【51CTO.com原創(chuàng)稿件】近年來，隨著網(wǎng)絡(luò)空間安全上升到國家戰(zhàn)略高度，《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)的頒布和實(shí)施，以及監(jiān)管機(jī)構(gòu)的推動，企業(yè)機(jī)構(gòu)對網(wǎng)絡(luò)安全愈加重視。但是，我們不可否認(rèn)，在網(wǎng)絡(luò)安全技術(shù)不斷提升的同時，黑客的攻擊手段也在日益精進(jìn)、復(fù)雜多變。信息泄露、黑客入侵等安全事件接連發(fā)生，不勝枚舉，全球各大企業(yè)紛紛淪陷。

面對愈加嚴(yán)峻的安全風(fēng)險形勢，企業(yè)該如何應(yīng)對?在有限的安全投入中，企業(yè)究竟如何才能獲得最佳的安全收益?帶著以上疑問，51CTO記者采訪了網(wǎng)絡(luò)安全專家、漏洞銀行CTO張雪松。

[[251443]]

網(wǎng)絡(luò)安全專家、漏洞銀行CTO張雪松

“網(wǎng)絡(luò)安全事件無法避免。目前，多數(shù)企業(yè)機(jī)構(gòu)仍然將安全投入集中于攔截與防御措施上，而高級持續(xù)的黑客攻擊總能找到系統(tǒng)的弱點(diǎn)，并通過發(fā)現(xiàn)的漏洞實(shí)現(xiàn)攻擊達(dá)到破壞或竊取數(shù)據(jù)等目的。”張雪松認(rèn)為：“面對已知和未知的安全風(fēng)險，企業(yè)想要在有限的安全投入中獲得最佳的安全收益，就需要用更加開放的安全思想來看待安全。”

傳統(tǒng)安全無法解決企業(yè)面臨的三大難題

為什么需要更加開放的安全思想，原來的傳統(tǒng)安全思想有何不足之處?張雪松表示，傳統(tǒng)的安全思想，仍停留在對特定風(fēng)險的防護(hù)上，盲目購置大量的安全產(chǎn)品與服務(wù)，導(dǎo)致機(jī)構(gòu)的安全能力不進(jìn)反退。傳統(tǒng)安全無法解決企業(yè)面臨的三大難題：一是，如何防范安全領(lǐng)域的“黑天鵝事件”發(fā)生;二是，如何應(yīng)對越來越復(fù)雜的安全風(fēng)險;三是，如何規(guī)劃安全投入獲得最佳安全收益。

很多人認(rèn)為，大型企業(yè)機(jī)構(gòu)安全投入大、監(jiān)管力度大、擁有專業(yè)的技術(shù)團(tuán)隊(duì)，所以不應(yīng)該出現(xiàn)安全問題，但“黑天鵝事件”并未停止發(fā)生?；仡欉^去十年發(fā)生的“黑天鵝事件”，無一不是造成了嚴(yán)重的影響，比如，影響美國大選的希拉里郵件門事件、震驚全球的WannaCry勒索蠕蟲病毒事件、雅虎郵箱數(shù)據(jù)泄露事件等等。

分析大型企業(yè)“黑天鵝事件”不斷曝出的原因，張雪松表示，傳統(tǒng)安全的思想基礎(chǔ)是“防患于未然”，同時普遍存在“不知攻焉知防”的安全認(rèn)知，所以眾多企業(yè)都在重點(diǎn)建設(shè)防御能力來阻止黑客攻擊。而傳統(tǒng)安全廠商按照“不知攻焉知防” 理念，也在不斷研究攻擊技術(shù)，推出基于特定攻擊的安全產(chǎn)品，來滿足企業(yè)對安全的需要。然而，“防患于未然”在現(xiàn)實(shí)中很難實(shí)現(xiàn)，“黑天鵝事件”無法被機(jī)構(gòu)和安全廠商提前預(yù)測，導(dǎo)致企業(yè)進(jìn)行了大量的安全投入，也依然會產(chǎn)生嚴(yán)重的安全事故。

同時,企業(yè)都采用傳統(tǒng)風(fēng)險管理的方式來應(yīng)對安全問題，但如今信息化的復(fù)雜度已遠(yuǎn)遠(yuǎn)超出機(jī)構(gòu)的控制范圍，從硬件系統(tǒng)、底層操作系統(tǒng)、通訊協(xié)議到系統(tǒng)模塊、應(yīng)用服務(wù)與第三方框架類庫等，各架構(gòu)與技術(shù)棧都可能存在未知的安全風(fēng)險，機(jī)構(gòu)在資源有限的情況下，很難對所有層面進(jìn)行風(fēng)險管控，導(dǎo)致機(jī)構(gòu)安全建設(shè)陷入困境。

看全新安全思想“開放安全”如何破局

為了幫助企業(yè)更好的應(yīng)對未知安全風(fēng)險，解決以上三大難題，漏洞銀行提出了開放安全的新思想。張雪松解釋說：“開放安全是一種全新的安全視角，也是一種更加開放的思想，作為企業(yè)不應(yīng)拒絕風(fēng)險，而是直面與利用風(fēng)險。企業(yè)的安全并不是沒有敵人和風(fēng)險，而是企業(yè)不會遭受損失。同時開放安全倡導(dǎo)我們利用敵人和風(fēng)險，幫助企業(yè)從中獲得更多的安全收益，利用敵人提升自我。”

在與張雪松的交談中，記者了解到，開放安全認(rèn)為：安全風(fēng)險無法避免，“黑天鵝事件”永遠(yuǎn)存在;安全風(fēng)險是安全收益的最佳來源;而開放安全的核心思想在于：將企業(yè)內(nèi)外部的安全風(fēng)險轉(zhuǎn)化成收益。

