谭晓生：大道至简 回归安全本质

“我们其实一直想‍‍找到一条网络安全里面的终极的真理，‍‍回到安全的本质，只要我把这个地方搞好就行了，但其实这个事儿非常之难。”

 

“业务的演进速度是非常重要的，我们在信息化的过程中，业务发展速度往往能够决定一个公司生死。‍‍如果带问题上线，那么可能就会死于信息安全的事故。‍‍但反过来，如果在信息安全投入过重，做的特别保守，那么在业务发展速度上可能会被竞争对手超过，照样也是死，‍‍对一个企业来讲死是没有区别的。”

 

“我们能看到网络安全现在越做越细，‍‍比如像做到API级细粒度管控，做到数据分类分级等等，‍‍但是这个真的是解决问题的终极之道吗？这样真的能够解决所有问题吗？‍‍我是要打很多问号的。”

——赛博英杰创始人谭晓生

 

日前，在由中关村网络安全与信息化产业联盟主办，指掌易科技承办的首届数字安全与信任高峰论坛上，赛博英杰创始人谭晓生出席大会，并围绕大会“数字业务 安全先行”的主题，分享了《大道至简，回归安全本质》的主题演讲。

 

在近30分钟的演讲中，谭校长详细的剖析了我国网络安全产业发展中不同阶段的不同特点，并分享了他对网络安全本质的理解，以及自身对网络安全产业未来发展趋势的研判和展望。安全419将相关干货演讲全文整理后分享给大家，与大家一同交流学习。

 

 

大家好，我是谭晓生。
 

我简单介绍一下近两年来我在做的一些工作，这两年多我一直在帮助一些网络安全创业者做创业规划，以及做一些产业研究。在我旗下有一个数说安全的产业研究机构，发过各种各样的网络安全产业研究报告，同时我个人也会做一些网络安全方面的投资。

 

接下来我先为大家分享一下网络安全的三个发展阶段，这个不是我发明的，是在2018年CCF计算机安全专委会年会上刘欣然讲到的，今天我分享给大家。

 

网络安全发展的第一阶段属于典型的CIA模型，‍‍它包含机密性、完整性和可能性，后来随着发展又在里面扩展出来了可控性和不可否认性。‍‍在这个模型里面它还是静态的来看信息安全，这个阶段主要针对的场景是防止信息窃取，‍‍防止篡改和防止对他的损毁。

 

这个阶段对应产生的一些早期的安全产品和技术如最早的终端安全、最早的防病毒等等。在这个时期主要的防护手段是对数据进行加密，如果攻击者拿不到密钥，那么就算他把加密的数据偷走了也没有用。因此只需要重点关注对于单机的损害，防止出现病毒传播等等情况就可以了，这些是我们最早期的一些产品。

 

但在信息安全产业发展的三个阶段里面，他们是相互包含的关系，也就是说，在后期的阶段，前期的这些产品、技术也仍然包含在内，所以到今天大家看各类信息安全产品，仍然会用到加密技术，而防病毒产品一直到现在也依然还有市场。

 

 

然后网络安全的发展进入到了第二个阶段，也就是叫做网络安全阶段。这个时候信息安全就已经由静态的防御变成了动态的防御、因为通过局域网、广域网，进攻者可以直接来接触到你被防护的对象，这时候其实防御的对象已经从点状防御拉成一道防线，由静态防御变成动态防御，这个时期出现的典型安全产品就是防火墙、WAF、IPS之类的产品。

 

那么到现在的话，我们处于叫做网络空间安全的阶段。网络空间安全是什么？它把网络空间和实体空间结合了起来。今天我们的车联网了，我们的智能化工厂也都联网了，这个时候我们要防护的对象已经不仅仅是计算机中的这些东西，而是它和现实业务结合之后产生的如工厂生产系统、油气运输管线等等这样的一个范畴，因此，这个阶段的网络安全管理变得更加复杂了。

 

当前我们所处的网络空间安全阶段有三个特性，第一个是技管融合，过去我们常说，业界公认网络安全管理是“三分技术、七分管理”，但这时候我们可以看到，技术其实已经不能彻底的解决安全问题了，必须要通过各种管理制度、管理手段来解决问题，技管融合。

 

