智慧城市数据安全防护如何开展？美国圣地亚哥案例探索

素材来源FreeBuf @Carrie_spinfo

美国加州的圣地亚哥是众多网络攻击者垂涎的目标，这座城市平均每天都会遭遇50多万起网络攻击事件，持续掌握整个网络的实时状态十分关键。圣地亚哥的状态并非个例，许多城市都面临相同的挑战：智慧城市到底该如何开展城市数据安全防护？

Gary Hayslip是国际上最早的网络安全专家之一，目前是圣地亚哥市的首席信息安全专家。圣地亚哥也是网络安全领域的一个中心城市。在这个物联网安全威胁肆虐的高峰时期，每个人都在焦灼急切地寻找解决方案。

他曾为美国国防部效力，任期包括20年的现役军事和7年的军队公务员工作。然而“智慧城市”的安保与他27年的国防部工作经验截然不同。“每个城市都不会摒弃先进的技术。如果它能解决问题，为什么我们要放弃？所以到最后，整个城市都被各种各样的技术连接在了一起。“Hayslip说。

“警车、救护车、图书馆、水源处理设施、高尔夫球场等等这些基础设施加起来，整个圣地亚哥市的总价值达40亿美元。而且一个城市永远不会打烊，7天24小时地营业，”他说道，“我在国防部27年，从来都不知道原来城市网络是个这么有趣的东西！”

圣地亚哥市不断探索着智慧城市的安全解决方案，改善公共安全和交通领域，然而这个问题的复杂性也随着联网设备的增加而不断上升。

“智慧城市中有着无数的物联网设备，随着这些智能基础设施的增加，你可能会开始思考——如果我改变了某个设备上的某个软件究竟会发生什么？其造成的影响会是‘滚雪球式’的吗？很多时候只有真正遇到了问题你才能知道答案，”Hayslip说。“作为一个安全专家，从风险的角度来看，这种未知性的确让我十分恐惧。”

正是看到了这种未知性，圣地亚哥市才会如此重视整个城市IT环境的安全问题。整个城市网络为40个部门的11,000多名员工提供服务，涵盖40,000多个终端。“网络是如何被人们所利用的？数据流向哪里？我有哪些连接点？网络中究竟有些什么？对于这些问题我都十分困惑。”三年前被聘为圣地亚哥市副主任与首席CISO的Hayslip这样说道。

这不是一个一夜之间就能解决的问题。Hayslip和他的团队制定了一个五年计划。首要步骤就是引入来自NIST（美国国家标准与技术研究所）的计算机安全指导政策框架。“有了框架之后至少你有了一些评估参数，能够确定目前情形的严重性，不至于陷入极度的恐慌之中。你可以利用这个框架，以成熟明智的心态看清自己的位置。一旦有了这个基准线，你才可以稳定地开始下一步。”

但是标准的制定也比较棘手，因为一个城市的各个职能部门会不断引入新的技术、不断更新已有的基础设施，整个网络状态在不断地发生变化。“如果某个组织机构的技术变更率非常高，那么你很快就会发现拥有一个稳定的标准十分困难，而且可能在很长一段时间内都无法实现。”他说道。

意识到了这种波动性，于是Hayslip采纳了NIST持续监控、扫描与修复的模型。“网络安全的保障实际是一个完整的生命周期。其基本含义是你永远不能停下脚步、只能选择前进。我们应该把网络看做是一个库存（inventory）与评估、扫描、监控与修复的真实的生命周期。你需要一遍一遍地去完成它。”

考虑到圣地亚哥是众多网络攻击者垂涎的目标，持续掌握整个网络的实时状态十分关键。“我们平均每天都会遭遇50多万起网络攻击事件，”Hayslip说。“其中很大一部分都是自动产生的，但也有一些是人为操纵，是某些犯罪团伙的蓄意攻击。”

圣地亚哥不是唯一的攻击目标。过去几年中，许多公共机构都成为网络罪犯感兴趣的攻击对象。根据2016年IBM X-Force网络安全情报指数显示，政府是网络攻击最为严重的五大行业之一。“哪里有数据，哪里就有犯罪团伙。说得好听点，他们是公平的。一个城市往往拥有海量的资产和数据，所以不管怎么样，我们都很容易受到网络攻击。”

多个产品协同防御

安全扫描方面，圣地亚哥市使用了Tenable，其整合了Carbon Black桌面终端安全的技术。

在数据治理方面，圣地亚哥利用了Varonis的技术。“我们利用Varonis获取数据所在位置以及谁在访问哪些数据等信息。然后再利用Tenable验证所收集到信息的真实性，以及网络上资产的流向，”Hayslip说。“利用这些技术你可以解决很多问题。”

