【安全說(shuō)】策略可視化在掛圖作戰(zhàn)中的實(shí)踐與思考

好看的皮囊千篇一律，

有趣的靈魂萬(wàn)里挑一。

拋開(kāi)現(xiàn)象看本質(zhì)，

網(wǎng)絡(luò)安全的靈魂是什么?

如果把防火墻等硬件看作皮囊的話，

它們的靈魂就是安全策略，

沒(méi)有靈魂的防火墻是脆弱的、無(wú)用的，

也是孤獨(dú)的。

基于對(duì)當(dāng)前防火墻策略管理現(xiàn)狀的分析，

我們總結(jié)了九大“孤獨(dú)問(wèn)題”。

第四期【安全說(shuō)】邀你探討這“獨(dú)孤九式”，

以下歡迎欣賞。

講師簡(jiǎn)介：李源，20年網(wǎng)絡(luò)安全領(lǐng)域從業(yè)經(jīng)驗(yàn)，長(zhǎng)期擔(dān)任中國(guó)人民大學(xué)MBA學(xué)位評(píng)審委員，現(xiàn)任北京安博通科技股份有限公司資深顧問(wèn)。

凡是不以策略管理為目的的防火墻，都是“耍流氓”。

這些打引號(hào)的“流氓行為”包括：策略只增不減，有人開(kāi)通，無(wú)人回收，日積月累產(chǎn)生大量無(wú)用策略。政策落地難，由于缺少自動(dòng)化工具，實(shí)踐中較難達(dá)成策略最小化與合規(guī)性要求。需要大量試錯(cuò)成本，策略變更過(guò)程中，經(jīng)常出現(xiàn)策略不生效、影響其他策略等問(wèn)題。無(wú)力精細(xì)化管理，在不了解網(wǎng)絡(luò)全貌的情況下，很難精細(xì)到端口和協(xié)議。

IDC早在2018年，就建議安全廠商重視策略管理。Gartner在2019年預(yù)測(cè)“到2023年，99%的防火墻缺口/被突破是由防火墻配置錯(cuò)誤引起的，而不是防火墻自身缺陷”，并定義了網(wǎng)絡(luò)安全策略管理技術(shù)(NSPM)。在等保2.0中，也對(duì)策略管理有著明確要求。

從某種角度講，防守者需要的不是防火墻，而是一套訪問(wèn)控制管理機(jī)制，防火墻只是這套機(jī)制的載體。我們將訪問(wèn)控制的決策心智，稱為“策略中臺(tái)”，或安全策略智能運(yùn)維平臺(tái)。

平臺(tái)的目標(biāo)是：實(shí)現(xiàn)全網(wǎng)異構(gòu)設(shè)備訪問(wèn)控制策略的一體化全生命周期管理;實(shí)現(xiàn)面向業(yè)務(wù)視角的全局網(wǎng)絡(luò)安全域拓?fù)浼軜?gòu)可視;實(shí)現(xiàn)全流程訪問(wèn)控制策略自動(dòng)化運(yùn)維;加速數(shù)字轉(zhuǎn)型的自動(dòng)化、集約化、智能化進(jìn)程，全面提升安全運(yùn)維及防護(hù)保障能力。

平臺(tái)采用大數(shù)據(jù)典型的三層架構(gòu)模型：數(shù)據(jù)采集層、數(shù)據(jù)建模層和數(shù)據(jù)展示層，打通以資產(chǎn)、策略、路徑、風(fēng)險(xiǎn)為核心的四大流程，且可以無(wú)縫對(duì)接第三方安全管理平臺(tái)。

平臺(tái)具備一個(gè)安全策略全局建模核心算法，以及多源異構(gòu)設(shè)備的適配與管理、安全域拓?fù)浣?、攻擊面量化評(píng)估和無(wú)風(fēng)險(xiǎn)策略運(yùn)維四大創(chuàng)新能力。

