安全的价值与意义
通过这些不同的攻击目的和方式,可以看到安全对于企业来说有两层价值:守风险底线 + 成为业务竞争力。
守风险底线,保护业务安全健康发展。无论什么行业,在当前时代都需要依赖计算机、处理敏感数据、管理资金、执行生产工作、提供对外服务等。一旦遭遇网络攻击导致生产中断、数据泄漏、资金损失,轻则损失钱财,重则失去用户信任、受到监管处罚等。
满足法律法规要求是底线,能够及时识别各安全法律/规定/标准的差距并推动改进,全面保障业务合规开展。
合规依据
- 法律法规研究:网络安全法、数据安全法、个人信息保护法、关基安全保护条例、密码法、网络数据安全管理条例、网络安全事件报告管理办法、互联网信息服务算法推荐管理规定、网络产品安全漏洞管理规定、中国银保监会监管数据安全管理办法、网络安全审查办法、商业银行信息科技风险管理指引、非银支付机构管理条例
- 标准政策:金融领域等保测评指南、个人金融信息保护技术规范、云计算技术金融应用规范、商用密码应用安全评估要求、关键信息基础设施安全要求
安全认证
- 外部安全评估与认证:网络安全等保测评、商用密码安全测评、金融科技产品认证、CCRC 个人信息保护认证/数据安全管理认证、通保安全备案评估等、PCI-DSS、GDPR
- 安全检查:HW
标准修订
- 标准政策修订、国家安全课题研究、新规试点示范等
让安全成为业务竞争力。安全不只是负向保障,也能成为正向优势。
- 以支付行业为例,回顾支付宝的发展历程,安全始终是支付的根基,很多时候是支付发展的业务优势。在早期,线上购物是需要去银行将钱汇给卖家的,那个时候创造了担保交易,构建了在线交易的信任体系。后来虽然有网银可以在线付款,但金融往往追求极致安全,不断提高使用门槛(需要到营业网点开通网银支付/需要使用Windows+IE浏览器+U盾),用户支付体验非常差,支付成功率特别低,支付宝创造了线上通过验证卡号/预留手机的短信验证即可签约银行卡实现快捷支付,为了打消银行风险的顾虑,利用安全优势,提出“你敢付,我敢赔!”。有了快捷支付后,支付成功率就大幅上升了,但存在一个问题,支付账户没有资金留存,支付变成了一个通道。以前网银支付难用,还会有部分用户将钱留在支付宝余额中。想要用户将银行的钱放在支付宝,除了要取用方便以及和银行一样有收益外,最核心的还是安全,所以推出了余额宝,背后其实就是货币基金,以前需要一千块才能买,现在一块钱就能买,大家钱放在余额宝收益比银行要多,这样最后一个核心问题就如何让用户觉得钱放在支付宝和银行一样安全,升级了原先的赔付承诺,将原先支付宝自己承诺的“你敢付,我敢赔!”升级为联合平安银行推出账户安全险,赔付额度比银行存款保险的50万还高一倍达到100万,这让余额宝带来了大量原先在银行的资金,成为了一个爆款产品。刷脸支付时代,人脸核身的技术突破让不带手机也可以成功支付。扫码支付时代,安全和风控的进一步增强,让人人都能安全便捷的收付款。
- 以电商行业为例,回顾蘑菇街的发展历程,当时作为一个后起之秀,在多个方面拥有优势。比如UGC内容让蘑菇街在很长一段时间成为淘宝最大的外部引流渠道。后来发力的直播也成为独特的优势。还有算法推荐极致、电商平台等。过程中很重要的一点是用户和商家治理体系,让开店、发布商品操作过程简化,体验得到提升。平台的信息质量好,平台商业环境变好,让好的商家更容易获得收益。甚至在后期开始有金融业务,可以更方便的贷款。这些都是安全成为业务的关键部分。
企业安全诉求分析
安全程度是建立在被保护的目标价值上。
以支付宝举例,作为业务高度敏感(资金和数据密集)、复杂、规模庞大且更新迭代频繁。对内,支付宝是蚂蚁集团根基,大量业务都是支付宝上长出来的。对外,支付宝是吃支付牌照机构,受人行强监管。导致支付宝天然有极高的安全要求,对风险的容忍度低。
同时我们知道,互联网企业安全和传统金融企业安全建设存在很大的差异性,互联网企业一般业务快速迭代,效率为先,在能够快速发现响应时能够接受一定风险。金融企业一般通过极强的管理与隔离手段,愿意承担效率下降也不要出现任何风险。
对于支付宝来说,其是通过互联网技术实现的金融业务,即有互联网的快速迭代,又要有金融的高安全要求,互联网+金融带来的安全和效率是最大的挑战。
安全威胁与困境
威胁挑战是什么,我们的优势是什么,如何破局?
挑战
从实际情况来看,当前网络安全防护效果存在巨大风险。首先,让我们思考一个问题:放下安全领域的专业背景,从一个局外人的视角来看,我们现有的安全体系的有效性究竟如何?
