在网络空间安全上,攻和防是天然不对称的。攻击方只要找到一个漏洞,就可以击穿系统,而防守方则要做到万无一失、滴水不漏,面临着重重的困难:
1. 面对成百上千的系统,要做好加固。
网络系统通常包括大量的硬件设备和软件系统,从服务器、路由器到操作系统、应用程序,每一个环节都可能成为攻击目标。防守方必须对所有系统进行全面的安全加固,这不仅包括定期的安全补丁更新,还需要进行配置优化和漏洞扫描,以确保每一个系统都处于最佳的安全状态。这是一项庞大的工程,需要投入大量的人力、物力和财力,同时还要持续不断地进行,以应对不断变化的安全威胁。
其实就打补丁一项,基本是个不可能完成的任务,参见上一篇,补丁之难。
2. 面对众多的网络出入口、接入点,要做好防护。
现代网络体系中,随着WIFI,云,SAAS应用的增加,出入口和接入点众多,每一个都可能成为攻击者的突破口。防守方需要对每一个出入口和接入点进行严格的访问控制和流量监控,防止未经授权的访问和恶意流量的进入。这需要部署多层次的防护措施,并确保防护措施总是有效。
3. 要面对已知和未知的漏洞,尤其是0 day漏洞,几乎没有好的防护方案。
已知漏洞可以通过补丁和更新进行修复,但未知漏洞,特别是0 day漏洞,则几乎没有有效的防护方案。0 day漏洞是指尚未被公开或尚无补丁的漏洞,攻击者可以利用这些漏洞在防守方毫无准备的情况下发动攻击。面对这种情况,防守方只能被动应对,甚至在毫不知情的情况下被打穿。
4. 还要防好“猪队友”。
网络安全不仅仅是技术问题,还涉及到人。一个单位成千上万人,总有那么一小部分人缺乏安全意识,很容易被钓鱼邮件欺骗,或者在工作中疏忽大意,打开不明链接或下载恶意软件。这些行为都可能为攻击者提供可乘之机。安全教育和培训可以解决部分问题,但完全解决是不现实的。
5.要有好的监控及应急响应能力。
需要假设,所有的系统都是可以被攻破的。这时候,理想的监控能力(包括网络侧NDR,终端侧EDR,大数据,AI等)要及时发现异常,同时还需要有快速反应,处置异常的能力。这对安全团队的整体能力要求非常高。
要让一个企事业单位单独做到这些,能够面对全世界的攻击,难,很难,非常难。
等保
企事业单位对安全的投入总体是有限的,而面对的攻击是无限的,如何做安全,安全做到什么程度是合理的?
等保是解决这个问题的标准方法。根据信息系统的重要性和受到破坏后的影响程度划分为等级,各个等级根据该等级要求建设安全能力,包括网络建设和网络管理能力,这是个非常好的思想和方案。
虽然等保在某些情况的执行有变形,但总体上,这是未来安全发展的重要方向和思路,随着等保标准和执行的细化,会越来越好。
HVV
近几年,HVV每年举行,这是个非常好的活动,能够充分调动甲方对安全工作的重视。
HVV非常象考试,每年甲方针对护网的准备工作,就象考前冲刺,对整体安全问题的清理及后续安全投资的增加,都有非常大的好处。
当然,HVV最后的得分,也不能一概而论,当前的现实是,防护有了等保,提供了不同的标准,但对攻击,并没有标准。有些失分是工作不到位,应该批评。但有些失分,比如因0 Day攻击造成的失分,作后续的提升目标就可以了,在有限的投入下,不能无限的做目标要求。
小结:
防护很难,企事业单位确实力不从心。
其实网络空间安全也可以参照现实社会。咱们的社会治安好,靠的不是各单位楼前的保安,而是强大的公共安全能力,随时可以呼叫警察才是安全的基础。
也许未来,参考现实社会,企业做有限的防护,网警及相关的保安公司提供强大的保护是一种方向。
当然,这只是个设想,目前,这种公共能力,在网络空间是不足的。大的企事业单位还是得自己干,这个问题下一篇讨论。