网络安全攻防战

今年RSA大会的主题是“机会的力量”。安博通相关负责人在参加RSA大会的期间，发生了一个小故事。在RSA大会主办地美国下车拍照的20分钟时间里，停在景点的车子竟然被砸了，车子里面的包等贵重物品被偷走，而当地警察也很无奈，这种情况经常发生，因为当地的治安很差，而且到处都没有摄像头，犯罪的成本非常低，任何人都能在很短的时间作案然后逃跑，但是被盗物品竟然在很远之外的警局被找到。

由此可以联想到网络安全行业是不是也是这样？攻击的成本是不是太低了？其实攻击者并没有想象的那么神秘，也并不一定需要多么高深的技术，只要有个工具就可以发起一场攻击。发现一个漏洞就可以在任何时候任何地点进行攻击，但是防御者却要时刻做好防御措施，关键漏洞还没办法完全杜绝，就像本届RSA主席Rohit Ghai说的“网络越发达，漏洞也会越来越多”。

这种不平等的较量，或者叫攻击者和防御者的较量，就像一场战争一样。决定一场“战争”的胜利有很多因素，下面主要从“身”“心”“灵”三个方面来介绍。

“身”是指武器装备。打赢一场战争首先要有基本的武器装备。网络安全也是一样，基本的设备肯定要有，像防火墙、IPS、VPN等都要有，所以在今年的RSA大会上，传统的提供基本设备的厂商还是很多的。

“心”是指情报工作。情报工作可以很好地了解敌人的战术兵力情况，提前部署，对战争可能的动向进行预判，才有可能打赢战争。网络安全中也有情报，像大量的日志、流量、轨迹、行为等都是情报，而且这些情报由人来是分析不了的，必须要借助大数据，需要敏捷的大脑，需要机器来学习，就像RSA主席说的，“感谢机器人，感谢人工智能”。今年的RSA大会上，IBM展示了Watson机器人去做情报分析，明年可能Google会展示AlphaGo来做情报分析，Watson以前是做商业决策的，包括IBM的营销决策，数据分析，商业分析，今年是首次用Watson做安全情报分析。

“灵”是指行动力和落实力。战争除了要有武器和情报，最重要的是要有上传下达的执行力。网络安全中也有策略和命令，比如访问控制原则，流量调度原则，安全控制原则。但是现在的网络还是有很多上面的策略下面不执行的情况，很多还是几年前的静态表格策略，但是网络运维人员可能发生了很大的变化，这个过程中人的权限就会发展很大的变化，策略很难贯穿下去。

总结到网络安全中就是，身体要协调，多个产品组合使用；心灵就是大脑一定要聪敏，利用大数据人工智能来分析；灵魂要落地，策略要持续的监控和执行。

网络安全除了做到以上三点外，还要关注以下几点。首先要知道防御的本质是什么？防御的本质就是缩小暴露面，这样自然就会延长攻击的时间，暴露面太大就会容易被攻击，延长攻击时间，这样成本就会变高。方法有很多，比如这次很多厂商提出的SDP的概念，就是把所有的网络安全策略隐藏起来，做成动态的策略，网络中部署SDP Controller(控制器)，控制器在访问者和资源之间建立动态和细粒度的“业务访问路径”。不同于传统的路由和VPN隧道，SDP的隧道是按照业务需求来生成的，也就是说这是一种单次和单业务的访问控制策略，SDP控制器建立的访问规则只对被授权的用户和服务开放，密钥和策略也是动态和仅供单次使用的。通过这种类似“白名单”的访问控制形式，网络中未被授权的陌生访问在TCP建立阶段就是完全被屏蔽和拒绝，这种“临时并单一”的访问控制方式，将私有云资源对非法用户完全屏蔽，这样便大大防止了门外“野蛮陌生人”对云的暴力攻击(如DDoS流量攻击)、精准打击(如APT高级持续威胁)、漏洞利用(如心脏出血漏洞)等，通过构建“暗黑网络”来缩小网络的暴露面。同时配合策略可视化和流量可视化的手段，对这些海量动态的“业务路径”进行自动分析和持续监控，以实时发现错误路径、不合规路径、被篡改的路径、被入侵的路径等风险隐患，进一步作出策略修改和补救措施，从而阻止威胁蔓延扩散。

其次是威慑力的作用，安全为什么要讲威慑力?为什么车会被砸掉，因为当地没有摄像头，作案后很难抓到。有摄像头的话可以起到威慑作用，这样就大大降低了犯罪率。网络摄像头其实就是网络监控，监控的方法很多，有基于流量、策略、特征、行为、终端、服务器、网络设备以及主机等的监控。在今年的RSA大会上，网络的可视化和网络监控是个非常火的话题。

最后是数据和情报共享，今年的RSA大会上，几乎所有的厂商都提到了数据和情报共享。国外在情报共享方面已经做的很好了，比如Redseal与ForeScout的合作等，但是现在国内大部分还处于竞争状态，很少厂商有情报共享和协作。只有大家都团结起来，才能承担起网络安全的责任。