面对当前突发的新型冠状病毒,网络安全领域有着不同于其他领域更为深刻和特殊的感受。这是因为计算机病毒本身就是借鉴了生物病毒的概念,两者之间有着极大的相似性,比如传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性,并按照一定的周期进行复制或者发生变异,从而导致器官或者机能受损、系统瘫痪和紊乱直至死机,以至于谈起病毒感染,很多人最先想到的甚至不是生物病毒而是计算机网络病毒。
我国新冠防控已经取得良好成果,关于该病毒的致病机理、传播途径、爆发背景等也不断被分析和还原。站在大视角下看,新冠病毒与网络安全攻击尤其是勒索病毒相似或者相近,新冠病毒的检测、预防、控制、隔离、治疗方式和手段与网络安全防治思路也大体趋同,研究它们的异同点和规律性,无疑有积极的借鉴意义和启发作用。
安恒信息通过将新冠病毒和网络安全(勒索病毒)进行对比分析,引出对网络安全重点工作的思考。
一、新冠病毒与网络攻击的对比分析
这里以永恒之蓝勒索病毒为例,在对新冠病毒与永恒之蓝勒索病毒的传播途径、传染路线、感染对象等方面的对比分析可以发现,新冠病毒传播的爆发与网络安全攻击具备一定的相似性:
新冠病毒的防控过程,大概有五步工作,这与网络安全保障工作中以安全体系为依托,以大数据态势感知为决策支撑,建立事前防护监测、事中响应处置、事后回溯优化的思路趋同:
第一步:对病毒病例进行发现、上报,分析病毒的特性、治病原理、传染性等前期和研判工作。
第二步:启动应急预案,对感染省份、城市、区域进行封锁隔离,根据不同的疫情情况设置不同的防护区域和措施,对疫情人员进行救治,尽可能的破坏基本传染路径。
第三步:通过对病理分析,辅助城市人口流动统计、社区人口流动统计、学校学生健康统计、疫区人员流动统计,感染人员上报数据等进行大数据统计分析和态势感知分析,为决策、研判和后续的防控策略提供支撑。
第四步:采用病毒核酸检测手段快速确诊病例,确诊病例和疑似病例集中收治,密切接触者隔离观察,寻找更多的破坏源,降低网状链路传播,延长复工复课周期,让潜伏破坏源自我暴露。
第五步:安全意识宣贯传导,反思优化,加快疫苗研制和提高防控效率。
二、新冠病毒防控引起的网络安全思考
思考1 安全体系的重要性
无论是网络安全还是疫情防控,都是人、管理、技术的结合体,是体系化而非单一存在的。组织体系、技术体系、管理体系、运营体系的横纵建立和有效运行是影响疫情防控以及网络安全保障效果的最主要因素之一。
思考2 大数据态势感知对决策的支撑作用
新冠病毒疫情的防控期间,大数据和态势感知起到了决定性作用,无论是为领导层提供决策、防控手段措施落地实施,还是为各省疫情数据统计分析、跟踪溯源都起到了绝对支撑作用。
网络安全亦是如此,未来网络安全必将打破信息孤岛呈现数据化、集约化的态势,海量网络安全数据更离不开网络安全大数据和态势感知对整体网络安全态势的研判、分析、决策和及时响应。
思考3 事前监测预警要特别重视
无论疫情防控和网络安全,事前防护检测,避免、控制恶性突发事件的发生是最好的处置方式。当前,多数从业人员、企事业单位都对事前预警工作处于无所谓和不重视的态度,抱有“事前防护工作和投入没有用”的想法,一旦事件发生,便出现恐慌错乱,无从下手的情况。
面对网络安全的事前防护检查,行之有效的方法是建立纵深防御的安全防护产品,并通过资产排查、安全评估、安全加固、安全运营等手段保证安全防护检查无死角,识别资产、威胁、脆弱性和风险,并进行有效监控,尽量将风险降至最低或能够接受的可控范围内。
思考4 事中处置要快速及时
网络安全和疫情防控,在发生确诊病例和网络安全攻击时,要及时快速响应,通过抑制、根治、恢复等方式快速处理事件,将损失缩小到最小程度;并通过重保、7*24小时值守工作,严密监视疫情或网络安全事件的发展和态势,及时调整策略和手段应对。
思考5 事后反思优化要落实到位
2003年“非典”疫情过后,各部门机构总结经验,查漏补缺,我国疾病预防控制体系更加完善和优化,为打赢此次新冠病毒疫情攻坚战创立了良好的基础。网络安全工作也应如此,网络安全事件处置完成后要及时总结、反思,找出不足和短板,不断优化,为后续类似事件积累经验。
思考6 应急响应机制应完善和演练
中国建立了国家、省市、县级纵深的CDC防控体系,和医院、研究所、一线专家组组成的一线团队,并具备完善的公共事件应急响应机制。应急体系是非常完整的,但从疫情爆发之初,应急体系的启动和应对上还是存在了一定的问题,说明在应急指挥调度和应急实战化演练上有待提高。
网络安全工作中,应急响应是重中之重,事前防护监测是防止事件的发生,一旦事件发生就需要应急快速响应、及时抑制根治和恢复止损,因此应急响应领导小组应落实到人,在网络安全事件出现时起到充分的指挥调度作用。同时,网络安全攻击越来越向国家层面、网络战的实战层面发展,以前的桌面演练、模拟演练已经无法满足需要,越来越多的实战化演练得到国家、行业和企业的认可,红蓝军对抗、HW演练、威胁狩猎等一系列实战会越来越得到重视。
思考7 检测准确度须优化与提升
新冠肺炎的确诊目前主要依据病毒核酸检呈阳性来判断,而从目前的临床表现看,有一些病例出现先阴后阳,甚至三次检测均为阴性但最后确诊为新冠病例的情况。无法完全100%的检测成功率会为疫情防控、医生判断救治造成难度,增大感染几率。网络安全厂商也应提高网络安全产品对网络攻击的检测率,将误报率和漏报率降低至趋近于0,这在网络安全工作中是非常重要的。
思考8 智能分析和监测技术要同步跟进
“发热”是新冠肺炎检测的重要特征之一,杭州东站采用红外无感知检测体温,已经完成铁路到达层10个出站口、二层出发大厅4个进站口,新科技的监测手段的应用,降低了监测过程中的交叉感染并加快了监测效率。
网络安全厂商也应加快智能分析和新的监测技术发展和建设,利用人工智能技术实现对虚拟世界的异常世界快速检测,在结合大数据分析对异常事件进行快速分析和复诊,确保网络安全事件一个不漏。
三、黑天鹅事件的快速处理和应对
本次新冠肺炎疫情是典型的黑天鹅事件,初期的应对不足导致疫情在短时间内的集中爆发。网络安全领域中的黑天鹅事件也不是少数,典型案例如永恒之蓝勒索病毒,初期的轻视导致该病毒在短短数日之内大规模肆虐,全球近百个国家超过10万家组织和机构被攻陷。应对网络安全黑天鹅事件,除了要加强网络安全体系建设、做好事前网络安全防护外,建立网络安全态势感知,对网络安全态势及时掌控也是必不可少的方式。建立全生命周期的安全运营体系,通过PPDRR模型理念不断提升安全水平,建立安全应急体系,提前安排预案,加强应急演练和培训,提升人员意识和能力等,都可有效应对黑天鹅事件。让我们少一些侥幸应对,多一些未雨绸缪,“外防输入,内防扩散”,让网络安全落到实处。