生活总要继续,明天依旧会出现全新的病毒挑战,反思与改进才能令我们不断前行。此次国内研究机构两周内完成病毒分离和基因测序令全球刮目相看,在抗疫中发挥的作用举世皆知。也应该鼓励论文不受限制地大量去发,就像安全企业要坚定走出国门一样。让我们再来看看其它技术应用。荧光定量聚合酶链式反应PCR是核酸检测背后的关键技术,从1971年核酸体外扩增设想提出,1985年第一篇PCR论文发表,1996年第一台商业设备问世,直到2008年才在我国达成广泛应用。没有近五十年的技术积累和商业化进程,此次疫情中被证明有效的快速检测和隔离控制措施便无从谈起。被寄予厚望的Remdesivir也有十三年的研究历程:2006年UGA和USU的研究者们筛选潜在针对SARS病毒的核苷类抗病毒化合物活性,并发表研究论文,其中第39号化合物有抑制SARS病毒复制的作用,但自身对细胞有毒性,所以并未得到足够重视;2010年Gilead基于此化合物设计出GS-441524,显示出广泛的抗病毒活性,此前GS-441524已被证明对冠状病毒引起100%致死的猫传染性腹膜炎效果显著,已成为国内宠物医疗市场的灰色标准用药;磷酸化加入前体药的GS-5734即Remdesivir的第一篇研究结果发布于2016年,经过三年时间完成多项实验才能于今年进入最后一期临床。从事安全工作的同仁们应该能感同身受,在传染力超凡破坏力强劲的未知威胁发生时,我们有一种补丁或缓解措施能够及时阻断扩散以避免恶化,那是多么的幸运。很明显地,无论在哪个行业,先进技术才是我们应对未来潜在威胁的根本。在当前国家间对抗愈加激烈的大环境中,自有技术积累更是重中之重。
此次抗疫方法论也是全人类多年对抗风险的底蕴积聚。英文“隔离 quarantine”一词源于威尼斯语,原意是40天,即当时发生瘟疫期间要求船只被隔离的时间。文艺复兴时期,面对反复发作的瘟疫,意大利地区的市政官员们发展了我们目前还在使用的统计方法来追踪传染病爆发。1350年代米兰和1430年代威尼斯等城市,政府已经系统记录了所有的死亡用以监测疫情。广泛传播普及当时对抗疫情方法的意大利足以赢得我们的敬意,成功保证居民长寿的现代意大利医疗体系也颇值得国内学习,祝愿他们早日从疫情中恢复。社交疏离Social Distancing方法最近出镜率也蛮高,这是2007年历史学家Howard Markel带领团队详尽分析1918年西班牙流感疫情时各城市实际数据,揭示了非药物干预手段,尤其是社交疏离在抗击疫情中的作用,目前很多国家在制定疫情应对计划时都采纳了该研究结果。中国在宋朝时已经有文字记录,面对未知传染病时,病人要及时送到远离居住聚集地的位置,而非就地治疗,以减少人与人的接触,今天的我们也在延续同样的做法。安全与抗疫同样需要考虑“人的因素”。生物病毒和计算机病毒共用同一名词正是由于它们在许多方面拥有共同特征。同样地,肩负保护数字社会重任的安全领域实践者们也在努力,面对新威胁不停发展并改进方法论,最近例如零信任和安全开发生命周期等。
RSAC2020大会主题“人的因素 Human Element”,很容易让人联想起经常听到的CISO们的抱怨:员工总是频繁使用弱口令,时常点击不该点的恶意链接,屡屡将敏感数据带回家工作,无论做多少次培训都没用。此外,特权账号恶意滥用造成的内部威胁,以及配置失误造成的外部入侵和数据泄露等等诸多风险,也都与人有关。另一方面,安全人员紧缺且专业能力不足也常被业界提及。“人是最薄弱的环节”,此论点一直都颇有市场。难道我们就束手无策甘愿认输吗?并非如此。此次RSAC一大亮点便是众多机构纷纷展示了已初见成功的各种应用场景,用新技术和新方法,或对抗人性弱点,或放大安全人员能力,或限制对手人员发挥空间,令人更加坚信采纳先进技术解决“人的因素”的效果,远胜于片面强调人员困难或小米加步枪论调。
