破局政企客戶網絡安全困境,安全雲服務大有乾坤

2020-12-03 網易新聞

華為安全產品領域總裁 宋端智

不久前,和國內某頭部機場客戶高層會面時,對方對機場當前網絡安全現狀憂心忡忡,提出了很多具體的問題,希望華為能夠幫助他們建立一套安全體系,徹底地解決安全問題。我竊喜生意來了,毫不含糊地答應下來。

這類交流場景日漸普遍,讓我感受到越來越多客戶高層對網絡安全的關心和重視,同時更感受到了他們的擔心和焦慮。面對這個現象,從事網絡安全產業的我理應開心,但其實內心極度不安:且不說管理、制度、流程、員工意識等非技術方面的因素對客戶安全建設效果的影響,僅就技術、產品、服務等相對可控的因素而言,大部分客戶在非常有限的預算下,如何才能「徹底地解決安全問題」呢?

不可持續的網絡安全建設困境

大部分國內企事業單位的網絡安全的現狀是不容樂觀的,這一點從這幾年相關部門組織的全國性實戰攻防演練行動可以看出來。雖然每次攻防演練都有一部分單位「倖存」下來沒有被拿下標靶,但我們要認識到這背後所付出的有些「努力」是不可持續的:

首先,業務影響的不可持續:很多單位為了應對攻防演練,在演練期間通過拔網線等神操作將很多網際網路業務下線,不僅本單位員工的正常工作受到影響,所服務用戶也無法正常辦理業務。這類神操作日常不可能落地。

其次,投入的不可持續:攻防演練期間,除了調動單位內部的員工外,還通過各種方式招募了大量的安服人員,有些是每天花費上萬元短期租借的,有些是從安全廠商臨時借調的。這麼多人員的投入在日常是不可持續的。

這幾年國家組織的實戰攻防演練價值很大,大幅度提升了各個單位對網絡安全的重視程度,也一定程度上促進了安全體系的建設。然而大部分企事業單位臨陣磨槍倉促應戰的這種應對方式並不理想。如何才能變「應試教育」為功夫在平時的「素質教育」方式呢?

從網絡安全建設和日常運營水平這個角度來說,我們可以粗略地將國內企事業單位分為三大類:

第一類高水平的單位數量不多,全國不超過100家,主要包括BAT這類網際網路大廠、五大行、頭部的股份制銀行、華為等。這類單位對安全的重視是自發的,業務驅動的。安全方面投入大、能力強,安全體系的建設主要以我為主,安全廠商、服務商是配角,提供一些產品和外包安服人員。這類單位可以相對輕鬆地應對常規的網絡安全事件,實戰攻防演練過程中也表現的最為淡定。投入大,不僅僅是指購買安全產品、方案、服務,更大的投入是維持一支專門的安全團隊。團隊中的高端安全人才一個人一年的收入就可能達到數百萬,堪比某些大型單位在安全方面全年的預算。這類企業有點像舊時代的巨富,自己僱傭了不少武林高手看家護院,保護自己的安全。這種方式其他人只能羨慕無法模仿。

第二類中等水平的單位大量存在,數量以萬計,包括大部分大型和部分中型企事業單位,比如地市級以上政府委辦局,大型製造型企業、高速公路集團、地鐵、大型醫院、高等院校等。開篇提到的某機場也屬於此類範疇。這類單位每年一般有上百萬到千萬不等的安全預算,有一個很小的網絡安全部門或至少有一個人對網絡安全負責任。他們的安全投資以合規驅動為主,依靠安全廠商或集成商進行建設,從廠商或服務商那裡買一些駐場服務,整體安全建設和運維水平無法令人放心。非攻防演練期間,可能輕易就被普通水平的黑客攻陷;攻防演練期間,通過「不可持續」的努力防守有可能涉險過關,但大概率還是會被攻陷。

