自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

下一步去构建可恢复网络

文 | 王忠惠

王忠惠

上海千寻位置网络有限公司安全专家

信息安全专业硕士，10年以上网络攻防经历；曾多次规划组织部级前沿网络攻防项目；现带领团队围绕服务、应用和IoT，建设软件安全能力和网络防护能力所需的产品、技术和平台。

回顾2022，信息安全领域的事实证据再次表明，层出不穷的安全概念和愈发成熟的各类管理体系不能避免漏洞攻击和数据泄露的发生，因黑客泄露、漏洞泄密、勒索攻击造成的全球数据泄露规模和平均成本均创下历史新高。

展望2023，在全球数字化转型的浩荡进程中，企业所面临的网络安全与数据合规的压力将持续增加。面对黑客攻击、监管边际和内部威胁的可能性，我们除了持续应用最先进的网络架构以外，不妨换个视角，探讨面对即将失败的网络防御，如何建立更可用的网络系统。

在数字化时代，由软件、数据和算法构建的网络系统是支持企业业务正常运转的基本要素之一。随着软件产业的快速发展，网络技术的发展促使网络复杂程度、网络攻击频次和数据集中度上升，导致网络系统的整体安全防护难度越来越大。因此，期望通过提升网络系统的韧性，使得整个网络系统面对各种破坏、干扰、中断等不利影响时，能够经受住这些威胁并从威胁中恢复。在NIST SP 800-160中给出了比较全面和权威的解答——网络弹性解决方案。

该方案将网络弹性（Cyber resiliency）定义为预防、抵御、恢复、适应那些，施加于含有网络资源的系统的不利条件、压力、攻击或损害的能力。网络弹性的目的是预防、抵御、恢复、适应，这不仅仅是一套方法论，也是实际操作思维的转变：聚焦于如何保障业务，并假设网络体系将被突破，入侵不可避免。如果当前的网络体系建设将以韧性为目标，网络安全重点也从攻击预防转变为增强网络可恢复性，通过维持业务正常运营，从各种可能的失败中快速恢复过来。

为了面对失败，并思考如何恢复。本文将简单地从网络隔离、漏洞攻击、威胁检测、身份账号、数据防护等方面，谈谈对于可恢复网络和不可恢复网络的一些感触。

无论是纵深防护还是边界防护等网络安全架构，都会将网络安全域划分和网络隔离作为重要的安全手段。包括基于网络南北东西以及应用流入流出的方向性管控，都是为了整个网络系统能够更加经受住攻击，并在入侵发生时避免信息泄露。正确的网络策略对于解决问题是至关重要的。在层次化的网络中，最外层的网络被突破后，避免进一步的入侵意味着保护了其他内部系统；而禁止各种主机网络外联和带外通信功能，更可以将木马下载、数据回显等攻击验证化解在无形之中。

容错体系结构的网络设计在隔离所有受到攻击的部分，在当今的混乱环境中，控制了安全性。未来，网络微分段和网络零信任等方案更加成熟后，可容忍攻击的网络隔离技术应用将更加得心应手。

在应用安全领域，漏洞攻击将长期不可避免，防不住越权的WAF，挡不住零日的防火墙，挨不住薅的逻辑缺陷，不能忽视的漏洞让已部署的各类安全防护措施某种意义上失效，攻击者以胜利者的姿态占尽便宜。如果防护的实际水位被持续验证，如果漏洞被尽早的发现并被正确的处置和响应，漏洞带来的损失将是有限可控的。之所以一家拥有SRC的企业，它的安全水位和安全能力比没有SRC的企业更高，在于其已经面对失败，早于黑客攻击之前发现了薄弱点，预测到了暗处发生的问题。SRC是一种以风险为驱动的方法，并将有限资源投入在最值得优先考虑的领域。

另一方面，在漏洞自动化运营层面，以一致的方式持续测试安全措施，从预防、检测到响应的入侵与攻击模拟（BAS）同样值得期待。将攻防对抗和红蓝演练转变为切实的安全生产力，全面验证和持续监测失败状态不失为一种良策。

对安全产品和系统日志进行集中式采集和分析已经不再稀奇。然而，由于攻击面不断扩大，未知攻击手段的不断增加，遗漏的威胁总在事后被发现。传统的网络检测和端点检测以特征和签名作为主要检测方式，误报和漏报同样糟糕。那些可疑活动、不寻常的行为与恶意活动有着同样糟糕的影响。为了提升对威胁的检测和响应能力，我们将持续加大数据的聚合和分析，并投入专职的分析人员从大数据中发现潜在的威胁和可能规律和趋势。显然，眼下威胁检测技术投入必不可少，安全分析人员同样不可或缺。

在网络威胁形式持续变换的情况下，需要更先进的技术方法来扩展威胁检测能力。眼下开放式XDR技术期望通过不同的安全控制措施来应对各种威胁风险，使用UEBA、SOAR、NDR、EDR以及其他工具和技术面试威胁检测的挑战。这还需长期观察。

在账号权限管理领域，有个经典的密码学安全问题时常困扰大家：如何做好员工离职时限期改密以及关键应用的秘钥轮换，内部员工的某些行为能够让各种安全努力被严重破坏。别问我如何知道，这个简单安全问题其实深深地困扰着大家。组织内共享密码时有发生，而且绝对是非常重要的业务岗位和技术岗位。可以通过IP访问白名单限制账号密码生效的位置，是的，我们都这么做，但并非所有的身份账号在可控的范围内。是时候思考，如果任意内部账号在内部被任意使用时，我们该怎么办。

另外，谈一下数据使用时的滴漏与数据加密脱敏的矛盾。有个案例，某宝通过商品详细信息接口和信息分享接口被批量爬取近12亿条数据。虽然数量惊人，但这样的数据滴漏点并不是发生在主业务链路上。而且，显然可以相信，系统中重要的个人数据已经被正确的加密保护。如果数据使用和数据泄露不可避免，能否尽早限制边缘系统对各种数据的使用？业务侧是否允许这么做？

最后，比起网上热点事件教我们如何设计有价值的应急预案，免于监管责罚和免于用户赔偿，所有可能发生或已经发生的同行案例都在告诫我们，下一步应尽早去构建一个可恢复的网络安全体系。传统安全做法正在拖后腿，我们必须创造一种包容性的环境，让多元化的想法能够同台竞争，让桌上的每一个声音都能被听到，让最好、最先进的想法获胜，这样才可以改善我们的整体安全态势。