观点|疫情防控与网络安全的几分相似
裴智勇
应对新冠肺炎,较有效的措施就是隔离。小到一个人,大到一座城,隔离是较安全、较有效的。
在网络空间中,隔离也是一种较为常用的安全手段。越是重要的系统,越要与互联网做好隔离。很多关键信息基础设施,如电力、交通、医院、制造业等遭到严重的网络攻击,都是由于隔离不彻底造成的。
同时,抗疫的经验也告诉我们:隔离,这种极端的措施,负作用也是非常明显的;而且从根本上说,真正帮助我们较终战胜病毒的,还是我们自身的免疫系统。
所以,如果能够使我们的信息化系统也具有强大的内在免疫力,那么我们就可以不必再时时隔离、处处隔离;而且即便是有一些网络攻击穿透了外侧的隔离,也不会给系统造成致命的伤害。
这种为信息化系统建设内在免疫能力的安全思想,就是“内生安全”思想。
根据目前的普遍观点,新冠病毒本身并不是针对人类的。它们很可能是长期以某些野生动物为宿主的,是由于人类与野生动物发生了不当接触,才导致了这种病毒的传播。而这种病毒对原有的宿主杀伤力并不大。可一旦传到了人的身上,危险性剧增。
网络世界也经常会有类似的事情。较典型的就是勒索病毒对工业系统的攻击。
勒索病毒通常不会以工业系统为攻击目标,因为一台工业主机上并没有什么特别值得勒索的。勒索病毒通常攻击的都是高富帅的个人(如企业高管)或者是企业服务器。
但是,总是有很多勒索病毒的作者在写代码时“不负责任”,没有考虑到病毒的兼容性问题。这些病毒一旦进入工业系统,就会导致工业主机大范围的蓝屏和死机,并引发停产事故。如2018年的台积电事件就是如此,预估损失在3个亿左右。
现如今,勒索病毒引发的工业停产事故几乎成了家常便饭。但这可能的确并非出自攻击者的本心。
面对疫情,“各村有各村的高招”:有“横刀立马”的,有挖断公路的,有拉幅诅咒的,有怒砸牌桌的……总之,在疫情面前,人人都不敢掉以轻心;接触什么样的人,都不太可信!
不过,“谁都不可信”这个想法在安全圈被广泛接受,其实也就是较近两三年的事。传统的安全思想认为:有一些是可信的,有一些是不可信的。
而新的安全思想则认为:在万物互联的时代,任何一个设备、任何一个应用、任何一个用户,都有可能是伪造的、恶意的、不可信的。这在技术上叫做“零信任”。
例如,2019年,我们参与处置过多起在一个地区内,多家医院同时感染勒索病毒导致系统瘫痪的事故。排查原因时发现:这些医院的内部网络安全建设也都还说得过去,但对于来自医保网、卫生专网等专业网络中的信息,则是无条件信任的,没有设置任何防护。
因此,一旦一家医院被入侵,攻击者再通过这些专网入侵其他医院,就变得易如反掌了。
相信很多人和我一样,较近每天起床的第一件事就是刷一刷较新的疫情数据。这些数据的结论可能都很简单,也就是:新增、疑似、治愈、死亡这么几个数字。但要准确地获得这些数字,却需要大规模的人力投入和大数据监测分析。
所以,在日常情况下,建设好一整套疫情监测分析系统,对于我们的抗疫应急指挥工作来说至关重要。而在网络安全领域,我们将这种技术系统叫做态势感知或NGSOC(新一代安全运营中心)。
态势感知,大多是由公安、网信等监管机构建设的,针对一定区域,或一定行业范围内的网络安全状况进行监测的系统。而NGSOC则一般是由企业建设的,针对自身信息化系统的安全监测系统。
这些系统不仅要让网络安全威胁可视可见,而且还应具有必要的协同处置能力。如果没有这样的系统,一旦遭到突发网络安全事件,威胁的发现和处置过程就会变得非常漫长。
这些天,不带口罩硬闯关卡,就有可能被警察蜀黍带走。这恐怕也是人类历史、至少是中国历史上的第一次。但即便防控措施已经如此严厉,我们仍然挡不住一些“心存侥幸”的人。他们就是喜欢不带口罩,就是喜欢聚会打麻将。结果还真就出了不少事儿。
网络世界更是如此。2019年,我们参与处置了1000余起大中型政企机构的网络安全应急响应事件。我们可以毫不夸张的说,这些安全事件,99.9%都与网络安全意识薄弱、安全运维严重缺乏,以及存在大量“常识性”错误有关。真正说是攻击者技术高超,现有安全技术完全无能为力的攻击事件微乎其微。
所以,对于绝大多数普通人来说,保持良好的卫生健康习惯,要比求偏方、找灵药重要得多。对于政企机构来说,做好日常安全运维,全面提升安全意识,也要远比发现几个高精尖的0day漏洞重要得多。
西数科技: 司法鉴定/产品质量鉴定/检验检测/数据恢复专家. 4006184118