第二个特性是虚实结合，‍‍这主要是因为我们今天的计算机技术已经变成了一种基础技术，大家知道，工厂的生产系统是由计算机系统来进行控制的，‍‍在过去，操作机器生产还需要一些现场组件，操作系统和网络也是不怎么连接的，但今天随着我们数字化转型的加速，我们为了提高生产效率，工业控制系统要和供应链连起来，他还要和企业ERP管理系统连接起来，和企业的办公系统连起来，通过和互联网的连接让上下游的生产链相结合。到这个时候其实他已经实现了虚实结合，比如说咱们今天的智能化驾驶的汽车，通过网络攻击实际上已经能够对正常行驶的企业造成各种各样的异常，这就是虚实结合的一个表现。

 

第三个是军民融合，‍‍军民融合是说在今天信息系统已经成为了军事打击的目标，针对电力系统的打击可能会导致社会混乱，同时病毒软件还能够通过互联网传播，向民用设施发起的攻击依然也能够触达军事目标。比如说像‍‍2010年的震网病毒，它的传播过程中就是通过民用目标，最后达到它的最终目标‍‍。

 

‍‍在去年的时候，‍‍中国计算机协会新任理事长梅宏院士在第一次主持开会的时候讲过，‍‍说我们的计算机行业过去吃了30年的红利，说他认为就是我们未来还能再吃30年，那么今后30年主要在哪里？主要在传统产业的数字化转型。

 

今天我们在讲数字化转型，其实去年新冠疫情加速了数字化转型，‍‍因为疫情的原因，我们不能面对面的坐在一起工作，远程办公使过去‍‍被封闭在一些特定的局域网络中间的应用，被迫通过互联网开放，这是一个原因。‍‍

 

第二个是人和人之间的接触变得很危险，‍‍这其实也进一步的促进了自动化生产线，比如说去年京东无人配送车的发展就又往前推进了一步，‍‍接下来我们可能要为人和人要尽可能少的接触的这样的一种‍‍生活和生产模式，需要做出一些改变。总而言之，数字化转型是一个大趋势，它还是无可避免的。‍

 

第二点我要分享的是，其实我们一直试图在思考网络安全的本质是什么，‍‍其实早在2016年419的讲话里面，习总书记就有了一个论述，‍‍网络安全它本质是对抗，‍‍是攻防两种力量的对决。

 

 

那么防御到现在都有什么样的手段？在防御的网络安全框架里面也有一个相应的模型，这个模型使用了IDPRR，分别是预测、检测、拦截、防护，然后响应‍‍和恢复。‍‍

 

第一个是预判‍‍，我需要对系统存在什么样的脆弱性去进行预判，要预测敌人会从什么地方打进来。‍‍第二个是我要检测，检测是否有人正在攻击我，是不是已经攻进来了。‍‍第三个是拦截，当然拦截只是第一步，能拦住要尽可能拦住，但是你也不能指望全部拦住，‍‍拦不住的时候怎么办？

 

于是我们有两种应对手段，第一个是叫欺骗防御，也就是说我给进攻者“挖坑”。‍像最近几年搞实网演习，就推动了蜜罐产品的兴起。蜜‍‍罐产品的作用其实第首先是帮你做检测，比如打到蜜罐里了，这肯定是攻击，因为蜜罐正常情况下不应该有人访问，‍其次是能在攻击者访问蜜罐的时候消耗他们的一部分精力。

 

还有一个应对手段是什么？是做溯源和反制。比如前两年的实网攻防演习中银行的攻击溯源效果就特别好，为什么呢？
 

因为攻击方需要拿着自己的银行卡去做测试，这个卡号一输到银行的客户系统里面，银行就能够知道这是哪个单位的人，叫什么名字。所以银行具备了信息优势，能够利用这个来做溯源反制。除了这个例子之外，近几年的失望演习里面还有很多通过其他的技术手段做溯源反制的，效果也都非常有效。溯源反制哪怕是在国际关系里面，如果能够拿出一个确凿证据说，发现了你们谁在攻击我的话，也能够在外交方面获得一定的筹码。

 

接下来咱们再来看针对脆弱性的防护，这些年的演化是什么样的？
 

在漏洞发现方面，比较早就出现了漏洞扫描器，这些年也一直有从事各种各样的漏洞挖掘的人，最早是大家手工去挖漏洞，到现在变成了自动化挖漏洞，‍‍用各种各样的发现工具，甚至现在把深度学习的技术用在漏洞挖掘上面。

 

