诸子笔会2022 | 王振东:人如何改变网络安全生态
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
人如何改变网络安全生态
文 | 王振东
王振东
隐私合规
毕业于计算机科学与技术专业,爱好文学与摄影。数据保护专员(DPO),心理疏导师,信息安全工程师。隐私与安全意识培养倡导者。本文仅代表本人观点,与所属任何组织无关。
影响网络空间安全的因素有很多,其中决定性的关键要素仍然是人。对于个体而言,影响其安全状态的因素不可胜数,外部变化对人的心理和情绪产生影响,进而影响人的思想和行为,最终在其它领域的安全状态变化中得以体现,其中就包括了网络空间安全。
客观的网络空间,是指以计算机和通信技术为基础的软硬件网络设施所联通的网络结构及其中所流通的数据。我们将服务于网络空间安全工作的人员和组织,约束和规范网络服务提供商和使用者行为的相关法律法规、国际标准、行业规范和组织内的制度要求,用于建设组织网络空间安全的资金和资源,与网络空间安全相关的任何形式的媒体,以及网络空间自身统称为网络安全生态。
网络空间瞬息万变,在这个特别的世界里,持续着没有硝烟的战争。如今,人们的生活越来越依赖网络,网络空间安全与财产安全、名誉甚至人身安全的边界都愈加模糊。人作为安全的定义者、创作者和消费者,会如何改变网络安全生态?
“一只蝴蝶在巴西轻拍翅膀,可以导致一个月后德克萨斯州的一场龙卷风。”这是我们所熟知的蝴蝶效应的诗意描述。蝴蝶效应是指在一个动态系统中,初始条件的微小变化,将能带动整个系统长期且巨大的链式反应。网络空间的复杂性允许类蝴蝶效应的发生。
计算机科学实在是一门足够完善且高度抽象的哲学理论。它已经帮助我们将对某一对象的基本操作归类为创建、修改、访问和删除。其中创建、修改和删除都是会导致对象发生变更的操作;创建和删除是特殊的修改,是修改的两种极端,互为逆运算。
当一个对象因某种原因需要做出某种变更时,势必会带来一系列的衍生变更。例如,在CVE-2021-44228漏洞被发现时,一台服务器需要对log4j2进行升级,实施升级的人员需要重新安排自己的时间来完成新的工作,他要使用对应的工具和信息,遵循组件升级流程,执行升级记录。我们将这台服务器的变更称为一重变,那么该服务器的变更所涉及的人员、流程、工具、权限等相关对象的变更为二重变,以此类推。
我们想要尽量将这种变更的影响控制在一定范围内,有两种方式。第一种是将变更的衍生层次尽可能降到最低,让任何变更的影响止步在有限的范围。可以将末端对象设置为不可变更来实现,比如操作日志创建后只能访问和复制,不可对原始记录进行修改或删除。第二种是严格限制网络空间的边界,比如对生产网络和开发网络使用VLAN和网段划分等方式进行隔离,使用DMZ对特定网络设备进行隔离。
一切变化都是有原因的,在龙卷风吹走地上那片蒲公英的时候,蝴蝶拍动翅膀已经成为事实。同样,一个人在年轻时做出的重要选择和努力,会给自己的人生带来巨大的改变。
在《黄帝内经》中记载着“上医治未病,中医治欲病,下医治已病”的经典论述。这一医学理论在网络安全中同样适用。资深安全专家往往在没有安全风险时就做好了预防措施,不给恶意人员留任何机会;安全专家在发现潜在的安全风险时就及时采取行动,将安全风险降低到可接受的水平;安全人员却常常在安全事件发生后才启动应急响应流程,收拾烂摊子。
一个组织在提升员工安全意识的时候,也有三种层次。
第一种,组织看重员工的心理健康建设和长期安全意识的培养,会按照岗位职责和人员性格制定针对性的安全意识培养计划,从员工入职就开始将其作为工作内容的一部分。会从事物的本质出发,告诉员工安全的原则是什么,从而整体性提升员工在工作中的获得感、满足感和幸福感,其责任感、使命感和安全感则会自然而然地随之升高。他们会让员工认识到,安全是关乎自己和家人生活的重要主题,而不是公司强加的负担性任务。