强制个体循规蹈矩并非最佳实践
本次RSAC大会开幕演讲中,Star Trek演员George Takei谈及个体独特性和人群多样性是社会发展的动力时说:“在你们的行业,同质化等同于灾难。”他还说道:“我们必须尊重自身物种的多样性,那是我们物种得以存活延续的原因。”
人们常说,文科生与理科生的脑回路截然不同。但是安全人员在日常工作中却经常忽略此点,还在不遗余力推广以安全专家标准要求广大普通员工的所谓最佳实践。例如,每三个月更换一次高强度密码,且不能与过去12个月曾用密码相似。且不说设计一个高强度密码并记住它对于安全专家的难度,现实情况是,同一用户名下过去10年不同服务商处泄露的密码,攻击对手都在数据库中保存着。短期内不复用密码的规章,对于非特权账户的安全,真有那么重要的意义吗?有其它方法能更好地完成任务吗?
我们必须清醒认识到,安全部门之外的同事也一样优秀。其他的同企业员工,也都经历了繁琐招聘流程的重重考验,即便并非领域翘楚,无论智商还是能力,毋庸置疑也都保持相当水准。非必要地随意指责其他同事无法遵循安全制度且可能造成公司潜在损失并非明智之举,有可能会导致工作关系紧张甚至滋生对立情绪,反而会对安全团队正常开展工作的努力产生负面影响,并且无助于降低企业整体风险。
另一方面,随着信息安全重要性日益提高,从公司治理架构角度来讲,CISO再也无法把安全事件简单甩锅给不遵守规章制度的员工。其实此趋势早有先例。同样是公司通用职能,CFO全面承担财务和内控方面各种错误的后果,并不会因为犯错人是下属员工或其他职员就能撇清自己的责任。现在,CISO的职责和薪酬都在不断提高,作为网络安全最终责任人,“人的因素”也成为不得不正视并亟需解决的难题。
显然,单纯的安全意识教育方法无法满足CISO的现实需求,他们在寻求更广泛的保证,包括治理程序、安全架构、技术实现、产品落地等等。业界先行者们早已开始此方面的认真思索,并给出了一些指导建议。例如,Cisco的CISO咨询部门负责人Wendy Nather在Keynote演讲中讲道:“规划安全措施时,应消除复杂性并使其易于理解;在安全措施的设计和实施过程中,必须要考虑人的因素。”她还引用了Duo Security创始人Dug Song的原话:当你无法控制用户的行为时,你就必须让大多数用户成为首席信息官。安全应该设计成被用户接纳,而不是仅被强制执行。
我们已被传统思路洗脑多年:员工很容易犯错,需要投入更多培训资源和更多安全意识教育,才能避免由于错误行为带来的安全风险。这条论断不能说是错的。只不过,安全管理者们需要考虑从另一个角度出发,去寻找能更好解决实际问题的思路和办法。
利用技术对抗人性弱点
杜绝弱密码或密码复用,是不可能完成的任务。即便是安全人员占比极大的乙方厂商,也难以遏制此类现象,更何况主业与安全无关的行业公司。让CISO们承担把来自不同教育背景的员工行为习惯彻底扭转的任务未免强人所难。我们必须意识到,安全系统的设计需要尊重人类个体的差异,强加复杂密码给艺术创作类员工,结果往往事倍功半。只有极少数人能成为安全专家,而安全专家设计的专业功能却要提供给所有普通用户,并强迫他们正确使用,这令我们不得不深刻反思过往的目标是否正确。
