HW思维系列:检查只是开始,调查结束
5年的HW行动,将网络安全从合规时代带入实战化时代。面对这一变化,安全理念应该如何演变,安全产品应该如何高级?
合规性的价值和不足
网络安全合规性的时代,最大的成果是网络安全的老三样(防火墙、病毒、入侵检查)等产品齐全,建立院墙,安装大门,普通人不能随意进出你的领土,侵犯隐私,威胁财产因此,大家自然加强、升级现行防护措施,在墙上安装铁丝网,安装更坚固的防盗门,增加防盗窗,安装门卫(身份认证),雇用总经理(安全经营者),有时安装不同的防盗门这些改进取得了一定的效果,可以应对初中、中级小偷,但不能阻止可以自制万能钥匙的惯犯。随着互联网的普及,学习制作和购买万能钥匙的门槛降低,有盗窃水平的能力和拥有万能钥匙的潜在犯罪分子在增加。面对能力快速提升的对手,筑更高的墙已不能解决问题,还会带来巨大的财务成本、糟糕的用户体验,我们需要寻找新的解决方案。
寻求问题的本质
网络空间已成为海、陆、空、天以外的第五大国家主权,然而网络空间的出现才短短几十年,还在不断成长、变化,要一眼看清其本质,存在巨大挑战。事实上,安全问题由来已久,并不是网络世界独有,社会治安领域的安全已有几千年的历史。犯罪率是衡量社会安全程度高低的指标。犯罪率高的话,小偷会被公开禁止,社会没有安全感的犯罪率低的话,路就不会捡起来,晚上不会关门,社会就会有安全感。建设充满安全感的社会,只需将犯罪率控制在较低的范围内即可。
控制犯罪率可以从以下三个方面实现:不能犯罪不敢犯罪不想犯罪开发者_如何学C。
(1)不能犯罪是指罪犯因客观原因无法实施或达到犯罪目标。从犯罪分子的角度来看,只能通过收集犯罪分子的犯罪工具,使其无法犯罪,这显然是无法实现的,因为犯罪分子的犯罪工具太多,可以用刀、板砖、拳头、无法收集。从受害者方面来看,只能通过提高自己的防护能力,武装到牙齿上,使犯罪分子无法受到强大的伤害,在成本高、普及困难的同时,体验也很差。
(2)不敢犯罪,是指犯罪分子因担心承担后果,不敢实施犯罪行为。要达到震慑犯罪分子,使其不敢犯罪的目的:首先,需要制定法律法规,实现有法可依明确地告知犯罪分子,犯了什么样的错就会受到什么样的惩罚。其次,强有力的破案能力只要罪犯犯犯罪,就可以检测出来,把以前的事实变成事实,实现违法的必要调查。但是,有法律很简单,违法一定很难调查。从最初的《汉姆拉比法典》到现在的各种法律法规,各时代的法律都非常完善,但解决方案的能力却严重不足。很多案件只能寄希望于遇到包青天福尔摩斯李昌钰。显然,侦探是稀有物种,解决率不理想,很难真正抑制犯罪者。
(3)不想犯罪是指罪犯心中没有犯罪意愿和动力。犯罪是因为罪犯自身的需求不能满足,需要通过犯罪获得。如果罪犯的所有需求都得到满足,就不会有罪犯的动机。我们有时会听到不缺钱的人实施盗窃的事件。在这种情况下,罪犯没有金钱需求,而是其他需求引起了盗窃。为了满足每个人的全方位需求,每个人都没有犯罪动机,可见的未来是不现实的,可能存在于理想的国家。综上所述,在不能犯罪方面,收缴犯罪工具明显不能全面落地,但通过提高潜在受害者自身的防护能力,受资源、成本、用户体验等因素的制约,空间有限。在不想犯罪的情况下,除非每个人都达到自己想要的意义,否则至少在现阶段落地的可能性是不够的。在不敢犯罪的前提下,违法必须调查,抑制潜在犯罪者,不敢犯罪,降低犯罪率是可能的方向。达成违法的目标是提高解决方案的能力。提高案件解决能力,几千年来一直是难题,我国近二十年来在这方面的努力和实践说明完全可行。
上图:严重暴力犯罪变化趋势图
上图是最高人民检察院2020年5月25日工作报告中近20年严重暴力犯罪情况的统计。数据显示,目前严重暴力犯罪的犯罪率不足峰值时的三分之一,特别是近十年大幅度下降,在此期间法律没有大变化,GDP的增长率也不足前十年,为什么犯罪率大幅度下降?最大的变化是平安城市天网工程雪亮工程等的逐步落地,发挥出越来越大的作用。现在的事件调查通常通过取得事件现场的监视摄像头,锁定嫌疑犯,结合其他监视摄像头,确定嫌疑犯的下落和落脚地,实施逮捕和审判,完成事件的解决。通过构建必要的基础措施,降低解决事件的难易度,可以大幅度提高解决事件的能力。目前,普通警察的破案能力和效率高于以往的侦探们,大大抑制了潜在的犯罪分子,不敢冒险犯罪是近20年暴力犯罪率大幅下降的原因。
三、网络安全,路在何方
