网络安全的三个新“药方”
近日,在第十七届中国互联网大会上,360企业安全集团董事长齐向东以三个“新”作答,给出了应对当前网络安全形势的三个“药方”——新技术、新系统和新机制,即第三代网络安全技术、网络安全防护的“三位能力”系统和关键信息基础设施网络安全的三方制衡机制。
新技术:第三代网络安全技术
通过盘点计算机网络病毒的发展历史,齐向东把它分为三个阶段:第一个阶段是1987年-2000年,对应第一代网络安全技术;第二个阶段是2001年-2015年,对应第二代网络安全技术;第三个阶段是2015年之后,对应第三代网络安全技术。
第一代网络安全技术核心是“查黑”,黑名单机制,策略是“非黑即白”。齐向东介绍说,当时病毒样本数量很少,即便到了2000年,每年病毒数量才1万种,这种增长速度很缓慢,平均到每天高峰时也就几百个,而且多数电脑感染之后不是立刻发作,而是滞后几天、几周甚至几个月,这为查杀病毒赢得了宝贵时间。因此,当时的应对方式是人工分析病毒的特征码,在电脑里通过扫描文件进行匹配、查杀。
2001年以后,互联网开始普及,出现了能自我复制、自我传播的蠕虫病毒。蠕虫病毒与一般病毒最大区别在于自动扫描并利用系统漏洞和服务端口,借助互联网、企业内网、电子邮件、网站挂马等方式进行传播,数十分钟就能蔓延至全球网络。与此同时,流氓软件爆发,把木马数量进一步推高到每日峰值时期的近1000万个,导致病毒库无法及时更新;另外,网络病毒的传播速度极快,传统杀毒软件滞后几天、几周才能查杀的弊端凸显,“黑名单机制”宣告失效。
齐向东介绍说,为了解决网民安全上网难题,在2006年,360创新发明了第二代网络安全技术“查白”,白名单机制,策略是“非白即黑”。360发挥自身是互联网公司的优势,把擅长的搜索引擎、云技术、人工智能等互联网技术应用于安全领域,建立了全球最大的白名单文件数据库。只要不在白名单中,就可能是新的木马病毒,进而限制其敏感操作,这个方法攻克了当时黑名单瞬息万变不可捕捉的难题。
网络攻防的对抗性,决定了没有攻不破的盾。随着产业互联网、工业互联网和万物互联网快速发展,以及漏洞挖掘利用产业化,2015年前后,APT攻击成为主流,出现了大量“白利用”攻击手段。黑客利用已知或未知的系统漏洞,把恶意程序注入到系统白文件中,操纵系统文件对系统进行攻击,让安全软件看上去是一个系统文件的正常操作,以躲避“查杀”。
“白名单机制也不再是灵丹妙药,好比我们守着安检门,但黑客跟随有免检证的人走了VIP通道。”齐向东介绍说,360的创新基因开始发挥作用,提出了“查行为”的第三代网络安全技术,用数据驱动安全,不再无原则地信任白名单,而是从关注样本黑与白上升到关注网络行为。第三代技术突破了终端和边界的限制,通过尽可能全地收集大数据,对每个样本、ID、IP、流量进行计算,判断行为是否合法,把可疑行为找出来告警,人工智能的大数据行为分析上升成为核心技术。
新系统:低位、中位、高位的“三位能力”系统
网络安全领域有一个很著名的“五段滑动标尺模型”,包含架构安全、被动防御、积极防御、威胁情报和进攻反制五个阶段。齐向东根据这个模型,给出了应对当前网络安全形势的第二个“药方”——构建低位、中位、高位的“三位能力”系统。
他举例说,假设4万个网络安全防护人员守卫1万个关键基础设施,平均到某个关键基础设施的防守力量是4个人。如果敌方军力也是4万人,他们只需要攻击一个关键基础设施就可以达到目的,也就变成了4万人攻与4个人防的对抗,力量如此不对等的战斗,结果可想而知。
齐向东给出的解决方案是,把分散在1万个目标上的人员的能力数字化,集中到一个态势感知和安全运营中心里,实时感知威胁并调度其他点的人力来应对敌方的网络攻击,这样就从一盘散沙变成了一支能被灵活调配的集团军,将不对等转变成了势均力敌。
“4万人分散开来守卫1万个目标,就是架构安全和被动防御阶段要做的事,也是三位能力系统里的低位能力;把分散能力数字化,集中起来形成能力中心,相当于传统作战时的参谋部和前线指挥部,是中位能力;威胁情报和进攻反制是高位能力。”齐向东说。
他打了个比喻,低位能力好比一个人的“五官和四肢”,负责听、看、闻、尝、取,以及在大脑指挥下采取动作行动,是传统的安全防御能力;中位能力是对海量数据的建模与分析能力,就像人的“心脏”,不断输送血液,为人体供应氧和各种营养物质;高位能力是云端威胁情报与分析能力,能对中位和低位提供支撑和决策,就像人的“大脑”,负责复杂的思考和下达行为指令。“三位能力”是一个系统,相辅相成。
新机制:“建设、运营和安全服务”的三方制衡机制
齐向东给出的第三个“药方”是建立“建设、运营和安全服务”的三方制衡机制。他认为这和建筑工程需要建设方、施工方和监理方三方制衡是一个道理。
他以云和大数据平台举例说,平台存储的都是数字化信息,对甲方来说像“黑洞”,“看不见”数据是否被偷、被篡改。甲方获知的途径只有两种:一是数据泄露的危害显现出来,从而推导出数据被窃;二是依赖于云厂商的良心,让他主动报告。
“如果云厂商发现了事故就报告,一定会受到甲方的处罚;而他不报告,甲方又很难发现核查,就可以免受甲方的处罚。这个‘二选一’的抉择中,如果没有任何监督手段,完全凭厂商的良心,其实是对事业的不负责任。”齐向东说。
齐向东表示,云厂商的产品,无论水平多高都会有漏洞。比如,微软、谷歌、苹果、Adobe这样的大公司,每个月都会有几十个漏洞被发现被提交。此外,供应链安全问题、内部人员可靠性问题等因素,都是可能造成安全事故的巨大隐患。
“现在我国各地都在大力建设云平台、大数据中心,安全是政务云的生命线,需要明晰各方的分工和责任,甲方是建设方,要严格要求;乙方是云厂商,要提高标准;还需要第三方安全服务查漏补缺保障安全。有了这个‘三方制衡’机制,才能从最大程度上杜绝漏洞,长治久安。”齐向东说。
来源:经济参考报