作为微软CISO,Bret Arsenault在过去两年间一直积极公开宣传推动减少密码使用的实践。他认为,安全负责人应该在关心现有产品和方案之外,更重要的工作是厘清组织的终极目标,再仔细考虑达成目标的路径。他在本次RSAC议题中确认,微软已经实现90%员工日常无需输入密码即可登录内部业务系统。在减少口令使用之后,IT帮助中心收到的有关密码失效的抱怨和寻求帮助的工单出现了非常明显的下降,大大削减了安全团队的运营成本。更重要的是,安全团队发现,由于账户密码相关弱点导致的安全报警大幅降低,意味着安全水平得到了明显提升。
淘汰用户密码并非最终目标,而是全面提升认证和授权领域整体安全水平的重要里程碑。另一个议题分享了微软推行零信任的主要阶段路线,如上图所示。我们也需要清醒地认识到,盲目追求热点并不可取,量力而行地系统性规划设计安全体系并逐步推进才是正道。根据公开文档,微软首先优化了身份供给和治理流程,全面推行RBAC和最小权限准则,剥离普通账户中的特权,然后废弃老旧系统身份认证服务,实施FIDO2框架,采用生物技术支持的MFA,只允许非持久访问,再认证设备健康,等等。这是一个耗时数年的庞大工程,但毫无疑问的是成果显著且投资回报率十分出色。
当然,也会有轻易推广安全策略导致错误影响业务的故事发生。“你们完全不知道自己在做什么…”这是一位副总裁的评论,在安全团队禁止老旧认证方法造成电话销售团队无法登录业务系统后。
本次RSAC中,微软有多个关于移除口令密码的议题。很有趣的现象。我们是不是可以推断出,作为业界最重要的基础软件和安全厂商之一,微软认为自己有能力有义务推动整个业界淘汰账户密码的实践。微软会不会强制升级其软件产品,促使用户淘汰简单密码验证机制,以加快此接受过程呢?让我们拭目以待。
主动提示用户潜在风险,也是一种被广泛采用的对抗人性弱点的安全手段。虽然有可能增加操作步骤或影响用户体验,但在不会造成业务错误阻断的前提下,可以降低相当水平的风险。自然,如果能通过特定技术手段更加准确地预测威胁,就能更好地提升用户接受程度,且更有效地阻断恶意行动。
邮件钓鱼是安全行业亘古不变的话题。三十年来对抗螺旋上升发展,到今天准确率问题仍不能令人满意。工作压力大且时间紧张的中高层员工,平均处理一封邮件也就三五分钟,浏览内容的同时往往还在分神思索其它任务,强迫他们每个人都能识别出所有钓鱼邮件并不乐观。有针对性的定制攻击,想用技术手段100%检测并阻断更不现实。创新沙盒入围者Inky重点宣传的banner提醒功能,避免错误阻断正常邮件往来的同时,向员工提示潜在风险,如下图所示。
使用“护栏 Guardrails”指引安全工作,而非设置路障强硬报警阻止,是近两年来安全行业重大思路转变之一。此类旁路提醒方式最近颇受欢迎,应用场景广泛,用户接受度好,笔者公司DLP产品也有类似设计。
侵入式提醒有时也很必要:暂停消费者操作,迫使其再次认真阅读风险提示。并不能片面追求用户界面操作流畅迅速。在设计功能时便需要考虑安全,单纯过度拔高安全意识教育的重要性和有效性并不可取,一方面到达覆盖率很难尽如人意,另一方面用户可能无法将警示与场景有效对应。例如下图ING银行的实践,为保护消费者免遭二维码授权欺诈,居然要用三步才能完成同意授权,包括一次警告信息弹框。
另一个颇为有趣的议题,统计研究人的因素如何影响软件质量,结论发人深省。例如下图,更多程序员参与到同一个代码文件的开发中,会导致更多的质量和安全问题发生。这并不是偶发现象,微软、Linux、Chromium、Apache、以及其它组织和项目都报告了类似疑难杂症,其中Apache的Web服务器项目中,9个以上程序员参与的代码有117倍的更高概率会出现安全问题。触目惊心的统计数据。业界应该认真思索,如何采用主动提示风险方法,在SDL流程中插入自动化检查点与技术解决措施,以缓解类似的人性弱点造成的危害。
