=Start=

缘由：

整理一下最近看到的2篇不错的文章，方便后面有需要的时候参考。

正文：

参考解答：

如果不了解网络攻击者将会追求什么，需要从了解环境开始，从了解他们将要做什么开始。了解环境，这样就可以随时观察一切，并确保拥有整个环境的广泛可见性。

确保在环境中采取了保护措施。从开发人员的角度来看，确保了解正在管理的漏洞、自己知道的漏洞、第三方知道的漏洞，并采用适当的流程适当地管理它们。

&

0. 智者千虑，必有一失（传统的安全攻防中防守方的困境）
1. 知己知彼，百战不殆（知己知彼，知己不知彼，不知己不知彼）
2. 他山之石，可以攻玉（借助其它内部团队、外部厂商的产品、能力、情报，帮助提升自己的能力）

---

What’s the most important task other CISOs should be doing at companies that are likely to be targeted by this kind of an adversary?

One of the first lessons that everybody should be aware of is the level of a threat actor. The nation-state is not some movie prop. It’s a very real threat actor that is patient, extremely thoughtful, on a mission, and very quiet in the environment. All those things that make them hard to discover and hard to combat is that adversary that we faced today. [Those same models] will start shifting to organized crime.

If you don’t understand what [adversaries] would be after, start there. Start by understanding your environment, start by understanding what they would be after, start by doing that quick visibility into your environment, so that you’re watching everything at every moment, and make sure that you do have broad ranges of visibility across the environment.

Make sure that you have the safeguards installed into your environment. From a development perspective, [make sure] that you’re managing vulnerabilities, ones that you know about, ones that third parties know about, and that you have a process in place to be able to manage them appropriately.

One of the lessons is, no matter how much you practice [incident response], it’s going to be different. When something of this level happens, you just need to be ready with your processes and procedures. We were there until two in the morning every morning for two weeks, simply because there’s just so much to do.

Have the right people on speed dial; you can’t do everything yourself. When you get something like this level, bring in folks that have done it before. From a messaging perspective, from a response perspective, from an investigation perspective, all those things require having skilled people involved who have been through it before.

About a year before the incident, we put a process in place that every security bug, whether it’s recorded externally, by our tools, or somewhere else, [becomes] a Jira ticket, just like regular bugs, but it gets a security tag, CVSS score. My security team monitors those. If they don’t meet our internal SLA for resolution, they go through our RAF (risk assessment form) process, where I have to sign off on the risk and the head of engineering signs off on the risk. That raises the level of how you deal with vulnerabilities in the product to an appropriate level to make decisions on whether something is fixed and how it gets fixed.

Have processes in place that make sure that you are at a moving forward on the vulnerability front, because it won’t necessarily be the threat actor is coming into your environment and changing code like they did in ours. It could be a threat actor discovering zero days in your products and being able to take advantage of those. So, make sure you have coverage in both of those areas.

对于可能成为这类对手攻击目标的公司，其他首席信息安全官应该做的最重要的工作是什么？

首先，每个人都应该了解威胁行为者的级别。民族国家不是什么电影道具。它是一个非常真实的威胁行为体，有耐心、考虑周全、有使命感，在执行任务时，在环境中非常安静。所有这些使得他们很难被发现，也很难被打败，这就是我们今天面临的对手。(这些相同的模式)将开始转向有组织犯罪。

如果你不了解[对手]的目标是什么，那就从这里开始。从了解你的环境开始，从了解他们的目标开始，从快速了解你的环境开始，这样你就能在每时每刻监视着一切，并确保你在整个环境中拥有广泛的可见性。

确保在环境中安装了防护措施。从开发的角度来看，确保你正在管理漏洞，那些你知道的漏洞，那些第三方知道的漏洞，并且你有一个能够适当管理它们的流程。

其中一个教训是，无论你练习多少次(事件响应)，结果都会有所不同。当这种级别的事情发生时，你只需要准备好你的流程和程序。连续两周，我们每天早上都在那里待到凌晨两点，因为有太多事情要做。

把合适的人放在合适的（快速响应的）位置上，你不可能事事亲力亲为。当你遇到这种情况时，请找一些有经验的人。从信息传递的角度来看，从回应的角度来看，从调查的角度来看，所有这些都需要有经验丰富的技术人员参与。

大约在事件发生前一年，我们制定了一个流程，每个安全漏洞，无论是外部记录的、我们的工具，还是其他地方，要变成一个Jira票据，就像普通的漏洞一样，但它得到了一个安全标签、CVSS分数。我的安全团队会监视这些。如果他们不符合我们内部SLA的解决方案，他们将通过我们的RAF(风险评估表)过程，在那里我必须在风险上签字，工程主管在风险上签字。这将您如何处理产品中的漏洞提升到一个适当的水平，以决定是否修复以及如何修复。

有适当的流程，以确保您在漏洞方面取得进展，因为不一定是威胁行为者进入您的环境并更改代码，就像他们在我们的环境中所做的那样。它可能是一个威胁行为者在你的产品中发现了零日漏洞，并能够利用这些漏洞。所以，确保你在这两个领域都有覆盖。

---

智者千虑，必有一失

实际上，并不是安全没有发展，而是攻守方面不平等。“传统安全防护手段在防护已知的攻击类型时非常有效，但黑客的攻击手法越来越隐蔽和复杂，黑产越来越专业化、集团化”，UCloud安全专家宗泽表示，“这是传统安全方案很难涉及到的。”他透露，媒体报道的事件只是黑产很小的一方面，大多很久之后才进行曝光。更有甚者，现在黑产组织已经构建出一套个人信息查询系统，数千万的个人信息都可以在互联网上被黑客查询使用。宗泽指出，这就相当于企业同时对抗网络上的全部黑客，传统被动防御方案再安全，面对这种情况也无能为力。

