3月28日,由中國信息協(xié)會(huì)主辦,信息化觀察網(wǎng)、中國信息化網(wǎng)、國潤互聯(lián)信息技術(shù)研究院共同承辦的2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì)在北京裕龍國際大酒店成功召開。
深信服科技股份有限公司安全業(yè)務(wù)CTO郝軼
會(huì)上,深信服科技股份有限公司安全業(yè)務(wù)CTO郝軼帶來了題為“面向未來 有效保護(hù)的智安全架構(gòu)”主題演講,以下是郝軼在會(huì)上的演講內(nèi)容實(shí)錄,未經(jīng)整理。
1503年的時(shí)候意大利的南部發(fā)生過一場(chǎng)戰(zhàn)役,當(dāng)時(shí)是西班牙人和法國人,法國是法國和瑞士的聯(lián)軍,當(dāng)時(shí)歐洲最強(qiáng)的騎士團(tuán)隊(duì)。從人員上來講,法國的人要比西班牙人多幾倍,是這么一個(gè)情況。但是在這場(chǎng)戰(zhàn)役當(dāng)中,法國人失敗了,因?yàn)槲靼嘌廊耸褂昧嘶鹌?,所以馬克思說火藥把整個(gè)騎士階層炸的粉碎。
我們發(fā)現(xiàn)通過切里尼奧拉戰(zhàn)役告訴我們擊敗騎士的不是更強(qiáng)的騎士,而是你不認(rèn)識(shí)的武器,攻防需要面向未來才能形成有效保護(hù),面向未來,有效保護(hù)就是我們深信服安全業(yè)務(wù)的理念。
下面我展開說一下我們看到的未來是什么樣子,我們又是如何看到大家是有效的去保護(hù)他的。這些是我們經(jīng)??吹降囊恍┱J(rèn)證,安全相關(guān)的,包括信息化相關(guān)的,包括上一位演講者組織就有很多這樣的認(rèn)證。深信服在全國有50多個(gè)分支機(jī)構(gòu),隨著“一帶一路”我們?cè)谌蚨奸_展業(yè)務(wù),所以我們需要關(guān)注和掌握,比如說ISO277001,27017,27018,STAR,諸如這類的標(biāo)準(zhǔn)和認(rèn)證,這類的標(biāo)準(zhǔn)越來越多,這只是ISO,ISO有三萬多標(biāo)準(zhǔn)。
我們也提到隱私的保護(hù),大家還在努力學(xué)習(xí)歐盟的通用數(shù)據(jù)保護(hù)條例的時(shí)候,GDPR,我們發(fā)現(xiàn)美國的加州消費(fèi)者隱私保護(hù)CCPA就出臺(tái)了。我國隱私標(biāo)準(zhǔn)也出來了,包括我們國家也在開始做準(zhǔn)備《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》,合規(guī)的內(nèi)容一定會(huì)越來越多,他們都很重要。
另外一點(diǎn),以往我們談安全就是講攻和防,我們希望更加清楚的描述攻擊這件事情,如圖所示是國外一家機(jī)構(gòu)發(fā)布的矩陣,這個(gè)里面的內(nèi)容也是目前國際上最領(lǐng)先的幾家安全公司采用的框架,用來做什么呢?來描述對(duì)主機(jī)的攻擊,比如windows,他分了十一個(gè)步驟,每一個(gè)步驟下面又有很多具體的內(nèi)容。當(dāng)一個(gè)攻擊形成的時(shí)候,作為一個(gè)攻擊鏈,從左面的分類一直到最右邊的時(shí)候,每一個(gè)步驟就會(huì)形成非常多的組合,這種情況下,如果我們還是用以前人工的方法去響應(yīng)攻擊或者是檢測(cè)這些攻擊,就會(huì)變得非常難,這個(gè)就是最近全球最流行對(duì)攻擊的描述,大家可以做一個(gè)了解。