第三類網絡安全建設和運營水平較低的單位普遍存在,數量以百萬計,幾乎包括所有的小型和大部分中型企事業單位,比如非三甲醫院、普通中小學、一般的製造企業、縣級政府單位等。這類單位在安全上或基本沒有投資,或每年幾十萬以下,沒有專門的安全負責人,也買不起駐場安服人員,即使曾經投資了基本的安全建設,也由於設備過於專業,沒人持續運維而無法發揮作用。針對這一類單位,一個具有傳染性的普通病毒,比如勒索軟體就有可能導致整個信息系統不可用。

後兩類單位的確需要改進,然而客觀地說,我們不能要求他們在投入有限的情況下向第一類單位看齊,奢侈的豪華配置是無法推廣到這些單位的。在當前的安全建設思路下,他們陷入進退維谷的境地:一方面是各種法律、制度、責任、攻防演練、安全事件帶來的壓力讓其不得不想辦法應對,想找到一個有奇效的藥方解決網絡安全問題;另一方面業界不斷湧現的各種網絡安全新理念、新技術顯得遙不可及難以落地,安全廠商、服務商開出的各種靈丹妙藥好像都不對症,至少在自己可獲得的預算前提下解決不了關鍵問題。

這兩類單位到底應該採用什麼樣的網絡安全建設思路才能在有限的預算下解決問題呢?作為經常用APT、有組織的高級黑客等潛在威脅來「嚇唬」這類客戶、 「忽悠」他們花錢採購自家安全產品和服務的安全廠商,我們更應該思考這個問題,否則這個產業很難進入一個良性的狀態。

網絡空間環境的破窗理論

有一個社會安全的治理案例可拿來參考。在1994年之前,紐約的犯罪率居高不下,過去多年紐約市警察局採用各種措施都不見成效,許多社區、地鐵站很不太平,惡性刑事案件頻發。新上任的警察局長是從交通警察局長崗位上提拔的,他把自己過去4年在地鐵治安秩序治理的思路引入到紐約市治安治理中。在地鐵治安治理過程中,他從以前沒人管的地鐵塗鴉和逃票開始治理。以逃票為例,過去紐約地鐵逃票成風,警察基本視而不見,抓住逃票者也只是訓斥教育。該局長上任後要求每個逃票者都必須接受盤問,後來發現1/7的被捕者曾經有過刑事拘留記錄,5%的人隨身攜帶武器。這樣一來,警察們很快就不再懷疑打擊逃票現象的重要意義了。在該警察局長的新策略下,紐約市的犯罪率神奇地急速下降,就像地鐵系統曾經經歷的情況一樣。

從地鐵塗鴉和逃票這種輕度違規行為開始治理,帶來整個城市的犯罪率下降,這背後的邏輯是什麼?答案其實挺簡單,就是著名的「破窗理論」:如果一個窗戶被打破了,過了很久也沒有人來把它修好,行人就會以此推斷,這是個沒人管理的地方。很快,就會有更多的窗戶被打破,然後無政府主義就開始從這幢樓向相鄰的街道蔓延。如果某個區域原本不是倒垃圾的地方,有人扔了一些垃圾在那裡,其他人看到後很可能將手中的垃圾扔在同一個地方,如果一直沒人清理,最終可能演變成垃圾堆。秩序井然的社會和秩序混亂的社會相比,哪一個犯罪率更高?答案是顯而易見的。

回到網絡安全的話題。對於上文提到的後兩類企事業單位來說,他們當前的網絡空間就如同1994年之前的紐約城,塗鴉和逃票這類輕微違規行為大量存在。比如大量主機作業系統和軟體版本老舊,漏洞很多。大量機器潛伏著木馬或其他病毒,或成為肉雞,或被用於挖礦。我們強調黑客攻擊,強調APT,其環境如此混亂,這類高級威脅一定更容易發生和得手。誰敢肯定某臺已成為肉雞的機器不是APT攻擊的一個關鍵環節呢?