此外，传统产业多是大中型企业，业务纷繁复杂，产业链条较长，数据中心分布各地，如果有边缘业务或环节不重视安全防护的话，“对黑客而言，仅需攻破一个点就可饶进内部系统，造成很大危害”；即便企业自身安全非常到位，但外包供应商也可能成为突破口，“就像《越狱》中，主角总能从供应商拿到自己的指纹一样”。

云安全联盟(CSA)大中华区主席李雨航指出：“大数据云计算时代，后端中心化趋势明显，前端量越来越大，不仅企业使用计算资源，任何个人也可以使用计算资源，安全的边界会更加模糊甚至消失。”

宗泽强调，一直依靠被动防御的思路去面对现在愈加专业、愈加网络化的黑客攻击，永远防不了，永远有漏洞，永远难逃数据泄露的问题。

知己知彼，百战不殆

以云计算和大数据为代表和推动力的“互联网+”战略极大地推动了传统产业的变革，但在对业务产生积极影响的同时，也让企业的信息安全环境产生了极大的改变。

《2016年云安全聚焦报告》便指出，众多企业不断加大云基础设施投入力度，同时亦开始意识到需要在新环境下实现与传统IT基础设施中相对等的安全控制与功能。

宗泽以孙子兵法举例：“知己知彼百战不殆。不知彼而知己，一胜一负。不知彼，不知己，每战必殆。”因此，想在互联网和云计算时代做好企业安全，必须首先了解对手——黑客黑产，和自己——企业的数据资产。

以炫耀技能为目的的攻击者越来越少，现在的黑客和黑产结合得越来越紧。宗泽以长期与黑客对抗的经验，总结出专业黑客的攻击链路：首先对目标企业踩点，查看企业网络设置、员工手机信息等；其次通过扫描、钓鱼、外包供应商漏洞等方式收集信息；随后进行密码破解、利用安全漏洞，渗透实际业务环境，再伺机攻击，获取非法利益。

传统安全方案聚焦外部防御，而黑产的查询系统暴露了大量个人信息，有时甚至可以直接以员工身份登陆内部系统，因此新环境下，企业安全人员必须足够了解真实的自己。

何谓真实的自己？按安全理论最小化原则，先封闭按需求开放，就是说必须明确企业IT哪些开放，钥匙在谁手中。另外“感觉会欺骗人的大脑，但是数据不会”，宗泽指出，新型安全需将机器和人都数字化处理。对于人，你的行为习惯数据会比你的感觉更了解你；对于机器，可以采集服务器应用层和日志监控等整个网络信息资产。通过整理并建立数据模型，就能够构建人和信息的行为链，帮助我们发现日常行为中的异常因素，比如核心数据库的异常IP链接，内部员工的异常使用习惯等，甚至可以把黑客行为串接起来，找出系统弱点，找出攻击源头。

此外还要注重连接化、可视化、云端化、分层化，让安全从单一的防护演变为完善支撑体系的生态系统。就像美国导弹系统防御系统那样，不仅有传统的陆地平面防御，而是海陆空立体式监控与防护。

他山之石，可以攻玉

最后宗泽总结，云端化和互联网+并没有改变安全攻防的本质，出现安全风险的主要原因在于企业业务云端化后，相应的安全意识和防御策略并没有随之更新。

云端转型，安全先行。互联网化的企业安全意识，须理清内部业务逻辑，认识到哪些联网，哪些隔离，哪些机密，哪些开放，并做好不同业务之间的隔离和管控；此外重视威胁情报，了解网络化的黑客手法和黑产动态。

在防御策略方面，传统的安全设施往往难以适应如今多样化，个性化的互联网业务，宗泽建议传统企业互联网化时选择一些比较有互联网安全经验，尤其是专注服务企业的的云平台，因为他们更懂如何在互联网云端化上去应对黑客的攻击。

以UCloud为例，拥有整套互联网安全解决方案，提供了从网络、应用、主机等全面的安全纵深防护，包括网络抗D防护、WEB应用防火墙、安全审计服务、入侵检测等，2015年帮助企业用户抵御了880万个攻击源对云的漏洞攻击，拦截各类CC攻击318.6亿次。

同时，UCloud依托对互联网19个细分行业、250亿业务总量及超过6亿终端服务用户的大数据分析，率先进行大数据安全检测与防御系统的建设，由数据驱动安全，从防范拓展到预警。

但是宗泽也强调，任何单个机构依靠传统手段已难以有效应对互联网安全威胁。就像选择云服务一样，企业需联合第三方安全厂商，联手打造云端安全生态圈，这样才能有效抵御黑客攻击，促进国内网络安全形势更健康的发展。

“从传统安全到互联网安全，就是从被动防御到以数据为基础的安全生态。就像独孤九剑一样，料敌先机，无招无败。”

参考链接：

SolarWinds CISO: Know your adversary, what they want, watch everything
https://www.csoonline.com/article/571527/solarwinds-ciso-know-your-adversary-what-they-want-watch-everything.html

SolarWinds公司首席信息安全官的建议：了解对手及其想要什么，并关注一切
https://mp.weixin.qq.com/s/8cdZXjyUSa2_o_x2R-jJdQ

安全专家宗泽：云端安全需知己知彼，数据比人更了解自己
https://mp.weixin.qq.com/s/6UagYD8XQkYvickGv_zYYA

=END=