诸子笔会2022 | 王忠惠:安全验证就是一种祛魅
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
安全验证就是一种祛魅
安全验证就是一种祛魅
文 | 王忠惠
王忠惠
上海千寻位置网络有限公司 安全专家
信息安全专业硕士,10年以上网络攻防经历;曾多次规划组织部级前沿网络攻防项目;现带领团队围绕服务、应用和IoT,建设软件安全能力和网络防护能力所需的产品、技术和平台。
网络空间安全所容纳的概念不仅包括安全与隐私,也包括经济、军事、社会、文化等方面的内容,因此造就了安全领域的概念和热点持续变换的事实。虽然数据安全与隐私保护是近年来的热门话题,但对于企业而言,站在网络攻防对抗和企业安全防御角度,网络安全和应用安全更具备系统性,网络安全结果好坏也更为透明和更可衡量。尤其在众多互联网企业开始有规模地组织业务蓝军,持续开展安全工作效果的自我验证,已逐渐在应用安全、数据安全、业务安全和应急响应等安全领域形成了有体系、有实操的祛魅工作。
祛魅指对于科学和知识的神秘性、神圣性、魅惑力的消解。安全验证就是对安全防护效果的结果检验和过程衡量,是企业重新审视自己安全防御能力,甚至合作伙伴保障能力的过程。安全验证工作就是对于防护能力效果中不确定风险的消解,主要包括安全合规工作的有效性、应用安全工作的有效性、数据安全工作的有效性以及安全产品使用的有效性等内容。通过安全验证工作去避免安全分工各方以及安全合作伙伴在遇到风险事件前自圆其说,但又在出现风险事件后相互推诿的情况。
例如:应用安全团队如果既要负责通过研发安全消除漏洞,又要引入外部白帽子扩大漏洞发现,以及数据安全团队既要负责增强数据防护手段,又要负责发现内部数据泄露线索,都属于典型的自我结果矛盾的自洽过程。其前后结果事实上是难以衡量的,会出现前后结果无论哪方面做得好或不好都认为整体做得好的局面。此类情况由于缺乏彼此之间的相互验证而违背了安全验证的理念,对于企业安全工作而言就陷入风险有无的不确定性。
安全团队内自我结果矛盾的自洽过程看似内部团队和谐、外部合作融洽,其实是一个缺乏活力过程,是一个让我们自身进入舒适区的现象的熵增过程。在这样一个封闭的系统中熵增是不可逆且永不为负的,这样的系统结构会愈加紊乱,最后趋于“极大熵”的平衡态。要避免安全工作陷入自圆其说和被动成长的局面,需要主动打破那些自洽的人员组织和活动方式,与人性中舒适和贪婪对抗,运用安全验证去打破“平衡”,通过建立安全分工下的追踪验证过程,让安全分工各方建立开放的系统和思维方法,不断从他处获得自身安全域成长的能量和动力,远离舒适圈,脱离平衡态,最终实现个人和团队的能力成长和工作创新。祛魅是逆人性的过程,而安全验证工作就是安全团队实践熵减思维的最佳方法论。
安全验证工作包括哪些内容,以及如何组织开展;除了避免让团队成员陷入舒适区外,还有哪些目的性的内容是需要关注的。笔者看来,无论是部门负责人,还是团队成员,都有责任集体思考安全验证工作的管理成效是什么,安全工作为何要祛魅。以下内容为本人些许思考过程。
承认失败比宣扬成果更难,就像要去承认没有一个安全体系成功过,对擅长体系合规建设的同行,内心总是矛盾的。安全体系发展至今,每轮体系概念的演进无一不是证明前面体系的残缺,同时也包括现在最新的安全体系并非完好的,面对一套已成型的方法论和合规标准,从业人员对待一个已成熟掌握并熟练应用的安全体系要避免抱残守缺,需要自我持续的思考、推演和修正。在零信任概念里面,前两年的ZTNA 1.0尚未得到应用落地,ZTNA 2.0已经带着解决1.0众多缺点的目的裹挟而来。而我相信,在不久的将来,可以继续有3.0、4.0,甚至5.0。等级保护2.0比1.0容纳更多的技术内容和安全要求,关注了更多的风险面,却同样也是站在历史的今天去看未来。
今年全球网络安全行业盛会RSAC的主题是Transform(“转型”),被认为是去年主题(Resilience,弹性)的延伸和拓展。从弹性到转型,RSAC的主题变化透露出网络安全产业的持续变革。在网络安全威胁态势方面,5大网络安全威胁分别为:网络犯罪、黑客、内部威胁、国家威胁、内部误操作。显然,其中有部分是现有的安全体系和合规标准没有覆盖到的,但不变的是,业界在寻求新的架构以弥补体系实践中发现的不足。安全防御结果暴露的种种未解决的问题,帮助我们反思理论与实践的关系,并通过类似RSAC级别的跨行业交流引入新的体系化的组织和方法。这些结论和共识来之不易,将来也会作为新体系下的实践范式。