再来看防止漏洞被利用方面，都有哪些方法。比如说大家都知道的要给漏洞打补丁，‍‍还有我们说对系统做加固，让你对漏洞的利用过程难以成功，‍‍后来针对Web漏洞有WAF，‍‍那么现在大家在谈安全左移，说开发的过程中才引入漏洞，‍‍那么我在开发的过程中用各种工具来支持你，尽早的去做扫描，尽早的去发现这个漏洞问题，然后尽早的进行修复。‍‍再有还需要‍‍安全意识教育，我对程序员，对我的系统使用人员去进行安全教育，让他们少去产生不安全的代码，‍‍以及让他们在操作过程中注意收到的邮件，不能随便点击里面的链接，然后如果发现有别人发钓鱼邮件，及时去进行组织通告等等。

 

在漏洞检测方面，则主要有蜜罐和现在的程序行为分析，最早的这样的这种漏洞的这种防范，它其实是靠特征的。‍‍那么在今天发现特征不是很有效之后，那么就变成了数据分析，比如说像 CrowdStrike ‍‍为什么能成为全世界市值最高的安全公司之一？因为它能够收集在客户端里面、在终端里面‍‍程序的行为，再通过大数据分析，帮你发现某个程序的执行异常，‍‍这样它其实超出了过去的终端安全管控的能力范围。

 

这些是针对脆弱性方面的一些玩法。‍‍

 

在脆弱性方面的挑战有哪些？首先是说系统总有现在没有发现的漏洞，有未知漏洞。此外有些系统它没有补丁，像Win XP、Win7，他没有补丁，还有的系统没法打补丁，这些系统7x24小时都在运转，‍‍如果打补丁就需要重启，重启的过程中业务要中断。此外还有人员带来的挑战，所谓社会工程学攻击就说明人是极不可靠的。

‍

现在这个应对的方法是什么呢，一个是在漏洞的利用过程中做检测，第二个是现在提出来要智能化的漏洞管理，‍‍再有现在漏洞不能是说再告诉用户你遇到漏洞就一定要打补丁了，你要考虑到不能打补丁‍‍的情况下该怎么办？

 

比如在防火墙上设一个特点，设一些策略，或者在终端再安装一些加固的软件，能让它漏洞又难以成功。‍‍还有一个是漏洞管理的社区化，用社区用群众的力量，‍‍然后告诉群众一些漏洞到底该怎么样进行处置。‍最后‍我们还要对于全民去进行网络安全意识教育，对于开发者、对于系统使用者要做安全的教育。‍‍
 

然后我们再来聊聊主要针对身份欺骗的攻击，身份欺骗主是密码强度管理问题。在早些年我在360工作的时候就规定，‍‍全员的密码必须是15位及以上的密码，半年至少更新一次，虽然我也知道这个事儿它执行起来其实很困难，‍‍但还是要强制的就是做这样的策略。

 

还有就在防护的方面，针对于身份欺骗的防护，有各种各样身份管理系统，多因子认证，权限的管理系统以及在这两年特别流行的零信任，还有针对行为的UEBA等等。‍‍

 

那么对于身份欺骗的挑战在哪里？
 

首先来说，密码本身是违背人性的，‍‍诸位真的要求你们用15位及以上的复杂密码6个月改一次，‍‍过上两年你就会发现你脑子里能想到的密码就开始产生混乱了。‍‍我自己作为一个用户，我觉得复杂的密码其实也是一件让我很痛苦的一件事情。‍

 

‍第二个是存在有安全性与便利性之间的矛盾，‍‍你的身份验证过程一旦变得很复杂，它对业务一定会产生影响，这时候应对的策略是什么？第一个密码强度的管理，‍‍第二个会采用各种各样的硬件的密码设备，比如过去用的硬KEY，还有生物特征，比如咱们‍‍公安系统的一些访问，你必须是用指纹，或者说再有其他生物验证的这样的一种特征。

 

‍‍还有基于风险的身份管理、‍‍泄露身份信息监测，微隔离， UEBA、零信任等等，这都是对付身份欺骗的一些新的方法。‍‍

 

 

最后跟大家讲几点关于现阶段网络安全防御思想的思考，这个是一点不成熟的考虑，我们其实一直想找到一条网络安全里面的终极的真理，回到安全的本质，只要我把这个地方搞好就行了，但其实这个事儿非常之难。‍‍而且网络安全的细分领域是越来越碎片化，‍‍到今年数说安全做的网络安全全景图，我们给它分成了13个大类81小类的产品，‍‍而且看起来这种小的类别还可能会变得更多，‍‍要想从中抽丝剥茧出来一条或者两条甚至三条发展趋势是非常困难的，我尽可能的去抽一下跟大家分享。

