺口得以彌合,從而讓整體防御力和設備有效性得到共同提升。”針對當前愈加復雜的網絡安全,思科首席技術官BretHartman在會技術峰會上以“先進安全技術中人的角色”為題,提出網絡安全文化應該普及到個人,使每一個用戶擁有網絡安全理念和參與運營管理的責任。
BretHartman表示,當前網絡空間已經不斷變化,原來的單一控制模式轉換為更多的協同、設計越來越多地簡單化、文化變得更加得開放,因此需要更多的合作模式才能實現安全。
他以湯勺為例比如當下的安全。他說,湯勺設計的非常簡單,無需培訓,不管怎樣的文化、不管在哪個國家,人們都能理解湯勺的使用。網絡安全的設計和使用也應如此,不一定只能依靠專家才能完成,要根據不同人的理解能力去制定網絡安全,從而讓每個人都能承擔起保護網絡安全的責任。
“我們需要去保護的關鍵設備、關鍵基礎設施,公共安全、個人隱私、企業形象,這一切都和人密切相關。”洛杉磯市首席信息安全官員TimothyLee說,人在網絡安全中扮演了四個重要的角色,即使用者、捍衛者、黑客/襲擊者、感應器。
那么又該如何降低人在安全中的風險?TimothyLee提出了兩大步驟,一是充分去辨別保護高價值的目標,二是提升整體安全意識。他表示,內部人員的影響起著至關重要的作用,安全風險的增減和每一位用戶與IT部門的行為息息相關。
對此,重點保護高風險高攻擊率用戶人群、分析潛在安全事件的重要性與影響程度、建立完善的信息攔截篩查系統并且讓網絡安全深入到每一位員工的工作習慣中,同時除了郵件安全、邊界安全、數據防泄漏等層次化防御措施外,還必須提升安全意識培訓,并將安全意識的培訓作為改變行為的長期項目進行,甚至成為組織機構內部的安全文化。
相比技術理論的推演和宏觀分析,著名信息安全專家、網絡安全防御矩陣的提出者SounilYu從技術實踐層面談到了人對于網絡安全體系建設的積極作用。
他自己專門設計了網絡防御矩陣圖,縱坐標有五個因素,包括設備、應用、網絡、數據和用戶;橫坐標包括鑒別、保護、檢測、響應和恢復,以此分析安全架構中人的因素對于技術的依賴程度。
他表示,網絡防御矩陣(簡稱CDM)有助于更好地分析和歸納各公司主要經營的安全模塊,以及其在安全排查流程中所處的位置。其中,安全隱患的識別與防護依賴于技術層面的支持,而安全事件的檢測、響應與恢復則依附于長期人員的支撐。盡管在側重點上有所不同,但各階段的管理與運營都離不開技術人員的支撐。因此,各企業應根據其在CDM模型中所處的位置決定員工培訓、流程更新和技術革新的頻率,以更好地規劃預算與資源。
人的因素,不僅僅體現在積極幫助企業構建安全的網絡環境和保護數字資產,同樣體現在企業所面臨的網絡攻擊風險。清華大學奇安信集團聯合研究中心主任段海新在技術峰會上發問,一個不知名的小公司域名的攻克會影響到知名大企業的網絡安全嗎?
答案是肯定的。段海新說,在當今的互聯網基礎下,全球的網絡系統呈現一體化,有互聯互通的特性。根據網絡安全的牽動性,一次有針對性的安全攻擊也會最終影響到關聯公司與領域,世界排名前100的公司子域名有63%都有可能會受到共享證書攻擊的影響。局部隔離雖然可以暫時緩解安全問題,而互聯互通才是常態,因此需要世界各國家與地域的信任與協作。
段海新表示,盡管互聯網今天還不安全,但我們不能重新建造一個隔離的互聯網。就像當前的疫情一樣,局部的暫時隔離只是暫時的,互聯網互聯互通才是常態,而互聯互通最重要的安全機制是彼此的信任與協作。當前,安全人員所研究的問題是對抗,但是網絡安全更需要的是合作,“在網絡空間中,看似與你無關的問題,可能有一天以你預想不到的方式影響你。其他人遭受攻擊時,你也會面臨重大的風險和災難。”
“網絡安全發展這些年來,目前尚未有一招制敵的神器,到今天還是要修萬里長城,在不同的地方進行把守。而在這個過程中,長城上的兵力不可能均勻分布,還會有要塞。”作為本次技術峰會的主持人,賽博英杰創始人譚曉生表示,開展定向人群的安全意識培訓可以有效促進安全知識的普及,并且在檢測和響應過程中,需要有人的參與進行監管和操作。因此每個公司根據定位的不懂,對于人員、技術和流程培訓的更新周期也需隨之調整。只有把人的因素,技術、產品和流程串在一起,才可以讓整個防御體系有效安全運作。
本次萬人云峰會由北京網絡安全大會(BCS)主辦。通過1場萬人云峰會、1場技術峰會暨3場技術分論壇,中國、美國、以色列、日本等多國網絡安全專家學者、行業領袖、技術專家、業界人士一萬余人,跨越全球17個時區同步出席會議,圍繞戰略、產業、技術等三大維度,全方位解讀全球網絡安全產業發展新趨勢,為全球網絡安全發展探尋新機遇。
主辦方介紹,這次技術峰會是BCS-RSAC萬人在線云峰會的重要組成部分,在技術峰會之后,還將有安全意識論壇、安全創客匯云論壇、DevSecOps論壇等三場技術分論壇,分別在3月26日、3月31日、4月7日在藍信平臺線上舉辦。此前,舉辦方也正式宣布,國內頂級的網絡安全峰會——北京網絡安全大會(BCS2020)將于今年8月25日在北京召開,目前正面向全球征集議題。
