網安新方向：網絡空間恢復補救能力

宋辰

網絡安全，不只是“救火隊員”，也可以是“指揮家”。

很多人都夢想川藏自駕游，曾經需要準備的一輛越野車、一部充滿電的手機、一張地圖和一個指南針，現在都可以由一輛擁有智能聯網功能的汽車來代替，自適應巡航、藍牙車載電話、車載導航，一切都很方便地帶我們到任何地方去。但是，這時候卻似乎有個“幽靈”盤繞在我們身邊，這就是黑客。黑客有可能知道車輛的準確位置；車載娛樂系統會被勒索，黑客可以接聽車載系統撥打電話的語音，準確了解到個人隱私；黑客還可以不停撥打車主手機使之與外界隔絕，更可怕的是，他甚至可以欺騙車主通訊錄里的每一個人。

過去25年，消費者互聯網改變了幾乎每個人的生活。全球的網絡正在面臨積極的革命，我們期待每一架飛機，每一輛汽車，每一個電表，大部分實物和服裝可能都連到網上，我們正在從百億的連接，走向萬億的連接。在萬物互聯時代，每個人享受便利性，但是新的風險如影隨形，網絡安全尤其是基礎設施安全的重要性更加凸顯。

隨著我國數字化進程的整體提升，關鍵信息基礎設施已經成為金融、交通等關系國計民生重點行業的神經中樞。近年來，針對關鍵信息基礎設施的新型攻擊和破壞手段層出不窮。 傳統網絡安全中心以抵御攻擊為中心、以黑客為防御對象的安全策略和安全體系構建存在重大的安全隱患。

當前，網絡安全設備的采購大多以單獨產品采購為主，這些采購的發起部門也各不相同。這些大型IT組織的建設是否有系統化的方法？是否有新的網絡安全處理策略，通過邊界防護和防止攻擊的方式來保障網絡安全？

網絡空間需要“自愈”

時間回到2008 年，趨勢科技中國（于2015年被亞信科技收購成立亞信安全）在全球范圍內提出了云安全（ Secure Cloud ）的概念，并在當年發布了云安全白皮書。不過，那時云的概念也只是剛剛有些雛形，更不要提企業究竟有多少業務真正地跑在云上了。所以，彼時的“云安全”還顯得太過前沿。

但不得不承認的事實卻是，對于未來趨勢的研判，永遠是行業里頭部企業最擅長的。

2018年，在“2018 C3安全峰會”上，亞信安全提出了新戰略之一“網絡空間恢復補救能力”，這讓長期跟蹤安全領域的記者們都覺得頗新的理念。

亞信安全通用安全產品總經理童寧在采訪中對《計算機世界》記者表示：“近一兩年內，這個概念在國際上已經開始有了探討和設計，網絡空間恢復補救能力是未來網絡安全重要的發展方向，是一種面對安全威脅能夠確保企業業務的可用性和恢復能力，可以最大限度維系業務關鍵應用的正常運維，降低風險。”

亞信安全強調的網絡空間恢復補救能力更像是漫威電影《X戰警》的人氣主角金剛狼所擁有的強大自愈能力。關鍵信息基礎設施在業務環境具備適應性能力、風險預測能力、遭受入侵后的對抗能力、被攻擊后的恢復能力，確保數據泄露損失最小化、通過業務的恢復補救能力，實現業務連續性的最大化。

隨著《網絡安全法》和《國家網絡安全事件應急預案》等一系列法律法規的出臺，對監測預警、應急處置也提出了具體要求，構建網絡空間恢復補救能力，確保企業業務在安全威脅下的可用性和恢復能力，以維系業務關鍵應用的正常運維、進而降低風險，成為安全能力建設的新方向。

精密編排的安全

童寧強調，在網絡空間恢復補救能力的構建過程中，簡單來看可以分為三層結構，分別是戰略層、戰術層和工具層。在戰略層構建完善的恢復補救能力框架，在戰術層構建威脅事件響應流程，并通過技術工具進行精密編排聯動，建立安全事務指揮平臺的整體體系。

以我們每天日常工作中都會接觸到的郵件為例，當我們的郵箱收到郵件時，附件、URL、服務器IP、標題和發件人數據會被提交到沙盒分析并產出黑名單，黑名單聯動阻斷惡意網絡鏈接，進行網絡活動及樣本分析，之后，提交黑名單至防毒墻控制管理中心，同步黑名單至亞信安全的終端安全OSCE，終端安全OSCE再依據黑名單進行查殺阻斷。

網絡空間恢復補救中的應急響應需要通過一個統一的指揮平臺，把每種應急情況都變成工作流，再將一個一個任務分發下去。平臺的核心是工作流以及預案應對的角色，也就是說，平臺上的每一個角色都按照既定的工作流去執行，每一個節點做什么事情都清清楚楚有預案可參考。

“我們開發了三、四十種預案。不論哪一種預案，都是按照準備、發現、分析、遏制、消除、恢復和優化這七個階段，把一個個工作流分發下去。”童寧說，“這和消防部門的消防演練十分相似，我們也需要按照預案去演練。消防跟我們產品很像的，有很多工具，但它們之間是沒有關系的，一個梯子，一把斧頭是沒有關系的，但是只要有了預案，我們就可以把這些‘救火的東西組合起來，實施有效施救。”

目前，亞信安全正在不斷完善網絡空間恢復補救能力的理論方法與技術工具，將威脅分析、調查取證、威脅情報、應急響應服務等方面的新興技術優勢融入到體系建設的整體框架之中。隨著現代企業辦公空間逐漸延伸到虛擬化和云端，網絡安全的邊界正在變得模糊，本地部署與周邊防御遠遠不能對抗日益精進的網絡安全威脅，構建全方位安全態勢感知的“多層次防護體系”至關重要。

亞信安全技術支持中心總經理蔡昇欽指出：“要構建多層次防護體系，單個網絡安全產品或是企業往往存在解決方案單點上的短板，難以有效地防護包括關鍵基礎設施在內的防護目標。因此，亞信安全倡導與前沿的科技和策略研究，以及網絡安全業界的產品及方案全面聯動，共奏和諧共生的‘交響樂，實現集中式威脅共享和可視性，幫助客戶對抗無邊界風險。”

在網絡空間恢復補救能力的實踐中，亞信安全希望為客戶“賦能”，幫助客戶建立內部的威脅情報中心，例如當檢測到惡意IP時，設備及時阻斷，同時，通過不同安全產品之間聯動的精密編排機制，即可同步感知到平臺。“實現全方位安全態勢感知，是構建安全聯動體系的方法和關鍵點，亞信安全正在通過產品聯動，實現威脅信息通過Web API與第三方應用程序共享，以提升整體的安全態勢感知能力”。蔡昇欽強調，“目前，亞信安全的安全聯動解決方案已經在能源、交通等多個行業落地，通過云端與本地的威脅情勢共享，幫助行業客戶保護關鍵基礎設施安全。”

在筆者看來，在與跨平臺、跨架構的安全產品、方案的聯動中，網絡空間恢復補救能力特別需要的是安全事務指揮平臺進行統一的管理，只有這樣，才能共奏和諧共生的“交響樂”，幫助客戶對抗無邊界風險。