打破政企客户的网络安全困境,安全云服务大有可为帮助他们建立安全体系,彻底解决安全问题。生意来了,心里暗自高兴,毫不含糊地答应了。这种交流场景越来越普遍,让我感受到越来越多的高层客户关心和关注网络安全,同时感受到他们的担忧和焦虑。面对这种现象,身处网络安全行业的我本应庆幸,但实际上却极度不安:更不用说管理、制度、流程、员工意识等非技术因素对客户安全有效性的影响建设,只有技术和产品、服务等相对可控的因素,如何才能让大部分客户在非常有限的预算下“彻底解决安全问题”?难以为继的网络安全建设困境国内大部分企事业单位的网络安全现状不容乐观,这从近年来有关部门组织的全国实战攻防演练中可以看出。虽然有些单位在每次攻防演练中都“活”下来,没有被针对,但我们必须看到,这背后的一些“努力”是不可持续的:一是业务影响不可持续:很多单位在攻防演练应对中,期间演练期间,通过拔网线等神奇操作导致很多互联网服务下线。不仅影响单位员工的正常工作,服务使用者也无法正常办理业务。这种神操作,不可能天天执行。其次,投入难以为继:攻防演练期间,除了动员内部员工外,还通过各种方式招募了大量安保人员,其中部分安保人员每天花费数万元进行短期租赁,还有一些是临时从安全厂商借调的。每天这么多人的投资是不可持续的。几年来,国家组织的实战攻防演练具有重要价值,大大提高了各单位对网络安全的重视程度,也在一定程度上促进了安全体系建设。然而,大多数企事业单位的这种应对方式并不理想。如何变平时的“应试教育”为“素质教育”?从网络安全建设和日常运营水平来看,我们可以将国内企事业单位大致分为三类:第一类高层单位不多,全国不超过100家,主要包括互联网巨头如BAT、五大行、龙头股份制银行、华为等,此类单位对安全的重视是自发的、业务驱动的。在安全方面,投资大,能力强。安全体系建设主要以我自己为主,安全厂商和服务商为配角,提供部分产品和外包安全人员。此类单位应对日常网络安全事件相对轻松,在实际攻防演练中最为冷静。大投入不仅仅指购买安全产品、解决方案和服务,还需要维护专门的安全团队。团队中的高端安全人才,年收入可能高达数百万,堪比一些大型组织每年的安全预算。这种企业有点像旧时代的富翁。他聘请了许多武林高手看守府邸,保护自己的安全。这样,别人只能羡慕,不能模仿。第二类中层单位数量较多,达数万家,包括大部分大型和部分中型企事业单位,如地市级以上国家委局、大型制造企业、高速公路集团、地铁、大医院、高校等。开头提到的机场也属于这一类。此类单位每年的安全预算一般在几百万到几千万不等,并且有一个很小的网络安全部门或者至少有一个网络安全负责人。他们的安全投入主要是合规驱动,依赖安全厂商或集成商建设,购买一些厂商或服务商的上门服务,整体安全建设和运维水平并不令人放心。非攻防演练时,可能容易被普通黑客攻破;在攻防演练中,通过“难以为继”的努力进行防守,虽然传球有危险,但大概率还是会被攻破。第三类网络安全建设和运行水平较低的单位普遍存在,数以百万计,包括几乎所有的中小型企事业单位,如非三甲医院、普通中小学、一般制造业等企业、县级政府单位等。这类单位基本上没有安保投入,或者每年不到几十万,没有专门的安保人员,也负担不起现场安保人员。就算他们投入了基础的安全建设,设备也太专业了。没有人继续运行而无法运行。对于此类单位,感染性的普通病毒,如勒索软件,可能导致整个信息系统不可用。后两类户型确实需要改进,但客观上,我们不能要求他们以有限的投资来匹配第一类户型,奢侈的豪华配置也无法延伸到这些户型上。在当前的安全建设思路下,他们陷入了两难境地:一方面,各种法律、制度、责任、攻防演练、安全事件带来的压力,让他们不得不想办法应对,他们想找到解决网络问题的灵丹妙药。安全问题;另一方面,业界涌现的各种网络安全新理念、新技术似乎遥不可及,难以落地。安全厂商和服务商开出的各种灵丹妙药似乎都不合适,至少在他们自己可用预算的前提下。关键问题无法解决。这两类单位在有限的预算下应该采取怎样的网络安全建设思路来解决问题?由于APT、有组织的高级黑客等潜在威胁往往被用来“吓唬”这类客户,“骗”他们的消费。对于想要购买自己的安全产品和服务的安全厂商来说,更应该考虑这个问题,否则会行业难以进入良性状态。网络空间环境的“破窗论”有个社会保障治理的案例可以借鉴。1994年之前,纽约的犯罪率居高不下。多年来,纽约市警察局采取各种措施均无济于事。不少小区和地铁站不太平,恶性刑事案件频发。新任命的警察局长由交警局长一职提拔。他将近四年来对地铁治安管理的思考介绍到纽约市的治安管理中。在地铁治安治理过程中,他从地铁涂鸦、逃票等此前无人问津的问题入手。以逃票为例。过去,逃票在纽约地铁屡见不鲜,但警方基本视而不见。抓逃票者??只是一种训斥和教育。局长上任后,要求对每一个逃票者进行审问。后来发现,1/7的被捕人员有刑事拘留记录,其中5%的人随身携带武器。结果,警察很快就不再怀疑打击逃票的重要性。在警察局长的新策略下,纽约市的犯罪率神奇地直线下降,就像地铁系统曾经经历过的那样。从地铁涂鸦、逃票等轻微违法行为开始,全市犯罪率下降。这背后的逻辑是什么?答案其实很简单。