當(dāng)我們從“以設(shè)備為中心”走向“以策略為中心”的管理模式，一切開(kāi)始改變。有效解決了策略只增不減、訪問(wèn)控制關(guān)系不清、合規(guī)檢查無(wú)從下手、策略最小化淪為空談等長(zhǎng)期痛點(diǎn)問(wèn)題，通過(guò)安全策略的智能化運(yùn)維，可以持續(xù)高效地控制風(fēng)險(xiǎn)并加以緩解。

作為可視化網(wǎng)絡(luò)安全技術(shù)創(chuàng)新者，安博通多年來(lái)持續(xù)深入用戶一線場(chǎng)景，特別是網(wǎng)絡(luò)攻防實(shí)戰(zhàn)場(chǎng)景，結(jié)合業(yè)務(wù)流程與管理規(guī)范，不斷豐富著實(shí)踐，已連續(xù)四年獲得工信部網(wǎng)絡(luò)安全試點(diǎn)示范項(xiàng)目，并在政府、軍隊(duì)、企業(yè)等多個(gè)行業(yè)獲得成功應(yīng)用。

安全策略智能運(yùn)維平臺(tái)已幫助用戶管理超過(guò)25種品牌、10000臺(tái)網(wǎng)絡(luò)安全設(shè)備。據(jù)不完全統(tǒng)計(jì)，將應(yīng)急響應(yīng)效率提升了31%，策略合規(guī)性提升了49%，安全運(yùn)維復(fù)雜度降低了35% 。

通過(guò)對(duì)安全本質(zhì)的深刻分析，我們看到：安全是一種持續(xù)的過(guò)程，只是反映某個(gè)時(shí)間點(diǎn)和空間點(diǎn)的暫時(shí)狀態(tài)，終極安全結(jié)果很難達(dá)到，這一點(diǎn)引發(fā)著我們的持續(xù)思考。

從軍事思想出發(fā)，OODA是全球公認(rèn)的軍事作戰(zhàn)方法論，雖然它完全起源于軍事領(lǐng)域，但同樣適用于網(wǎng)絡(luò)攻防領(lǐng)域，美軍的網(wǎng)絡(luò)安全建設(shè)思路就很大程度上依據(jù)了OODA模型。從中可以得到幾點(diǎn)啟示：1、縮減攻擊面是安全防護(hù)永恒的主題。在漏洞必然存在的情況下，降低安全風(fēng)險(xiǎn)的有效方法是縮小攻擊面，安全防護(hù)體系不斷完善的過(guò)程，就是攻擊面不斷縮小的過(guò)程。2、縱深防御永不過(guò)時(shí)。3、安全配置管理(SCM)是十年磨一劍的重要基礎(chǔ)工作。SCM是安全能力的基礎(chǔ)，缺少它一切只是空中樓閣。4、打仗靠地圖。

在掛圖作戰(zhàn)中，我們需要將網(wǎng)絡(luò)空間中的防護(hù)對(duì)象和防護(hù)措施可視化，從而打造全局視角，完善整體防護(hù)、縱深防御和主動(dòng)防御體系。我們還需要融合空間地圖、安全數(shù)據(jù)和安全能力，形成基于戰(zhàn)術(shù)級(jí)地形分析的動(dòng)態(tài)防御、聯(lián)防聯(lián)控和精準(zhǔn)防護(hù)作戰(zhàn)體系。

看過(guò)《三體》的朋友都知道，在空間帶來(lái)的降維打擊面前，一切都顯得微不足道?；叵脒^(guò)去多年的網(wǎng)絡(luò)攻防對(duì)抗經(jīng)歷，或許只是在二維世界中竭盡全力，我們應(yīng)該有人去仰望星空，去探索更高維度的攻防之道……

凱文·凱利曾在《失控》一書(shū)中寫(xiě)到：最穩(wěn)定的狀態(tài)，不是一成不變，而是總處于搖搖欲墜中。控制與失控，恰恰就是不斷推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)前進(jìn)的動(dòng)力。未來(lái)，我們將繼續(xù)把失控領(lǐng)域的新發(fā)現(xiàn)和控制領(lǐng)域的新探索分享給各位，歡迎繼續(xù)關(guān)注【安全說(shuō)】，下次見(jiàn)。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）