目标对象
信息安全从业人员
前言
说起安全就会想到保安, 那就让我们来思考几个问题:
保安是什么?
信息安全从业人员是不是保安的一种?
保安的工作和信息安全从业人员的工作的差别是什么?
安全的本质是什么?
什么是资产? 哪些是你的资产? 这些真的是你的资产吗?
资产怎么样会收到威胁?
威胁是什么? 风险是什么?
我们通过什么方式去保护?
如何识别风险? 事前预防? 事中发现? 事后处理?
安全软件是什么?
安全服务又是什么?
威胁情报做的是什么事情?
类比
凡事预则立不预则废, 但是预防需要知道你要预防的是什么, 神医告诉我们要不治已病治未病, 预防的是病. 人体的免疫系统就是一套很好的杀软, 有一套很好的预防机制, 通过研究免疫系统就可以知道我们该走向哪里.
免疫可以分为非特异性和特异性的, 一个是先天的, 一个是后天的,
皮肤就是先天的, 皮肤就是一个边界, 提供了物理的屏障, 保安就是属于物理安全的一部分.
杀毒软件的病毒库更新就相当于后天的特异性免疫, 新的病毒出来以后制作更新, 让所有电脑都可以防御这种病毒.
我们很多人小时候都打过疫苗, 疫苗其实就是生个小病, 完了之后免疫力就提高了. 健身也一样, 为什么健身能提高抵抗力, 健身以后身体会出现酸痛, 其实也是给身体的一个微创, 被蚊子咬了一口为什么会痒, 也是一种微创, 这些感觉创伤的大小从痒到酸到痛就是创伤从小到大的一种递进. 经历了创伤以后免疫系统就升级了. 所以说偶尔生个病, 偶尔出点小问题是可以提高身体的免疫力的, 有的人平时不生病, 一旦生病就来势汹汹, 可能也是这个道理吧. 企业也是一样, 偶尔有点小麻烦, 小漏洞是可以提高自身免疫力的, 当然, 前提是有修复能力. 比如说现在很多大公司都有SRC了, 收收漏洞, 给各个业务的程序员不时的敲敲警钟. 当然他们写代码的时候就会更加注意一点了, 少犯些错误.
成本
预测的越多就要越多的资源, 你使用的资源也是资产的一部分, 也就是成本.
下棋的时候你预测的步数越多就需要越多的计算量, 以及时间, 时间是一项很重要的资源.
人体资源有限, 所以有多少能量是给免疫系统的也是有一个比例的, 这个比例就好比我们拨多少资源给安全部门一样.
投入和产出也是有一个比例的, 投入是用于保护的资源, 产出是资源收到风险后的损失值.
同样攻击者/威胁也要计算投入与产出, 投入是攻击者投入的资源, 产出是攻击者获得的收益.
杀敌八百自损一千, 这种事只有疯子才会做, 当然这种疯子也是一种威胁, 也需要控制.
为什么现在网络攻击这么多, 因为网络本身降低了攻击的成本, 同时又提高了攻击的收益. 原本一些无利可图的攻击, 现在变得可行了.
现在的密码位数太低容易被破解, 原因就是现在暴力破解的速度比以前快了, 相应的时间成本就降低了.
做安全, 要做的是其实两件事, 提高攻击成本, 降低攻击收益.
资产
现在谈一下保护的资产是什么
一个企业要保护的资产是什么, 一个企业是一个大系统, 由很多小的系统构成, 系统是对于现实世界的抽象, 是现实世界的一个投影, 维度是低于现实世界的 所以如果攻击者在更高维度打击的话 你完全是没法抵抗的 就像空军打陆军 三维打二维. 比如说你们公司物理上有没有防御无人机呢?
在二维的世界你以为一个圆形就把攻击者挡在外面了 如果从三维的视角去看的话 直接跳进去就好了.
那怎么防御呢 你至少要和攻击者在同一个维度. 否则就等着挨打吧.