還有一些方面,我們都提到勒索病毒越來越重要,實(shí)際上勒索病毒由來已久,已經(jīng)超出了這張圖,1989年就出現(xiàn)世界第一個(gè)勒索病毒,但是今天勒索病毒的數(shù)量越來越多,據(jù)統(tǒng)計(jì)有800萬不同的勒索病毒。勒索病毒越來越多,為什么呢?我是這么想的,拖延是人的本性。我自己做過運(yùn)維,我們的補(bǔ)丁不一定能夠打的那么及時(shí),但是隨著區(qū)塊鏈技術(shù)的發(fā)展,加密貨幣給了勒索病毒的作者和這個(gè)黑產(chǎn)一個(gè)相對(duì)匿名獲取數(shù)據(jù)的方式,在巨大金錢的動(dòng)力下,勒索病毒這個(gè)產(chǎn)業(yè)里,一直在用最新的漏洞不斷更新變種,比如說可以在網(wǎng)上搜索最新的新聞,幾乎發(fā)布了什么最新的漏洞,勒索病毒就先有上了,而且更新的非???。
還有一個(gè)問題,我們也發(fā)現(xiàn)我們?cè)?jīng)做安全,說怎么做呢?做安全開發(fā)生命周期SDLC,我最早一直學(xué)習(xí)SDLC,我們也去學(xué)習(xí)各種各樣的風(fēng)險(xiǎn)評(píng)估的方法,比如我們知道RSO27005風(fēng)險(xiǎn)管理體系,有時(shí)候叫風(fēng)險(xiǎn)框架,比如說SP800-30,-27,-39,這些內(nèi)容。但是當(dāng)我曾經(jīng)做一個(gè)甲方的時(shí)候,我們發(fā)現(xiàn)這些內(nèi)容,我曾經(jīng)所在的組織有十萬臺(tái)以上的服務(wù)器,有三百個(gè)業(yè)務(wù),你根本來不及做一次風(fēng)險(xiǎn)評(píng)估,因?yàn)樘?,系統(tǒng)太大。我們發(fā)現(xiàn)在國外,現(xiàn)在最流行的方式是dev,ops,在這個(gè)基礎(chǔ)上去插入安全的能力,包括監(jiān)測(cè)和分析,這里又有一個(gè)問題,devops本身節(jié)奏非???,如果用傳統(tǒng)的方法干不過來,舊的問題發(fā)現(xiàn)了,你按傳統(tǒng)的瀑布模型讓他修補(bǔ),按道理舊的還沒修完,新系統(tǒng)本身出現(xiàn)了更新。
以在座的為例,比如說現(xiàn)在大家喜歡玩手機(jī),我們發(fā)現(xiàn)手機(jī)沒做什么又升級(jí)了,因?yàn)榻裉靌evops在全球比較普及,尤其是互聯(lián)網(wǎng)公司,所以我們APP在不停的升級(jí),你就可以想你的安全措施來不來得及。
為了應(yīng)對(duì)這些2018年的時(shí)候,ISO,所有風(fēng)險(xiǎn)管理總的框架發(fā)布了最新的版本,這個(gè)版本里分三個(gè)部分,分別叫做原則、框架和流程,這個(gè)場(chǎng)景下,這個(gè)標(biāo)準(zhǔn)講的是所有的風(fēng)險(xiǎn)管理,他說無論在原則里還是在框架里,我們應(yīng)該能夠整合。什么意思?所有人都去找領(lǐng)導(dǎo)要資源,有人說投資風(fēng)險(xiǎn)很重要,合規(guī)風(fēng)險(xiǎn)很重要,病毒風(fēng)險(xiǎn)也很重要,我們需要用整合的視角處理所有的風(fēng)險(xiǎn)的內(nèi)容,這個(gè)內(nèi)容也是2017年最新的版本里的思想,就是一個(gè)整合,這是指拋開信息安全范圍以上的風(fēng)險(xiǎn)管理的思路。
同樣是這件事情,其實(shí)我們也發(fā)現(xiàn)了當(dāng)你拿過ISO9000叫質(zhì)量管理體系認(rèn)證,你拿過信息技術(shù)服務(wù)管理體系,做過27000叫信息安全管理體系,做過業(yè)務(wù)連續(xù)性叫ISO22301,包括你看過19600叫合規(guī)管理體系的時(shí)候,你發(fā)現(xiàn)都差不多。我之前就想他們到底有什么關(guān)系,直到我發(fā)現(xiàn)這個(gè)東西叫高層框架,其實(shí)我們學(xué)了這個(gè)東西就能夠把所有的管理體系用一套體系,運(yùn)行一套體系來滿足所有管理體系的要求。
