HW 思考系列:檢測只是開始,調查才能結案(上)——實戰時代蘭云科技的網絡安全觀
五年的HW行動,將網絡安全從“合規”時代,帶入“實戰化”時代。面對這一變化,安全理念應如何進化,安全產品應如何進階?
一、合規的價值和不足
網絡安全合規時代,最大的成就是,讓大家配齊了網絡安全“老三樣”(防火墻、防病毒、入侵檢測)等產品,相當于筑起院墻、裝上大門,使得普通人不再能隨意出入你的領地,侵犯你的隱私,威脅你的財產,但對于能翻墻入院的小偷,這樣的措施收效甚微。于是,大家自然而然地對當前的防護措施進行加固、升級,在墻上加裝鐵絲網,安裝更為堅固的防盜門,增加防盜窗,配上門衛(身份認證),聘請總管(安全服務商),有時甚至是配上不同的防盜門,層層設防。這些改進取得一定效果,能應對初、中級小偷,卻無法阻擋能自制萬能鑰匙的“慣偷”。隨著互聯網的普及,學習制作和購買萬能鑰匙的門檻降低,具備慣偷級別能力或者擁有萬能鑰匙的潛在犯罪分子越來越多。面對能力快速提升的對手,筑更高的墻已不能解決問題,還會帶來巨大的財務成本、糟糕的用戶體驗,我們需要尋找新的解決方案。
二、尋求問題的本質
網絡空間已成為“海、陸、空、天”以外的第五大國家主權,然而網絡空間的出現才短短幾十年,還在不斷成長、變化,要一眼看清其本質,存在巨大挑戰。事實上,“安全”問題由來已久,并不是網絡世界獨有,社會治安領域的“安全”已有幾千年的歷史。“犯罪率”是衡量社會安全程度高低的指標。犯罪率高,則“盜賊公行而弗能禁”,社會缺乏安全感;犯罪率低,則“路不拾遺,夜不閉戶”,社會充滿安全感。建設充滿安全感的社會,只需將犯罪率控制在一個較低的范圍。
控制犯罪率,可以從如下三個方面實現:不能犯罪;不敢犯罪;不愿犯罪。
(1)“不能犯罪”,是指犯罪分子因客觀原因無法實施犯罪或達成犯罪目標。從犯罪分子方面出發,只能通過收繳犯罪分子作案工具的方式,使其犯不了罪,而這顯然無法實現,因為可以實施犯罪的作案工具太多——槍可以,刀可以,板磚可以,拳頭也可以……禁無可禁,收無可收。從受害者方面出發,只能通過提升自身防護能力,將其武裝到牙齒,使其強大到讓犯罪分子傷害不了,而這一方面成本高,難以普及,另一方面體驗也會很差。
(2)“不敢犯罪”,是指犯罪分子因擔心承擔后果,不敢實施犯罪行為。要達到震懾犯罪分子,使其不敢犯罪的目的:
首先,需要制定法律法規,實現“有法可依”——明確地告知犯罪分子,犯了什么樣的錯就“會”受到什么樣的懲罰。
其次,需要強大的破案能力——只要犯罪分子犯了案,就能被查出來,將前面的“會”變成“事實”,實現“違法必究”。
然而“有法可依”容易,“違法必究”卻難。從最早的《漢謨拉比法典》,到現在的各種法律法規,各個時代法律都非常齊全,但破案能力卻嚴重欠缺。很多案件只能寄希望于遇到“包青天”“福爾摩斯”“李昌鈺”。顯而易見,神探是稀缺物種,因此破案率始終不理想,也就難以真正震懾到犯罪分子。
(3)“不愿犯罪”,是指犯罪分子內心沒有犯罪意愿或動力。犯罪是因為犯罪分子自身的某些需求無法滿足,需要通過犯罪的方式獲得。如果犯罪分子所有的需求都被滿足了,也就不存在犯罪動機了。而我們有時竟能聽到不缺錢的人實施偷竊的案件,這種情況犯罪分子不存在金錢方面的需求,而是其他需求導致了偷竊。要滿足任何人的全方位的需求,使任何人都沒有犯罪動機,在可見的將來都是不現實的,也許存在于“理想國”中。
