下载掌阅APP,畅读海量书库
立即打开
网络安全工作包含“三分技术,七分管理”,这是业内共识。技术和管理应互相配合,其中管理工作则更为繁重而关键。在进一步实践中,从业者还需要建立更深刻的认知。除了技术和管理,安全还可以衍生出产品、工程、营销、合规等元素,这就让安全的体系生态更加复杂。除了将安全分解为不同元素的化约论(reductionism)观点外,更需要将各种元素加以整合考虑。整体论(holism)主张一个系统中各部分为一有机之整体,而不能割裂或分开来理解。通过整体论方法,笔者总结出了网络安全的三种解构思维,有助于对网络安全的内部规律抽丝剥茧,透过现象抵达本质。
成本决定成败。不虑耗损者,不堪谋安全。正如习近平总书记在“4·19”讲话中所强调,“网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼”。印度于2019年颁布的《数据保护法案》提出了严苛的合规要求,遭到了企业界的强烈反对,于是在2022年8月被迫撤销。降本保效应是安全运营的核心议题,这一目标的实现效果决定了安全是可扩展、可维持的实战武器,还是小范围、短时效的演习道具。
古代军事家孙子从成本和收益角度看待战争,他指出,“百战百胜非善之善也,不战而屈人之兵善之善也”。在网络空间,安全和危险的边界归根结底也是经济学的边界 [15] 。网络和防御都需要耗费人力、财力和物力。攻击者资源有限,必须在多个目标之间进行筛选,以追求产投比;防御者被淹没在海量的事务中,也要在资源和精力的分配问题上做出艰难的选择。攻击行动过程中,攻击团伙的手法和基础设施资源都会有暴露的风险。暴露的肉鸡将不再可用。团伙本身也会被追踪、画像,甚至被归因和起诉。防守方布下层层机关,也是为了抬高攻击方的成本,这就是“网络威慑”效应的主要发力点。同时,防守方还需要降低自身成本,因此会采用精细化、集约化运营方式,追求高效的分工合作。当攻击收益足够诱人时,攻击者才会愿意付出巨大的代价,不厌其烦地翻越高墙,绕过岗哨,打捞密码,策反内鬼,直至攻陷系统。而如果目标比较鸡肋,高级对手将不屑一顾,能遭遇到的对手大多是机会攻击者,在受挫时容易浅尝辄止,一般强度的安全措施则可起到足够的保护效果。APT的本质其实也是经济层面上的:攻击者有钱有闲,才能吃秤砣铁了心地长期渗透一个目标。工业控制系统宁可带着一身漏洞去运作也不打补丁,就是因为认定了,相对于网络安全风险,贸然施加安全措施造成的稳定性风险是更高的代价。
网络安全的成本,不仅是财务成本,更是人力成本和精神成本。网络对抗中的消耗战,终究会归结到对人才的消耗战。防御者一方,阵地之安不在于坚不可摧,而是在于迫使对手派出宝贵的“高手”出马才有望攻克;而另一方面,防御者对自动化的追求也是以节省己方的人力为目的。弱口令大行其道,是因为强口令造成了不受欢迎的心智压力。代价过于高昂、措施过于严苛的安全控制可以支撑运动式的短期行动,但长期的运营则难以维持。它将引发组织内部的广泛排斥,甚至让规避IT管控的“影子IT”成为潜规则,让安全体系名存实亡。
计算机学科处处隐藏着对人性的认识、妥协和适应,它不仅是关于机器的学问,更是关于使用机器的人的学问。高级编程语言是为了规避机器指令的反人类设计而出现的,软件工程是为了避免软件开发的复杂性超过人类的梳理能力而提出的套路,设计模式是为了便利开发者之间的沟通而总结出的惯用“桥段”,网络漏洞是人类智力局限的必然结果,网络攻防更是有关人性的对抗交锋。抽丝剥茧之后,网络安全领域处处映射出人性的脉动。