我把這個(gè)東西再背一遍,非常簡單,所有的管理體系都是十個(gè)步驟,這個(gè)是2012年的時(shí)候ISO那個(gè)組織出了一個(gè)導(dǎo)則,給每一個(gè)管理體系的作者們說以后你們?cè)賹懝芾眢w系就按這個(gè)來,這個(gè)叫高層框架。啥意思?2012年出的高層框架,2013年是ISO27001有一個(gè)GBT22080那個(gè)標(biāo)準(zhǔn)就更新了,包括去年的20000就更新了,他說什么呢?前面有三個(gè)部分,每一個(gè)標(biāo)準(zhǔn)都這么說,第一步我的范圍是什么,第一章,第二章,引用的文件,第三章術(shù)語和定義,第四章組織情景,第五章領(lǐng)導(dǎo)力,第六章策劃,第七章支持,第八章運(yùn)行,第九章績效評(píng)價(jià),第十章改進(jìn)。在第五章的時(shí)候都一樣,體現(xiàn)德魯克的管理思想。第六章要對(duì)方針進(jìn)行落地為目標(biāo),做信息安全是做什么?其實(shí)就是做應(yīng)對(duì)風(fēng)險(xiǎn)的措施和信息安全就是風(fēng)險(xiǎn)的識(shí)別和對(duì)風(fēng)險(xiǎn)的應(yīng)對(duì),就是整個(gè)ISO27001和其他的區(qū)別,就是這個(gè)東西。
我們也發(fā)現(xiàn)從控制域的角度來講,無論是27000還是等級(jí)保護(hù),比如說等級(jí)保護(hù)1.0的時(shí)候,我們分物理網(wǎng)絡(luò)主機(jī)應(yīng)用和數(shù)據(jù)備份,2.0的時(shí)候根據(jù)25070,去年年底大家調(diào)整最新的那個(gè)版本,按照25070一個(gè)中心分層防護(hù),其實(shí)都是控制域,完全能夠整合。直到我這個(gè)月初在美國ISA發(fā)現(xiàn)原來美國人也這么玩,把PCDSS,金融行業(yè)支付卡的標(biāo)準(zhǔn),也去和美國的CSSF叫網(wǎng)絡(luò)空間安全框架做相應(yīng)的匹配,我們能做到的就是不光把過程用高層框架整合,把控制域也能夠整合。
想到這個(gè)事兒我就實(shí)踐了,去年我就嘗試著用非常古老的方法,有一個(gè)叫ISO27013,專門講27001信息安全和運(yùn)維怎么結(jié)合在一起,安全的讓往往向運(yùn)維匯報(bào),怎么用一個(gè)團(tuán)隊(duì),就這么多人,把活全干了,就干了這一個(gè)事。但這個(gè)太簡單,又做了什么?把這一堆東西用一個(gè)體系做成一個(gè)體系,通過運(yùn)行一個(gè)體系滿足所有目標(biāo),為什么做這件事情?因?yàn)槲野l(fā)現(xiàn)在我的組織里,安全人員很少,不管是跟信息安全相關(guān)的合規(guī)性的內(nèi)容,永遠(yuǎn)是這么幾個(gè)人負(fù)責(zé)管理,一堆人負(fù)責(zé)配合。當(dāng)時(shí)我所在的組織已經(jīng)超過了15個(gè)認(rèn)證,這些時(shí)候我算了一下,每個(gè)月都要去跟審核機(jī)構(gòu)做配合,我的研發(fā),我的運(yùn)維要干活,我要節(jié)省大家的時(shí)間,提高工作效率,我要讓我的工作干的完,這只是我工作的一小部分,我就做了一件事,一年就做兩遍,一個(gè)體系,所有檢查不管是國內(nèi)還是國外都搞定,這就是之前做的事。
