3月28日,由中国信息协会主办,信息化观察网、中国信息化网、国润互联信息技术研究院共同承办的2019第四届中国网络信息安全峰会在北京裕龙国际大酒店成功召开。
深信服科技股份有限公司安全业务CTO郝轶
会上,深信服科技股份有限公司安全业务CTO郝轶带来了题为“面向未来 有效保护的智安全架构”主题演讲,以下是郝轶在会上的演讲内容实录,未经整理。
1503年的时候意大利的南部发生过一场战役,当时是西班牙人和法国人,法国是法国和瑞士的联军,当时欧洲最强的骑士团队。从人员上来讲,法国的人要比西班牙人多几倍,是这么一个情况。但是在这场战役当中,法国人失败了,因为西班牙人使用了火器,所以马克思说火药把整个骑士阶层炸的粉碎。
我们发现通过切里尼奥拉战役告诉我们击败骑士的不是更强的骑士,而是你不认识的武器,攻防需要面向未来才能形成有效保护,面向未来,有效保护就是我们深信服安全业务的理念。
下面我展开说一下我们看到的未来是什么样子,我们又是如何看到大家是有效的去保护他的。这些是我们经常看到的一些认证,安全相关的,包括信息化相关的,包括上一位演讲者组织就有很多这样的认证。深信服在全国有50多个分支机构,随着“一带一路”我们在全球都开展业务,所以我们需要关注和掌握,比如说ISO277001,27017,27018,STAR,诸如这类的标准和认证,这类的标准越来越多,这只是ISO,ISO有三万多标准。
我们也提到隐私的保护,大家还在努力学习欧盟的通用数据保护条例的时候,GDPR,我们发现美国的加州消费者隐私保护CCPA就出台了。我国隐私标准也出来了,包括我们国家也在开始做准备《个人信息保护法》和《数据安全法》,合规的内容一定会越来越多,他们都很重要。
另外一点,以往我们谈安全就是讲攻和防,我们希望更加清楚的描述攻击这件事情,如图所示是国外一家机构发布的矩阵,这个里面的内容也是目前国际上最领先的几家安全公司采用的框架,用来做什么呢?来描述对主机的攻击,比如windows,他分了十一个步骤,每一个步骤下面又有很多具体的内容。当一个攻击形成的时候,作为一个攻击链,从左面的分类一直到最右边的时候,每一个步骤就会形成非常多的组合,这种情况下,如果我们还是用以前人工的方法去响应攻击或者是检测这些攻击,就会变得非常难,这个就是最近全球最流行对攻击的描述,大家可以做一个了解。
还有一些方面,我们都提到勒索病毒越来越重要,实际上勒索病毒由来已久,已经超出了这张图,1989年就出现世界第一个勒索病毒,但是今天勒索病毒的数量越来越多,据统计有800万不同的勒索病毒。勒索病毒越来越多,为什么呢?我是这么想的,拖延是人的本性。我自己做过运维,我们的补丁不一定能够打的那么及时,但是随着区块链技术的发展,加密货币给了勒索病毒的作者和这个黑产一个相对匿名获取数据的方式,在巨大金钱的动力下,勒索病毒这个产业里,一直在用最新的漏洞不断更新变种,比如说可以在网上搜索最新的新闻,几乎发布了什么最新的漏洞,勒索病毒就先有上了,而且更新的非常快。
还有一个问题,我们也发现我们曾经做安全,说怎么做呢?做安全开发生命周期SDLC,我最早一直学习SDLC,我们也去学习各种各样的风险评估的方法,比如我们知道RSO27005风险管理体系,有时候叫风险框架,比如说SP800-30,-27,-39,这些内容。但是当我曾经做一个甲方的时候,我们发现这些内容,我曾经所在的组织有十万台以上的服务器,有三百个业务,你根本来不及做一次风险评估,因为太慢,系统太大。我们发现在国外,现在最流行的方式是dev,ops,在这个基础上去插入安全的能力,包括监测和分析,这里又有一个问题,devops本身节奏非常快,如果用传统的方法干不过来,旧的问题发现了,你按传统的瀑布模型让他修补,按道理旧的还没修完,新系统本身出现了更新。
以在座的为例,比如说现在大家喜欢玩手机,我们发现手机没做什么又升级了,因为今天devops在全球比较普及,尤其是互联网公司,所以我们APP在不停的升级,你就可以想你的安全措施来不来得及。
为了应对这些2018年的时候,ISO,所有风险管理总的框架发布了最新的版本,这个版本里分三个部分,分别叫做原则、框架和流程,这个场景下,这个标准讲的是所有的风险管理,他说无论在原则里还是在框架里,我们应该能够整合。什么意思?所有人都去找领导要资源,有人说投资风险很重要,合规风险很重要,病毒风险也很重要,我们需要用整合的视角处理所有的风险的内容,这个内容也是2017年最新的版本里的思想,就是一个整合,这是指抛开信息安全范围以上的风险管理的思路。
同样是这件事情,其实我们也发现了当你拿过ISO9000叫质量管理体系认证,你拿过信息技术服务管理体系,做过27000叫信息安全管理体系,做过业务连续性叫ISO22301,包括你看过19600叫合规管理体系的时候,你发现都差不多。我之前就想他们到底有什么关系,直到我发现这个东西叫高层框架,其实我们学了这个东西就能够把所有的管理体系用一套体系,运行一套体系来满足所有管理体系的要求。
