央广网首页

一键登录

首页 | 快讯 | 新闻 | 评论 | 财经 | 军事 | 科技 | 教育 | 娱乐 | 体育 | 生活 | 公益 | 女性 | 旅游 | 汽车 | 图片 | 视频 | 社区

新闻中心 > 央广网国内

新冠疫情与网络安全

2020年06月30日 18:32 来源: 央广网 说两句 分享到:

中国农业发展银行厦门市分行  林棽宇

新冠病毒病已遍及全球150多个国家,并继续扰乱全球经济、健康、交通以及政治和社会系统。人们行为发生了转变:避免与公众接触,远离大型活动、公共交通、购物中心、餐厅、航班等。这些自愿接受的与外界接触的限制同样影响到了工作:为了保护员工和企业本身的健康,一些从不进行远程办公的企业现在也开始远程办公了。受到这一致命暴发的影响,全球数字业务中的另一个隐患正在上升,那就是网络攻击。在远程工作时,对数字基础架构或数字工具的依赖。为始终在寻找漏洞的网络犯罪分子提供了无限可能。报告显示,猎网平台在疫情期间共计收到用户有效举报3243例,举报数量相比去年同期的2200例增长了47%,举报者被骗总金额达5997万元,人均损失为18492元。即使疫情期间,骗子们也仍然披着疫情的外衣趁火打劫。而受疫情冲击,不少行业纷纷遭受重创,在线游戏、医疗等行业却迎来爆发式增长,而这也让骗子们发现了更多“商机”。报告显示,游戏诈骗举报量以550例高居榜首,金融诈骗和购物诈骗仅次其后。这主要是因为疫情防控期间,很多人宅在家中,闲暇时间增加、投资理财需求迫切、网络购买防疫用品需求大幅上涨而导致骗子趁虚而入。与此同时,闲暇时间的增加,也进一步带动网上结识陌生人的机会随之增多,越来越多的交友诈骗都采取诱导受害人投资和赌博的形式,以骗取高额钱财,交友诈骗由此成为人均损失最高类型。“闲聊”迸发情感火花的同时,也让各种网络诈骗问题浮出水面。“无事献殷勤“式的关心,正逐步攻破受害者的心理防线。

一、网络安全亦应遵循“早发现、早隔离”的理念。这次抗击新冠疫情的行动体现了我们国家对公共卫生突发事件强大的应急响应能力。对比当前的全球疫情形势,可以看出我们国家的应对策略非常正确,有效地遏制了疫情的蔓延,已经取得了阶段性的胜利,目前,国内的疫情已由“防扩散”转为“外防输入、内防反弹”。新冠疫情是少有的对中国公共卫生医疗应急体系的一场大考,钟南山院士表示,对患者的早发现、早隔离最为关键,甚至比治疗过程都重要。在网络安全事件的响应上,“早发现、早隔离”的思路同样适用。在保证业务正常运行的基础上,快速研判事件影响的范围并对受影响资产进行快速隔离,是从网络安全角度保障业务连续性的关键。

近年来,很多网络攻击手段可以轻松地绕过网络边界安全防护措施,一旦进入内网就会如入无人之境,带来很大的安全隐患。“零信任”是近年来比较受认可的网络安全理念,即不再区分网内网外,不再信任任何的网络实体和用户身份,假设黑客已经进入了内网环境。首先,内网要严格执行最小权限原则。基于身份、终端环境、网络环境等因素判断是否可以提权,进行细粒度的权限控制。一旦策略引擎判断某台主机的访问请求存在异常,需要及时阻断,降低其权限,甚至将其隔离调查。如需访问,要从最初始的身份认证阶段再进行提权申请,或者联系 IT 管理员。安全事件的分析和病毒的研究一样都需要耗费大量的时间,所以往往具备一定滞后性。零信任理念强调的实时、动态认证和授权机制,可以有效地提高应急响应的时效性,一定程度上帮助实现早发现、早隔离的目的,最大程度的隔离威胁,保护整体网络的安全。

二、网络安全运营自动化水平的提高有助于缓解威胁。目前我国医疗卫生体系建设了包括传染病疫情直报系统等多套信息系统,但从披露的信息看,这些系统在本次疫情初期发挥的支撑作用有限,专家组难以及时掌握疫情发展态势并做出准确的判断,一定程度上说明,这些信息系统需要进一步提高规范化运营水平和辅助决策能力。

网络安全防御体系的建设也有同样的短板。网络安全人才的缺乏和人才培养速度的不足,使得提高网络安全防御体系对威胁的自动化应对能力极为重要,在发现网络安全事件后,告警的同时自动化的隔离失陷主机,可以有效缩减威胁响应的时间窗,有效节省安全运营的人力资源。

确保网络安全运营体系的自动化高效运行至关重要。为达此目的,我们必须通过经常性的的检测手段来验证安全运营自动化的有效性,验证探针的安全监测功能的有效性,验证信息是否能顺利到达分析平台,验证分析平台的安全监测规则的有效性,验证告警和处置方式是否得当,甚至我们还需要通过红蓝对抗的方式来实战检验安全运营体系的有效性。

网络安全运营平台对海量告警信息的处理应遵循合理的优先级策略。聚焦对失陷事件、影响业务连续性事件的捕捉,减少对没有造成失陷的攻击流量的关注。美国的全国网络安全保护系统(NCPS)聚焦于能够追溯到国家攻击行为的APT攻击事件,这也体现了美国对网络安全威胁清晰的认知。

