前言:
春节期间,受安全村(Secun)之邀,海叔发表了一篇《网络安全以何种姿态进入新时代》,阐述了网络进入新时代的一些畅想。节后,一次偶然的机会到中关村创业大厦参加一个物联网安全沙龙,重新踏入了18年前初入安全行业的起点。看着展厅和墙上的老照片,驻足于物是人非的老办公室,回忆在那个裸奔的互联网初期时代,这里有一帮稚嫩未脱、无知无畏却立志为网络安全事业奋斗的伙伴,留下一段激情燃烧的岁月。而现在即将迎来一个新的物联网新时代,安全能力、热度比当年有了大幅的提升而安全形势变得更加严峻,是安全的本质变化了吗?我们对安全的认知变了吗?
不得不说,习大大的话有高度:不忘初心,牢记使命,砥砺前行,行稳致远!把这个十六个的认识和自己所在的安全行业结合,突然有一种新的安全认知思维闪现在脑海中,然后在这段时间不断的碰撞,不把写成文字留存下来会是自己最大的遗憾!算是前一篇文章的姊妹篇吧!
固有的网络安全认知思维
在那个还需要站起来的时代,我们对网络安全的认知起源于军事战争思想。在军事战争中,最明显的标志对抗性思维,充分研究敌我之间矛盾是出发点,衍生出安全的三要素。
n 我们需要熟悉自己的关键价值点所在,比如网络、服务器、设备、终端,这是资产
n 我们要搞清楚自身潜在问题所在,比如漏洞、后门、设计逻辑缺陷、安全管理制度缺失,这是脆弱性
n 我们试图能够穷举各种入侵手段,比如病毒木马、Webshell和注入、恶意扫描、暴力破解、劫持监听以及DDOS,这是威胁
基于对抗性的思维,我们有了PDR的安全模型,技术上我们追求在时间层面的更快检测和应急响应,防护层次上我们追求在空间上用纵深防御来延缓攻击速度,在资产价值重要性上形成了等级(分级)保护体系的管理制度。
有了指导思想,有了理论模型,有了防护体系还有各种安全管理制度,安全问题还是层出不穷。我们开始思考为什么?是防御力度投入不够还是法律制度不够完善?
是的,在数据面前,必须承认对比先进国家我们在安全投入上还远远不足,无论关键基础设施安全还是广大应用,我们催生了等级保护2.0。重视程度上,我们的法律法规依然不够健全,所以才有了《网络安全法》和正在热议的《个人隐私保护法》。
同时,我们还发现在网络安全意识教育和网络安全人才培养上存在巨大的缺口,所以各种安全基础教育、安全技能培训、安全专业学科设置也在这几年得到快速的发展。媒体从过去对安全事件的不披露到现在被深挖并广为传播,对于网络攻击型、漏洞挖掘型人才的地位和薪酬福利双重提升。对安全方面的创业、产业政策扶持更是不遗余力。安全成为国之重器,安全需要态势感知!
但是,我想问一句,你的安全感提升了吗?
对抗性思维已经发展到极致
纵观人类历史,战争贯穿了整个世界的发展过程。在对抗性思维的指导下,战争的规模、频度和广度持续加剧。发展到极致就是二战和二战后的“冷战”时代。由于核武器的发明和实战应用,成为毁灭地球的大杀器。一方面通过军备竞赛,国际上少数大国拥有核威慑能力,主导了国际社会话语权。另一方面一些小国不遗余力的试图发展核能力企图对抗威权。一些恐怖组织在没有能力搞大规模杀伤性武器,选择了人肉炸弹来对抗军警或者开枪扫射手无寸铁的学生儿童。
基于对抗性的思维,科技越进步,防控越严格,而广大人民的安全感却越来越下降,在西方发达国家,这种安全感的缺失其实越严重,恐惧笼罩着心灵世界,从心理层面看,在恐惧的压迫下,人们越想努力摆脱而往往事情变得更加糟糕。安全感却怎么也无法恢复!
放在网络安全层面,基于对未来的恐惧追求当下的资源极致占有和物质层面丰富享用,目前网络黑产就是典型代表!为了一己之利不惜用网络诈骗、网络钓鱼方式对付弱势群体让他们更加恶化,用薅羊毛、传谣言来破坏中产阶级的艰苦奋斗,运用复杂的网络手段攻击金融市场破坏金融秩序以及国家稳定。
当然,在高举网络安全旗帜的互联网新贵中也有败类,打着保护人民的安全,用免费模式吸纳用户扩大规模,而把网络流量中珍贵的数据资源、个人隐私进行转化,攫取高额利润!这种“贼喊捉贼”行径堪称无耻之极,他们一方面不断宣传黑客技强化入侵公共设施能力,却对自己的摄像头故意用来作隐私直播内容贩卖视而不见,被曝光后还抹黑举报者。
在对抗性的思维下,还培养了一批能争善斗之人,不仅在内部自己斗,外部斗同行,还裹挟人民群众一起斗,把自己包装成“互联网斗士”成功登堂入市,反手一枪开始明着割人民群众的“韭菜”。这种号称网络安全大神其实继承了明末李闯、张献忠的遗风,骨子里就是一个拥有超级对抗性思维的流氓!