那么，如何將企業(yè)的安全風(fēng)險轉(zhuǎn)化成收益呢?張雪松表示：“這要從企業(yè)為什么需要安全說起，企業(yè)希望通過安全防護(hù)避免因攻擊而導(dǎo)致?lián)p失，影響品牌和收益。換句話說，企業(yè)是考慮如何避免損失，保護(hù)企業(yè)收益。從開放的視角做安全，就是盡可能多的讓企業(yè)從安全風(fēng)險中獲得收益，讓攻擊轉(zhuǎn)化成收益。”

假如某企業(yè)因一次“黑天鵝事件”而產(chǎn)生了嚴(yán)重的經(jīng)濟(jì)損失500萬，而黑客在對企業(yè)實(shí)施攻擊時，經(jīng)歷了10個必要的入侵過程。假設(shè)黑客在第一個攻擊過程成功后，企業(yè)便獎勵黑客50萬安全貢獻(xiàn)獎金，那么“黑天鵝事件”便不會發(fā)生。在現(xiàn)實(shí)之中，這個獎勵金額甚至?xí)浅５?，這就為企業(yè)獲得到了非常大的收益。

張雪松透露，開放安全的最佳安全收益策略(BSR，Best Safe Return)，是根據(jù)機(jī)構(gòu)遭遇嚴(yán)重安全事件的損失進(jìn)行逆向推導(dǎo)，找出導(dǎo)致嚴(yán)重后果的關(guān)鍵黑客攻擊行為，并由此分成安全事件和安全后果兩個區(qū)域，從而有效的量化解決此安全風(fēng)險的安全投入與收益情況。

根據(jù)BSR的方法指導(dǎo)，找到關(guān)鍵黑客攻擊行為十分重要，并根據(jù)該行為來制定安全策略，才是最佳的安全方式。針對關(guān)鍵黑客攻擊行為之前的環(huán)節(jié)，應(yīng)提升更多的免疫能力，同時不斷利用黑客攻擊，來提升自身健壯性，檢驗(yàn)安全能力的完備性。而之后的部分，則應(yīng)針對安全后果進(jìn)行有效防控，構(gòu)建反向防御的能力。

為了找到黑客，并讓黑客的攻擊“為我所用”，企業(yè)需要建立風(fēng)險獎勵機(jī)制，站在開放安全的視角：一方面，獎勵黑客。把安全投入從防火墻、IPS等安全產(chǎn)品上轉(zhuǎn)移到系統(tǒng)的開放性測試上，讓黑客/白帽幫助企業(yè)排查安全風(fēng)險，為他們提供獎勵。另一方面，安全防護(hù)聚焦在核心業(yè)務(wù)和核心資產(chǎn)上。對企業(yè)核心業(yè)務(wù)進(jìn)行攻擊防御，對核心資產(chǎn)進(jìn)行全面監(jiān)控，做好安全保障工作。最終形成循環(huán)，不斷利用黑客攻擊來提升系統(tǒng)的健壯性，讓系統(tǒng)越來越安全，而不是依賴某個安全廠商的產(chǎn)品或服務(wù)。

開放安全建議的技術(shù)方式

據(jù)張雪松介紹，開放安全建議的技術(shù)方式主要有：

第一，全面的開放性測試：利用黑客與白帽人群，對IT系統(tǒng)進(jìn)行整體性的、開放式的、大范圍的安全測試，針對系統(tǒng)各方面功能進(jìn)行有效的攻擊，從開放性測試中獲得系統(tǒng)風(fēng)險情報。

第二，構(gòu)建動態(tài)免疫能力：構(gòu)建對IT系統(tǒng)的動態(tài)免疫能力?；陂_放安全的理念，利用啟發(fā)式人工智能技術(shù)，讓IT系統(tǒng)不斷學(xué)習(xí)黑客行為，獲得基于風(fēng)險和攻擊的識別能力，形成強(qiáng)有力的防御。

第三，反脆弱防御能力：針對事件后果制定的防御策略，能有效的阻止損失，即使黑客已經(jīng)入侵和攻擊成功，也無法對最終安全后果產(chǎn)生影響，以確保機(jī)構(gòu)在安全事件中不會遭受損失。

第四，風(fēng)險處置與轉(zhuǎn)化。在安全廠商的幫助下，企業(yè)應(yīng)做好風(fēng)險生命周期跟蹤與分析。一方面，阻止攻擊造成嚴(yán)重后果，建立高效有序的應(yīng)急恢復(fù)機(jī)制;另一方面，將技術(shù)經(jīng)驗(yàn)成果回饋于反脆弱與動態(tài)防護(hù)能力的建設(shè)上，實(shí)現(xiàn)正向轉(zhuǎn)化，把攻擊和風(fēng)險變成安全收益。

第五，將以上四個模塊相結(jié)合，形成聯(lián)動，將攻擊中的技術(shù)經(jīng)驗(yàn)反饋給企業(yè)，讓動態(tài)免疫能力的不斷提升，企業(yè)自身安全也不斷加強(qiáng)，從而形成安全閉環(huán)。最終，通過持續(xù)觀察與對比安全策略帶來的收益，不斷選擇最優(yōu)方案進(jìn)行當(dāng)下安全部署，以BSR策略為指導(dǎo)方法，找到最優(yōu)方案，實(shí)現(xiàn)安全收益的持續(xù)提升。

展望開放安全思想下的未來安全，張雪松認(rèn)為：“對于企業(yè)安全來說，未來的安全廠商將會是企業(yè)安全建設(shè)的助理角色，真正的安全能力將被企業(yè)所掌握，而開放安全的思想是持續(xù)讓企業(yè)獲得最大安全收益的方式。”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】