在统一威胁监控方面，圣地亚哥目前使用的是Cyphort。这是一个能够让我们看到实时攻击以及安全组件中的哪些资产正在对威胁作出响应的平台。另外，我们会将这些资产中的安全事件数据以及其它资源注入Sumo Logi，这是一个提供日志及度量管理的、基于云的分析服务产品。

“我们正在开发自己的仪表盘，也就是一个能够观察所有分析结果的统一平台。通过数据、网络、资产利用方式的变化趋势，不断地利用它来发现漏洞，”Hayslip说。发现漏洞以后，我们使用AttackIQ，这是一个实时的远程测试平台，能够帮助我们验证安全问题的真实性。“如果确定问题是真实的，则通过扫描结果提交任务单，修复问题。”他说。

随着对Tenable技术的不断熟悉，我们逐渐发现它的功能远比我们想象的强大。“一开始购买这个东西时，我们认为它只能解决单个问题，”Hayslip说。“现在我们发现它的价值远远不止这些。Tenable可以说是我们整个安全设备体系中的核心要素。”

到目前为止，Tenable所产生的价值远大于支出。整个城市平均每月都有200台受感染的设备，每台设备造成的生产力价值损失高达600美元。但是部署Tenable以后，受感染的设备下降到平均每月35台，也就是说它每年为这个城市减少了130万美元的生产力价值损失。

从商业的角度解释网络风险

Hayslip在维护与城市中各部门的关系上作出了很大的努力，这一点能够帮助他们的安全团队与保障项目的初始阶段不脱轨。他花了一定的时间去了解广大市民，了解他们是如何工作的，他们需要什么样的应用和数据以及他们的客户是谁。

“我认为自己是他们的合作伙伴，并且希望能够在安全项目起始阶段就起到作用，而不是等到最后，”他说。“我希望能够在使用纳税金之前就把问题解决了。”

但是事情不可能永远朝着我们所想的那样发展。早前，我们的安全团队可能会受陌生的数据类型所影响。“当你进行安全扫描时，突然发现一些异常情况。你以为这是个漏洞或者发现某台机器受到感染了。但结果发现并不是机器，而只是一个路灯。”

Hayslip认为他需要和城市中的很多部门好好沟通一下安全风险问题。“我在扫描和其它工作中发现风险都不是来自于我这里，而是来自于很多企业和相关机构。而他们对待风险的优先级和我的完全不同。”

Hayslip使用的一个有效的策略是和企业谈论商业风险而不是网络威胁。很多部门关注的是企业运营、资金流以及为市民提供的服务。“当你讨论无法正常提供基础设施服务，例如市内的高尔夫球场每年收益4千万美元，一旦遭受攻击、面临巨额损失时，他们就会坐下来全神贯注地听你讲的东西了。我们应该站在他们的角度谈论商业，而不是网络。”当Hayslip从商业角度解释风险时，这些部门人员就会意识到问题的严重性，分清优先次序。“这也就是为什么我称它为‘网络即服务’。我向他们展示所有的风险，解释会产生的影响，这些风险如何对正常业务造成损害，然后我们才能一起确定事件的优先项。”

“我还是会记录攻击数量、修复次数以及众多的安全问题，因为这是我的工作。而且我需要从预算的角度向人们展示我们团队所做事情的价值，”Hayslip说。“但是这些东西我不会跟商业机构分享，因为这不是他们感兴趣的点。”

Hayslip一直遵循这个理念，让企业意识到网络安全的重要性。他会参加一些中小企业的论坛以及专业小组，帮助私企提高他们的网络安全状况。他认为这是他代表这个城市的工作使命之一。

从长期来看，圣地亚哥的目标无非是开发一个足够灵活的能够抵御攻击的基础设施框架。这也是所有的机构都希望实现的状态。圣地亚哥正在实现这个目标的道路上不断努力。

同时，很多市民也都在不断地使用新技术，他们希望获得更多SIEM（安全信息与事件管理）的数据，很多人都想知道他所面临的风险。

总结

本文提到的工具和方法应该能够为我们保护物联网安全带来不少启发。总结来说，首先需要政府部门出台统一的政策框架用于风险现状的评估。其次离不开强大的安全工具和设备的帮助，只有当不同功能的工具相互整合、协同开展工作才有可能实现全方位的安全保障。

最后，最为重要的一个步骤还是需要提高城市中各个机构的网络风险和安全意识。当然我想还有非常值得我们学习的是Hayslip看待物联网安全问题的心态。越是困难的时势，越能造就时代的英雄。