大半年前的我,已混迹安全行业十年了。人家说“十年生死两茫茫”,我是“十年安全眼茫茫”,整天忙于工作,忙于项目,少有静下心来的时候。即使偶尔得空想写写东西,却也不知从何写起。
偶然机会下,在首都机场买了一本《反脆弱》(当时还以为是传说中的机场鸡汤文学)。通读下来,顿有七窍全开之感。于是,我便在SEC-UN上发了十年里的第一篇文章《关于安全行业的发展和价值取向的瞎想》。
辗转大半年过去,正逢自己写PPT翻找旧时资料,再次看到此文的原稿,读了一遍之后,顿时汗颜。原来当时的七窍全开纯粹是个错觉,实际七窍只开了半窍。子曰,温故而知新。故重写此文,权当更新自己的认识。(说不定一年后,我又得再重写一次。)
一、安全行业的诞生和发展依托的是什么?
最初,用户碰到了安全事件,并因此损失惨重。所以,用户最初的诉求是如何避免安全事件的发生。
于是,有那么一帮人为了解决这个诉求,试图通过对已发生的安全事件的分析研究,总结其中的原因和规律。然而,这些原因和规律并不能直接起作用。所以,就有了另一帮人(也可以是同一帮人),将这些原因和规律转换成各种规则,并做成各种各样的软硬件设备,试图能够阻止和预测各类安全事件的发生。
最终,他们组建了团队,他们研发了产品,他们创办了公司,他们形成了一个产业。
因此,安全行业诞生和发展至今,依托的是安全事件的不断发生。
然而,直至今日,我们仍未找到如何避免安全事件发生的办法。相反,安全事件越来越多,影响越来越广,损失越来越大。
为什么会这样?
二 安全事件的本质是什么?
在拜读过《反脆弱》这本书后,我对安全事件的本质有了新的看法。
我们遇到的安全事件与金融危机有什么共同点?有。
是什么?他们本质上都是不可预测的“黑天鹅”事件。
什么意思?通俗点讲,从事安全行业的我们所面对和需要解决的是“不可知的未来”。
是不是有点玄乎的感觉?
人性天生就排斥“不可预测、不可掌控的东西”,而倾向于更平稳的、更线性的状态呈现。因此,我们会在安全事件发生后进行分析,搭建模型,寻找规律,制定规则,来试图解释和说明每一起安全事件的起因,表明事件的发生并非意外,而是有内在因果关系的。
不好意思,塔勒布告诉我们说,这是一种人性导致的“可预测性错觉”。
对,就是楼上这位大神说的。
WTF?难道说我做安全的十年只是一种错觉,毫无意义?
如果说安全事件不可预测,也无法避免,那我们存在的意义是什么?是继续自欺欺人?还是….?
三 换个角度来思考安全行业的存在意义?
救命稻草来了。
还是塔勒布说的,“任何事物都存在着脆弱性、强韧性和反脆弱性”,这就是所谓的事物的三元结构理论。
反脆弱性是脆弱性的对立面,拥有反脆弱性的事物,能”在各种冲击中受益,当暴露在在波动性、随机性、混乱和压力、风险和不确定性下时,它们反而能茁壮成长和壮大。”
通俗点说,反脆弱性更像是一种褒义的投机机制,可以使事物在面临不确定的或不可预测的风险或事件时,反而能从中获益。
那么,安全行业的存在意义不在于“如何避免事件的发生”,而在于“如何从风险或事件中获益”。你觉得怎么样?
从事物三元结构理论来看安全,会怎么样呢?
脆弱性:狭义上的脆弱性是指信息网络中存在的漏洞。这些漏洞一旦被威胁发现并成功利用,就会对资产造成不可逆的损害。
广义上的脆弱性还包括:我们对待安全事件的态度和方法,孤岛式的检测防护体系自身,甚至过多的、可读性差的安全数据等等。
强韧性:可以看做是不受安全事件影响的能力,即我们常说的防护能力。
需要注意,强韧性有可能产生“副作用”。同时,防护能力是存在一定限度和一定范围的,超过这个限度和范围的安全事件,强韧性(或者说防护能力)将会消失,甚至可能转换成脆弱性。
反脆弱性:一种类似“应激反应“的安全响应机制,遵循循证现象研究的方法论,以多重证据获取情报,以事件对响应进行反复试错,最终借助响应推动用户安全能力的持续改进,并试图从安全事件中获益。
可以参考以米特拉达梯式解毒法为代表的毒物兴奋效应。
(PS:不是米特拉达 梯式解毒法,二是米特拉达梯 式解毒法,半文盲的我从看《世界通史》开始居然错了整整六年,我能吐槽翻译的这个梯字吗。)
因此,借助塔勒布的说法,安全行业存在的意义就是:帮助用户减少脆弱性,提升强韧性,构建反脆弱性。
如何做到呢?我所能想到的有三种方法:
1)遵循循证现象研究的威胁情报体系;
2)类似毒物兴奋效应的应急响应体系;
3)基于安全威胁情报的纵深防御体系。
(PS:关于循证现象学、毒物兴奋效应等,此处省略一万字,我不是学者,请自行百度或翻书,话说现在高二生物就要教毒物兴奋效应了吗?……)
四 威胁情报之于反脆弱性
首先来看基于安全事件的循证现象研究。
要构建安全的反脆弱性,基于安全事件的循证现象研究是很好的方法论。当然,依托这个方法论必须满足一定的基础条件,就是要有可以用于形成科学证据和经验证据的安全事件(现象)。这些事件应该是足够大量的、随机并不断出现的,而且是可观测或追溯的。
然而,在现实环境下,我们遇到的问题是,对单个用户而言,可观测或追溯的事件数量不足以达到循证的需要,也不满足循证现象研究中试验随机这一重要条件。同时,对威胁的认知缺乏,使事件(现象)的部分要素存在缺漏。
那么,有没有解决办法呢?