第二种,组织只看重自身的安全水平,希望大部分员工有一定的网络安全知识,会制定相应的培训和考试。有些组织会实施网络安全事件演练,包括网络钓鱼和模拟攻击,旨在让员工了解遇到类似情况时应该如何应对。但是,由于某些组织的安全专业性有限,错误的安全知识培训往往会带来更恶劣的后果。比如,员工认为只需要检查邮件发件人地址确保是否为内部邮件即可判断安全,但如果内部账号被盗用或内部服务器系统权限被黑客获取,则会导致大面积的钓鱼成功和巨额损失。
第三种,组织管理者和决策者认为自身安全水平足够强健,对员工只做象征性的宣贯。宣贯的内容是几条看似实用但可能会改变一些人行为习惯的操作指南。员工接收到的是“这家组织并不看重员工安全意识”的信息,从而自身也不会在乎工作环境中的信息与网络安全。
显然,第一种组织更有可能将来自非专业安全人士的安全风险降到最低,第二种次之,第三种则可能会在层出不穷的安全事件中学到教训,从而晋升到第二种组织之列。
上医治未病,但只有少数人才明白这种低投入高回报的价值。更多人希望在发现潜在风险时出手,这样至少既可以证明自己的价值,又不至于陷入被动的境地。但很多人实际上仍然处于最后一种情况。
网络安全生态的改变,既在于所有人安全意识的提升,又在于安全专业人员专业能力的提升。当更多资源、人和组织投入在致力于将自己定位在“上医”和“中医”时,整体网络安全生态就会向良好的方向发展。
安全的变化是必然的,且持续的。根据熵增原理,这种变化在不加干预的情况下几乎必然地会带来风险的升高。那么,组织对安全变化的检测、度量和监控就显得非常重要了。系统、接口、人员、权限、时间可能都会影响安全状态,但每一种对象都有其对应的手段来监控和控制其变更的路径。
虽然人们希望一劳永逸,但显然变化才是常态。我们要保持现有的安全水平,就要尽量保证所有可识别、可控制的变更在发生前后保持同等程度或适当提升的安全性(可用性、机密性和完整性)。事物的复杂性往往不允许我们将单独的变更割裂开来,更多的是多种因素、多个角度、多次的变化,那么我们可以将一组变更看作一个单元,同样通过确保这一单元变更前后的安全性来保持安全水平。
“以不变应万变,也是一种以静制动的智慧。”
主动的变更当然是相对可控的,但对于安全而言,常常会有一些被动的变更。比如,当一个新的漏洞被发现时,原本可以打90分的安全信心分,一下子降至不及格。对于同一个系统而言,虽然什么都没做,但它的安全状态已经发生了巨大的变化。这个变化是漏洞发现时刻前后的信息差导致的,这个信息差的差势带来了安全性的流动,使风险迅速上升,同时,也带来了机会。
在面对千变万化的安全工作时,我们需要有对安全本质性原则的把握,来应对不可预知的事态发展。以不变应万变,在丰富的实践案例中总结通性的原理,运用恰当的原则去处理具体的事件。抛开自我约束,接纳不同观点,用更加长远的眼光和宽广的视角去看待问题。当达到一定高度的时候,我们可以参与甚至主导一些标准的制定,也可以通过提建议的方式推动网络空间安全相关法律的进化。
新的攻防技术在不断演化,新类型的病毒被不断开发,新的漏洞被不断发现,新的公司也在被创建,新的人员正在加入,新的法律正在被制定,新的媒体和内容正开始传播,新的资本正在被转化……每一个人都像一只蝴蝶,一举一动都在对网络安全生态造成影响。只有那些愿意且追求做“上医”的安全人,才能改变世界。
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东
刘志诚 杨文斌 孙琦 孙瑜 半藏咸鱼 肖文棣
2021首届诸子笔会
齐心抗疫 与你同在