您现在的位置:返回首页
实战时代兰云科技的网络安全观
——HW思考系列:检测只是开始,调查才能结案(上)
五年的HW行动,将网络安全从合规时代,带入实战化时代。面对这一变化,安全理念应如何进化,安全产品应如何进阶?
一、合规的价值和不足网络安全合规时代,最大的成就是,让大家配齐了网络安全老三样(防火墙、防病毒、入侵检测)等产品,相当于筑起院墙、装上大门,使得普通人不再能随意出入你的领地,侵犯你的隐私,威胁你的财产,但对于能翻墙入院的小偷,这样的措施收效甚微。于是,大家自然而然地对当前的防护措施进行加固、升级,在墙上加装铁丝网,安装更为坚固的防盗门,增加防盗窗,配上门卫(身份认证),聘请总管(安全服务商),有时甚至是配上不同的防盗门,层层设防。这些改进取得一定效果,能应对初、中级小偷,却无法阻挡能自制万能钥匙的惯偷。随着互联网的普及,学习制作和购买万能钥匙的门槛降低,具备惯偷级别能力或者拥有万能钥匙的潜在犯罪分子越来越多。面对能力快速提升的对手,筑更高的墙已不能解决问题,还会带来巨大的财务成本、糟糕的用户体验,我们需要寻找新的解决方案。
二、寻求问题的本质网络空间已成为海、陆、空、天以外的第五大国家主权,然而网络空间的出现才短短几十年,还在不断成长、变化,要一眼看清其本质,存在巨大挑战。事实上,安全问题由来已久,并不是网络世界独有,社会治安领域的安全已有几千年的历史。犯罪率是衡量社会安全程度高低的指标。犯罪率高,则盗贼公行而弗能禁,社会缺乏安全感;犯罪率低,则路不拾遗,夜不闭户,社会充满安全感。建设充满安全感的社会,只需将犯罪率控制在一个较低的范围。
控制犯罪率,可以从如下三个方面实现:不能犯罪;不敢犯罪;不愿犯罪。
(1)不能犯罪,是指犯罪分子因客观原因无法实施犯罪或达成犯罪目标。从犯罪分子方面出发,只能通过收缴犯罪分子作案工具的方式,使其犯不了罪,而这显然无法实现,因为可以实施犯罪的作案工具太多——枪可以,刀可以,板砖可以,拳头也可以……禁无可禁,收无可收。从受害者方面出发,只能通过提升自身防护能力,将其武装到牙齿,使其强大到让犯罪分子伤害不了,而这一方面成本高,难以普及,另一方面体验也会很差。
(2)不敢犯罪,是指犯罪分子因担心承担后果,不敢实施犯罪行为。要达到震慑犯罪分子,使其不敢犯罪的目的:首先,需要制定法律法规,实现有法可依——明确地告知犯罪分子,犯了什么样的错就会受到什么样的惩罚。其次,需要强大的破案能力——只要犯罪分子犯了案,就能被查出来,将前面的会变成事实,实现违法必究。然而有法可依容易,违法必究却难。从最早的《汉谟拉比法典》,到现在的各种法律法规,各个时代法律都非常齐全,但破案能力却严重欠缺。很多案件只能寄希望于遇到包青天福尔摩斯李昌钰。显而易见,神探是稀缺物种,因此破案率始终不理想,也就难以真正震慑到犯罪分子。
(3)不愿犯罪,是指犯罪分子内心没有犯罪意愿或动力。犯罪是因为犯罪分子自身的某些需求无法满足,需要通过犯罪的方式获得。如果犯罪分子所有的需求都被满足了,也就不存在犯罪动机了。而我们有时竟能听到不缺钱的人实施偷窃的案件,这种情况犯罪分子不存在金钱方面的需求,而是其他需求导致了偷窃。要满足任何人的全方位的需求,使任何人都没有犯罪动机,在可见的将来都是不现实的,也许存在于理想国中。综上所述,不能犯罪方面,收缴犯罪工具显然无法全面落地,而通过提升潜在受害者自身防护能力,则受资源、成本、用户体验等因素的制约,可提升空间有限。不愿犯罪方面,除非人人都达到从心所欲而不逾矩的境界,否则至少目前阶段,缺少落地的可能性。不敢犯罪方面,在有法可依的前提下,做到违法必究,震慑潜在的犯罪分子,使其不敢犯罪,从而降低犯罪率,是可能的方向。达成违法必究的目标,关键在于如何提升破案能力。提升破案能力,几千年来一直都是难题,而我们国家近二十年来在这方面的努力和实践说明,完全可行。
严重暴力犯罪变化趋势图
上图是最高人民检察院2020年5月25日工作报告中对近二十年严重暴力犯罪情况的统计。从数据看,目前严重暴力犯罪的犯罪率不到峰值时的1/3,尤其近十年更是大幅下降,而这期间法律没有大的变化,GDP增速也低于前十年,为什么犯罪率却有这么大幅度的下降呢?最大的变化是平安城市天网工程雪亮工程等的逐步落地,发挥出越来越大的作用。现在的案件侦破,通常是通过调取案发地的监控摄像,锁定嫌疑人,然后结合其他监控摄像,确定嫌疑人的行踪和落脚地,实施抓捕和审讯,完成破案。通过构建必要的基础措施,降低破案难度,即可大幅提升整体破案能力。现在,普通警察的破案能力和效率,甚至高于以往的神探们,由此极大地震慑了潜在的犯罪分子,使其不敢再冒险犯罪,这是近二十年来暴力犯罪率大幅下降的原因所在。