對於這些企事業單位來說,首先應該從諸如打補丁、堵漏洞、排查肉雞、處置簡單攻擊事件等這類基礎網絡安全治理工作開始,而不是一上來就處理高級威脅。基礎工作做好了,高級威脅發生的概率一定也隨之下降。換句話講,在底子還比較薄時,網絡安全建設的首要目標不是如何防住潛在的高級攻擊,而是要以解決日常安全基礎問題、淨化網絡空間環境為主。

網絡空間安全治理需要專業安全服務

即便如此,「解決日常安全基礎問題、淨化網絡空間環境」仍然屬於專業性很強的工作。一般情況下,至少需要部署一套比較完整的安全方案(邊界防護、終端安全、漏洞掃描,甚至資產管理、態勢感知、SOC等等),並且還要有人在日常進行持續的運營,否則這些方案很可能成為擺設。這些投入,特別是持續運營的人員投入,不僅預算少的第三類單位難以承受,對預算稍微寬鬆的第二類單位來說也是很大的負擔。很多單位購買了安服人員駐場但對服務效果並不滿意:我花了每人30萬元一年買了幾個駐場,為何這些人水平這麼低,還經常換人?30萬元聽起來不少,然而去掉五險一金和管理開銷,駐場人員的工資可能只有幾千元。這個工資到哪裡去找就業大熱門的專業安全人員?即使找到幾個素質不錯的進步快的新手,有了經驗後很快也會被更高的工資吸引並跑掉。這種基於人的安全服務,經常出現買賣雙方都不滿意的情況:甲方抱怨服務質量不好,乙方抱怨賺不到錢,並指望通過別的方式把錢賺回來,於是陷入了一種不健康的狀態。

過去,有一定規模的企事業單位大多有自己的保衛處,保衛處行使一定的治安治理專業職能,單位的社會治安某種程度上依靠保衛處的維持。隨著社會的演進,這類專業職能基本上從單位自身剝離出來,由公安來承接。一方面因為保衛處的專業性和能力有限,另一方面單位自己維護一個保衛處負擔也很重。現在,大部分單位已經不存在這種部門,即使會通過外包的方式僱一些保安(有點像駐場安服人員),保安的職能也不再和治安治理掛鈎,更多的是承擔基本秩序的維持職能。

對於網絡空間安全來說,未來發展路線是類似的:大部分企事業單位的網絡空間安全治理職能主要由專業組織承擔,那些擁有強大的專業安全隊伍的第一類單位除外。預算不多的情況下靠僱傭幾名不入流的江湖角色來對抗潛在的武林高手並不現實。

而這個「專業組織」會是誰呢?基於網絡空間的特殊性,這個「專業組織」應是社會化的提供安全服務的組織,比如專業安全服務提供商。第二類和第三類單位通過購買服務的方式解決自己的安全問題。如同過去很多單位擁有自己的學校、醫院,而現在基本全部剝離,教育、醫療問題通過購買服務解決。

讀者可能會說,現在好像很多單位正在通過購買服務的方式來解決網絡安全問題。然而購買「服務」的方式和現在主要依靠駐場服務的方式有很大的區別。教育、醫療服務不是依靠人員駐場到單位現場教學和治療來完成的。這些社會化的服務資源並不在本地,而是按需購買。這聽起來是不是有點耳熟?資源在雲端,按需購買,是「雲服務」的典型特徵。只有這樣才能有效提升服務效率,才有可能用有限的預算真正解決網絡安全問題。

安全雲服務是破局之道

說到「雲服務」,大家一定會聯想到公有雲。公有雲的出現有效地提升了IT資源的利用效率,正在逐步替代大量本地的IT系統,這個趨勢目前已經沒有人質疑。但公有雲並非全部,未來必然有大量IT資源處於公有雲之外。這些資源不僅僅包括私有雲,還包括辦公網、城市物聯網、工業網際網路等等,沒有這些無法組成完整的網絡空間(下文用「線下」來統稱這類網絡空間)。

頭部的公有雲運營商(如AWS、Azure、阿里雲、華為雲等)擁有強大的安全專業能力和隊伍,並通過某種方式給雲上的租戶提供各種專業的安全雲服務。對於公有雲上的租戶來說,通過購買雲服務的方式解決其網絡空間基礎的安全問題是他們的最佳選擇。

針對線下的網絡安全問題,有沒有合適的「雲服務」方案可以解決呢?