三、网络安全运营体系中的有效融合是提高网络安全整体防御能力的重要途径。2003年SARS过后,国家投入大量资源建设了直达乡镇卫生院的全国性的传染病疫情直报系统。据悉,该系统可以让上至国家卫健委,下至乡镇卫生院,各个层级的监管部门都能同时获知各地上报的疫情信息。重大网络安全事件对国计民生的影响可能不亚于疫情,所以,这种“直报”的理念,也值得网络安全行业考虑、借鉴,以有效应对突发的重大事件。网络安全防御体系的建设和运营,会涉及监管、运营、安全服务等相关方,如果网络安全态势感知系统能将真实的失陷事件在第一时间同时通报给相关方,各方配合行动,不仅可以极大程度提高对安全事件的响应效率,也可以从机制上避免隐瞒不报等违规现象。

疫情瞒报问题是影响疫情防控的重大风险。在网络安全领域,部分人员为了一时逃避责任,瞒报失陷事件也时有发生。现有的解决思路,无论是监管方还是运营方,单方独立建设收集、监控威胁的态势感知系统都很难达到令人满意的效果,这就意味着,我们需要认真思考如何建立一套理想的架构和运营体系,让网络安全运营体系的所有参与方都在一套平台系统中共享信息,以最高效率协同、应对网络威胁,这是传染病疫情直报系统给网络安全工作带来的启示。

5G等新技术的应用,更复杂的安全威胁,更广泛的攻击面,都让监管方、运营方、服务方三方在网络安全防御体系中的有效融合成为了关键。当然,要实现这点,还需法律层面的有效保障,以及三方之间建立足够的信任。虽然这些看似困难重重,但不妨碍我们先向前迈出第一步,因为这是所有网络安全从业者的责任与使命。

四、从安全理念和体系架构两方面深刻理解“关口前移”。新冠疫情的应对重在隔离与预防。武汉封城的时间如果能够提前一天,疫情后续的发展态势可能也会完全不同。

在网信工作会议上,习主席曾多次强调网络安全“要关口前移,建立防患于未然的安全体系”。近年来的威胁形势已经证明,完全御敌于城门之外是难以实现的,在传统安全防御理念失效的今天,安全工作的底线在哪里?关口又在哪里呢?2016年FireEye公司的报告称,企业从被攻陷到发现的平均时间(MTTD)是146天。无疑,一次MTTD时长超过企业最大容忍的极限就意味着失败,这也是安全的底线。反过来讲,这也是安全工作的意义和价值所在,将 MTTD 作为一个重要安全工作指标,对态势感知系统的监测预警能力以及企业安全运营的自动化水平和有效性,包括对威胁、对自身态势的理解,都提出了更高的要求。

应急响应是网络安全防御的一道重要关口,我们可以看到的通常情况是,漏洞曝光的第一时间服务方更新安全设备特征库。用户发生安全事件打来电话后,服务方可以在几小时内到达现场。但现实的威胁情况往往又是怎样的呢?漏洞补丁发布的时候,可能漏洞利用工具已经从战略对手的网络武器库中下架,因为对于他们而言,数月之前这个武器已经实现了它的价值——突破了目标系统,虽然这种情况不能代表所有的现实,但这种真实性是完全可以想象的。在这种情况下,如果还将这样的快速响应作为网络安全工作的关口,那么守住这个关口的意义和价值还有多大?应急响应的任务更重要的是尽可能缩短MTTD,如果能缩短到分钟级,可能攻击者来不及做出更多破坏和渗透就被我们隔离、清除,这也是零信任理念近两年火爆的重要原因所在。

五、坚持职业操守、具备家国情怀是对网安从业者的基本要求。回归到人,这次新冠抗疫中涌现出了很多可歌可泣的英雄个人和群体,全国各地的医护人员前赴后继,很多公司和个人捐款捐物,场面令人动容。20余年来,在我国无数次的网络安全事件应急响应中,许多优秀的网络安全公司总能表现出领域的专业水准,担负起自己的责任,想用户之所想,急客户之所急,在维护国家网络空间安全的事业中受到客户的广泛赞誉。

网络安全事件与公共卫生安全事件的应对有众多相似之处。网络安全企业守护的是国家网络空间的安全,当出现重大安全事件时,网络安全企业和个人要能不计得失的冲在第一线,自觉挑起保护国家网络空间安全的重担。无论哪个行业,对职业操守的坚持、为国家命运担忧的家国情怀都是基本的要求,正所谓“先天下之忧而忧,后天下之乐而乐。”商业公司的价值体现也需要在此。从长远角度看,既具有专业能力和职业操守,又拥有家国情怀的公司,一定能获得市场的关注和肯定。

中华民族是从苦难中成长起来的民族,我们能从每一次苦难中汲取到经验和教训,我们具有强大的应对任何困难的能力,党和政府具有强大的领导力,人民具有强大的凝聚力,这都是此次能够成功控制住疫情的重要前提。在网络空间,我们同样也需要这种能力。网络威胁日新月异,层出不穷,所以我们还需要更多的专业能力,既要具备“看见”威胁的能力,也要具备对未知威胁前瞻性的“想象”能力。我们只有在保持这些能力的同时,不断审视自身,创新性地提出更多有效的解决方案和应对措施,才能让我们的网络空间更加安全。

 

头条推荐