漏洞银行CTO张雪松:我们需要用“开放安全”新视角拥抱安全

首页

2018-12-13

【原创稿件】近年来,随着网络空间安全上升到国家战略高度,《中华人民共和国网络安全法》等法律法规的颁布和实施,以及监管机构的推动,企业机构对网络安全愈加重视。

但是,我们不可否认,在网络安全技术不断提升的同时,黑客的攻击手段也在日益精进、复杂多变。 信息泄露、黑客入侵等安全事件接连发生,不胜枚举,全球各大企业纷纷沦陷。

面对愈加严峻的安全风险形势,企业该如何应对在有限的安全投入中,企业究竟如何才能获得最佳的安全收益带着以上疑问,51CTO记者采访了网络安全专家、漏洞银行CTO张雪松。

网络安全专家、漏洞银行CTO张雪松网络安全事件无法避免。

目前,多数企业机构仍然将安全投入集中于拦截与防御措施上,而高级持续的黑客攻击总能找到系统的弱点,并通过发现的漏洞实现攻击达到破坏或窃取数据等目的。 张雪松认为:面对已知和未知的安全风险,企业想要在有限的安全投入中获得最佳的安全收益,就需要用更加开放的安全思想来看待安全。

传统安全无法解决企业面临的三大难题为什么需要更加开放的安全思想,原来的传统安全思想有何不足之处张雪松表示,传统的安全思想,仍停留在对特定风险的防护上,盲目购置大量的安全产品与服务,导致机构的安全能力不进反退。

传统安全无法解决企业面临的三大难题:一是,如何防范安全领域的黑天鹅事件发生;二是,如何应对越来越复杂的安全风险;三是,如何规划安全投入获得最佳安全收益。 很多人认为,大型企业机构安全投入大、监管力度大、拥有专业的技术团队,所以不应该出现安全问题,但黑天鹅事件并未停止发生。 回顾过去十年发生的黑天鹅事件,无一不是造成了严重的影响,比如,影响美国大选的希拉里邮件门事件、震惊全球的WannaCry勒索蠕虫病毒事件、雅虎邮箱数据泄露事件等等。

分析大型企业黑天鹅事件不断曝出的原因,张雪松表示,传统安全的思想基础是防患于未然,同时普遍存在不知攻焉知防的安全认知,所以众多企业都在重点建设防御能力来阻止黑客攻击。

而传统安全厂商按照不知攻焉知防理念,也在不断研究攻击技术,推出基于特定攻击的安全产品,来满足企业对安全的需要。 然而,防患于未然在现实中很难实现,黑天鹅事件无法被机构和安全厂商提前预测,导致企业进行了大量的安全投入,也依然会产生严重的安全事故。

同时,企业都采用传统风险管理的方式来应对安全问题,但如今信息化的复杂度已远远超出机构的控制范围,从硬件系统、底层操作系统、通讯协议到系统模块、应用服务与第三方框架类库等,各架构与技术栈都可能存在未知的安全风险,机构在资源有限的情况下,很难对所有层面进行风险管控,导致机构安全建设陷入困境。 看全新安全思想开放安全如何破局为了帮助企业更好的应对未知安全风险,解决以上三大难题,漏洞银行提出了开放安全的新思想。

张雪松解释说:开放安全是一种全新的安全视角,也是一种更加开放的思想,作为企业不应拒绝风险,而是直面与利用风险。 企业的安全并不是没有敌人和风险,而是企业不会遭受损失。 同时开放安全倡导我们利用敌人和风险,帮助企业从中获得更多的安全收益,利用敌人提升自我。 在与张雪松的交谈中,记者了解到,开放安全认为:安全风险无法避免,黑天鹅事件永远存在;安全风险是安全收益的最佳来源;而开放安全的核心思想在于:将企业内外部的安全风险转化成收益。 那么,如何将企业的安全风险转化成收益呢张雪松表示:这要从企业为什么需要安全说起,企业希望通过安全防护避免因攻击而导致损失,影响品牌和收益。 换句话说,企业是考虑如何避免损失,保护企业收益。

从开放的视角做安全,就是尽可能多的让企业从安全风险中获得收益,让攻击转化成收益。 假如某企业因一次黑天鹅事件而产生了严重的经济损失500万,而黑客在对企业实施攻击时,经历了10个必要的入侵过程。 假设黑客在第一个攻击过程成功后,企业便奖励黑客50万安全贡献奖金,那么黑天鹅事件便不会发生。 在现实之中,这个奖励金额甚至会非常低,这就为企业获得到了非常大的收益。 张雪松透露,开放安全的最佳安全收益策略(BSR,BestSafeReturn),是根据机构遭遇严重安全事件的损失进行逆向推导,找出导致严重后果的关键黑客攻击行为,并由此分成安全事件和安全后果两个区域,从而有效的量化解决此安全风险的安全投入与收益情况。

根据BSR的方法指导,找到关键黑客攻击行为十分重要,并根据该行为来制定安全策略,才是最佳的安全方式。

针对关键黑客攻击行为之前的环节,应提升更多的免疫能力,同时不断利用黑客攻击,来提升自身健壮性,检验安全能力的完备性。 而之后的部分,则应针对安全后果进行有效防控,构建反向防御的能力。 为了找到黑客,并让黑客的攻击为我所用,企业需要建立风险奖励机制,站在开放安全的视角:一方面,奖励黑客。 把安全投入从防火墙、IPS等安全产品上转移到系统的开放性测试上,让黑客/白帽帮助企业排查安全风险,为他们提供奖励。

另一方面,安全防护聚焦在核心业务和核心资产上。 对企业核心业务进行攻击防御,对核心资产进行全面监控,做好安全保障工作。 最终形成循环,不断利用黑客攻击来提升系统的健壮性,让系统越来越安全,而不是依赖某个安全厂商的产品或服务。 开放安全建议的技术方式据张雪松介绍,开放安全建议的技术方式主要有:第一,全面的开放性测试:利用黑客与白帽人群,对IT系统进行整体性的、开放式的、大范围的安全测试,针对系统各方面功能进行有效的攻击,从开放性测试中获得系统风险情报。

第二,构建动态免疫能力:构建对IT系统的动态免疫能力。 基于开放安全的理念,利用启发式人工智能技术,让IT系统不断学习黑客行为,获得基于风险和攻击的识别能力,形成强有力的防御。

第三,反脆弱防御能力:针对事件后果制定的防御策略,能有效的阻止损失,即使黑客已经入侵和攻击成功,也无法对最终安全后果产生影响,以确保机构在安全事件中不会遭受损失。

第四,风险处置与转化。 在安全厂商的帮助下,企业应做好风险生命周期跟踪与分析。 一方面,阻止攻击造成严重后果,建立高效有序的应急恢复机制;另一方面,将技术经验成果回馈于反脆弱与动态防护能力的建设上,实现正向转化,把攻击和风险变成安全收益。 第五,将以上四个模块相结合,形成联动,将攻击中的技术经验反馈给企业,让动态免疫能力的不断提升,企业自身安全也不断加强,从而形成安全闭环。 最终,通过持续观察与对比安全策略带来的收益,不断选择最优方案进行当下安全部署,以BSR策略为指导方法,找到最优方案,实现安全收益的持续提升。

展望开放安全思想下的未来安全,张雪松认为:对于企业安全来说,未来的安全厂商将会是企业安全建设的助理角色,真正的安全能力将被企业所掌握,而开放安全的思想是持续让企业获得最大安全收益的方式。

【51CTO原创稿件,合作站点转载请注明原文作者和出处为】【责任编辑:TEL:(010)68476606】。