通信世界网消息(CWW)高瀚昭在会上介绍了360安全体系方面的建设,基于在安全能力建设上碰到的挑战,总结360在实践中的方法论,以及实践的效果,并对未来的展望四个方面进行探讨。
近来国家对网络安全十分重视,而且网络安全事件层出不穷,企业管理层越来越意识到网络安全需要顶层设计,本届ISC大会的主题是“网络安全需要新战法,网络安全需要新框架”,具体的顶层设计该怎么结合每个单位的业务需求和管理能力,来真正一步步落地?
缺乏攻防经验,企业对安全能力提升没有清晰的路径
“管理层能理解的顶层设计与执行层能落地的解决方案是脱节的。”高瀚昭表示,比如经常提到要提高危险的检测能力,但在实际执行时,大部分企业除了能够满足合规的要求以及满足行业安全标准之外,对于安全能力的提升并没有太过清晰的路径。主要的原因是缺乏实际的安全攻防经验,因此并不了解安全体系在落地的过程中该如何评价和提高。
中国哪家公司最擅长做安全攻防?高瀚昭表示,360责无旁贷,多年来在安全攻防的实践中提炼和积累方法论,因此,360安全体系的建设是面向实战的以安全能力提升为目标的方法论,最核心的是“以安全能力提升为目标”,360认为安全的本质就是一种能力,既不是产品也不是一个过程,要提升安全能力就必须要衡量安全能力,进而开展安全建设和运营的工作。
多年实战,形成以安全能力提升为目标的方法论
高瀚昭具体介绍了方法论的内容。他表示,方法论的核心是安全能力,360认为安全能力由四个维度组成,分别是资源、技术、管理和执行。第一维度是资源。在现在的安全形势下,如果没有全网的数据能力,很难用数据的分析结果真正驱动自己的安全建设。只有把数据或者资源作为安全能力的核心,才能让安全更好融入企业管理,同时也能更好体现数据的价值,更好提升整个业界的安全管理水平。
第二个维度是技术,作为安全能力支撑的工具,安全技术未来会更加深入细分到更多的业务领域,其中安全的产品和服务也会有更多的多样性。
第三个维度是管理,把安全技术和安全管理有效地贯穿到业务的研发测试、上线运行、日常运维,漏洞管理等工作中,才能真正保障整个业务生命周期的安全。
第四个维度是执行,执行环节最重要的就是人,人是安全能力的载体,安全体系的建设重点要考虑全员安全意识的提升,普通员工、专业技术人员、管理层都在安全体系中扮演着不可或缺的重要角色,因此需要培养他们的安全意识和安全能力。
实战化的网络安全能力度量与改进
360网络安全体系和规划有四个部分,第一部分是约束条件,第二部分是指导思想,第三部分是具体执行的过程,第四部分是执行的结果,对应安全能力四个维度的输出。在约束条件上,首先要考虑自身业务的未来三到五年的发展,安全作为信息化的一部分,安全体系如何跟信息技术体系结合,是非常重要的;国家、行业监管机构各类监管要求,也是很重要的约束条件;本行业特有的安全风险评估,也是安全体系评估和设计的基础,所以企业也要充分了解自身业务以及如何应对业务开展中的安全风险;云计算、大数据、区块链等一些新的技术,所带来的一些新型安全攻击,也是整个安全体系规划中重要的约束条件。
在指导思想上,第一用数据驱动安全建设,用大数据的手段规划安全体系。第二要建设能不断沉淀安全能力,不断应对新技术发展变化的网络安全基础设施,以不变应万变。第三要一手抓攻防,一手抓管控,内外兼修,真正做好业务安全和数据安全。第四要做好运营管理,持续做好安全运营能力。
结合顶层设计给出第一步的网络安全能力建设方案,当建设完以后通过网络实战评估,对于结果给出客观定量的评价,并结合企业的战略要求,确定下一步的安全能力改进计划,这样在输出结果上就可以从资源、管理、技术、执行每一个方面,清楚知道每开展一项新的安全工作,对于安全能力的提升有多少。
那如何通过实战去衡量和检验每一步改造的成果,实现实战引领?高瀚昭从网络攻击的知识图谱、网络安全防御的效能评估和网络安全成熟度模型进行介绍。通过网络攻击以攻促防,从攻击者的角度查缺补漏,不断优化360安全防御体系。360结合自身十多年的攻防实践和国内外的攻击知识体系,已经形成了非常丰富的网络攻击知识图谱,目前360已经掌握了1000多条的网络攻击手法以及2000多个网络杀伤链模型,同时构建了10000多条典型性网络攻击脚本。与攻击技战术对应的防御能力指标从识别、保护、检测、响应、恢复等多个阶段评估安全防御效能,以防御能力评估的结果作为输入,对应识别、保护、检测、响应、恢复等多个阶段从资源、技术、管理、执行等多个方面度量网络安全能力成熟度等级。
未来展望:给出具备行业特色,经得起时代考验的实战方法论
360自身是如何实践应用这一安全体系建设方法论? 高瀚昭指出,360把自己的安全成熟度目标定义为4级,即最高级,标志着360安全能力可以应对国家级网络安全的挑战。
在顶层设计方面,360又定义了以安全大脑为核心的能力框架,从安全能力要素阐述,即资源、技术、执行、管理需求会建立相应的基础设施。资源方面,360有神经元的基础设施,负责多元异构数据的采集和标准化;有网络空间测绘的基础设施,负责对网络空间的地图测绘;有威胁情报中心,负责数据到情报的分析加工和互联互通的工作。技术方面,360既有针对攻击面防御的网络攻防靶场、漏洞众测中心、蜜罐诱捕设施、高级危险检测中心、安全开发能力中心,也有针对资源面管控的边缘云基础设施、零信任基础设施、身份管理基础设施和密码证书基础设施;在执行方面,360以人和运营为中心,打造了态势感知中心、安全运营中心、应急响应中心、人才培训基地和安全能力评估中心。
正是因为面向实战的安全方法论和面向安全大脑核心的安全体系,360在过去三年中已经发现46个国家渗透组织对我国的攻击,也帮助360的亿万用户免受病毒和软件的攻击。最近几年360也帮助城市构建数字经济的安全底座,帮助各行各业的领军企业建设和提升他们的安全能力。
最后,对于方法论未来的展望, 高瀚昭表示,目前360方法论还只是基于360在自身安全建设以及服务国家,服务城市,服务行业,服务企事业单位的过程中的总结和提炼,而从国外的经验来看,不同行业确实有自身的独特业务战略和安全需求,未来将针对某一个行业如何给出一个行业特色,经得起时代考验的实战方法论。
