网安新方向：网络空间恢复补救能力

　　网络安全，不只是“救火队员”，也可以是“指挥家”。

　　很多人都梦想川藏自驾游，曾经需要准备的一辆越野车、一部充满电的手机、一张地图和一个指南针，现在都可以由一辆拥有智能联网功能的汽车来代替，自适应巡航、蓝牙车载电话、车载导航，一切都很方便地带我们到任何地方去。但是，这时候却似乎有个“幽灵”盘绕在我们身边，这就是黑客。黑客有可能知道车辆的准确位置；车载娱乐系统会被勒索，黑客可以接听车载系统拨打电话的语音，准确了解到个人隐私；黑客还可以不停拨打车主手机使之与外界隔绝，更可怕的是，他甚至可以欺骗车主通讯录里的每一个人。

　　过去25年，消费者互联网改变了几乎每个人的生活。全球的网络正在面临积极的革命，我们期待每一架飞机，每一辆汽车，每一个电表，大部分实物和服装可能都连到网上，我们正在从百亿的连接，走向万亿的连接。在万物互联时代，每个人享受便利性，但是新的风险如影随形，网络安全尤其是基础设施安全的重要性更加凸显。

　　随着我国数字化进程的整体提升，关键信息基础设施已经成为金融、交通等关系国计民生重点行业的神经中枢。近年来，针对关键信息基础设施的新型攻击和破坏手段层出不穷。 传统网络安全中心以抵御攻击为中心、以黑客为防御对象的安全策略和安全体系构建存在重大的安全隐患。

　　当前，网络安全设备的采购大多以单独产品采购为主，这些采购的发起部门也各不相同。这些大型IT组织的建设是否有系统化的方法？是否有新的网络安全处理策略，通过边界防护和防止攻击的方式来保障网络安全？

　　网络空间需要“自愈”

　　时间回到2008 年，趋势科技中国（于2015年被亚信科技收购成立亚信安全）在全球范围内提出了云安全( Secure Cloud )的概念，并在当年发布了云安全白皮书。不过，那时云的概念也只是刚刚有些雏形，更不要提企业究竟有多少业务真正地跑在云上了。所以，彼时的“云安全”还显得太过前沿。

　　但不得不承认的事实却是，对于未来趋势的研判，永远是行业里头部企业最擅长的。

　　2018年，在“2018 C3安全峰会”上，亚信安全提出了新战略之一“网络空间恢复补救能力”，这让长期跟踪安全领域的记者们都觉得颇新的理念。

　　亚信安全通用安全产品总经理童宁在采访中对《计算机世界》记者表示：“近一两年内，这个概念在国际上已经开始有了探讨和设计，网络空间恢复补救能力是未来网络安全重要的发展方向，是一种面对安全威胁能够确保企业业务的可用性和恢复能力，可以最大限度维系业务关键应用的正常运维，降低风险。”

　　亚信安全强调的网络空间恢复补救能力更像是漫威电影《X战警》的人气主角金刚狼所拥有的强大自愈能力。关键信息基础设施在业务环境具备适应性能力、风险预测能力、遭受入侵后的对抗能力、被攻击后的恢复能力，确保数据泄露损失最小化、通过业务的恢复补救能力，实现业务连续性的最大化。

　　随着《网络安全法》和《国家网络安全事件应急预案》等一系列法律法规的出台，对监测预警、应急处置也提出了具体要求，构建网络空间恢复补救能力，确保企业业务在安全威胁下的可用性和恢复能力，以维系业务关键应用的正常运维、进而降低风险，成为安全能力建设的新方向。

　　精密编排的安全

　　童宁强调，在网络空间恢复补救能力的构建过程中，简单来看可以分为三层结构，分别是战略层、战术层和工具层。在战略层构建完善的恢复补救能力框架，在战术层构建威胁事件响应流程，并通过技术工具进行精密编排联动，建立安全事务指挥平台的整体体系。

　　以我们每天日常工作中都会接触到的邮件为例，当我们的邮箱收到邮件时，附件、URL、服务器IP、标题和发件人数据会被提交到沙盒分析并产出黑名单，黑名单联动阻断恶意网络链接，进行网络活动及样本分析，之后，提交黑名单至防毒墙控制管理中心，同步黑名单至亚信安全的终端安全OSCE，终端安全OSCE再依据黑名单进行查杀阻断。

　　网络空间恢复补救中的应急响应需要通过一个统一的指挥平台，把每种应急情况都变成工作流，再将一个一个任务分发下去。平台的核心是工作流以及预案应对的角色，也就是说，平台上的每一个角色都按照既定的工作流去执行，每一个节点做什么事情都清清楚楚有预案可参考。

　　“我们开发了三、四十种预案。不论哪一种预案，都是按照准备、发现、分析、遏制、消除、恢复和优化这七个阶段，把一个个工作流分发下去。”童宁说，“这和消防部门的消防演练十分相似，我们也需要按照预案去演练。消防跟我们产品很像的，有很多工具，但它们之间是没有关系的，一个梯子，一把斧头是没有关系的，但是只要有了预案，我们就可以把这些‘救火’的东西组合起来，实施有效施救。”

　　目前，亚信安全正在不断完善网络空间恢复补救能力的理论方法与技术工具，将威胁分析、调查取证、威胁情报、应急响应服务等方面的新兴技术优势融入到体系建设的整体框架之中。随着现代企业办公空间逐渐延伸到虚拟化和云端，网络安全的边界正在变得模糊，本地部署与周边防御远远不能对抗日益精进的网络安全威胁，构建全方位安全态势感知的“多层次防护体系”至关重要。

　　亚信安全技术支持中心总经理蔡昇钦指出：“要构建多层次防护体系，单个网络安全产品或是企业往往存在解决方案单点上的短板，难以有效地防护包括关键基础设施在内的防护目标。因此，亚信安全倡导与前沿的科技和策略研究，以及网络安全业界的产品及方案全面联动，共奏和谐共生的‘交响乐’，实现集中式威胁共享和可视性，帮助客户对抗无边界风险。”

　　在网络空间恢复补救能力的实践中，亚信安全希望为客户“赋能”，帮助客户建立内部的威胁情报中心，例如当检测到恶意IP时，设备及时阻断，同时，通过不同安全产品之间联动的精密编排机制，即可同步感知到平台。“实现全方位安全态势感知，是构建安全联动体系的方法和关键点，亚信安全正在通过产品联动，实现威胁信息通过Web API与第三方应用程序共享，以提升整体的安全态势感知能力”。蔡昇钦强调，“目前，亚信安全的安全联动解决方案已经在能源、交通等多个行业落地，通过云端与本地的威胁情势共享，帮助行业客户保护关键基础设施安全。”

　　在笔者看来，在与跨平台、跨架构的安全产品、方案的联动中，网络空间恢复补救能力特别需要的是安全事务指挥平台进行统一的管理，只有这样，才能共奏和谐共生的“交响乐”，帮助客户对抗无边界风险。

　　作者/宋辰