 

 

‍但是今天‍‍我们面对的是云计算，‍‍他把企业应用的边界打得很碎，有很多企业往往他已经开始用多云，‍‍它有办公网，然后有多云的应用，此外呢用户使用的终端也越来越复杂。‍‍

 

拿指掌易举例来说，他其实做的是终端安全这方面的事情，为什么会做终端产品？‍‍因为现在企业越来越多的允许‍‍员工在手机上面、在PAD上面去来执行工作，而且他的工作地点也不见得就在办公室，可能是在出差期间，也可能在工厂的‍‍实施现场，最终的网络的边缘其实是泛化的。

 

那么这个时候对抗的方法是什么呢？其实就是在时间粒度和空间粒度上管得更细了。

 

‍‍现在比如说云计算里面最流行的容器，容器也带来了一个问题，‍‍它让一个程序运行的生命周期变得很短。过去物理机的时候你买一台物理机，这几年这台机器都属于你，‍‍到了云计算的时候可能变成了几天、几个小时这个机器属于你，现在到了容器时期，一上来就是多少秒多少毫秒，你跑了一遍之后‍‍这些资源就消失了。‍所以这时候我们要管控的对象时间粒度就变得很细很细。‍‍

 

进一步举例来说，过去的时候我们是要管好每一个应用，但现在也不行了，昨天我们在北京参加了星阑科技的一场讲‍‍API安全的会，侧面说明其实现在的管控力度就已经管控到每一个API的级别，‍‍已经细到了这样的管控粒度。‍‍

 

当然我们既然说细粒度管控，那么就需要有一些技术上的支持。首先你得能看到、能收集到这样细粒度的信息，第二你得有能力能算得过来，‍‍在今天算力的提升和网络的进步，技术的本身的绝对进步下，使我们能够看到更细节的这样的一个信息。此外就是在今天的算法今天的‍‍算力条件下，能够算得过来，这样才能够提供决策能力。

 

比如零信任的要素微隔离，‍‍微隔离你最终的实现是什么？正是今天SDN技术的成熟，‍‍使你能够比较方便的能控制到这样细粒度的工作单元。还有对于身份的管控，UEBA等等技术，也是因为今天我们的算力算法，‍‍能够在足够短的时间之内算出来这个人他的身份风险等等。‍‍

 

 

业务的演进速度还是非常重要的，我们在信息化、网络化的过程之中，业务发展速度往往能够决定一个公司生死，‍‍如果你带问题的上线，你可能就会死于你的信息安全的事故。‍‍但反过来，如果你在信息安全投入过重，你做的特别保守，那么在业务发展速度上可能就会被竞争对手超过了，照样也是死，‍‍对一个企业来讲死是没有区别的。

 

‍‍那么企业最后往往会选择一个比较激进的前进的道路，先把业务做起来，先获得用户，然后我还有一定的概率不出信息安全事故，在我光脚的时候尽可能又快又好，‍‍然后当我穿上鞋子的时候，我再去管信息安全这方面的事情。

 

其实在前几年的时候，Gartner提出国一个动态评估的自适应安全架构的模型，在今天流行的DevSecOps，其实是把开发运维和安全这几个事缠到一个流程里面，‍‍他和Gartner提出的自适应安全架构之间是有密切的联系的。‍‍所以今天我们看到DevSecOps这样的公司也在兴起，也就是说我们在今后的很长时间之内，还是在发展速度和安全之间是不得不去做一个平衡的。

 

 

其实在几年前我就说安全即服务一定会兴起，‍‍教职委曾经给过一个数字，说中国的网络安全人才缺口是140万，后来第二年又说是150万，我在想我们要怎么才能够培养出来这么多的安全人员？我们简单计算一下，一年全国各大院校能够培养出来的只有几万人，再加上民间培养出来的几万人，一年加起来也就是10万人左右，这样的话按照需求量我们得培养十几年，还得假设没人退休，这时候你安全人员缺口才可能填补上，‍‍显然这既不可实现也不经济。‍‍

 

过去我搞了好多年安全教育相关的工作，‍‍安全人员不是咱们抓一个学计算机的人，他来培养一下就能成为一个安全工程师，‍‍安全研究人员他需要一些特定的思维方式，我觉得在人群中间它属于稀缺的少数。