- 行业安全防护现状不容乐观。相信在座的许多人都经历过十年前的“乌云时代”,我们都目睹了无数白帽子轻松“漫游”各大企业内网,仿佛置身无人之境。时至今日,十年后的现状并未有太大改观。在各大企业的SRC中,我们依然可以看到不断出现的高危漏洞奖励,不少业余的白帽子通过挖掘漏洞仍能获得百万级收入。在HVV中,通用的0day漏洞和复杂的入侵手法导致许多企业被淘汰出局。除了这些可控风险外,我们还经常在公开或私下场合听闻各种APT事件,这些事件导致国内外企事业单位遭受数据泄漏和资金损失,例如最近的中国工商银行遭受Lockbit勒索软件攻击的事件。即使是那些未遭受过APT攻击的企业,如果组建了自己的安全红队进行红蓝对抗演练,结果往往也是以红队成功窃取数据或资金告终。
- 甚至攻击方法都没有太大变化。尽管攻击成本有所上升,但这并未根本上解决入侵成功的问题。不同于过去,当时仅凭借各种安全工具的扫描就能轻松攻破许多网站。也不再像以前那样,黑客可以轻易在内网中横行无忌而不被发现。尽管容易解决的问题已得到处理,但对于更为复杂的安全难题,我们几乎没有实现重大突破。如果一个经验丰富的安全专家专注于某家企业,运用各种手段,只要给予足够长的时间,他们几乎总能成功侵入并窃取数据。这意味着,目前许多看似安全做得很好的企业,其实只是表象。他们的安全水平尚未经受严格的验证,很可能是依赖运气走到现在的。
- 攻防的不对等性显而易见。一旦发现风险,其原因往往单一明确。然而,一旦漏过风险,可能的理由则数不胜数。攻击者只需发现单一漏洞即可成功,而防御方必须全面防护,不留任何破绽。每次遭遇外部报告的漏洞、数据泄露事件或红蓝演练的突破时,在内部复盘过程中,我们总能看到各方人员站在自己的立场上,提出看似无懈可击的理由。这常常导致责任推诿的情况,最终仅留下针对单点问题的待办事项。然而,各种安全事件依然在不断发生,循环往复。情况并没有得到明显好转,但每个人又都非常努力。战术上的勤奋掩盖了战略上的懒惰,战略上有哪些突破可能?
- 困扰我们做不好安全的很重要的一个因素,不是能力,是认知。
影响安全有效性的因素
产生漏洞风险的原因实在太多了,从防守视角看到底有哪些关键因素呢?
- 安全责任范围是否明确?为了避免在安全建设过程中出现风险遗漏,使团队更加专注地进行安全建设,需要明确团队的职责范围。每个人对安全以及安全范畴的理解往往都存在差异。常见的安全领域包括网络安全、数据安全、业务风控、内容安全、反欺诈安全、反洗钱安全以及生态安全等。除了大方向,也应明确子安全领域的安全责任范围,比如应用安全和基础设施安全,它们就存在交叉部分,若无法明晰边界,可通过设立联合项目组的方式进行统筹工作,确保不会因为存在工作边界而导致的风险遗漏。
- 安全目标与指标的正确性?安全目标代表了安全团队努力的方向,如果方向错了,那么一切努力都白费了。根据我和众多企业交流的经验,发现如果方向对了,最终大家做的事情是相似的,只是达成的时间存在差异。按照常理,在实际企业安全建设过程中,安全团队的主要任务是控制风险。然后,在现实情况下,安全团队受各种因素影响其目标各不相同。会发现很多安全团队中很多人所做的事情对于控制风险并没有太大帮助,每个人都按照上级指示做事,原始驱动安全建设的因素五花八门,有为了合法合规、有为了内部指标好看、有为了行业影响力、有为了单点突破。安全团队实际控的风险和现实中实际会发生的风险存在很大的错位,无论是黑灰产的业务风险,还是黑客的攻击入侵,或者偷数据偷钱。更加让人担忧的是,安全不出事就都认为没事,一出事就是大事。造就了各种安全建设的方式都能“活下来”,但一旦面临高强度的真实威胁,安全风险就会暴露无遗。除了明确正确的安全方向外,还需要清楚的知道需要面对何种等级的安全威胁,是针对漏洞扫描器的非针对性扫描、业余白帽子、资深白帽子、竞争对手,还是黑客组织。除了控制实际安全风险层面,越来越多的企业意识到安全也是一种竞争力,比如支付宝的“你敢付,我敢赔!”,这体现了安全团队在更高层面的业务价值。