就是著名的“破窗论”:如果一扇窗子坏了,时间久了也没有人来修,行人由此就会推断这是无人管的地方。很快,更多的窗户被打破,无政府主义开始从大楼蔓延到邻近的街道。如果某个区域本来就不是倾倒垃圾的地方,有人在那里扔了一些垃圾,其他人看到后很可能会在同一个地方扔垃圾。如果没人清理它,它最终可能会变成垃圾场。哪个犯罪率更高,社会秩序井然还是秩序混乱?答案很明显。回到网络安全的话题。对于上述后两类企业和机构,他们现在的网络空间就像1994年之前的纽约市,存在大量涂鸦、逃票等轻微违法行为。例如,大量主机操作系统和软件版本陈旧,漏洞较多。大量机器潜伏着木马或其他病毒,或成为机器人,或被用来挖矿。我们强调黑客攻击和APT。在如此混乱的环境下,这种高级威胁肯定更有可能发生并得逞。谁能确定变成bot的机器不是APT攻击的关键环节呢?对于这些企事业单位,首先应该从基础的网络安全入手,比如打补丁、堵漏洞、排查bot、处理简单的攻击事件等。治理开始,而不是一出现就处理高级威胁。一旦完成了基础工作,高级威胁的可能性也必须降低。也就是说,在基础还比较薄弱的情况下,网络安全建设的首要目标不是如何防范潜在的高级攻击,而是解决日常基本安全问题,净化网络空间环境。网络空间安全治理需要专业的安全服务即使如此,“解决基础安全问题、净化网络空间环境”仍然是一项专业性很强的工作。一般情况下,至少需要部署一套比较完整的安全解决方案(边界防护、终端安全、漏洞扫描,甚至资产管理、态势感知、SOC等),并且必须有人在一个平台上进行持续运维每天一次,否则这些解决方案很可能是装饰品。这些投资,尤其是持续经营的人员投入,不仅对于预算较少的第三类单位来说是难以承受的,对于预算较宽松的第二类单位来说也是一个很大的负担。很多单位购买了安保人员驻场,但对服务效果并不满意:我每年花30万元每人买了好几个站位。为什么这些人员级别这么低,还经常换人?30万元。听起来很多,但除去五险一金和管理费用,现场人员的工资可能只有几千元。这个薪水在哪里可以找到高需求就业的专业保安人员?即使你找来几个素质好、进步快的新人,他们很快就会被更高的工资吸引,积累经验后跑路。这种人性化的安全服务往往会引起买卖双方的不满:甲方抱怨服务质量差,乙方抱怨赚不到钱,希望通过其他方式赚回钱,从而陷入不健康的情况。地位。过去,大多数具有一定规模的企事业单位都设有自己的保卫处,履行一定的治安管理专业职能,单位的社会治安在一定程度上依赖于保卫处的维护。随着社会的演进,这些专业职能基本从单位本身剥离出来,由公安承担。一方面,由于保卫处的专业和能力有限,另一方面,保卫处的负担也很重。现在,大部分单位已经没有这样的部门了。即使通过外包聘请了一些保安(有点像现场保安),保安的职能也不再与治安管理挂钩,更多的是负责基本秩序。保持功能。对于网络空间安全而言,未来的发展路径是相似的:除专业安全队伍较强的一类单位外,大部分企事业单位的网络空间安全治理职能主要由专业机构承担。预算不多,聘请几个低级江湖人物去对抗有潜力的武林高手,不太现实。而这个“专业组织”会是谁呢?基于网络空间的特殊性,这个“专业机构”应该是提供安全服务的社会组织,比如专业的安全服务商。第二、三类单位通过购买服务解决自身安全问题。就像过去很多单位有自己的学校和医院,现在基本上都剥离了,教育和医疗问题都是靠购买服务来解决的。读者可能会说,现在好像很多机构都在购买服务来解决网络安全问题。但是,购买“服务”的方式与目前主要依靠上门服务的方式有很大不同。教育和医疗服务不依靠驻单位人员上门授课和就医。这些社会服务资源不是本地的,而是按需购买的。这听起来很熟悉吗?资源在云端,按需购买,是“云服务”的典型特征。只有这样,才能有效提高服务效率,才能真正用有限的预算解决网络安全问题。安全云服务是破局之道提到“云服务”,大家肯定会想到公有云。公有云的出现有效提升了IT资源的利用效率,正在逐步替代大量本地IT系统。没有人怀疑这一趋势。但是公有云不是全部,未来必然会有大量的IT资源在公有云之外。这些资源不仅包括私有云,还包括办公网络、城市物联网、工业互联网等,没有这些资源就无法形成一个完整的网络空间(以下统称“线下”是指这种网络空间).领先的公有云运营商拥有强大的专业安全能力和团队,通过某种方式为云上租户提供各种专业的安全云服务。对于公有云上的租户来说,购买云服务来解决他们在网络空间的基本安全问题是最好的选择。对于线下网络安全问题,有没有合适的“云服务”解决方案?目前已经有一些安全的SaaS云服务可以提供给线下客户,比如云WAF、云防D、云扫描等。但由于技术限制,这些云服务主要以保护网站为主,能够解决的安全问题非常有限。此外,一些安防厂商还为客户提供离线安防设备的云管理服务,某种程度上也属于“云服务”。但是,这种云服务提供的价值也是有限的:主要是将本地设备管理能力放到云端,以降低本地部署的成本,无法通过云端提供更多的安全服务。那么,有没有一种云服务方式能够真正解决客户的线下网络安全问题呢?答案很快就会揭晓。12月18日,华为将正式发布一年半来深思熟虑、探索实践的面向线下客户的解决方案。创新的网络安全云服务业务,助力二三类企事业单位突破安全困局。请注意。