此问题也促使我们进一步思考,如何使用技术手段,才能将安全团队的专业能力无障碍高效地输出给其它团队。自动化是关键,因为人工无法规模扩展,并且人员变化是永久不变的恒定难题。
利用技术固化安全人员能力并推广
安全人员短缺自然也是阻碍行业发展的重要“人的因素”。CISO已经意识到,传统的守门员角色,并不能满足日益增长的安全需求。面对复杂多样的数字经济基础设施和前端应用,耗费有限安全团队资源逐一人力审核的做法,毫无疑问将会拖慢业务快速发展的步伐。领先的安全团队一直在寻求把能力自然嵌入到基础设施中的手段,让安全辅助无处不在,而非设置强硬中断。因此,正如上文所说,护栏Guardrails这种固化安全能力至代码并能自动化执行辅助的理念和实践便逐渐流行起来。
高速公路上的“护栏”旨在防止车辆误入危险或禁区,使用明显标志指引驾驶者留在安全区,以尽量减少安全损失。但是高速公路并不是我们唯一需要护栏的地方,信息基础设施、DevOps、风险控制等也是安全护栏可以大展身手的领域。在没有人工干预的情形下,护栏仍能持续对快速通过的程序开发人员以及应急响应团队(类比驾驶者)起到显著的指引和保护的功效,这正是安全团队所追求的提高效率的方法和目标。加快建设“护栏”而非“路障”,是CISO帮助管理层推动企业数字经济转型的当务之急。
在本次RSAC 2020中,我们看到有数家大型厂商开始推荐类似最佳实践。例如,VMware在议题7 Steps to Maintain Security Across Your Cloud Estate中提到自动化护栏和安全即代码Security as Code,这是演讲者认为的云安全运营的发展方向,且是发展到后期的较高水平阶段。笔者认为护栏和安全即代码虽为两个不同名词说法,更多为字面称呼不同,背后含义与逻辑有很多共同之处,只是安全护栏更直观地强调理论和方法,而安全即代码更重视落地实现。
也可以在Palo Alto Networks的议题Misconfigured and exposed - 5 proven steps to secure your cloud中理解到护栏的作用。我们也应该从这张云安全成熟度幻灯片中观察到,经过两三年的发展,多云态势感知已经成为云安全最基础最核心的底层根基,比起发达市场,我们在技术上还有很多作业要追赶完成。
纸面上的规章制度流程显然无法等同于安全护栏。真正的落地实施,需要提供给开发人员无需安全团队交互即可使用的代码库或自服务,需要提供给应急响应团队无需交互即可自动走流程的工具和自服务,需要完成代码实现并嵌入基础设施、应用环境、以及检测响应体系等。安全团队应认真审视各种业务流程,在正确的位置提供安全护栏模板集成,以获得广泛的自动采用。
显而易见,并不是所有日常安全任务都可以固化成自动护栏。高难度的任务本身并不适合自动化,需要更多人力资源投入。但如果不主动改变工作方式,使用自动化工具释放员工时间和能力,那么团队便会疲于奔命解决繁琐重复的低级问题,而无法进一步将工作重心放在更复杂更高级的问题上。对单一业务应用进行基础安全评估的工作比重应该逐渐降低,因为纯人工方式很难扩展且会压垮团队,CISO应重点投资建立并推广可被集成的默认安全框架和自助服务方案。