- 安全体系的完备性与合理性?在确定了安全团队的责任范围和目标之后,需要开始针对面临的安全威胁设计安全体系。很多安全管理人员是从白帽子转变而来的,需要有一个清晰明确的认识。我们总说不知攻焉知防,但这不是让我们用攻击的方式来进行防守工作。直到现在还有很多企业仅依赖黑盒方式进行渗透测试、安全扫描的方式来进行风险发现。攻击者找到一处风险就能突破成功,防守方如果用类似的方式,必然会导致大量遗漏。我们用攻击者的优势去防御,就将自己和攻击者拉到同一起跑线上。应充分利用好甲方自己的优势:信息不对称,内部信息更加透明清晰,应用行为更加可控。这样才能让我们在对抗攻击者时处于优势地位。此外针对我们所面临的安全威胁,需要从风险控制类型以及风险控制阶段、安全保障体系等多方面回答现有安全体系的完备性与合理性。风控控制类型方面,能解决已知风险,那未知风险呢?能解决增量风险,那存量风险呢?能解决软件风险,那硬件风险呢?能解决可控风险,那不可控风险呢?能解决外部攻击风险,那内鬼风险呢?能解决有特征风险,那无特征风险呢?风险控制阶段方面,是否有事前安全威胁的识别、安全意识的提升、上线前的风险规避机制、上线后的安全防护、风险利用时的感知与止血,以及红蓝演练的持续检验,甚至时事后的溯源和司法打击等。除了技术和运营层面,还需要考虑规章制度制定、安全专项预算以及安全领导小组等风险控制的保障体系。
- 安全资源投入度与重点风险匹配程度?在明确了安全责任范围、安全目标以及安全体系后,需要投入相应的安全资源来实现这些目标。当安全资源与安全目标严重不匹配时,可以通过降低目标或调整优先级和拉长时间周期等方式来应对,并与老板们对齐认知。除了加强安全资源的投入,结合企业所面临的安全威胁,确定安全资源投入的优先级更加重要。当资源投入与当前关键优先风险不匹配时,虽然也能取得一些成绩,但对整体安全水位的提升有限,攻击者仍有较大可能轻易地盗取数据和资金。
- 安全能力与风险匹配程度?当安全资源投入与重点风险匹配后,还需要关注实现层面的安全能力与风险的匹配程度。常见情况是,对于一个新的漏洞类型,之前的安全措施完全没有防护能力。或是知道有这个漏洞类型的存在,却没有相关的安全能力进行发现和拦截。当安全能力与安全风险匹配度不一致时,就会不断出现新的意料之外的情况。
- 安全能力与运营有效性?当具备了对应安全风险的安全能力后,需要确保这个能力和策略的有效性以及是否覆盖到了所有需要防护的资产。是否能在资产变更上线前就默认覆盖安全能力,真实环境中各种非标情况是否能覆盖,面对真实威胁发生时各种能力是否还能持续保持有效?
- …
面对如此众多影响安全有效性的因素,再加上庞大且复杂的业务场景,影响全局安全性的潜在薄弱点数量急剧增加。同时,高价值数据和巨额资金的存在使我们面临各种等级和形式的威胁。
以蚂蚁集团为例,我们拥有数十种安全产品、数百名安全专家,并运营维护着数万项安全策略。在安全实践的方方面面,每个人对于如何实施安全措施、每个安全产品如何发挥其功能都有各自的见解。在这种情况下,是否存在一种指导原则,能够让大家对安全的认识和实现达成一致?
这些安全能力需要覆盖数千个域名、数万个应用、数十万个接口以及数百万个容器,其最终目的是保障数亿用户的数据安全和万亿级的资金安全。在涉及各种编程语言、各种运行环境和各个开发阶段的背景下,是否有一种技术手段能够实现突破,解决这些复杂的安全挑战?
破局点
- 上线前的时间窗口。在产品上线投产前,其暴露面只是在公司内部部分人员,这是甲方防御时最大的优势之一,这期间我们有足够时间去进行安全评估、渗透测试、防护加固。而要避免上线后,和可能来自全世界的敌人去比时效和能力。
- 应用的预期行为可知。原先的防护策略往往都是基于我们知道有哪些类型的攻击,继而制定对应的防护感知策略。但面对0day等未知位置和手法的风险,就会始终慢攻击者一步。攻击者无论利用任何漏洞,都将产生异于应用系统原本的行为,同时我们研发的产品我们自己最清楚他会做什么,产生什么行为,这将成为我们防御上最大的优势之一,我们可以通过观察和分析我们应用的行为,然后只允许应用产生这些行为,其它所有的行为都将被禁止。这个思路可以应用在请求/端口/应用/容器/主机/电脑等各层,能够实现对各类未知风险的免疫。
- 拥有各种数据。风险最终一定会产生,无论是前面两层的绕过或遗漏,还是我们认知以外的事情发生。基于此,我们需要兜底的感知能力,收集所有可能数据,去发现攻击者异于常人的蛛丝马迹。而这,也是甲方最大的优势之一,有无数的现成数据以及还可以铺设各种数据探针和陷阱来诱捕攻击者,在攻击者真正产生危害前就感知并止血。
- 现实世界与正义的优势。安全攻防对抗核心是成本,但在网络空间中最大的成本可能也就一些账号、手机号、IP、设备,这些的成本如今都非常低。如果和攻击者持续在这种虚拟层面的对抗,甲方会处于劣势。但如果我们将攻击者拖回现实社会中,通过安全技术手段溯源其真实身份,并联合公安进行抓捕打击,将会极大提高这类团伙的作案成本,使其转移到其它平台上。