三、网络安全,路在何方网络世界并不是一个全新的世界,它是现实社会的延伸——主导网络世界的是人,网络犯罪的主体是人,犯罪的目标还是获利或者伤害(破环)——同现实社会并无不同,改变的只是作案工具。他山之石,可以攻玉,社会治安领域的成功经验,可以在网络安全领域借鉴和应用。合规时代让我们筑起了院墙,安上了防盗门,配上了保安,构建起了防控体系,可以有效应对偷窥和小偷小摸的行为。但随着互联网的快速发展,具备较高能力或者拥有先进工具的犯罪分子越来越多,加上网络无国界的特性,网络安全已进入实战时代。实战时代,在防控体系之外,应建立类似于雪亮工程的监察体系,降低破案难度,提升破案能力和效率。防控体系的目标是让普通人不要或者不能越界,而监察体系的目标是让犯罪分子无所遁形。在网络世界的重要节点、系统、应用中部署探头,记录发生的行为,在管理区域部署监控中心。有了这些监察体系所需的基础设施,一旦发现可疑行为或者可疑人员,安全人员利用采集的数据和先进的技术手段,进行高效且全面的追踪调查,完成破案,阻止犯罪分子的进一步行为,让犯罪分子知难而退或者承担法律后果。以近几年的HW实践,红队成功拿下目标的案例,通常需要很多步,10步,甚至20步,从结果看,显然蓝队没有一款产品能将每1步的威胁都检出,但在事后回溯分析的时候能发现,这些案例中,红队在其中的某些环节的行为,并未躲过蓝队安全产品检测,已触发告警,仅是因为蓝队一方面不同环节采用不同的产品,相互之间的协调存在问题,另一方面安全产品往往只对检出的威胁进行告警和描述(侧重在说明该告警是正确的,不是误报),缺少对告警之外的行为提供深入分析的支持。一句话,当前的网络安全产品是为检测设计的,而不是为调查设计的。
网络安全实战时代,检测只是开始,调查才能结案!如何调查?如何结案?如何让你的办案能力超越福尔摩斯?且看下回分解!
更多相关资讯
推荐内容
MORE- (08-19) 12级台风海高斯登陆珠海 台风最新
- (11-17) 愈快乐愈堕落qvod可以这样解读吗?
- (07-02) 股市正做“M头”还是筑“W底”?
- (11-04) 关于小皇叔侧耳听风背后的逻辑是什
- (04-30) 骑士祸不单行:勒夫伤情不乐观 史
- (04-07) 说说顽固性痰咳的气道高反应
- (08-02) 山东:禁止组团赴中高风险地区旅游
- (05-04) NBA周四303推荐:勇士 VS 快船
- (08-20) 中菌特色肥智能化升级开先河
- (10-16) 有哪些靠谱的二手交易平台?95分闲
- (06-27) 艺视21届志愿填报指导丨考进梦想象
- (11-27) 香港上市公司嘉利国际荣获2020杰出
- (11-17) 丹阳假日网校这是不是真相?
- (09-22) 骑行趋热买辆称心车不易
- (08-23) 快来看看这些地方的脱贫经是怎么念
- (07-14) 北京不为职工开公积金账户罚5万 具
- (07-13) 女孩餐厅吃饭疑遭男伴暗中下药 人
- (08-08) 最新上海市电动车上牌******一览
- (09-26) 几十位明星主演打败好莱坞大片这部
- (05-18) 几千元的代餐食品几万元的减重手术
- (01-14) 洛城德比战 快船队雷迪克确认复出
- (11-22) 扶貧快車上的“潤滑劑”
- (01-21) 宁波算山码头吞吐量破6亿吨刷新纪
- (01-28) 快船将不续签达柳斯-莫里斯
- (01-13) 作品档案之番号RKI-351 可愛いすぎ
- (02-16) NBA15年后再现扣篮之神 拉文定律
- (07-10) “毋以小益而不修毋以小损而不防”
- (07-14) 拉姆斯菲尔德其人其事
- (07-28) 爷爷端菜式抱娃 具体怎么回事?
- (08-22) 一文带你了解重汽豪沃TX车型怎么样
- (03-04) 奥克利不满NBA联盟调解 仍未和尼克
- (08-26) 又来利好了_贵州茅台
- (06-15) 屈原故里端午习俗“活”起来
- (01-31) 作品档案之番号MGS视频 韩国美女
- (02-16) 篮球盛宴腾讯视频TV端直击NBA全明
- (07-04) 超350头大象近期突然集体神秘死亡
- (06-10) 六省十市群众艺术展演在临沂成功举
- (04-15) 马刺官方Instagram发布队史对阵步
- (01-18) 备好药物应对感冒流感与疫情散发
- (12-30) 正确使用标点符号之问号、顿号、引