诸如集成Snyk进CI/CD工作流等常见基本DevSecOps操作笔者就不在本文赘述了,让我们来看看那些复杂的安全问题。最小权限,即便是这个安全团队都知道但都头痛且难以落地的原则,业界都已有自动化自助服务的实践。DevOps迭代发布新版本功能的速度很快,在不中断业务的情况下,安全团队几乎不可能完成审查和批准新应用功能的用户或服务权限策略。不幸的是,绝大部分企业中,达成最小权限要求往往需要手动编写策略,所需时间和资源投入极大,严重加剧了此问题。正如上文所说,即便对于熟悉IAM的专业安全人员来说,手动编写注重安全的权限策略也十分繁琐,不仅耗时而且效率低下,更何况真正创建权限策略的往往是不熟悉安全的开发程序员。
下页幻灯片介绍了Netflix和Salesforce内部在AWS上实现自动化的最小权限的不同实践。基本原理很直观很容易理解。收集有关应用程序如何与外部环境交互数据的行为,结合其预设的权限安全策略分析,并自动调整。未使用权限会从应用所处的基础设施环境的安全策略中自动删除,无需开发人员或安全团队进行手工操作调整。
在攻防对抗过程中,护栏也可以起到实时降低风险的作用。过去几年来,公有云或私有云经常出现错误配置导致数据泄漏事件发生,例如API无需Access Key即可调用、S3或块存储属性为Public等,这些简单问题如果不能用自动化护栏的方式解决,会给安全团队造成很大的额外负担。此外,这些灵活的管理选项也同样会被攻击者利用。例如,将一台运行业务系统的服务器做成标准镜像,再以此为基础新建实例,给予其互联网外连权限,通过此虚拟机持续外传敏感数据,能够躲避某些安全检测。延伸出的攻击场景还有很多。此时,利用云服务商提供的各类工具便可以搭建多种满足业务需要的安全护栏。在AWS上,通过配置Service Control Policies可达成非常有效的安全控制的目标:防止任何尚未具有互联网接入的 VPC 获取互联网连接。此SCP可防止管理范围内的任何帐户中的用户或角色更改EC2组成VPC的配置以授予直接访问互联网的权限,但它不会阻止现有的直接访问或通过本地私有部署路由的任何访问。
来自DisruptOps和Starbucks的演讲者们探讨了一种云数据暴露和盗取的攻击链,包括入侵者可能使用的手段,以及防御方的潜在缓解对策。云服务商并不会提供交钥匙功能方案解决此类风险。安全团队需要利用不同云服务商提供的基本权限配置和基本安全功能,组合成适合自己业务需要的主动式或被动式安全护栏。被动式安全护栏基于持续监控,在遇到合规违反或入侵警报时,自动触发响应脚本,强制实施安全控制。被动式安全护栏,不应只部署在生产环境,而是同样需要在测试和灰度环境部署,左移,提前发现安全风险并避免影响正常业务开展。下图幻灯片粗粗看好像没几行字,可是如果没有自动化和代码化的安全能力固化,早在面对数百台服务器时就必然会出现疲于奔命顾此失彼的现象。
数字化转型要求软件产品和服务在构建时,即能保证设计是安全的、实现是安全的、以及交付是安全的。因此,自动化安全护栏将在未来大行其道。能不能做成标准化产品,用何种交付方式提供服务,如何与云基础设施供应商差异竞争,关系到安全厂商是否能捉住这一市场机会。
利用技术限制对手活动空间
从“人的因素”出发去做安全,在尽力提高己方全员水平之外,自然而然也会想到如何去限制攻击者的能力。如果放任入侵者成功实现多维攻击,上下左右无所不用其极,自然防不胜防,令团队狼狈不堪。两年前本公众号文章中也写到:
企业安全风险,并不等于企业内所有单个系统漏洞数量的简单加总,而是表现为与“达成Kill Chain最终目标的可能路径的数量”正相关。
从这个角度去研究,我们需要理解并计算对手各种攻击技战术的财务回报,打蛇才能打到七寸。正如下面议题幻灯片中所述,要换位思考核心问题,不仅考虑创新给防守方带来的规模和成本优势,也要推敲攻击侧的创新给防御团队造成的劣势。
