1986 年,很多使用计算机的人都碰到一件怪事:电脑莫名失忆,硬盘驱动奇慢,甚至突然死机。
这些电脑感染了“大脑病毒”(C-BRAIN)——全球公认的第一个流行计算机病毒。
大脑病毒由一对巴基斯坦兄弟编写,他们公司出售的软件常被盗拷,购买正版软件的人越来越少。为了解决这一问题,兄弟二人编写了大脑病毒来追踪和攻击非法使用其公司软件的人。该病毒运行在 DOS 系统下,通过“软盘”进行传播,只要有人盗拷软件,C-BRAIN 就会发作,将盗拷者的剩余硬盘空间“吃掉”。C-BRAIN 很快就感染了世界各地的计算机。
大脑病毒的流行,让正在加利福尼亚州从事机密语音识别项目的 McAfee 兴奋不已,这位刚戒毒四年的瘾君子从人们的惊慌失措中看到了商机。
1987 年,McAfee 在家中创办了风靡全球的反病毒软件 McAfee 公司,发布了全球首个商业杀毒软件 McAfee VirusScan,他也因此被誉为“杀毒软件之父”。McAfee 公司于 1992 年在纳斯达克上市,并在 2010 年作价 76.8 亿美元卖给了英特尔公司。
“杀毒软件之父”McAfee
McAfee 本人一生放荡不羁,他曾是加密货币的发起人、税收反对者、美国总统候选人,也是公开接受毒品、枪支和性行为的逃犯,他晚年更是官司缠身,争议不断。
而就在 6 月 23 日,McAfee 在西班牙狱中“自杀”身亡,他戏剧般的一生就此画上了句号。
而 McAfee 身后的这个网络世界,似乎更加脆弱不堪。
01
谁在“裸奔”?
McAfee 曾于 2016 年 8 月,首次来中国参加“2016中国互联网安全大会”,他对中国的网络安全行业中肯评价道:硬件工程很出色,软件工程略欠缺。
五年过去了,中国软件工程的短板不断弥补,而企业的安全意识可没多少长进,反而随着数字化的加速,企业的防护体系漏洞百出,连那些科技感满满的头部互联网企业也在“裸奔”。
来看几个鲜活案例。
2020 年 2 月 23 日 18 点 56 分,微盟研发中心的运维人员贺某,通过个人 VPN 登入公司内网跳板机,对数据系统进行了无情的删除操作。随后,微盟商户便发现店铺后台无法登陆,甚至连微盟官网也无法打开。
当天晚上商户们呼天喊地,新冠疫情导致线下门店生意停滞,本来靠线上店铺还能带点生意,这次宕机无疑将微盟的商户推向更深的困境。事故发生后,微盟仓惶应对,一周也没完全搞定系统问题,数百万商户愤怒又无助。
此前的两个年度,微盟的客户流失率均为 27%,删库事件无疑使客户流失形势雪上加霜。“删库”之后,微盟市值损失十多亿,赔偿约 9300 万元,上半年营收降了 3%,教训不可谓不深刻。
实际上,在过去的几年,微盟网站系统被白帽黑客曝光漏洞多达数十次,也曾发生过宕机事件,但这些没能改变微盟的安全观,微盟依然坚持务实甚至有些短视的决策风格。微盟的 CTO 曾对媒体分享了公司对云供应商的考量维度,他按重要性将各要素排列为:1.稳定 2.成本 3.便捷 4.安全 5.服务。把举足轻重的安全放在倒数第二位,微盟爆发安全危机让人感到突然,但并不意外。
另一个公司是当红互联网巨头字节跳动。
6 月 23 日,也就是“杀毒软件之父”McAfee 离开的那天,脉脉上有网友爆料,字节跳动一位实习生删除了公司所有轻量级别的机器学习模型(lite 模型),公司内几乎所有 GB 大小以下的机器学习模型全部被删除。据悉,实习生直接删除了父目录且加了 skip trash (删除文件时临时禁用回收)操作,导致被删模型无法恢复。
当晚字节全公司通报,将该事故直接列入 P0 事故等级(严重事故),仅处理问题的群就多达近三百人,涉及业务之广可想而知。
字节跳动以扁平化管理著称,实习生与正式员工拥有同样的文档权限,如此安排,在提高工作效率的同时,也增加了安全风险。如何权衡效率与安全,这是摆在字节跳动管理层面前的一道选择题。
还有一个是黑客勒索比特币的故事。
2021 年春节前夕,一家教育领域的 SaaS 厂商,其软件系统遭黑客攻击并被勒索比特币,尽管被勒索的数据系统主要用于内部测试,但对外也是一个开发环境。该公司相关负责人告诉牛透社,由于备份机制不健全,导致一些数据(比如公司的商机、拜访记录等)无法恢复。
数据安全对于 SaaS 厂商尤为重要,客户的大量数据都在 SaaS 厂商手上,如果 SaaS 被黑客攻击,对客户而言将是一场灾难。万幸的是,这些数据是该 SaaS 公司自己的数据,并非来自客户。
从法律层面看,北京伟基律师事务所律师郭正军告诉牛透社,我国《民法典》从著作权、商业秘密、隐私权、个人信息权等多个维度对与数据有关的正当利益予以保护,但对与数据有关的正当利益的涵盖不够全面。新颁布的《数据安全法》以概括的方式对与数据有关的权益明确予以保护,实际上确立了一种新的权利形式——“数据权”,它为民法、经济法、行政法和刑法等部门法,从不同维度进一步更好地调整与数据有关的社会关系、保护与数据有关的利益奠定了更为全面、坚实的基础。
毕竟,法律侧重于事后惩戒,要避免损失,就需要提前将风险控制到最小。在数字化日益普及的今天,企业防护体系的脆弱化是一个不争的事实,何以至此?