 

另外我们本身我们搞安全是为了做信息化，那么如果我们搞了那么多人都来做安全，某种程度上其实也是额外开销。

 

我觉得是就像云计算一样的，最终应该是通过我们培养出来的少数安全专家，让他们通过集中化的服务帮助中小企业，让他们‍‍能够在不配备安全人员，只购买安全服务就达到一定的安全水准，这个才是可行的解决之道。今天我们也看到安全即服务逐渐开始流行，在今年‍‍各个安全上市公司的年报里面，就是看到他们在MSS、MDR之类这种业务上加大了投入，‍‍这是一个进步，也是对网络安全人才缺口大的问题的一个解法。

 

对于大企业们来说，他们一定还会有自己的安全团队，‍‍打造自己的安全防线，但对于更加广大的中小企业们来说，最终是应该通过安全服务来解决自己的安全问题。‍

 

最后我要分享的一点趋势是网络安全的融合。这一点，我们可以从中医和西医在对付新冠病毒的这个事情上的差异性来谈。

 

‍‍西医是怎么做？在过去这么多年的研究中，每出现一种新冠病毒，他们就去研究病毒的工作机制是什么样的，是哪种蛋白质在起作用，然后针对性的做疫苗，做杀灭病毒的药物。

 

我有一个朋友就是做抗病毒药，10多年来我每次去硅谷去他们家玩，他跟我讲医学上面的进步，我确实能看到十几年他的进步，他们从蛋白质的折叠，那么这个过程中用了某个药物之后变成另外一种蛋白，‍‍然后再怎么样变化等等，这个过程中间能看到进步，但是我也能看到他的绝望。‍‍

 

比如说对治疗癌症，西医生产了一种药物，然后病毒的基因会产生变异，变异后他们又得跟着再去做药，然后‍‍一直往复。这个过程什么时候是个头？这是他们遇到的问题。

 

再回到咱们网络安全这个话题，我们能看到网络安全越做越细，‍‍往各个细分领域去发展，比如像做到API级细粒度管控，做到数据分类分级等等，‍‍但是这个真的是解决问题的终极之道吗？但真的能够解决所有问题吗？‍‍我是要打很多问号的。

 

 

‍‍第二种做法其实就像中药的方案，就像这次抗疫的时候，中药的作用直接能杀完病毒吗？不是，‍‍它其实是从人的一个整体出发考虑，去调整调节人的免疫力，让人体自身强大起来。

 

‍‍这就像企业的业务安全，比如说在去年的时候，某个数字币交易所‍‍遭到APT攻击，攻击者用了8个月时间攻破了这个数据交易所的办公统，通过办公系统最终又上到了他的代码服务器，把代码篡改了，‍‍到这时候按说这个交易所应该已经完蛋了对吧？但最终他们想偷数字币出去的时候却没有成功，为什么？‍‍因为他的业务风控策略起了作用！

 

 

‍‍今年RSA峰会的主题词是“resilience”，这个词是韧性，‍‍韧性是什么？‍‍就是说就像竹子一样，‍‍可以允许它有一定的折弯，也就是说对于一个信息系统来说，我可能允许‍‍在一定程度上被攻破，但最后不要让我们的系统崩溃掉，或者说造成其他重大的损失，‍‍我能够容忍你们这个攻击。‍‍

 

那么这样的话就是一个解决之道，这也就是网络安全和业务安全的融合。‍‍在业务流程方面，他如果能考虑到网络安全的问题，能够具有一定的容忍性，‍‍能够去避免最坏的事情发生，以及检测到攻击的行为。

 

‍‍最终是做展望，我觉得我们安全的发展方向就是往两端走，一个是在攻防的细节上会越来越细，‍‍这里面一个是我们的技术手段有了更细的信息采集能力，有了更快的计算能力，有了‍‍更聪明的模型，能够去进行更细节的对抗，但是不要去迷恋细节的对抗，细节的对抗会让你迷失掉对整体方向上的把握。

 

第二个方向我认为应该会向上扩展到业务‍‍层面，因为我们网络安全最终的防护对象是业务。其实也一直有一个争论持续到今天还没有定论，说我们网络安全是不是会是一个独立的产业？将来会不会是在信息化在数字化的过程之中，我们仍然还是一个属性？其实我觉得如果网络安全和业务安全能够做融合，肯定会是一个更好的答案。

 

这是我今天分享的观点，谢谢大家。‍