网络世界不是一个全新的世界,它是现实社会导网络世界的是人,网络犯罪的主体是人,犯罪的目标是利益或伤害(破环)与现实社会不同,变化只是犯罪工具。他山之石,可以攻玉,社会治安领域的成功经验,可以在网络安全领域借鉴和应用。合规时代我们建造院墙,安装防盗门,安装警卫,建立防盗系统,有效应对窥视和小偷触摸的行为。然而,随着互联网的快速发展,越来越多的力或先进工具的罪犯越来越多。随着互联网无国界的特点,互联网安全已经进入实战时代。实战时代,除了预防管理系统外,还应建立类似雪亮工程的监察系统,降低解决事件的难易度,提高解决事件的能力和效率。预防管理系统的目标是不要让普通人越过国境,监察系统的目标是让犯罪者看不见。在互联网世界的重要节点、系统、应用中部署探针,记录发生的行为,在管理区域部署监控中心。有了这些审计系统所需的基础设施,一旦发现可疑行为或可疑人员,安全人员就会利用采集的数据和先进的技术手段,进行高效全面的跟踪调查,完成破案,阻止犯罪分子的进一步行为,让犯罪分子知道困难,退出或承担法律后果。在近年来的HW实践中,红队获得目标的案例通常需要很多步骤,10步骤,甚至20步骤。从结果来看,显然蓝队没有一个产品可以检测出每一步的威胁,但在事后的追踪分析中,红队在其中的一些环节的行为并没有逃避蓝队的安全产品检测,引起了警告。只是,蓝队在不同的环节采用不同的产品,相互协调存在问题,另一方面,安全产品通常只对检测出的威胁进行警告和说明(侧重说明警告是正确的,不是错误的警告)。一句话,现在的网络安全产品是为了检测而设计的,而不是为了调查而设计的。
四、事件一定会解决,世界上没有小偷
有监察系统,有可能解决复杂事件,但是应该如何开展调查,实现关闭,有必然的可能性呢?再次回顾现实社会,在社会治安领域,事务流程可分为通报立案解决事件判决。
通报:发现事件的线索,线索可以由受害者提供,也可以由目击者提供,也可以根据怀疑提供。例如,朝阳阿姨发现可疑的人可以通报,不一定要看事件的发生。
起草:警察根据线索,结合既有经验、事件重要性等综合因素,筛选大量事件线索,起草比较重要、符合起草要求的事件。立案后,无论事件大小,时间跨度如何,事件都有全面、详细的记录和进展通报,直到调查结束。
事件解决:对于立案后的事件,以初始线索为起点,警察不断开展开拓工作,寻找能够确定事件性质和责任的必要证据和相关人员,直到形成完整的证据链。解决事件是在事件相关证据链完成之前不断推理、验证的过程。
判决:各方面围绕证据链进行辩论和确认,必要时补充相关证据,完善证据链,直到所有结论无疑,法官根据法律法规判决案件。
雪亮工程等,改善的是破案环节。将原本存在巨大不确定性的,大海捞针般的寻找蛛丝马迹,寻找目击证人,转变成了简单、明确的监控录像调阅,活动轨迹查看,最终落脚点确定的过程;将原来复杂的推理验证工作,变成简单的图像对比工作;将原来需要几天,几个月,甚至几年的工作量,缩减到几个小时到几天;将原来需要唇枪舌剑,激烈PK的证据链构建和确认过程,变成简单,轻松的录像回看。
对照社会治安领域的办案流程,不难发现,现有网络安全体系存在巨大缺陷:第一,缺失关键环节,也即破案环节(报案-检测;立案-关联分析,过滤;破案-无;判案-处置)。在社会事件中,通报信息,没有解决事件的过程,直接判断事件是无法想象的,但网络安全领域一直在这样做,希望继续这样做,第二,混淆不同阶段的责任。通过通报信息,作出判决的依据,将解决事件的责任强加到通报的一环。这也是许多平时看起来无处不在、无所不在的网络安全平台,实战成为困难、无所不能的装饰根源第三,通报环节的误报率、漏报率作为测量事务能力的指标。破案能力(破案率)和破案效率是衡量整体安全能力的核心指标。
结合网络安全本身的特点,我们合并通报和立案两个环节,调整为发现,破案环节调整为调查,判案环节调整为处理。经过这一调整,每个阶段的角色和职责一目了然,适用于网络安全场景。以破案为中心,建设基础预防管理能力、全面监测能力、高效调查能力、联动处理能力,为实现高效破案提供支持和保障。基础预防管理能力通过防火墙、WAF、杀毒软件等通常的安全产品构筑的全面监视能力通过全流量监视和分析、终端监视、应用审计、大数据、人工智能等产品和技术构筑的高效调查能力通过相关分析、可视化、交互式分析、大数据、人工智能等技术构筑的联动处理能力通过与第三者的安全产品联动,阻断或隔离威胁,消除威胁和扩散。发现可疑线索和安全事件后,安全人员根据收集的全面必要的安全相关数据,利用可视化、互动分析、机械学习等技术,有效地开展调查、科学调查,通过预防控制机制进行应对、处理。
兰云科技认为:网络安全实战时代,我们应摈弃以误报率,漏报率为核心衡量指标的安全理念,践行以破案为中心,以破案能力和破案效率为核心衡量指标的新型安全理念,建设以发现、调查、处置为主线的实战化网络安全体系。
兰云科技的定位是:为网络安全人员提供强有力的系列工具兰眼调查者,提升他们的破案能力和破案效率。使网络安全领域,有案必破,天下无贼!
精彩评论