目前已經有一些可以面向線下客戶提供的安全SaaS雲服務,比如雲WAF、雲抗D、雲漏掃等。然而由於技術上的限制,這些雲服務主要以防護Web網站為主,能夠解決的安全問題非常有限。

此外,也有一些安全廠家為客戶提供線下安全設備的雲端管理服務,某種程度上這也屬於「雲服務」。但這種雲服務所提供的價值也是有限的:主要是將本地設備管理能力放到雲端,減少本地部署的代價,並不能通過雲端提供更多的安全服務。

那麼,到底有沒有真正可以解決客戶線下網絡安全問題的雲服務方式呢?答案很快將揭曉,12月18日,華為將正式發布經過過去一年半醞釀、探索、實踐的針對線下客戶的創新的網絡安全雲服務業務,幫助第二類和第三類企事業單位破局安全困境。請大家關注。

(原標題:破局政企客戶網絡安全困境,安全雲服務大有乾坤)

(責任編輯:陳體強_NB6485)

相關焦點

  • 華為宋端智:破局政企客戶網絡安全困境,安全雲服務大有乾坤
    且不說管理、制度、流程、員工意識等非技術方面的因素對客戶安全建設效果的影響,僅就技術、產品、服務等相對可控的因素而言,大部分客戶在非常有限的預算下,如何才能「徹底地解決安全問題」呢?  一、不可持續的網絡安全建設困境  大部分國內企事業單位的網絡安全的現狀是不容樂觀的,這一點從這幾年相關部門組織的全國性實戰攻防演練行動可以看出來。
  • 疫情加劇雲時代安全危機 網安巨頭三六零加碼政企安全應對
    安全調研機構Acronis近日報告稱,因缺乏雲專業知識、端點控制,亞太地區公司更易遭網絡攻擊,引發關注。  360雲安全研究院副院長、高級網絡安全研究員魏小強指出,遠程辦公是一個典型雲應用場景,因網絡攻擊面大等特點,存在諸多安全風險。實際上,這種「雲威脅」不僅局限亞太,在全民開啟遠程辦公之旅時,儼然已成為全球性挑戰。
  • 【觀察】中國電子云:為政企數位化轉型而生,安全為先築牢轉型底座
    作為中國電子自主技術的「匠心巨作」,同時也是「中國架構」安全為先的最佳實踐,中國電子云明確定位為「為政企數位化轉型而生」,今後將為政府機構、公共服務、央企國企專屬打造新一代數字經濟基礎設施。那麼,中國電子云為何此時宣布強勢入局政企市場?它的到來會加速政企數位化轉型的步伐,並重構中國雲市場的格局嗎?
  • 中國電子云CTO常慧鋒:安全是中國電子云的天然基因
    中國工程院院士譚建榮、國家工業信息安全發展研究中心副主任何小龍等出席當日活動。中國電子云副總裁、CTO常慧鋒發表以「安全為先 擎動數智創變,雲數引領 共建數字中國」為題的主題演講,就中國電子云基於其安全架構,服務政企行業數字轉型的理念與實踐進行了闡述。
  • 重慶電信發布新一代政企OTN精品光網 具備6大突出特性
    重慶市通管局局長蔡立志,市網信辦副主任吳勇軍,重慶市大數據局副局長楊帆,中國電信重慶公司總經理李秀林、副總經理尹遠,華為公司傳送與接入產品線副總裁黃志勇,以及各界嘉賓出席了發布會。  據中國電信重慶公司總經理李秀林介紹,此次中國電信針對政企客戶對高品質網絡需求所開通的新一代OTN精品光網,可有效解決網絡時延大、開通時限長、網絡管理複雜、帶寬調整困難等一直困擾著政企客戶的痛點問題。    在超低時延方面,通過不斷簡化網絡架構、優化路徑選擇和設備轉接層級來降低時延,達到跨省5.5毫秒/1000公裡時延。
  • 三六零:深度布局政企安全及城市安全 數字經濟時代鑄就安全基石