我把这个东西再背一遍,非常简单,所有的管理体系都是十个步骤,这个是2012年的时候ISO那个组织出了一个导则,给每一个管理体系的作者们说以后你们再写管理体系就按这个来,这个叫高层框架。啥意思?2012年出的高层框架,2013年是ISO27001有一个GBT22080那个标准就更新了,包括去年的20000就更新了,他说什么呢?前面有三个部分,每一个标准都这么说,第一步我的范围是什么,第一章,第二章,引用的文件,第三章术语和定义,第四章组织情景,第五章领导力,第六章策划,第七章支持,第八章运行,第九章绩效评价,第十章改进。在第五章的时候都一样,体现德鲁克的管理思想。第六章要对方针进行落地为目标,做信息安全是做什么?其实就是做应对风险的措施和信息安全就是风险的识别和对风险的应对,就是整个ISO27001和其他的区别,就是这个东西。
我们也发现从控制域的角度来讲,无论是27000还是等级保护,比如说等级保护1.0的时候,我们分物理网络主机应用和数据备份,2.0的时候根据25070,去年年底大家调整最新的那个版本,按照25070一个中心分层防护,其实都是控制域,完全能够整合。直到我这个月初在美国ISA发现原来美国人也这么玩,把PCDSS,金融行业支付卡的标准,也去和美国的CSSF叫网络空间安全框架做相应的匹配,我们能做到的就是不光把过程用高层框架整合,把控制域也能够整合。
想到这个事儿我就实践了,去年我就尝试着用非常古老的方法,有一个叫ISO27013,专门讲27001信息安全和运维怎么结合在一起,安全的让往往向运维汇报,怎么用一个团队,就这么多人,把活全干了,就干了这一个事。但这个太简单,又做了什么?把这一堆东西用一个体系做成一个体系,通过运行一个体系满足所有目标,为什么做这件事情?因为我发现在我的组织里,安全人员很少,不管是跟信息安全相关的合规性的内容,永远是这么几个人负责管理,一堆人负责配合。当时我所在的组织已经超过了15个认证,这些时候我算了一下,每个月都要去跟审核机构做配合,我的研发,我的运维要干活,我要节省大家的时间,提高工作效率,我要让我的工作干的完,这只是我工作的一小部分,我就做了一件事,一年就做两遍,一个体系,所有检查不管是国内还是国外都搞定,这就是之前做的事。
说到这儿,我们到了今天这个场景,我们想一个问题,由于深信服是一个面向全球的安全公司,之前做的事情是聚焦20%的产品,把它做到极致,覆盖80%的需求,我认为今天有这么好的机会跟各位老师和专家同行在一起,我不应该讲我们家的产品有多么多么的好,而是我们应该一起想一个办法,怎么把我们在座的这些中国的安全企业,这些产品用一个简单的表达,满足国内外的需求,用一个模型对外展现出去,去抵御来自全球的威胁,虽然我们在中国,但是攻击者可能来自全世界,我们要把东西按照“一带一路”的政策卖出去,我们既要遵守自己的规定和相关的网络安全法等很多内容,也要去兼容,所以我们提出了一个模型,它包含了三个部分。分别是防御、检测、相应的基本能力。
面对着未来的形势,攻击越来越多,描述起来细节越来越复杂,量又特别大,又需要很快速的信息化和安全的能力,我们要提出基于人工智能的自动化工具辅助就是里面的智能。我们有那么多的标准、合规和政策要去实现,我们的人又那么少,我们要把真金白银买来的设备提高安全能力,我们需要用人做运营,在运营里做组织业务,风险评估,风险管理,安全治理,供应链安全和相关的合规工作去落地,我们把这个模型叫做深信服的智安全架构,也叫APDRO风险管理模型,基于这个模型我们深信服只有一点点设备做了一个能力交付矩阵,做了支持这个模型的一部分。
基于这项内容我们又把能力交付矩阵和模型做了战略分解落地,最下面是能力的支撑,我们认为常见的能力,不管你是什么内容,都可以用这一个简单的模型对他进行表达,叫什么,里面的元素是什么并不重要,我们只需要在现阶段找到一种简单的方法,能够让他快速把安全运营起来,达到有效保护是我们的目的。
我们也是为了阐述深信服主要的安全能力,所以最下面大家可以看到是对智能防御检测响应的分解,我们的APDRO,中间这一部分就是安全体系,其实就是我们的等级保护,是按老板的基本要求做的,我们也参考新的版本去调整。我们虽然学习了,或者持续学习来自大量国际上最新的攻防的趋势,管理的理念,包括一些技术的内容,我们大量的学习,但在国内我们还是坚决执行和学习支持等级保护的相关工作,目前我们已经有了120个人的CIIP-A叫做关键基础设施等级保护2.0认证,我们在内部要求以高考的态度和强度去学习,包括我自己也是刚考完。我们把等级保护的相关认证纳入人员晋升和日常考核。
今天的内容就讲到这里,希望有机会能和各位领导和专家继续学习,和各位友商共同建立一种生态,能够在国内共同去抵御来自全球的威胁,谢谢大家。