綜上所述,“不能犯罪”方面,收繳犯罪工具顯然無法全面落地,而通過提升潛在受害者自身防護能力,則受資源、成本、用戶體驗等因素的制約,可提升空間有限。“不愿犯罪”方面,除非人人都達到“從心所欲而不逾矩”的境界,否則至少目前階段,缺少落地的可能性。“不敢犯罪”方面,在“有法可依”的前提下,做到“違法必究”,震懾潛在的犯罪分子,使其不敢犯罪,從而降低犯罪率,是可能的方向。達成“違法必究”的目標,關鍵在于如何提升破案能力。
提升破案能力,幾千年來一直都是難題,而我們國家近二十年來在這方面的努力和實踐說明,完全可行。
嚴重暴力犯罪變化趨勢圖
上圖是最高人民檢察院2020年5月25日工作報告中對近二十年嚴重暴力犯罪情況的統計。從數據看,目前嚴重暴力犯罪的犯罪率不到峰值時的1/3,尤其近十年更是大幅下降,而這期間法律沒有大的變化,GDP增速也低于前十年,為什么犯罪率卻有這么大幅度的下降呢?最大的變化是“平安城市”“天網工程”“雪亮工程”等的逐步落地,發揮出越來越大的作用。現在的案件偵破,通常是通過調取案發地的監控攝像,鎖定嫌疑人,然后結合其他監控攝像,確定嫌疑人的行蹤和落腳地,實施抓捕和審訊,完成破案。通過構建必要的基礎措施,降低破案難度,即可大幅提升整體破案能力。現在,普通警察的破案能力和效率,甚至高于以往的神探們,由此極大地震懾了潛在的犯罪分子,使其不敢再冒險犯罪,這是近二十年來暴力犯罪率大幅下降的原因所在。
三、網絡安全,路在何方
網絡世界并不是一個全新的世界,它是現實社會的延伸——主導網絡世界的是人,網絡犯罪的主體是人,犯罪的目標還是獲利或者傷害(破環)——同現實社會并無不同,改變的只是作案工具。“他山之石,可以攻玉”,社會治安領域的成功經驗,可以在網絡安全領域借鑒和應用。
“合規”時代讓我們筑起了院墻,安上了防盜門,配上了保安,構建起了防控體系,可以有效應對偷窺和小偷小摸的行為。但隨著互聯網的快速發展,具備較高能力或者擁有先進工具的犯罪分子越來越多,加上“網絡無國界”的特性,網絡安全已進入“實戰”時代。
實戰時代,在防控體系之外,應建立類似于“雪亮工程”的監察體系,降低破案難度,提升破案能力和效率。防控體系的目標是讓普通人不要或者不能越界,而監察體系的目標是讓犯罪分子無所遁形。在網絡世界的重要節點、系統、應用中部署“探頭”,記錄發生的行為,在管理區域部署“監控中心”。
有了這些監察體系所需的基礎設施,一旦發現可疑行為或者可疑人員,安全人員利用采集的數據和先進的技術手段,進行高效且全面的追蹤調查,完成“破案”,阻止犯罪分子的進一步行為,讓犯罪分子知難而退或者承擔法律后果。
以近幾年的HW實踐,紅隊成功拿下目標的案例,通常需要很多步,10步,甚至20步,從結果看,顯然藍隊沒有一款產品能將每1步的威脅都檢出,但在事后回溯分析的時候能發現,這些案例中,紅隊在其中的某些環節的行為,并未躲過藍隊安全產品檢測,已觸發告警,僅是因為藍隊一方面不同環節采用不同的產品,相互之間的協調存在問題,另一方面安全產品往往只對檢出的威脅進行告警和描述(側重在說明該告警是正確的,不是誤報),缺少對告警之外的行為提供深入分析的支持。一句話,當前的網絡安全產品是為“檢測”設計的,而不是為“調查”設計的。
網絡安全實戰時代,檢測只是開始,調查才能結案!如何調查?如何結案?如何讓你的辦案能力超越福爾摩斯?且看下回分解!
