安天肖新光:敌情想定下的网络安全防御思考
点击: 作者:肖新光 来源: 秦安战略 发布时间:2019-02-27 09:38:40
【编者按】2018年8月14至16日,2018中国网络安全年会在北京举行。在主论坛上,安天创始人兼首席技术架构师肖新光做了题为《敌情想定下的网络安全防御思考》的大会报告,以下为本次报告的主要内容。
2018中国网络安全年会
安天创始人、首席技术架构师
在2018中国网络安全年会上做主题报告
超级大国攻击EastNets使用的网络攻击工具及漏洞
面对高级网空威胁行为体发动的攻击,我们必须考虑到:
► 高级威胁行为体有突破目标的坚定意志,且具有充足的资源、成本准备,并进行体系化的作业。
► 任何单点环节均可能失陷或失效,包括网络安全环节本身。
► 信息系统规划、实施、运维的全过程,都是攻击者的攻击时点。
► 防御者所使用的所有产品和环节同样是攻击方可以获得并测试的。
► 攻击者所使用的攻击装备有极大可能是“未知”的,这种未知是指其因在局部和全局条件下,对于防御方和防御方的维护支撑力量(如网络安全厂商)来说,是一个尚未获取或至少不能辨识的威胁。
安天对超级大国网空能力的分析轨迹
超级大国具备全球监控项目(工程体系)支撑网空作业的能力,其在网络空间的进攻性能力体系是一个复杂的情报流程,包括整个信息收集部分、处理&分析部分、扩散&聚合部分,来达成目标的攻击效果。超级大国的传统信号监听和网络监听获取体系构成了网空作业的先天优势,具备全球网络地形绘制、目标寻址和目标行为采集分析能力。有完备的网络空间进攻性能力支撑框架,对目标定位、联动决策、打击注入形成了支撑,同时确保了攻击隐蔽性,以对抗溯源。
在网络攻击方面,超级大国的军事力量已经形成了清晰的战术攻击方法论,并尝试将调度网空资源的行动权限下放到师级单位。师级单位可以依托于自身作业小组,调度其整个网空的优势,针对政治、军事、经济、社会、信息、基础设施进行打击。
传统的安全工作有两个推动维度:一是围绕相关合规标准展开,通过相关检查点来判断防护情况;二是围绕威胁的类型、行为或单点场景类型展开,如计算机病毒感染、DDoS攻击、网站入侵篡改等。上述工作对于应对单点威胁和事件是有效的,但对于应对高级网空行为体的复合性攻击是不够的。
2017年6月,在一次内部研讨会上,安天首次提出了“有效敌情想定是网络安全工作的前提”,将“敌情想定”这一军事术语引入了网络安全领域。“想定”是军事术语,是指对作战双方基本态势、作战企图和作战发展情况的设想。敌情想定是在整体想定中对对手的意图、体系、能力、资源、预案的全面分析和设定。安天提出对于关键信息基础设施、重要信息系统等防御场景,“敌已在内、敌将在内”这是最基础和最重要的敌情想定。提出了“减少应激驱动,建立常态化防御能力改进”,“物理隔离+好人假定+规定推演,构成了当前最大的自我安全麻痹”等观点。2018年1月,在安天主办的第五届网络安全冬训营上,将“敌情想定是前提,网络安全实战化”作为主题。
在当前网络信息系统同时面临着来自国家和政经集团等高级行为体、民间复合行为体、传统民间行为体攻击的情况下,敌情想定场景已经发生了变化。高级的攻击者具有打穿任何系统的坚定意志,所以“敌已在内、敌将在内”才会成为最基础的敌情想定,同时从外部信息环境、供应链、对外信息交换和社会关系角度,关键信息基础设施和重要信息系统等防御场景需要极限化想定,所以这种网空对抗是一种“平时的持续性对抗、隐蔽性对抗,战时的高烈度对抗,平战皆为无底线对抗和高成本对抗”。
报告指出,不同的场景,不同的对象,不同的区域,不同的行业所面临的对手不同,对手关心我们的意图不同,攻击的目标和入口有差异,我们当前的防御情况也有个性化的不同和缺陷。敌情想定不是一个普适的概念,而是需要具体完善和具象化的。并从政务网络、关键基础设施、军工企业、高等院校等多个典型的需要梳理敌情想定的攻击场景展开了分析。
针对不同的典型的需要梳理敌情想定的攻击场景
