7月13日,2022年北京网络安全大会(BCS2022)开幕,奇安信集团董事长齐向东发表《“零事故”之路》主题演讲时表示,“零事故”应该成为千行百业网络安全建设的新目标。
冬奥“零事故”大型实战充分证明,只要将“零事故”作为目标,就能满足对“绝对安全”的无限追求。
“零事故”不仅仅是时代对我们的要求,更是网络安全产业向更高水平发展的必经之路。
实现“零事故”目标,需满足三大要求。
以下为奇安信集团董事长齐向东在BCS 2022大会上的演讲全文:
尊敬的各位领导、来宾,媒体朋友们,大家好!
欢迎参加第四届北京网络安全大会。北京2022年冬奥会和冬残奥会圆满成功,赢得了广泛的国际赞誉。奇安信作为奥运史上首家网络安全官方赞助商,创造了奥运史上网络安全“零事故”的世界纪录。
在奥运赛场上,大家被健儿们的精彩表现所打动。这不仅仅是因为奖牌的荣誉、打破纪录的刺激,更是因为运动成绩背后扣人心弦的“运动精神”——一丝不苟、尽善尽美、孜孜以求、无穷无尽,永远愿意付诸行动去超越自我、超越过去、成就未来。
赛场背后,我们同样受到这种运动精神的激励和感召。在奇安信看来,完美也许并不存在,但对于完美的追求,重新定义了网络安全的尊严所在。
网络安全“零事故”是一个结果,更是一个开始。北京冬奥这场世界级的网络安全实战充分证明,“零事故”是可以实现的目标。网络安全产业应该摆脱传统的被动性建设,主动向更高的目标前进。今天,我的演讲主要分为三部分。
一、网络安全可以走出一条“零事故”之路。
北京冬奥会之前,业界普遍认为网络安全不存在“绝对安全”的状态。我们常说,没有攻不破的网络,没有打不透的墙,网络安全是攻防相长的,漏洞是补不完的。我在2017年就提出过网络安全的四个假设,“假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已被渗透、假设内部人员不可靠”。
这几年,社会的数字化进程全面加快,每个设备、每行代码都有可能成为网络攻击的突破点。时代似乎正在把我们和“绝对安全”的目标推得越来越远。
奇安信之所以成为奥运史上首个网络安全官方赞助商,并由此成为北京冬奥会独家网络安全服务商,就是因为我们承诺实现本届冬奥会网络安全“零事故”,并赢得了组委会的信任。
从2019年12月26日开始的800多天里,我们摸着石头过河,不断创新,最终创下了“零事故”纪录。这是以“数据驱动安全”的理念为指导、以“内生安全”的工程方法建设系统,和用“经营安全”的深度运营实现了对网络安全的动态掌控,最终取得的成果。
首先,是对“数据驱动安全”理念的全面贯彻。北京冬奥“科技冬奥”的定位,使用了大量先进数字技术,场景复杂、数据复杂、人员复杂,我们用自动化、智能化的数据分析方法,快速发现网络攻击事件并溯源攻击者,才做到了“零事故”。
第二,是“内生安全体系”在世界级重大活动中的全面落地。它根植于北京冬奥信息系统上,在可能产生攻击的所有网络资产上,系统性实现了无死角的防护和监测,再通过监测数据的计算反过来驱动安全防护能力提升。
第三,是“经营安全”的深度运营实现了对网络安全状态的全面掌控。攻防对抗的特点,决定攻击技术和防护技术的关系就像矛和盾,所以网络安全体系建设无法一劳永逸。当网络安全体系建设好以后,我们继续像经营自身业务一样,去悉心经营冬奥网络安全,持续增强认知能力、信任能力和安全能力,从而实现了冬奥网络安全“零事故”的目标。
冬奥这场大型实战充分证明,只要我们将“零事故”作为目标,就能满足我们对“绝对安全”的无限追求。
过去,不论是甲方还是乙方,只要谈起网络安全,经常处在一种高压状态之下,不敢以“零事故”为目标。很多企业在进行网络安全防护系统建设时,主要针对过去出现过的安全事故,采用相应的防护技术和产品。这样的防护系统存在极大的安全隐患,因为过去没有发生,不代表未来不会发生。只有以“零事故”为目标,努力穷尽所有可能的风险,并一一进行防护,才有可能实现网络安全的万无一失。