我们现在的安全问题的根源,是既有对抗性的执念也有对抗性客观行为。经验表明,任何一个问题的解决,都需要超越问题所在的层面的新思维来指导。
建立网络安全新思维
习近平在联合国日内瓦总部发表题为《共同构建人类命运共同体》的主旨演讲,回答了“中国为何要推动构建人类命运共同体”、“要构建一个什么样的人类命运共同体”,以及“怎样构建人类命运共同体”三大基本问题。借鉴“人类命运共同体“思想, 在网络安全中, 相对于对抗性安全思维,可以命名为共同体性安全思维。这种新思维才是这个行业发展的终极之道,围绕在这种思维共识,有三个层面:共生、共赢、共享。
安全行业和用户应该是共生的关系。但在过去,安全行业一直强化的是各种外部威胁和漏洞,让用户产生恐惧感。于是,安全行业利用安全知识、经验和能力和广大用户的不对等性,加载到安全产品或安全解决方案中,以硬交付物提供给用户,形成了一种典型的买卖关系。很少去关心用户具体使用效果和感受,没有真正赋予用户内心的安全感。加上那些无良的所谓的“互联网安全模式”,欺骗了用户一时,无法欺骗用户一世,最终用户发现免费的往往付出代价更高!因此,无论技术多么高大上,模式多么的花俏,用户始终会用审视、怀疑的心态来看待交付物。不出事,用户觉得白花钱,出了事,就是安全产品没有用。始终是处在一个循环证明题的怪圈逻辑!
在中国传统文化中,互信互利、共生共赢是我们炎黄子孙的基因,其实要比西方传统崇拜弱肉强食的丛林文化会更容易建立起共生性的信任机制。基于共生性的思维先让安全从业者和用户在心理上先放下对抗性,建立起信任感,并通过健康的Saas、持续安全运营服务形成共生性的信赖关系,让业务和安全之间不再有分界线,告别传统的甲乙方而形成共生的我们。因为信赖,自然就有安全感!这是人性的基本特点。在有了安全感的前提下,交流变的更充分,安全问题反而能被更快的解决。同时,信赖关系一旦建立,会释放出一个更大、更广阔的安全市场,这就形成了共赢局面。
随着供给侧改革和新兴服务行业出现,也会使得原来的类似“敌我”矛盾也可能放下武器。举个例子:在过去,小偷问题一直困扰着我们,警察在不断加强反扒能力,小偷也就进一步加强其作案技能,形成对抗升级循环,但问题依然难以解决。到现在,我们突然发现小偷这个行业快要消失了。这是因为因为移动支付的普及,人们身上的现金越来越少,小偷无利可图。高铁等高速交通工具的发展,给小偷的做案的时间越来越难;另一方面,经济发展带来单位时间劳动力价值变高,小偷改行做做正当职业获得的收益高于当小偷,自然而然形成了迁移。当被迫做贼的人也回头是岸,数千年来的“民苦于小毛贼”的传统安全问题也就不成为问题。
主观上没有人天生愿意做贼,这应该是我们的共识。在我们和用户建立起共生、共赢关系后,安全的需求和就业形势进一步释放。那些过去冒着巨大法律风险干着和小偷一样活的掌握网络技能人士,发现通过众包、众测等创新模式可以转型被纳入到新的安全产业环境下来,即满足人民群众最求美好生活的新需求,也获取也不菲的正当收益,何乐不为!
最后共享经济的出现,使得数据的合理利用和安全建立起经济基础。数据在过去被认为是狭义的资产,所以天生带有私有化属性。而在新时代,在共享经济的导引下,数据的资源特性被进一步开发出来。秉着人人为我,我为人人,同时在这个共享过程中为数据交换和共享标出合理的价值标记,在监管层面建立不易为人性之恶所利用的一套可信机制,在法律层面又有明确保护原则和违法惩罚警戒。
文章写到这里,技术专家们会发现,新思维要想落地不就是现在热议的人工智能和区块链技术吗,限于本文篇幅,就不在此落地展开。
最后笔者也必须申明,建立新思维并意味着要完全放弃过去的安全技术体系。一个是战略思想,一个是战术体系,战术体系是为战略思想服务的。人性之中善恶是个永恒的话题,对抗性的技术在不愿放下恶意的人面前依然要发挥重要的作用。加上现在的国际环境大气候,网络安全主权和管辖边界还是一个热点话题;同时也必须承认,良性的技术对抗也是推动科技进步一个动力源泉,就如同我们在朱日和的红蓝军对抗演练一样,自强有能力是构建人类命运共同体的一个保障基础,这也是被历史充分证明的!
不论是在我党大业还是在网络安全领域,不忘的是为人民服务的初心!牢记的是为人民谋福利提升安全感的使命!
我们因为《厉害了,我的国》内心会升起在这个国家的幸福感和安全感!同样,网络安全从业者改变思维,拥抱新时代,为提升网络安全感砥砺奋进,和人民群众一起追求美好生活,行稳致远!
定稿 2018年4月