同时,报告指出:敌情想定很重要的一点是基于对手作业能力和机会窗口期的对位。以安天曾分析过的“白象”攻击为例,从早期攻击中不使用漏洞,到逐渐使用了一些相对陈旧的漏洞,一方面说明该国家行为体的攻击能力和资源有限,而另一方面,这种攻击依然有效,本质上则暴露出我们的防御缺失。对于敌情关注的目标,作业窗口遭遇未修复漏洞的攻击敞口,要以对手已经利用漏洞完成植入为想定,形成深入排查和重新布防,而非简单的漏洞修补。对于重要信息系统,不能仅仅考虑防范高级和特种木马,面对各种恶意代码、僵尸网络感染,都要考虑到这些恶意代码完全可能被敌方劫持控制,进行深度分析,而不能简单只是消杀了之。
而在当前,信息化现状的复杂性与攻击机会窗口叠加是一个复杂问题,在漫长的攻击窗口存在的情况下,如何评价对手是否利用了相应漏洞和达成了怎样的效果,需要新的工作视角和资源投入。
思考一:基础信息技术自主先进和网络安全能力发展要相互促进发展,反对网络防御的虚无主义。
基础信息化产品自主、先进、可控是网络强国的基础能力支撑,但其和网络安全防护应是共同发展、相互促进的关系。将供应链自主视为网络安全工作前提的观点,特别是认为在达成基础信息产品的自主化之前,防御是难以进行和难有作为的认知,不符合客观规律,导致了防御的虚无主义。基础信息化产品需要取得技术突破,形成先进能力,建立生态体系。网络安全防护工作则需要直面当前信息系统是基于全球信息技术供应链这一既定事实展开。
同时,鉴于超级大国和一些高级威胁行为体的场景预制能力和攻击装备的场景覆盖能力,基础信息化产品的研发、生产过程更需要有高度的网络安全防护保障,需要严格遵循安全的规划、设计框架进行设计,严格执行代码安全的相关规范,系统建立其安全保障机制,实现全生命周期的安全管理。
思考二:需要以体系化防御对决体系化的进攻,反对寻找银弹。
需要以体系化防御对决体系化的进攻是一个最基本的认识,防御无银弹。
随着信息化的不断发展,现代信息系统是一个复杂系统,复杂系统的可靠性保障本身不能依赖于每个节点都不出问题。相对于现代信息系统的规模,特别是面对高级网空威胁行为体的作业能力,单点失效是必然发生的。基于此,需要以体系化的防御对决体系化的进攻。没有一个单点系统或单点技术能够解决复杂系统问题,这就是银弹是不存在的原因。但很多时候,我们仍渴望这种银弹出现,对单点技术和单点创新带来安全变革往往存在不理性的期待。
思考三:网络安全建设需要三同步叠加演进,走出先建设后安全的误区。
信息化越是先进复杂,就越无法依靠建设完成后贴膏药的方式做好安全防护。在如何做好安全的规划和能力叠加方面,滑动标尺模型提供了很好的参考。该模型由国际著名安全咨询机构SANS提出,由安天翻译引入国内,并与国内能力型厂商约定为公共安全模型。该模型明确揭示了作为基础结构安全、纵深防御、态势感知与积极防御、威胁情报间的叠加和前置基础条件关系。说明了没有基础安全规划和布防的高阶安全能力和手段将成为空中楼阁。
有效防护网络必须将网络规划为一个可防御网络,而可防御网络的前提是可管理网络。要实现一个可管理网络,就必须在系统全生命周期遵从“三同步”原则,即在网络的规划设计阶段、建设实施阶段和运行维护阶段都要考虑安全问题。
滑动标尺叠加演进模型
安天将直面敌情,不断完善能力体系,协助用户应对高级网空威胁行为体的挑战。
来源:安天
责任编辑:红星
特别申明:
1、本文只代表作者个人观点,不代表本站观点,仅供大家学习参考;
2、本站属于非营利性网站,如涉及版权和名誉问题,请及时与本站联系,我们将及时做相应处理;
3、欢迎各位网友光临阅览,文明上网,依法守规,IP可查。
作者 相关信息
内容 相关信息
秦安: 网空备战急 ——俄要“断网”测试,美宣布扩编网络战部队
2019-02-23秦安:网络空间落实习近平“扛得住、过得去”的总要求,需看清十二大网络安全风险
2019-01-24• 昆仑专题 •
• 十九大报告深度谈 •
• 新征程 新任务 新前景 •
• 习近平治国理政 理论与实践 •
• 我为中国梦献一策 •
• 国资国企改革 •
• 雄安新区建设 •
• 党要管党 从严治党 •
热点排行
图片新闻