今年2月爆发的俄乌网络战,更给我们敲响了警钟。俄乌网络战是人类历史上首次公开、大规模的网络战,没有经验可以借鉴,没有现实方法可以遵循,并且直接与热战战场相关,变幻莫测、异常残酷,一旦网络防线被攻破,会直接影响现实战局。
“零事故”应该成为千行百业网络安全建设的新目标。这不仅仅是时代对我们的要求,更是网络安全产业向更高水平发展的必经之路。
二、“零事故”应该成为行业新目标,向千行百业推广。
“零事故”不是零攻破。网络包括终端、服务器、数据库以及系统软件、应用软件,支撑的是日常办公和对内对外的业务。当个别的终端、服务器或者其他的网络资产被破坏,只要我们能快速采取措施,比如隔离、停机等,最后没有影响到办公和对内对外的业务,它还是“零事故”。
我们总结,网络安全“零事故”具体有三条标准:
第一条标准,业务不中断。数字时代,业务变得越来越开放互联,一旦中断,就可能是重大网络安全事故。黑客只要找到业务系统的一个弱点,可能就会打击一片。轻则营业收入、口碑受损;重则触犯法律,直接威胁社会生产生活和国家安全。今年以来,国际货运巨头、轮胎制造巨头、汽车租赁巨头相继遭受网络攻击,导致业务大范围停滞,带来严重的负面影响。
网络安全“零事故”要求,企业和机构有保障业务正常运转的能力。今年五一前夕,北京健康宝在使用高峰期间,遭遇了来自境外的DDos攻击。但在政府相关部门的快速协调处置下,健康宝的服务没有受到影响,人们可以正常使用所有功能。这种情况下,我们可以说达到了网络安全“零事故”标准。
第二条标准,数据不出事。数据作为核心生产要素,穿行在各个生产环节中,把社会紧密联系在一起,为经济发展提供源源不断的数字燃料。
如果拧不紧数据“安全阀”,将造成难以承受的后果。数字时代,数据涉及个人秘密、企业秘密和国家秘密。数据被丢失、篡改、抹除、勒索或者滥用,不仅会滋生网络诈骗、破坏企业经营,可能还会威胁国家安全。最近几年,数据泄露造成的损失变得越来越大。IBM发布的《2021年数据泄露成本报告》指出,2021年每起数据泄露事件带来的平均损失高达424万美元,同比增加10%,达到了七年来的最大增幅。
数据安全已经进入了强监管的新阶段,确保数据不出事,是实现“零事故”的重要指标。中国高度重视数据安全,先后发布了《数据安全法》、《个人信息保护法》《数据出境安全评估办法(征求意见稿)》《网络数据安全管理条例》(征求意见稿);今年6月,又发布了《关于开展数据安全管理认证工作的公告》,进一步将数据安全从法律法规层面,推向了监管落地层面。确保数据安全“零事故”已经迫在眉睫。
第三条标准,合规不踩线。没有规矩,不成方圆。一直以来,很多企业都对合规存在误解,认为合规是网络安全工作的目标。事实上,合规是网络安全的基本要求和底线。企业不遵守安全规范,就像没有打牢地基,注定无法长久。
安全有道,合规先行,合规是各类数字化业务安全开展的前提。近年来,《网络安全法》、《网络安全等级保护条例》、《关键信息基础设施安全保护条例》相继颁布实施,为我国企业提升网络安全防护能力提供了基本遵循。过去,企业只要按照要求部署产品,就是做到了合规。这就导致很多企业仅仅把合规当成“应试”和“交差”,觉得只要通过检查和测试就万事大吉了,没有把后续的实际效果考虑在内。
随着网络安全建设要求不断深化,合规标准不断升级,企业将面临更强监管。今年6月24日,网络安全审查办公室宣布,对知网启动网络安全审查。知网掌握着大量我国重点行业领域的重要数据,虽然目前没有被曝出有数据丢失,业务也运行正常,但为了防范国家数据安全风险,网络安全审查办公室还是启动了这次合规审查。这几年,我国连续开展App侵害用户权益专项整治,累计通报、下架违法违规APP近3000款。
合规已经进入用结果来评判的新阶段,这跟“零事故”不谋而合。企业要确保合规不踩线,必须用更严格的标准要求自己。除了部署先进的产品,还要不断发现新问题、解决新问题,提高各个系统平台的安全防护能力,这样才有可能真正实现网络安全“零事故”。
三、实现“零事故”目标需满足三大要求。
过去三个多月,我们响应奥组委部署要求,总结和分享冬奥网络安全“零事故”经验,举办了上百场“零事故”交流会。
