为什么Rohit Ghai说:网络安全行业进入弹性时期
5月17日,,,,,,,,RSAC峰会践约在线上进行,,,,,,,,今年大会的主题是“弹性(RESILIENCE)”。。。。。RSA公司的CEO Rohit Ghai先生在会议起头时做了一周到洋溢的宗旨演讲《弹性的过程》。。。。。汇报指出,,,,,,,,目前,,,,,,,,全球的网络在遭逢前所未有的网络攻击,,,,,,,,但是,,,,,,,,我们在整体上还是经受了住了这种挑战;;;;;;;;网络安全在造成一个以弹性为基础的行业,,,,,,,,是一个适应、创新和发展的行业;;;;;;;;Rohit Ghai先生呼吁网络安全行业进一步互换并索求网络弹性的经验与知识,,,,,,,,共同;;;;;;;;ね缤绻丶枋┖蚦a88登陆平台网络家园。。。。。在5月17日当天,,,,,,,,还进行了6个跟弹性有关的汇报和钻研,,,,,,,,涉及战术、技术、产品和利用等各个方面。。。。。

图1 2021年RSAC峰会主题页面
一、杰出内容分享
RSA公司Ghai先生在汇报中指出,,,,,,,,当前网络的规模和复杂性急剧扩大;;;;;;;;网络安全防护方要处置跨分歧云提供商的多个互连技术栈,,,,,,,,面对一片混沌(Chaos)的状态。。。。。网络防护方要正视这种现实,,,,,,,,但要致力突破混沌、提高系统的可见性。。。。。“一旦有了可见性,,,,,,,,就能够使用威胁谍报来相识最可能的敌手以及他们使用的步骤。。。。。”
Ghai先生强调了零信赖对于实现弹性网络的沉要性。。。。。零信赖既是一种理想,,,,,,,,也是一种系统结构。。。。。利用微分段来划分网络,,,,,,,,并提供给用层威胁防护,,,,,,,,以及使用基于风险的陆续多因子身份验证作为关键组件。。。。。“最沉要的是将信赖限度在绝对必要的领域内,,,,,,,,决不要基于不成靠的成分提高信赖。。。。。”
弹性还与风险治理缜密有关。。。。。风险分析是发展弹性网络建设的第一步,,,,,,,,通过基于风险确定优先级并;;;;;;;;ぷ畛烈氖挛铩。。。。“我们必须;;;;;;;;ご碜畲蠓缦盏耐,,,,,,,,而不是我们看到最多缝隙的处所。。。。。”Ghai以为NIST网络安全框架在基于风险的网络安全步骤方面做得极度杰出,,,,,,,,每个组织都必要部署集成的风险治理解决规划,,,,,,,,并执行量化的网络安全风险治理。。。。。
这一点与美国河山安全数部长Mayorkas不谋而合。。。。。Mayorkas在4月的汇报中指出,,,,,,,,我们遭逢网络攻击的情况无法预防,,,,,,,,我们要“专一于基于风险的步骤”,,,,,,,,确定优先级的风险并据此分配有限的资源。。。。。对于企业而言,,,,,,,,解决此问题的最佳步骤之一是朝着零信赖理想迈进。。。。。Mayorkas以为“零信赖”不是产品、服务或供给商,,,,,,,,而是一个指标,,,,,,,,组织应该将网络安全防护解决规划不休逼近零信赖的指标。。。。。
二.网络弹性
(Resilience或Resiliency,,,,,,,,也可译为“韧性”)的概想发源于力学和社会生态等领域,,,,,,,,后来被引入工程领域。。。。。近年来,,,,,,,,美国军方要求在预算有限和作战前提不确定的前提下,,,,,,,,其兵器设备应具备保障职能持续不变的能力、抗滋扰能力、受损后能得到有效复原的能力以及急剧适应不休变动的前提的能力,,,,,,,,从而对兵器设备提出了弹性的要求。。。。。尔后,,,,,,,,弹性得到美国军方甚至美国联国当局的高度器沉。。。。。
由于网络安全风险的多样性、复杂性和不成预感性,,,,,,,,保障网络空间绝对的安满是不现实的。。。。。因而,,,,,,,,网络安全的工作沉点逐步从阻止网络变乱的产生转向缓解变乱带来的风险,,,,,,,,网络弹性的概想就应运而生。。。。。网络弹性是从攻防匹敌的角度来思考系统的个性,,,,,,,,以为网络攻击(尤其是APT攻击)是防不住的;;;;;;;;在这种情况下,,,,,,,,;;;;;;;;は低车某恋阌Υ诱屑芄セ髯湮O找滴衤叫浴。。。。