說到這兒,我們到了今天這個(gè)場(chǎng)景,我們想一個(gè)問題,由于深信服是一個(gè)面向全球的安全公司,之前做的事情是聚焦20%的產(chǎn)品,把它做到極致,覆蓋80%的需求,我認(rèn)為今天有這么好的機(jī)會(huì)跟各位老師和專家同行在一起,我不應(yīng)該講我們家的產(chǎn)品有多么多么的好,而是我們應(yīng)該一起想一個(gè)辦法,怎么把我們?cè)谧倪@些中國的安全企業(yè),這些產(chǎn)品用一個(gè)簡單的表達(dá),滿足國內(nèi)外的需求,用一個(gè)模型對(duì)外展現(xiàn)出去,去抵御來自全球的威脅,雖然我們?cè)谥袊?,但是攻擊者可能來自全世界,我們要把東西按照“一帶一路”的政策賣出去,我們既要遵守自己的規(guī)定和相關(guān)的網(wǎng)絡(luò)安全法等很多內(nèi)容,也要去兼容,所以我們提出了一個(gè)模型,它包含了三個(gè)部分。分別是防御、檢測(cè)、相應(yīng)的基本能力。
面對(duì)著未來的形勢(shì),攻擊越來越多,描述起來細(xì)節(jié)越來越復(fù)雜,量又特別大,又需要很快速的信息化和安全的能力,我們要提出基于人工智能的自動(dòng)化工具輔助就是里面的智能。我們有那么多的標(biāo)準(zhǔn)、合規(guī)和政策要去實(shí)現(xiàn),我們的人又那么少,我們要把真金白銀買來的設(shè)備提高安全能力,我們需要用人做運(yùn)營,在運(yùn)營里做組織業(yè)務(wù),風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)管理,安全治理,供應(yīng)鏈安全和相關(guān)的合規(guī)工作去落地,我們把這個(gè)模型叫做深信服的智安全架構(gòu),也叫APDRO風(fēng)險(xiǎn)管理模型,基于這個(gè)模型我們深信服只有一點(diǎn)點(diǎn)設(shè)備做了一個(gè)能力交付矩陣,做了支持這個(gè)模型的一部分。
基于這項(xiàng)內(nèi)容我們又把能力交付矩陣和模型做了戰(zhàn)略分解落地,最下面是能力的支撐,我們認(rèn)為常見的能力,不管你是什么內(nèi)容,都可以用這一個(gè)簡單的模型對(duì)他進(jìn)行表達(dá),叫什么,里面的元素是什么并不重要,我們只需要在現(xiàn)階段找到一種簡單的方法,能夠讓他快速把安全運(yùn)營起來,達(dá)到有效保護(hù)是我們的目的。
我們也是為了闡述深信服主要的安全能力,所以最下面大家可以看到是對(duì)智能防御檢測(cè)響應(yīng)的分解,我們的APDRO,中間這一部分就是安全體系,其實(shí)就是我們的等級(jí)保護(hù),是按老板的基本要求做的,我們也參考新的版本去調(diào)整。我們雖然學(xué)習(xí)了,或者持續(xù)學(xué)習(xí)來自大量國際上最新的攻防的趨勢(shì),管理的理念,包括一些技術(shù)的內(nèi)容,我們大量的學(xué)習(xí),但在國內(nèi)我們還是堅(jiān)決執(zhí)行和學(xué)習(xí)支持等級(jí)保護(hù)的相關(guān)工作,目前我們已經(jīng)有了120個(gè)人的CIIP-A叫做關(guān)鍵基礎(chǔ)設(shè)施等級(jí)保護(hù)2.0認(rèn)證,我們?cè)趦?nèi)部要求以高考的態(tài)度和強(qiáng)度去學(xué)習(xí),包括我自己也是剛考完。我們把等級(jí)保護(hù)的相關(guān)認(rèn)證納入人員晉升和日??己?。
今天的內(nèi)容就講到這里,希望有機(jī)會(huì)能和各位領(lǐng)導(dǎo)和專家繼續(xù)學(xué)習(xí),和各位友商共同建立一種生態(tài),能夠在國內(nèi)共同去抵御來自全球的威脅,謝謝大家。