浅谈网络安全工作话语权

近日朋友圈广泛流传的配图,是网络安全工作的一个缩影。

安全之所以难做,在于它是几个方面的矛盾体:

一是资源不足与需求广泛的矛盾:

从学习路线来说,学习安全技术需要先了解大量IT基础知识,从应用到内核以及数不胜数的各种组件。从思维上说,安全并不是运用这些基础知识进行建设;正相反,安全站在了另外一个维度思考风险。从这两方面来说,安全并不是传统概念中循序渐进、所见即所得的成长过程;甚至可以说,这个技术流派比较小众。它需要时间、精力的投入和思维的沉淀。当前全国百万级的安全人才缺口,充分说明了网络安全人才培养的艰难。无论从整体还是局部来看,安全资源都是远远不足的。

资源捉襟见肘更反衬了需求的广泛。根据CNCERT《2017年我国互联网网络安全态势综述》,2017年我国有上千万台主机被控,约2万个网站被篡改。也许有人认为这只不过是技术人员在利益的驱动下选错了道路,其实即使在人员1:1的情况下,防御也远比攻击艰难,这是由攻守双方信息不对称决定的。更何况还存在境外政府“网军”这种超常规技术力量存在。

二是安全性与便捷性不可兼得的悖论:

这是老生常谈的话题了。安全自带成本中心属性,想要控制风险就需要投入。最终的结果,无非是在安全成本与攻击损失、资产价值与攻击成本之间做均衡。如果安全性与便捷性统一了,说明攻击根本没啥威胁,不需要做安全。而在现实中,这种情况是不存在的。只要资产价值高于攻击成本,攻击就会保持高威胁水准。

三是安全重要性与安全推广难度的矛盾:

在国家的强力主导下和一个又一个血淋淋的攻击案例面前,网络安全工作得到了空前的重视。很多机构,尤其是信息化体量较大或较重要的机构,坚决落实网络安全合规性和责任制不是问题了。

然而,由于安全性与便捷性的悖论存在,安全推广必定与业务生产存在矛盾。在安全应该服从业务、还是业务应该服务安全这个问题上,答案必然是前者,因为如果业务没有了,安全也就没有存在的必要。这就是安全的两难之处:做少了或者不做,业务可能被搞死;做多了或者做错了,则可能把业务搞死。

我们往往执著于具体问题谁对谁错,而忽视了对客观规律的考量。

人们会天然选择便捷性,除非便捷性自身收到危害。当攻击损失达到可以影响到业务的程度,人们自然会考虑安全。当然,攻击损失有那么大的时候就晚了。我们不能亡羊补牢,而是要未雨绸缪。因此,当前的问题在于,必须提升人们认知范围内的威胁严重程度,人们才能像当初选择便捷性的时候选择安全性,人们才能像解决系统、网络、应用问题一样解决安全问题。

威胁预警的方法有很多,渗透测试、红蓝对抗、“绵羊墙”等等。核心在于要有足够的威胁强度。企业日常接触的威胁都不严重,常规扫描和病毒而已。几年能够等到0 day或者高级木马已经算高概率了。平均下来,人们当然意识不到威胁的严重性。威胁预警必须保持在认知范围内的高级别,才能对安全工作产生有效的推动作用。

当攻击成本小于资产价值时,攻击者会倾向于从攻击中获利。然而攻击损失客观上不高于资产价值,当安全成本高于资产价值的时候,人们会选择直接放弃这部分资产,因为承受的损失要小于安全投入,就没有投入的必要了。

从收益角度,这没有错。但是从整体网络环境安全治理角度考虑,这是存在问题的,因为攻击者终究通过攻击获得了利益。资本家为了保护市场和公平性选择倾倒牛奶,企业也应保护整体网络环境而不要轻易放弃阵地。如果没有安全防护能力,或者不愿意采取防护,那么至少应该“坚壁清野”,不能让攻击者获利。这与技术能力无关,是每一个互联网参与者对网络环境的责任

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180606G092Z700?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券