纽约网络安全工作组的研究回答了上面的问题。下图列出了过去50年攻击方的革新,我们看到比特币和影子经纪人泄漏赫然在列,相信大家对其导致的曾经席卷世界的WannaCry勒索软件的迅速传播和破坏还记忆犹新。没有区块链的技术创新,就不会有匿名加密货币的流行,Ransomware的地下商业运行模式就不会成立,也就无法演变成当今世界最能占据新闻头条最被众人津津乐道的大规模安全事件。又如,过去十年中,攻击基础设施作为服务极大地增加了各国执法机构对抗网络犯罪组织的难度,等等。让笔者惊讶的是,Tor和暗网如此影响深远的重要创新居然被遗漏并没有在列表中出现。
每一次攻击方技术创新的出现,都不可避免地会推高防御侧的成本。演讲者也讨论了能扰乱攻击方的潜在领域。
可惜此页幻灯片更偏向政策,对企业价值有限。在笔者看来,对抗新攻击技术最好的办法还是要回归到防御技术,否则会演变成完全跟不上对手节奏的悲惨状况。例如,下图中说明的运行于Linux操作系统的Godlua DDoS木马,使用DNS-over-HTTPS隐藏域名解析过程,躲避各种网络安全设备的检测。既然DoH已开始被黑客利用,并且其被广泛采纳的进程已无法逆转,那我们就应该立刻研发能有效检测的技术去缓解可能的损失。笔者计划接下来写篇文章详细讲讲我们的产品是如何实现DoH检测的实例。
面对层出不穷的攻击手法创新,防守方唯一的出路便是同样以技术创新对抗,如此才能有效阻止对手在企业IT设施内肆意妄为的恶意行动。流行的ATT&CK框架具有效益明显的指导作用,甲方可参照并逐步落地检测能力,追求技战术的尽量全面覆盖,毕竟只有先检测到才能进一步采取措施达到限制渗透队伍活动空间的目标。
主动,应是安全团队必须具备的心态与文化,若打算尽快在企业内实现制约对手的举措;否则仅仅依靠传统安全产品和被动检测很难达成。主动加固环境从而防止任意移动也是领先安全团队常用的有效控制。例如,AD域作为企业至关重要的基础设施,功能复杂灵活强大的副作用便是给入侵者留下很多发挥余地,所以经常被某些安全从业者诟病但却根本无法替代。针对常见AD配置弱点和其它攻击办法的教程现已随手可得,商业化的渗透套装软件也集成了各种模块,越来越多的入门脚本小子都能利用一二,在内网中导致大规模危害的潜在风险很高。下面的议题提供了切实可行的可操作的许多建议,能强化AD环境以防止域被恶意利用,包括为遏制和消除组织内部环境中渗透者横向移动而必须执行的步骤,从而避免由一个不起眼员工电脑被种木马开始、进而逐步发展成危害重要信息基础设施的安全事件发生。
利用AD定期自动强化终端系统的处理也非常关键,例如使用client side extensions,能防范诸如黑客乱改GPO等手段。此外,上文提到过的最小权限的思路和方法,亦可用于此处,检测域账户的特权是否恰当。
如果发现了某主机失陷,或者某账号被撞库,或者某服务AK泄漏,作为应急响应团队成员,你会怎么做?每个企业有自己编排的playbook,措施各不相同,因此答案也许大相径庭。但有一点是肯定的,高水平安全团队绝不会仅仅处理事件发生点,简单下线主机或重置口令了事;而是会查清由失陷点出发或到达,能连接的所有暴露面,并逐一排查隐患,及早切断入侵路径。但这区区一句话听起来简单正确的工作却需要高超的技术和运营能力积累。投入很多资源做了很多年的资产管理CMDB,能支持起上述工作要求吗?停止固化自己的思维,停止墨守成规拘泥于传统CMDB资产列表,不能为了梳理资产而梳理,要理解此任务对于安全控制的真正意义和目标。