网络安全管理的失败,常常是因为高估了人的理性,或者挑衅了人的耐心。要认识到人类对精细工作的不可靠性,例如对网络资产的梳理如果依赖人工填报,则必然错漏百出。网络安全管理,既要注重经济预算,也要注重心理预算:措施的烦琐程度超过经济预算或心理预算都会崩溃。对组织而言,网络安全事件是大概率的灰犀牛事件,却常因为决策者的各种非理性心态而被放任发生。根据经济学家丹尼尔·卡尼曼的理论,相对于潜在的损失,人的感性思维对于眼前确定性的花销更加敏感,这解释了许多企业对于网络安全的预防工作为何会一拖再拖。当安全事件真真切切发生后,人的积极性又会被应激式地调动起来,安全工作的受重视程度将在短期内发生巨大的扭转。现实中,安全事件经常扮演安全管理措施变革的催化剂。
物理世界中存在四种基本力:引力、弱力、电磁力以及强核力。如果把力学模型引入组织行为学,或许可以总结出组织行为的几种基本动力:营利,显功,避罚,降负,从善。这几种力在不同的组织文化下具有不同的比重。利欲熏心的犯罪组织受营利的力量支配,不惜铤而走险;一些僵化的大型组织则追求在保证避罚的前提下实现降负,只要不出事就可以不干事,表现出了懒惰;从善泛指非功利性的理想主义动力,比如理想信念、社会责任等。这种组织力学模型有助于理解和预测组织对网络安全的心态和动机。避罚动力让一些企业追求合规性,从而间接地实现了一定程度的网络安全。某些单位致力于打造华而不实的态势感知系统,可以认为是以显功为驱动力。一些高新技术企业非常依赖于核心技术秘密,这密切关系到它们的市场地位和营收状况,因此特别重视信息数据的保密性措施,可以归结为受营利这种力量的驱使。如果企业的网站被黑,数据发生泄露,或者服务宕机,将严重损害企业的形象和市场前景,因此营利动力也同完整性、可用性等安全目标息息相关。人性是大自然的力量,因此不妨按照力学的方式解析人性,像驾驭力量一样引导组织中的人性,借助于非理想主义的人性动力达到网络安全的理想目标。
习近平总书记在“4·19”讲话中强调,“网络安全是整体的而不是割裂的”“在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系”。在2021年国家网络安全宣传周活动中,国家互联网应急中心(CNCERT)总工程师陈训逊对记者说:“网络安全不是单方面的,在人员、认识、技术储备等各方面都面临着一些挑战。”网络安全是一门融合技术、管理、法律和心理学等多领域知识的学科。安全从业者需要具备宽广的视野,既要研究模块,又要分析系统;既要管理设备,又要维护网络;既要熟稔信息技术,又要理解安全管理;既要关注单个企业,又要纵览行业生态。先进的攻防技术是网络安全的生存土壤,而技术至上主义却是让网络安全走向失败的祸根。网络空间的安全必须通过体系化能力才有望实现,这个体系由国家、企业、个人等多个层次的诸多要素构成。
站在宏观层面,网络空间防御的成败具有明显的短板效应。在2017年补天白帽大会上,CNCERT运行部主任严寒冰说,“一个国家网络安全的防御体系由很多层面组成,任何单位都应该把自己的网络安全防护工作做好,这是对国家网络安全防护体系的一个重要支撑。如果仅仅是一两家单位、一两家公司有很好的防护水平,并不能改变我国整体的网络安全防御水平,必须让每个公司的网络安全防护能力得到普遍提高”。站在企业治理层面,网络安全体系是人、流程和技术的有机生态,科学化网络安全建设不是时松时紧的应试性整改,不是好大喜功的技术产品堆砌,它应该是持续、动态、全面的治理过程。站在技术架构层面,传统的网络安全架构由一堆外挂的黑盒构成,这些黑盒并没有针对企业业务的特点进行定制化,互相之间也没有形成合力。这就好比一位病人从十个药商那里各买一块膏药贴在身上,不论膏药本身好坏,这些互不相识的药商不可能给出成体系的医治方案。安全产品的互操作性和体系化是实现广泛网络安全的必由之路。