企业安全“木桶”,如何多装水?“亡羊补牢”VS“重装上路”
星期三, 三月 11, 2020
安全,往往在业务前进的道路上充当着管理者的角色,安全专家变成业务专家,控制是安全的核心要素。然而人的天性各有不同,面对同一件事,背景不同、受教育培训的程度不同,都会导致多种态度的存在、执行力上的差异、以及互斥看法的产生,这些因素在安全策略落地后,就可能化为木桶上的短板,成为黑客入侵的靶标。这不仅摧毁着从业者的信心,来自外界的批评也不同程度的放大着安全行业最大的缺陷 —— 被攻破是必然的。因为安全设计本身违背人类的本性,有人性的因素存在,攻击者撕破缺口进入系统的机会就将持续存在。
从RSA大会近几年的持续性来看,2017年Forcepoint公司的CEO ——Matt Moynahan在主题演讲中,以员工Matt和CEO Matt遭受的安全威胁事件为背景,讨论是否公司应聚焦于重点资产防护,可以说是首次正式提出将全员防御变为重点防御。接下来几年的重点持续聚焦风险识别,各家公司和企业都意识到,安全是无法进行100%阻断的,只有识别到重要的风险并做出应对,才是安全防护的正道。但从另一个角度来讲,这也是对安全从业者的一个打击,我们放弃了全矩阵的防护,转变成了重点资产保护,隐约有屠龙之术却无计可施的英雄气短之感。但今年RSA大会的主题颇有不同,大会呼吁我们如果正视人性在安全中的影响,利用人性而不是对抗人性,可能会打开另一种安全世界的可行性—— 安全部门协助业务部门,不再去填充一个木桶上的短板和缺口,而是共同设计一个能把水带走的木桶,即使路上仍有不平,但通过为业务提供可持续性保障,帮助企业的业务目标的达成,就是安全目标的达成。
这里选取了一篇给绿盟君很有启发的主题演讲文章。Duo的首席咨询师Wendy Nather 带来的《We the People: Democratizing Security》,她也代表思科为与会人员分享了建议考虑的三个新安全设计理念,使用它们来实现安全对人性因素的考虑。
改变产品的设计理念,协助企业完成业务目标,才应该是正确的安全道路。安全需要做的,是在数字化转型的道路上,保障业务健康发展,不被网络攻击所破坏。一个典型的例子就是亚特兰大政府遭到勒索。城市级的勒索攻击虽然成功了,但由于城市业务体系设计的安全性,让政府可以不支付赎金,完美的延续了政府业务运行,让攻击者无功而返。同时客户对业务更熟悉,事件发生时由客户的负责人进行决策。相信客户,让权于客户。
简化安全组件的侵入性、使用难度。尽量以无感知的方式嵌入安全能力,或者将安全控制嵌入在正常工作流程之中,使得安全基因融入业务。而不是额外进行身份验证、授权许可、钓鱼识别。
不要对抗人性,而是顺从人性,降低产品的使用成本,更多的使用客户的语言,而不是0101的炫技和高深莫测的专业术语,安全既可以是企业每一名员工都理解、都可以参与的日常存在,也可以是分析高级攻击专业的Hunting工具。
实际操作中,这种理念的变化,也会对安全产品产生一些实质性的影响和变化。以一款绿盟科技自有产品为例——机器人管理网关,主要解决客户业务系统的机器人流量问题, 面对爬虫、撞库、API滥用等潜在的各种机器人流量。在2018年左右,Bot Mitigation作为防止滥用的新技术,被第一次引入到Gartner机构的应用安全架构体系设计之中,位于DDoS与WAF之间,处理经过清洗后的业务流量。在这个阶段,以Shieldsquare为主的几家创业公司,将重心放在自动化识别之上,为客户和WAF类厂商提供出色的BOT阻断能力,同时IMPERVA、F5等公司,纷纷收购了领域中头部的厂商,组建WAAP解决方案。但不论是WAAP还是单独的BOT产品,厂商、咨询机构包括绿盟科技,也都在WAF和BMG之间徘徊,无法找到一个能够进入客户实际使用场景的切入点。因为机器人流量完全异于之前WAF厂商面对的SQL注入、暴力破解、漏洞扫描等行为,特别是Tob业务中,机器人流量大量的存在于第三方接口调用的业务之中,如果简单的阻断和伪装,将会给业务部门带来巨大的商誉影响,而在这个领域,如果事后发现,安全的价值将会大大缩水,乃至给人以安全部门无能的印象。
在2019年, Forrester将Bot管理和Bot检测一并列为该类产品的两大价值,这可能也是历史上首次将业务管理能力,作为产品的核心定义之一。通过几次交流以及与客户的探讨,最终形成产品规划的新版本,可能正是此次Human Element主题希望安全产品未来应有的样子:
1、重新简化的安全组件,用意图介绍安全风险和业务事件,减去系统用户再学习的成本,直接呈现当前网站访问的各种用户侧写,例如哪些机器人在围绕活动进行恶意敛财?哪些机器人在页面爬取关键的业务数据?又有哪些开放、认可的机器人在对网站进行健康性检查?
2、协助设计安全的“水桶”,提供部分最佳实践,比如将业务营销活动设置为抽奖的形式,通过与业务系统进行SDK、API等交互,可以有效的将机器人账户中奖率直接置为零。避免了采取抢单方式的活动,库存被直接清空的风险。
因此,是继续堵住千疮百孔的木桶,还是一起设计能把水带走的木桶?当我们无法控制所有人操作的时候,也许是时候改变我们自己,重装上路了。