美国已经颁布了多个跟网络弹性有关的规划和正式汇报。。。。。2018年,,,,,,,,美国防部在《国防部网络战术2018》中提出“提升美国关键基础设施弹性”的战术蹊径;;;;;;;;尔后不久,,,,,,,,白宫颁布了美国的《国度网络战术》,,,,,,,,提出了“治理网络安全风险,,,,,,,,提升国度信息和信息系统的安全与弹性”的指标。。。。。随着美国当局的推动,,,,,,,,网络弹性在国际学术界和工程界得到了宽泛的器沉。。。。。
2019年11月27日,,,,,,,,美国国度尺度与技术钻研院(NIST)正式颁布SP 800-160(卷2)《开发网络弹性系统——一种系统安全工程步骤》。。。。。它是NIST选取系统工程步骤构建网络安全能力的一个沉要里程碑,,,,,,,,标志取网络弹性第一个权威技术文件正式出台。。。。。
NIST将网络弹性界说为:预防、招架、复原和适应施加于含有网络资源的系统的不利前提、压力、攻击或侵害的能力。。。。。该汇报提出了一个齐全的网络弹性结构,,,,,,,,蕴含主张、指标、技术、实现蹊径、设计准则等。。。。。这个结构领导系统工程师从风险治理战术启程,,,,,,,,凭据威胁或攻击的影响来造订网络弹性解决规划(见图2)。。。。。

图2 NIST提出的齐全的网络弹性结构
网络弹性的主张是使系统拥有预防、招架网络攻击的能力,,,,,,,,以及在遭逢网络攻击后可能复原和适应的能力。。。。。NIST对以上四个主张进行细化,,,,,,,,提出了阻止或预防、筹备、持续、限度、沉构、理解、转移、沉新架构等8个具体指标,,,,,,,,用于注明系统应该实现的职能。。。。。
其他机构也对网络弹性提出了类似的界说和技术系统。。。。。例如,,,,,,,,IDC选取NIST的网络安全框架来暗示网络弹性,,,,,,,,并列举了实现这个框架的关键技术。。。。。在《网络弹性沉要性与实现之路》一文中,,,,,,,,普华永路网络安全与隐衷业务掌管人克里斯·莫里斯分享了实现网络弹性的五个步骤:相识资产、相识供给链、维持优良安全习惯、造订复原打算、发展网络攻击演习。。。。。
综合来看,,,,,,,,NIST SP 800-160(卷2)所提出的框架是最全面齐全的。。。。。
三、分析与瞻望
从目前情况来看,,,,,,,,RASC专家汇报的内容并没有突破NIST SP 800-160(卷2)《开发网络弹性系统——一种系统安全工程步骤》所描述的技术框架。。。。。但是,,,,,,,,我们能够看出,,,,,,,,国际同业在将网络弹性当做将来网络建设和网络安全产业发展的战术方向,,,,,,,,美国河山安全数部长Mayorkas说“我们必须确保ca88登陆平台工作不仅限于当今的;;;;;;;;ü蚯翱聪嗍侗悠诘姆⒄狗较颉。。。。”
网络弹性与工作保障、网络安全防护、业务陆续性、备份复原等有关,,,,,,,,它不仅仅关注应对表部的网络攻击,,,,,,,,也关注网络自身的壮实性与靠得住性;;;;;;;;它并不局限于防御或解除网络攻击,,,,,,,,也思考到与网络攻击共存,,,,,,,,在遭逢网络攻击时维持网络的可用性以及网络复原的能力。。。。。这就要求系统建设者摒弃不成渗入的旧防御观点,,,,,,,,而是要假定遭逢攻击将不成预防,,,,,,,,必须采取措施进行阻止、响应并从攻击中复原,,,,,,,,从而保险业务的陆续性,,,,,,,,并预防遭逢沉大数据泄露等损失。。。。。
网络弹性与从信息系统全驹祠程、构筑内生安全能力建设不谋而合:两者都是从大系统启程,,,,,,,,基于攻防视角,,,,,,,,综合思考了信息化业务系统的防护职能与网络安全产品的防御能力,,,,,,,,使二者协同工作并贯通系统全性命周期,,,,,,,,形成内生安全能力,,,,,,,,逐步逐层化解网络攻击威胁,,,,,,,,保险业务系统的持续运行和关键职能的实现。。。。。