(1)人为制造可控的安全事件(例如渗透测试、漏洞挖掘、演练等);
(2)从尽可能多的用户处,持续性地采集可供研究的事件;
(3)强化对威胁的认知和观测,补齐事件要素的缺漏。
由此可以看出,为何我对威胁情报感兴趣。不是因为它是热词,而是我认为:威胁情报(TI)是进行基于安全事件的循证现象研究,支撑反脆弱性安全机制建立的当前最优方法。
Gartner对威胁情报的定义:威胁情报是一种基于证据的知识。同时,威胁是风险三要素之一,也是安全事件的重要组成部分。
而从循证现象研究角度出发,广义上的威胁情报研究的核心目的在于:通过现象寻找关于威胁的证据,构建安全事件场景,对应对活动进行判断,从而支撑对当前或未来安全事件的响应决策。
因此,反脆弱性安全机制的建立,离不开威胁情报的支撑。威胁情报,必然是未来安全行业价值重定位的重要拼图。
那么,威胁情报生产和研究的基础是什么?
数据!
大量的数据!
大量的实时数据!
大量的、实时的有效数据!
这样的数据从何而来?对数据的质量又有何要求?
(1)数据来源的覆盖面必须够广,这样才能解决循证观测中单点数据量少或随机性不足的问题。
(2)获取的威胁数据和事件必须实时性强、随机性大、可观测性高、攻击信息和特征丰富,足以支撑对威胁的证据提取,以及对事件(现象)场景的构建。
(3)要具备实时应对活动数据的采集能力,足以支撑应对活动有效性的判断,指导建立应对活动的经验决策模型和应激式响应的效果观测。
因此,无论是基于公开数据还是独有数据,只有手握庞大的用户数和有效数据量,拥有大量实时的采集agent的上游企业(数据生产企业),或是具有多维数据供给的中游企业(数据分析企业),才有可能成为威胁情报领域的真正玩家。典型的有阿里、腾讯、百度、360、天际友盟等,以及我所任职的安全狗(打个小广告,不要介意)。
五 应激反应式的快速响应
安全的反脆弱性要落地,除了依靠威胁情报,还要依靠快速响应。脱离了响应,任何安全都是空谈。
这里,我自己整了一个应激反应式的快速响应机制。
什么是应激反应式的快速响应机制?
传统的响应机制大多是基于各种各样的理论模型,以“避免和阻止安全事件的发生”为出发点,以制度、流程为核心,决策周期长,响应动作慢,实施成本高。
而应激反应式的快速响应,应该是基于证据与经验的结合,考虑用户实际情况,以“从安全事件中获益”为出发点,强调整体获益性(允许局部受损),根据对历史和当前应对活动的现象观测,借助在数据、经验的积累,形成可动态调整的多点连锁联动,并做到响应规则的快速形成和下发,从而缩短决策周期,提高响应时效性和准确度。
因此,实现应激反应式快速响应的基础,就是需要海量、多维的威胁情报,以及安全事件和应对活动的现象观测数据。
依托反脆弱性,我所构建的快速响应机制如下:
一是构建依托一个平台的庞大用户整体。当单个用户在某一事件中受损时,可借助这个平台,将针对性的防护策略快速下发至更大基数的其他用户,实现获利的传递。最终,每位用户都能从其他人遇到的安全事件中获益。
二是构建依托一个平台的庞大观测体系。通过观测不同用户针对不同事件时的应对活动,结合采集到的威胁情报数据,建立持续更新的事件库、威胁库和响应知识库,帮助用户选择合适的响应机制,实现获利的传递。最终,每位用户都能通过观测和学习其他人的响应活动(无论成功还是失败)而获益。
三是构建依托一个平台的应激式响应体系。在用户能力远未达到应激式响应能力要求时,我们借助平台的大数据分析能力和端点的主动防护能力,通过快速下发的规则策略,辅助用户对遇到的安全事件进行应激式快速响应。最终,每位用户都能通过接受平台的服务而获益。
我很高兴地看到,随着安全云、安全SaaS、自适应、自动化响应等技术和理念的兴起,我所期望的这种快速响应机制正在逐步实现。
虽然大家不一定认同我的观点,但是确实是在向我所认同的方向发展。
六 展望安全行业的未来
最后来展望下安全行业的未来。
安全行业的进化必将得益于两种随机性:
一是行业自身(公司、技术、产品、人员等)的随机性变化(例如:BAT的进场)。
二是外部环境(政策、用户、事件等)的随机性变化(例如:斯诺登事件)。
如何做到不在这种进化中淘汰?
也许,整个行业应该重新审视我们的价值取向和出发点,应当从纯粹的攻防对抗中解脱出来,真正学会思考什么才是对用户有价值的东西。
也许,我们该游出安全行业的这一滩“浅水”,多向金融等其他行业中一些先进的风控管理理念取经,多看看他们怎么做的。或许,未来就是一片星辰大海也说不定。
首发在安在。
写的真精彩,受益很大,向您学习。