    要點:◆國內領先的網際網路和安全服務提供商,深耕網絡安全賽道;◆數字經濟時代安全服務市場廣闊,政企和城市安全業務大有可為;◆業績表現良好,充足的現金流為政企和城市安全業務發展提供保障。2018年回歸A股市場後,360公司在確保原有網際網路安全服務及各項主營業務有序開展的同時,持續通過技術創新,推出分布式智能安全系統——「360安全大腦」,並以此構建了大安全時代的整體防禦戰略體系。
  • 騰訊雲存儲突破Gartner魔力象限,落地政企打造智能雲生態
    2006年,騰訊開始自研分布式存儲系統TFS,承載了公司數10億客戶;隨著雲計算業務量增大,為滿足存儲市場的需求,騰訊存儲平臺於2013年以雲服務的方式對外提供了安全可靠的高性能雲存儲服務,並構建出最具代表性的對象存儲等產品;而今,基於當前各行業對於雲存儲需求量的激增,騰訊雲適時推出新五大產品以及擁有跨區域複製、生命周期管理以及S3全面兼容等全新功能的COS對象存儲,構成了「
  • 360亮劍2020世界網際網路大會 新一代網絡安全能力體系釋能烏鎮
    為此,360政企安全集團助理總裁、市場與品牌中心負責人卜思南表示:基於15年服務國家、行業和企業用戶所形成的安全積澱、包括全網最大的安全大數據、全球頂級實戰專家團隊、一線APT狩獵形成的攻防知識等核心能力,360政企安全集團運用整體思維打造出一套以360安全大腦為核心的新一代安全能力體系,能夠助力國家、城市、政府和企業整體提升應對高級威脅攻擊的安全能力。
  • 信息安全:中美雲安全產業對比研究,國內雲安全公司空間幾何?
    騰訊雲對虛擬化控制層、資料庫管理系統、磁碟陣列網絡等雲產品底層系統提供包括漏洞發現、補丁修復、升級更新、審計監控等安全管理措施;此外,騰訊雲提供基礎的外部DDoS防護能力,以保護處於雲計算平臺網絡中的各類資源不受來自網際網路的拒絕服務攻擊影響;客戶需對已購買的雲主機的作業系統、資料庫實例文件、雲主機間的網絡通信、以及由內向外的網絡通信等加以安全控制。
  • 360政企安全集團三摘殊榮|360潘劍鋒:全息星圖網絡空間測繪系統...
    360全息星圖網絡空間測繪系統就是新一代網絡安全能力體系中的重要安全基礎設施,擁有強大的大數據分析與繪製能力。圍繞企業、城市、工業網際網路、車聯網、關鍵基礎設施、信創等應用場景,該系統在配套運營團隊、運營戰法、實戰檢驗機制、安全互通標準、公共服務使用後,可打造不斷進化成長的安全能力支撐。
  • ...智慧+行業"發展方向,360政企安全集團為智慧城市注入安全動能
    作為新時代網絡安全運營商的360政企安全集團正是踐行智慧城市安全運營的最好例證。多年來,360在不斷探尋新商業模式、技術模式和服務模式之中,力求讓城市安全運營發揮最大的效能。基於網絡安全方面的多年實戰積累,憑藉安全大數據、安全專家、攻防知識庫等核心優勢,面向政企用戶打造出一套以「安全大腦」為核心的新一代網絡安全能力體系,打造出數字孿生時代下的網絡安全解決方案。
  • 國聯易安:規避數位化轉型中的網絡安全困境
    網絡安全是政府、企事業單位數位化轉型的較大障礙之一。隨著雲計算、移動網際網路、大數據、物聯網等新技術的持續演進,網絡安全形勢變得尤為複雜嚴峻。網絡安全問題層出不窮,給單位帶來風險威脅級別升高,挑戰前所未有。
  • 智慧發展 安全先行——騰訊(寧波)網絡安全研究中心落戶中國雲城