应用安全有一套比较成熟的实践理论就是SDL,近年来的形态是DevSecOps。为了尽早地收敛系统漏洞,减少数据泄露,其朴素的思想就是回到软件本源,通过编码安全实现漏洞消解,并内置安全功能提高入侵防御能力。尤其,随着互联网技术的不断迭代更新,信息安全领域的内涵也在不断发展,以SDL为代表的研发安全的地位愈加凸显。
从在运营一套软件系统时配备安全产品,以漏洞防御和攻击阻断的方式减少攻击;到实现具备安全能力的软件,从而减少漏洞代码,使得应用不具备外部入侵点,甚至实现端云协同下的联动防御。对待漏洞威胁采用更加积极的前置防御思想,是在系统规模性和软件修复成本居高不下的情境下的一种显性措施。
安全前置的的优势自然显而易见,更系统化、更全面,但更系统更全面自然需要花费更多的时间,整体执行周期长,同时要求在各个阶段都要有安全动作,操作复杂性高,要求安全覆盖度更高。同时,前置意味着需要具备更多的风险识别手段和研发安全工具,需要的确定性能力要求也更高。
当前研发安全设计过程中的3大安全支柱是业务功能安全、用户账号安全以及数据存储安全(加解密和掩码)。分别在研发流程的威胁建模、需求评审、安全设计和开发实现环节进行充分地应用,并配合安全测试checklist和专家级渗透测试等活动,保证安全设计的充分引入和完整实现。然而再高超的DevSecOps自动化流程线也无法完全消解业务功能的漏洞和未知0-day攻击。
近年来,随着云计算被普遍运用,微服务等基础架构的成熟,以容器安全、API安全和组件安全为代表的技术手段应用,对于通过SDL收敛漏洞起到新的增强,相信不久将来,相关实践范式将是SDL活动的标配。
从数据分类分级到数据生命周期安全,再到数据安全治理,数据安全的管理理念确实在持续升级。在数据脱敏、数据加解密以及访问控制、权限管理等传统应用安全技术手段的应用,确实给数据安全落地找到了些许方向。但面对数据共享使用以及内部人泄露等问题时,按照数据安全的管控措施要求响应的技术手段又显得捉襟见肘。
客观讲,任何商业活动和国家活动都需要尽可能充分全面地掌握数据,并从中挖掘商业价值和国家情报。当前的数据分类分级活动以及个人隐私保护,确实给数据安全工作带来了强心剂。但面对即使存在数据分类分级工具,人工运营繁重和数据识别丢失等问题时,数据安全管理工作的挑战仍是不小。更何况数据作为生产要素如何全面使用,其中的安全挑战又是哪些,更需要从业人员的长期实践。
总体来看,数据安全如果重管控而轻视数据使用安全,数据安全就会存在发展局限。数据安全活动不能违背最终的数据价值,时下的同态加密和隐私计算能够给数据安全使用带来蓬勃的空间,还有待长期观察和验证。
在云计算时代,安全最大的便利就是安全能力触手可得。相比以往需要人工整理各种琐碎的资产清单,如今网络、主机、应用、组件、补丁等信息,门类全面、触手可得。表面上,我们拥有了更好的安全防御产品和更强大的运营能力,但是在面对规模性系统时,以及完全不确定的n-day攻击时,安全团队仍旧会陷入无效防护的状态中。
国家网络攻防演练行动的难度已经逐渐加大,浅层次的问题大家都很容易发现并处置,但是结构性问题却很难消解。通过攻击验证,发现某些安全产品的防护是失效的,甚至安全产品自身就是攻击入口。安全运营时所需要的威胁发现能力,大体仍旧建立在已知威胁发现和人工研判的基础之上,所谓的全面感知在0-day攻击之下,几乎就是全面眼瞎。
一方面,运营效果的好坏是衡量应用安全、数据安全和安全产品的最终标准;另一方面,在攻防之下,安全运营的能力缺陷会得到充分的暴露。此时,安全验证就是最好的衡量手段。
总体来讲,之所以如此看重安全验证工作,是为了前后工作环节能够彼此发现不足和缺陷,不仅避免了单一环节缺乏效果衡量的问题,又最终达到整体大于局部之和的目的。
【8月主题:红与蓝】
刘志诚
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在