回来继续说资产是什么, 打个比方我是一家小公司, 运营一个网站, 提供信息服务, 有10000客户, 每个月交费, 我有50雇员, 在一个写字楼里面租了场地办公.
请问, 我的资产是什么?
根据字典定义: 资产是指由企业过去经营交易或各项事项形成的,由企业拥有或控制的,预期会给企业带来经济利益的资源。
好那我们来看我们都有哪些资产:
员工
网站
办公室
客户
…
确定一样东西是否是资产有个很简单的方法, 去掉这样东西, 企业是否有损失.
去掉员工, 没人维护网站, 没人维护公司运转, 所以会有损失,
去掉网站, 客户不会继续付费, 所以有损失,
去掉办公室, 员工没地方办公, 可能会降低员工沟通效率, 可能会有损失, 这里我们用可能, 说明这一项不一定是资产.
去掉客户, 没有客户, 谁来付钱.
上面我们只是列举几项可能是资产的东西, 这个必然是不完整的, 遗漏的那些就是缺失的维度. 上面还说了, 系统是子系统的集合, 那每个子系统都可以再分解.
另外系统是我们对现实世界的抽象, 比如说办公室, 我们并不是需要一个办公室, 我们需要的其实是这样一个东西, 这个东西要能给员工提供一个空间, 可以用于沟通, 可以用于接待, 可以拥有XXX, 这是一个集合, 办公室恰好提供了这个集合, 但是, 其他的集合也同样能包含这个集合, 或者可以说等价于这个集合, 比如 咖啡厅+家. 远程办公就是一种解决方案, 一种等价的系统.
所以说, 我们真正要保护的到底是什么, 需要不断分割下去.
比如说某个员工是负责销售的, 然而现在很多电话销售都是可以外包的, 那我们的资产是什么, 这个员工其实等价于外包需要的费用, 当然这么说有点残忍, 但是工作不就是如此吗, 为企业提供价值. 如果你产生的价值大于我外包给别人产生的价值, 或者另一个拿同等工资的人的价值, 我才需要把你留下来, 先不考虑其他的因素(比如情感什么的). 所以我真正要保护的是, 1. 我要用于支付工资的钱, 这个是存在银行的, 由他人在保管, 2. 员工的价值的发挥. 保护好价值的发挥是公司要做的, 比如说员工心情不好, 工作效率下降, 当然就影响了价值的发挥.
这里产生了一个重要的提示, 如果你自己对于某些资产的安全做的没有别人好, 就外包把.
钱, 你为什么要放银行, 而不是自己拿着, 放在银行, 物理上的钱, 肯定比你自己保管要安全, 但是这时候就产生另外一个问题, 账户, 你把钱放银行后, 你需要担心账户的安全. 这时候产生了第二条提示, 当解决一个安全问题后必然会产生一些新的安全问题. 这时候你保护的是什么, 不是实际的钱了, 而是付钱的能力.
说到账户安全, 你在这个世界的存在其实就是一个账户, 或者说是N个账户的集合, 你出生, 有了身份证, 你就在中国开了个户. 别人拿了你的身份证就可以各种开卡, 所以保护好你的账户很重要.
账户代表了权限, 有了账户就成了你的化身, 拥有你的权限.
我们来看一下2014十大网络安全风险有几个是和账户安全相关的.
A1-互联网泄密事件/撞库攻击
A2-引用不安全的第三方应用
A3-系统错误/逻辑缺陷带来的暴力猜解
A4-敏感信息/配置信息泄露
A5-应用错误配置/默认配置
A6-SQL注入漏洞
A7-XSS跨站脚本攻击/CSRF
A8-未授权访问/权限绕过
A9-账户体系控制不严/越权操作
A10-内部重要资料/文档外泄
几乎都是权限的问题, 所以黑客的最高目标就是root. 拿到root就是拿到一切.