对应“零事故”的三个标准,我们总结了实现“零事故”目标的三大要求。
第一,“零事故”要求联合作战。目前,在网络安全公司和客户之间,存在分歧:安全公司认为它们的单一的安全产品都是合格的,能拦截100%的已知网络攻击,但是防不住未知的、或者新的攻击;客户认为,我找了专业的安全公司,也花了钱,应该能拦截100%的网络攻击,拦不住新的攻击,我不仅浪费了资金,而且业务也时刻处于危险之中。
安全公司应该和客户达成共识:网络安全是一个技术体系,单一的产品无法实现安全。在一个完整的安全体系里,有很多执行不同任务的安全产品,它们联合作战,在功能上互相弥补,才能实现保卫网络安全的目标。
联合作战首先要构建纵深防御体系。纵深防御的意思是,在信息系统上构建多层的、异构的网络安全防线,当一道防线被突破,还有下一道防线来阻止威胁。比如防火墙漏掉的攻击,可能被终端安全软件检出拦截;终端安全软件漏掉的攻击,可能被天眼威胁分析的工程师发现;天眼漏掉的攻击,可能被椒图服务器安全产品发现拦截。当然,在外网边界上被漏掉的攻击,可能被内网边界安全设备检出。同时,当任何一个安全产品发现攻击的时候,都会实时进行内部溯源,给漏报的设备增加功能。这种保护策略能把安全产品有机调动起来,通过相互支持和配合,将安全威胁抵挡在外。
联合作战需要建立全面监控的能力。目前,企业和机构普遍缺乏多维度风险感知能力,无法掌握全貌,导致风险感知不及时,甚至安全事件已经发生还不知情。所以,我们在冬奥会上,基于大禹平台,建立了三级的态势感知体系,真正实现了全面监控。大禹拥有海量异构的数据采集分析和处理能力,能将安全产品所需的共性核心能力平台化、标准化,把这些产品有效连接起来,让第一级的态势感知对全面的流量数据进行分析,发现异常行为,形成告警;告警汇集到第二级态势感知后,安全运营人员根据这些流量告警信息进行研判分析,做出响应处置,形成安全事件;安全事件到达第三级的态势感知后,结合上级掌握的更全局的数据,做出决策,下达指令,协同多方进行处置,实现无缝衔接。
联合作战还需要高效协同。当整个纵深防线的任意一个作战单元发现攻击行为之后,能够通过迅速联动其他安全产品,并结合威胁情报,实现对攻击行为的快速封堵。比如,当防火墙发现内部有主机访问外网恶意IP地址后,可以立刻联动天擎、天眼在终端侧和流量侧进行补充调查,定位被攻陷的主机和恶意软件,这不是一个个独立的安全产品能做到的。
第二,“零事故”要求精准防护。这几年我国相继实施的数据安全法律法规,给数据安全提出了更高的要求。数据贯穿在信息化和业务系统的各个层面、各个环节,任何一个环节都可能导致数据被窃取、被破坏或者被滥用。
精准防护首先要“防内鬼”。防“内鬼”的核心是管特权。特权账号是通往企业数据大门的“钥匙”,是在业务流程中对重要数据进行访问或操作的都是特权账号。我们首先要把“账号特权”管起来,对特权账号的开设、使用、注销进行全生命周期的统一管理,再根据它进行网络操作的行为数据分析账号风险,及时发现“僵尸”特权账号,消除特权账号的安全隐患;其次,治理“一号多用”现象,一个账号多人使用,导致访问行为不规律、不可控,给数据安全管理制造了障碍,埋下了隐患,一经发现立刻降权;最后,用密码保险箱解决“账号弱口令”问题,在实际工作中,弱口令普遍存在,并且长时间不修改密码,黑客可以通过猜测或其他方法轻易破解密码,密码保险箱可以实现“一次一密”,防范密码泄露和身份仿冒风险。同时,通过堡垒机,实现所有账号对数据访问的安全管控;通过数据库审计,实现“以数追人、以人追数”,确保一切数据操作行为可追踪、可溯源。
精准防护要防住外部攻击。防外部攻击的重点是给API上锁。API接口是数字系统的神经元,具有联络和整合输入信息并传出信息的作用。一个中型数字化企业中的API接口数量可能多达数万个。通过API接口盗窃数据已成为网络攻击的重点,因为API在输入和传出信息时,为效率考虑,图快、图省事、不设防,所以防不胜防。为此,奇安信推出了API安全卫士,它可以识别网络中的API资产信息,监测并预警API传输中的敏感数据,及时发现API的异常行为。
