再有一个就是发动威胁的对手。要了解对手,知道对手在干什么,知道对手的业务,对对手的业务非常了解。我们在安保中心有这样一个积累,做全网监控的时候,去了解对手在干什么。我们经常说APP攻击,有一个指标网的问题,比如,高级的攻击者能够脱离社交网络吗?能够真的是封闭修炼十年,不与人联系?想出绝世漏洞攻击你?不会的,他也需要跟外界接触。如果我能够先于对手,从早期发现社交网络的动态,就能够有机会提前了解一些对手,从而面临真正的攻击时就会知道了,这个是非常有价值的。除了做保障运营之外,还要做业务的投影,做威胁的投影。把这三个运营运转起来之后,我们的运营就会真正有意思、有价值,成为非常强的安全体系,并能够帮我们去解决前面所谓的关于业务结构不清楚的问题,以及威胁结构的问题。
关于如何迈到第三级修炼的境界,他介绍说,达到安全运营这个思路,得有一个起步、抓手和重点,这也是跟运营商朋友聊的时候形成的观点。有一个很简单的抓手,就是事件分析,把我们三到五年来,说到的大大小小的问题,以资源能力去看,大小的事情全都拿过来分析,这个分析我们以前做过,希望这个分析更深入一点。
他进一步指出,经过事件分析,可以提炼出事件发生的因由,了解哪些措施有效,哪些无效,明确哪些措施是亟待落实的,从而进一步在信息安全保障体系上做到精益性、有效性的提升。当然在跟很多朋友聊的时候发现,事件分析,如果没有事件的制造,你还真分析不好,你没有数据就没有办法分析。做一个有效的事件分析,前提必须要有足够的数据支撑。必须有审计类工具,把所有信息及信息的提供者都记录下来。基于这样的抓手,有事件性的分析,我们把这个事情抓起,事件分析自然反馈到这个体系。
他随后举例说,09年5月白宫发布的《网络空间政策评估》中14条中期计划的第6条,开发一个威胁场景和度量的库。据说美爱因斯坦计划已经积累了1600+威胁场景。威胁场景的应用就是我们能够通过事件的分析,所沉淀下来的一个一个的威胁用例。我们在座的各位对这些事情具有很高的战略高度和长远的战略规划,从技术方法上,结构性和运营的判断,除了我们常说的空间性的分布和层次之外,还有很多如关于生命周期及访问时序的内容。
最后他总结说,归结起来把运营和结构思路,铺到业务的三方面当中去。以事件分析为抓手,推动整个安全运营的有效执行,从而达成我们所希望的第三级修炼,上升一个台阶。