再回头看, 资产是什么, 就是权限, 赚钱的权限. 保护你的企业就是保护你的企业赚钱的能力. 所以别怪老板不看重安全部门, 老板看到的是企业赚钱的能力. 而安全部门就是花钱的, 是成本, 安全部门就是给企业买了个保险. 买保险总是要花钱的. 这个保险还很费钱, 但是真出了问题又没有赔偿, 所以说老板不愿意花钱啊. 你买保险的是时候比如说疾病险, 赔偿的就是未来的赚钱能力.
所以作为信息安全从业人员, 我们最重要的任务是什么, 是保护客户/企业的盈利能力. 一切不以保护企业盈利能力为目标的安全都是耍流氓.
威胁
接下来讲的一个概念是威胁/漏洞/风险, 威胁是什么, 对于人来说, 各种病毒, 细菌什么的是威胁, 在非洲, 野兽什么的是一种威胁, 强盗什么的也是威胁, 威胁来自于哪里, 其实威胁永远源于内部, 为什么这么说呢, 你的威胁来自于你的存在本身, 老子说, 吾有大患,及吾有身;及吾无身,吾有何患? 我的理解是, 我有需要担心的是因为我有这个身体, 以及附属于他的一切, 如果我没有身体以及附属的一切, 我又有什么需要担心的呢. 如果我们没有身体, 我们不用对疾病有所恐惧了, 如果我们只有思想, 没有身体, 人哪有那么多需要担心的事情呢, 想一下, 我们每天多少时间, 多少精力, 是用来维护身体的正常运作呢? 每一个个体就好比一辆加油的汽车, 五脏俱全, 要维持汽车继续跑, 我们需要维护他, 要加油, 这说明什么, 威胁源自于我们拥有的一切. 我们怕失去这一切. 所以威胁只是资产的另外一面而已, 就像硬币的正反面, 正面是资产, 给你带来了利益, 反面是威胁, 你拥有一切, 包括他们的威胁.
这话, 说起来挺绕的, 举个例子, 你装了一套CMS系统, 用于管理发布内容, 如果你不装, 就不会面临这个系统的所有漏洞, 因为你压根没用他怎么会受到他的威胁呢? 我们没法说明这个CMS是生产的功能还是生产了漏洞, 因为两者皆有, 就像你不知道通用汽车是生产汽车还是生产废铁的. 所以说, 大公司, 能够被攻击的面实在太多了. 各种系统, 每个系统都有漏洞, 都存在威胁. 这是事实, 所以说, 威胁是无法彻底消除的. 承认这一点很重要. 除非本体消失, 否则他的另一面又怎么会消失呢. 好消息是, 因为威胁来自于资产, 所以至少我们知道要去做什么, 而不会不知道预防的是什么, 我们不需要考虑外部, 我们只需要考虑内部就可以了. 攻击虽然是由他人来执行, 但是我们要防御的只是我们产生的威胁, 或者说漏洞, 或者说风险. 我们这里不详细区分这几个词了. 如果我刀枪不入, 我还怕什么强盗, 强盗对于我根本就不是威胁, 也就是这个道理.
做安全第一能想到的就是给你套一个金钟罩, 别人就打不了你了, 但是问题是, 金钟罩本身没有威胁吗?
那是不是外面还要套一个呢. 最近不是爆出好几个杀软的远程执行漏洞嘛. 杀软在保护我的电脑, 那谁来保护杀软呢.
说完威胁, 再来谈谈威胁情报, 威胁情报是什么, 威胁情报不就是关于威胁的消息吗? 但是每个人的资产不完全, 你一套威胁情报能适用于所有的公司吗, 不能, 那怎么办呢, 只能是针对每个公司产生针对该公司的威胁情报. 威胁情报, 英语是Threat Intelligence. Intelligence 有智能的意思, 什么意思呢, 就是说的是他是智能的, 不是机械的, 不是千篇一律的.
总结
这里简单的介绍了本人关于安全的一些概念性的东西的本质的一些思考: 安全, 资产, 威胁, 风险, 权限等等. 希望能够抛砖引玉. OK, 回去看看文章开始的那几个问题, 有没有新的想法?