    2018年6月6日,華晟基金管理(深圳)有限公司與騰訊安全聯合創建的騰訊(寧波)網絡安全研究中心(以下簡稱研究中心)在位於寧波餘姚的中國雲城河姆渡創新產業園正式揭牌,共同打造華東區域網絡安全、金融安全的研發和服務中心。
  • 厚積薄發,華為雲構築原生冰山安全體系,守護雲上安全
    近年來,隨著全球網絡空間快速發展,高危漏洞、大流量DDoS攻擊、數據洩露事件頻發,各國逐步出臺並實施網絡安全合規要求。企業客戶在數位化轉型和上雲過程中,需要系統化構建安全體系以應對新的安全挑戰。 如果把雲安全比作「冰山」,不僅要關注冰山上的「安全服務和特性」,還要關注冰山下各種基礎安全建設。
  • 深圳市退役軍人事務局網絡安全服務項目招標公告
    二、項目總體要求投標人必須響應下列要求:(一)投標人須具備專業的安全服務團隊,並指定固定的安全服務工程師1名為我局提供駐場安全服務。(二)投標單位中標後必須與主辦單位籤訂保密協議,不得洩漏工作中所接觸獲得的信息。
  • ...網安全發展,360政企安全集團正式加入中國自動化產業鏈聯盟理事會
    會上,中國自動化產業鏈聯盟(CAIC)正式宣告成立,360政企安全集團成為副理事長單位。本次,360政企安全集團作為聯盟成員單位,更是為我國本土自動化及上下遊產業鏈發展注入安全力量。正如,出席本次會議的360政企安全集團工業及車聯網安全事業部代表汪凡所說,「360願意也有能力來協同自動化供應鏈聯盟的上下遊單位來打造新的安全保障的供應鏈,協同生產安全和信息安全。
  • 騰訊安全:亡命徒(Outlaw)殭屍網絡感染2萬臺伺服器,政企須提高警惕
    近日,騰訊安全威脅情報中心檢測到國內大量企業遭遇亡命徒(Outlaw)殭屍網絡攻擊。攻擊者通過暴力破解使用SSH服務的機器來擴大殭屍網絡的規模,最後通過加密貨幣挖礦來盈利。值得注意的是,遭爆破攻擊後,攻擊者將獲得對目標伺服器的完全控制權,危害極大。
  • 奇安信成國家網絡安全應急服務支撐唯一三資質「大滿貫」企業
    奇安信旗下網神公司憑藉過硬的應急技術實力和服務保證,入選「第八屆CNCERT網絡安全應急服務支撐單位(國家級)」,這是繼榮獲第七屆網絡安全應急服務支撐單位(國家級)以來,再次榮獲該項榮譽。同時,奇安信旗下網神公司還入選了反網絡詐騙領域CNCERT網絡安全應急服務支撐單位和工業控制領域CNCERT網絡安全應急服務支撐單位,彰顯了公司在網絡安全技術領域的堅強實力,以及CNCERT作為國家網絡安全重要支撐部門對奇安信安全能力的高度認可。
  • 持續深耕政企市場 融雲入選愛分析《中國智能通訊雲行業趨勢報告》
    愛分析以融云為案例,對政企行業的通信趨勢做出了詳細解讀。   根據 CNNIC 遠程辦公調查報告數據顯示,截至 2020 年 6 月,我國遠程辦公用戶規模達 1.99 億,佔網民整體的 21.2%。2020 年春節期間,我國有超過 1800 萬家企業採用了線上遠程辦公模式,全年智能移動辦公市場規模預計將達到 375 億元、增長率為 30.2%。
  • 雲安全中的美人魚:華為雲發布米蘭達安全AI平臺
    10月11日,上海,華為全聯接大會上,華為雲安全總經理楊松發布了米蘭達(Miranda)安全AI平臺,該平臺集合了華為長年的AI積累的模型和算法,經過人工專家訓練之後,能發現人工發現不了的安全威脅,實現換代式的安全技術突破。