首先,目前安全面临的复杂性要求我们采集远超传统资产范畴的要素,包括但不限于主机、数据库、中间件、负载均衡、服务、用户、角色、权限、凭据、秘密、Token、网络ACL、隔离段等等信息。然后,不能停留于只是归纳总结列表,而是要通过深挖这些资产之间的关系,获取指导安全工作的派生情报。安全团队的目标是能够快速回答诸如下列问题:我的多云环境中有哪些跨账户的用户和角色信任关系?是否有非公共S3存储桶访问权限被授予给我帐户以外的任何人?是否有面向互联网的主机实例允许访问内部数据库?失陷用户账号过去30天内创建了哪些新用户新实例并且赋予了特殊权限?AK泄漏造成影响的API网关后面连接的是哪些微服务或serverless脚本?等等。
于是,图数据库成为资产管理新宠。下面幻灯片来自Reddit CISO议题Continuous Security and Governance in the Cloud Using a Graph-Based CMDB,介绍利用基于图的CMDB获取资产可见性以确保云环境的安全治理,还探讨了基于图的漏洞管理等内容。笔者近两年看到的基于图的资产管理系统的落地实现水平差别巨大,效果在很大程度上取决于甲乙双方对安全能力的认知程度,并非使用了图数据库就能保证有良好结果,这跟当年热炒大数据安全分析的现象并无实质差别。不过,大家也要意识到现实情况就是这样,不知变通地为昨日黄花持续添砖加瓦,辛苦996也难以出绩效;而勇于尝试新技术,能让干了十年都干不好的基础工作,变换花样焕发第二春,赢得老板的交口称赞。
图关系揭示资产和路径,可应用于很多场景,能辅助安全团队全面提升能力:即便是日常红蓝对抗演习,红队可以规划全新的渗透路径,寻找潜在攻击面,尝试薄弱点不同利用方式;蓝队能查疑补缺,持续发现暴露面,制订快速隔离响应计划,辅助威胁猎捕和溯源,并定期开展实战演练验证playbook。
圈地为牢令攻击者举步维艰,是几十年来信息安全的基本思路。传统上,我们常常把隔离当作边界;今天,边界的模糊并非代表隔离的消亡。隔离,仍是最重要的安全控制之一。某些分析师过分强调检测而忽视隔离的说法未免失之偏颇。如果我们只是把隔离用作内外网区分,显然不能满足当前数字化转型快速发展的要求。相反,隔离将变得无处不在,嵌入到IT基础设施的方方面面。灵活运用不同层面的多种隔离手段,不仅仅限于网络连通,还要扩展到用户、应用、数据、服务等层面,随时随地根据风险状况启用恰当的隔离安全控制,是安全行业正在发生的重要变革趋势。而此变革同样需要先进技术的支撑。
无论历史上、还是现在、亦或未来,科技都是人类进步的根本驱动力之一。作为安全从业者,我们同样要相信技术的力量,并为每一点科技进步感到欢欣鼓舞。本届RSAC主题“人的因素”,促使我们更深刻认识到参与网络安全链条中的人员个体的差异和作用,用新技术去弥补防御方弱点、固化安全能力、并限制攻击者活动空间,才能更好地解决人的劣势,才能更好地发挥人的优势,技术团队正在发挥不可或缺的显著作用,未来大有可为。
世界已经改变。且不论经济运行格局的长期改变,短期衰退已然无法避免。二月中旬发出的本公众号上篇文章中,曾经写到安全行业将受到经济下行的重击。市场上任何盲目乐观分析并不足取,基于错误分析和建议做出的错误判断和决策很容易导致公司陷入困局。似是而非的论断仍会不断出现,需要大家有慧眼正确识别,例如,事实上大部分安全公司难以享受到新基建带来的增长机会。当然,另一方面,困难外部环境下反而会倒逼优秀公司脱颖而出,如何提高经营效率是每个安全团队负责人面临的现实考验。每天关心疫情进展受影响分心导致写作断续缓慢,本文开头动笔实为二月底,但发布时文字并无大改,如与目前发展状况有别请读者们谅解。