精准防护还需要实现全局管控。全局管控的核心是“零信任”策略,默认任何人、任何设备都不可信,在用户的每一个网络访问活动中都要重新检查凭证,以实现“权限最小化”,从而降低被攻击的风险。一方面,为确保主体身份可信,在认证主体角色的基础上,叠加IP、设备、安全环境要求和时间、位置等属性,对主体身份进行动态授权管理;另一方面,为确保行为操作合规,无论是基于属性授权,还是基于角色授权,都要通过主客体的身份管理系统和风险管理系统,持续进行信任评估,确保合适的人、在合适的时间、以合适的方式,访问合适的数据。一旦发现异常行为,就立刻冻结它的权限,从而有效降低数据安全风险。
第三,“零事故”要求深度运营。深度运营的目的是通过不断发现问题、改进问题,既确保企业合规不踩线,又让网络安全免疫力不断提升,更好地解决日益复杂的网络安全难题。企业通过深度运营,能让安全体系和能力真正“活”起来。
深度运营意味着合规运行。我国已经建立起一套相对完善的网络安全法律合规框架,如果不能满足合规要求,企业往往会临难以承受的后果。目前,国家查处违法主要依靠举报和检查,企业确保合规运行,不能依靠“三员”运维员、技术员和管理员,要充分运用技术手段,建立能审查、能告警、能自证清白的体系。比如,在跨境数据合规问题上,企业可以通过技术手段,清楚地掌握什么类型的数据流到了什么地方,从而确定是否合规。所以,我们研发了数据跨境卫士,可以部署在企业互联网出入口,所有对外流出的数据都会在流量中体现;然后,提取流量里包含的个人信息、重要数据、商业数据等,进行具体分析,并形成一个可视化的界面,全面展现数据跨境情况,做到“一眼可知、一眼可查、一眼可见”,帮助企业实现安全合规。
深度运营还意味着实战运行。网络安全水平高不高,最终还是要看效果、看实战。高水平的实战运行,要求我们全面掌握系统和设备的实时状态,打通资产、配置、漏洞、补丁四大基础安全流程,在遭到威胁和攻击时,及时进行预警和响应,完成安全事件的闭环处置,保持稳定的安全姿态。在实战运行中,漏掉一丝细节,可能就会导致攻击者得手之后“逃之夭夭”。只有全面摸清家底,确保安全防护策略行之有效,才能实现网络安全“零事故”。
深度运营要建章立制。安全运营很繁琐,包含大量基础工作,无法依赖个体专家的能力。俗话说,“工欲善其事,必先利其器”,一套标准化的操作流程,能最大化提升安全运营人员的效率。这次冬奥保障中,奇安信制定了125个标准化文件类,细化分解到SOP级,全面落实到具体岗位的细致工作事项中,每一个流程节点,都有细化可执行的操作规程。比如,当发现异常告警时,运营人员可以按照标准操作手册,在告警详情页面中创建工单,报告告警详情,确定优先级,并通知相关负责人。每个企业机构都应该成立网络安全管理部门,按照网络安全法律法规的要求,细化网络安全实施制度,守好网络安全红线。比如,建立常态化监测预警和快速响应机制,制定应急预案;定期开展分层的实战攻防演习,分层的意思就是假定外网边界层被打穿,或者内网边界层被打穿,通过攻防演习来检验网络安全体系的有效性,实现网络安全能力与日俱增。
今天,我们在这里再次回忆奥运赛场的安全经验,再次总结“零事故”安全记录所能沉淀的专业价值。我们发现,对安全的极致追求,不但和奥林匹克精神是高度一致的,从哲学的角度来看,运动和安全,也是理解事物复杂性的一体两面。
“反者道之动,弱者道之用。”这是说,世上万事万物都在不断运动和变化中,而且互相生克的道理。科技改变了世界,传统经济变成了数字经济,但因此也不断产生漏洞和弱点,从而产生不断的安全的需要。有了科技,世界得以发展和流动;而安全,保障了世界在发展中的秩序和稳定。
我相信,“零事故”之路,将促使我们在网络安全领域加快创新、不断超越,推动网络安全防御能力实现新飞跃,迎来更加稳定繁荣的数字世界。谢谢大家!
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。