看美国圣地亚哥如何做智慧城市安全？

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

圣地亚哥是网络安全领域的一个中心城市，在这个物联网安全威胁肆虐的高峰时期，每个人都在焦灼急切地寻找解决方案。“每个城市都不会摒弃先进的技术。如果它能解决问题，为什么我们要放弃？所以到最后，整个城市都被各种各样的技术连接在了一起。“网络安全专家Hayslip说。

这不是一个一夜之间就能解决的问题。Hayslip和他的团队制定了一个五年计划。首要步骤就是引入来自NIST（美国国家标准与技术研究所）的计算机安全指导政策框架。“有了框架之后至少你有了一些评估参数，能够确定目前情形的严重性，不至于陷入极度的恐慌之中。你可以利用这个框架，以成熟明智的心态看清自己的位置。一旦有了这个基准线，你才可以稳定地开始下一步。”

但是标准的制定也比较棘手，因为一个城市的各个职能部门会不断引入新的技术、不断更新已有的基础设施，整个网络状态在不断地发生变化。“如果某个组织机构的技术变更率非常高，那么你很快就会发现拥有一个稳定的标准十分困难，而且可能在很长一段时间内都无法实现。”他说道。

意识到了这种波动性，于是Hayslip采纳了NIST持续监控、扫描与修复的模型。“网络安全的保障实际是一个完整的生命周期。其基本含义是你永远不能停下脚步、只能选择前进。我们应该把网络看做是一个库存（inventory）与评估、扫描、监控与修复的真实的生命周期。你需要一遍一遍地去完成它。”

考虑到圣地亚哥是众多网络攻击者垂涎的目标，持续掌握整个网络的实时状态十分关键。“我们平均每天都会遭遇50多万起网络攻击事件，”Hayslip说。“其中很大一部分都是自动产生的，但也有一些是人为操纵，是某些犯罪团伙的蓄意攻击。”

圣地亚哥不是唯一的攻击目标。过去几年中，许多公共机构都成为网络罪犯感兴趣的攻击对象。根据2016年IBM X-Force网络安全情报指数显示，政府是网络攻击最为严重的五大行业之一。“哪里有数据，哪里就有犯罪团伙。说得好听点，他们是公平的。一个城市往往拥有海量的资产和数据，所以不管怎么样，我们都很容易受到网络攻击。”

多个产品协同防御

安全扫描方面，圣地亚哥市使用了Tenable，其整合了Carbon Black桌面终端安全的技术。

在数据治理方面，圣地亚哥利用了Varonis的技术。“我们利用Varonis获取数据所在位置以及谁在访问哪些数据等信息。然后再利用Tenable验证所收集到信息的真实性，以及网络上资产的流向，”Hayslip说。“利用这些技术你可以解决很多问题。”

在统一威胁监控方面，圣地亚哥目前使用的是Cyphort。这是一个能够让我们看到实时攻击以及安全组件中的哪些资产正在对威胁作出响应的平台。另外，我们会将这些资产中的安全事件数据以及其它资源注入Sumo Logi，这是一个提供日志及度量管理的、基于云的分析服务产品。

随着对Tenable技术的不断熟悉，我们逐渐发现它的功能远比我们想象的强大。“一开始购买这个东西时，我们认为它只能解决单个问题，”Hayslip说。“现在我们发现它的价值远远不止这些。Tenable可以说是我们整个安全设备体系中的核心要素。”

到目前为止，Tenable所产生的价值远大于支出。整个城市平均每月都有200台受感染的设备，每台设备造成的生产力价值损失高达600美元。但是部署Tenable以后，受感染的设备下降到平均每月35台，也就是说它每年为这个城市减少了130万美元的生产力价值损失。

从商业的角度解释网络风险

Hayslip在维护与城市中各部门的关系上作出了很大的努力，这一点能够帮助他们的安全团队与保障项目的初始阶段不脱轨。他花了一定的时间去了解广大市民，了解他们是如何工作的，他们需要什么样的应用和数据以及他们的客户是谁。

“我认为自己是他们的合作伙伴，并且希望能够在安全项目起始阶段就起到作用，而不是等到最后，”他说。“我希望能够在使用纳税金之前就把问题解决了。”

但是事情不可能永远朝着我们所想的那样发展。早前，我们的安全团队可能会受陌生的数据类型所影响。“当你进行安全扫描时，突然发现一些异常情况。你以为这是个漏洞或者发现某台机器受到感染了。但结果发现并不是机器，而只是一个路灯。”

Hayslip认为他需要和城市中的很多部门好好沟通一下安全风险问题。“我在扫描和其它工作中发现风险都不是来自于我这里，而是来自于很多企业和相关机构。而他们对待风险的优先级和我的完全不同。”

Hayslip使用的一个有效的策略是和企业谈论商业风险而不是网络威胁。很多部门关注的是企业运营、资金流以及为市民提供的服务。“当你讨论无法正常提供基础设施服务，例如市内的高尔夫球场每年收益4千万美元，一旦遭受攻击、面临巨额损失时，他们就会坐下来全神贯注地听你讲的东西了。我们应该站在他们的角度谈论商业，而不是网络。”当Hayslip从商业角度解释风险时，这些部门人员就会意识到问题的严重性，分清优先次序。“这也就是为什么我称它为‘网络即服务’。我向他们展示所有的风险，解释会产生的影响，这些风险如何对正常业务造成损害，然后我们才能一起确定事件的优先项。”

Hayslip一直遵循这个理念，让企业意识到网络安全的重要性。他会参加一些中小企业的论坛以及专业小组，帮助私企提高他们的网络安全状况。他认为这是他代表这个城市的工作使命之一。

从长期来看，圣地亚哥的目标无非是开发一个足够灵活的能够抵御攻击的基础设施框架。这也是所有的机构都希望实现的状态。圣地亚哥正在实现这个目标的道路上不断努力。

同时，很多市民也都在不断地使用新技术，他们希望获得更多SIEM（安全信息与事件管理）的数据，很多人都想知道他所面临的风险。

总结

从圣地亚哥智慧城市安全经验告诉我们，城市级的云安全、大数据安全、物联网等基础安全需要建设基于大数据技术的态势感知安全运营平台，结合先进的智慧城市安全治理模型和相关法律法规，使智慧城市建设过程安全合规、运营无忧，充分发挥智慧城市各安全功能模块相互整合、协同开展工作的能力。

文章素材来源于FreeBuf