APUS 是一家致力于移动互联网产品创新的出海企业,多年来在网络安全领域取得多项技术成果与用户市场。APUS 创始人兼 CEO 李涛对此有一个形象的比喻:在过去,纸质文件等重要物品都会放在保险柜里;而在数字化时代,放在电脑里的东西,它的“保险柜”在哪儿?
关于防护体系的脆弱化,李涛如此解读:“现在的安全体系是比较脆弱,但脆弱的本质不是数字本身脆弱带来的,当你把自己的数据和资产数字化,当你采取数字化这种更高效的处理方式时,就应该为这些数据和资产建立一套相应的防护体系,脆弱是因为配套的安全防护措施没跟上。”
“数字化”一词在“两会”代表提案和政府工作报告中出现多次之后,去年又以重墨写入“十四五”规划和 2035 远景目标,一个万物皆可数字化的时代向我们走来。而只有了解网络攻防的演变趋势,才能从容应对数字时代的安全挑战。
02
对抗永无止境1. 何谓网络安全?
很多人对网络安全、数据安全、信息安全傻傻分不清,三者实际上是依次嵌套的关系:网络安全之下嵌套了数据安全,数据安全之下嵌套了信息安全。
李涛表示,人们对信息安全比较敏感,主要是因为信息是一种与个体实时都会发生连接的介质,一旦信息安全被侵犯,影响马上可见;但对数据安全的侵犯,影响未必立显。数据安全在不同层面产生影响,而信息安全的时效性更强。“数据,你可以理解为每个时段信息的总成。”李涛说。
网络安全则是范围更广的一个概念,它把软件、硬件、系统、终端、数据等都囊括在内。人们对网络安全的认知范围概括起来有三个转变:即从信息、互联网的安全到整个网络空间的安全;从个人/消费者的安全扩展到组织/商业的安全;从外部安全延伸到内部安全。
网络攻防对抗的双方就像矛和盾一样,随着时间的推移,两者都在轮番升级,像一场没有尽头的战争。
2. 网络威胁持续升级
网络威胁的历史大致可以划分为萌芽时代、黑客时代、黑产时代和高级威胁时代,从威胁的演变趋势,我们可以看出为何网络威胁日甚一日。
萌芽时代(20 世纪 80 年代— 90 年代):这一时期计算机病毒数量不多,攻击目标不定,带有感染性、破坏性的传统计算机病毒是主要威胁,比如大脑病毒。
黑客时代(2000 年— 2010 年):木马程序、挂马网页、钓鱼网站、流氓软件等新型威胁出现,网络诈骗初露雏形。该阶段,黑客往往单兵作战,比如熊猫烧香。
黑产时代(2010 年至今):传统网络威胁渐消,网络黑产日盛。网络诈骗、勒索病毒、挖矿木马、DDoS攻击、网页篡改等新型网络威胁开始流行。黑产时代与移动互联网时代基本重合,移动互联网的勃发为网络黑产的滋生提供了土壤。
高级威胁时代(2010 年至今):大约也是从 2010 年开始,高级威胁出现,攻击者不再单兵作战,开始组织化发展,这种威胁被称为 APT(Advanced PersistentThreat,高级持续性威胁)。
比如,2021 年 5 月,美国最大的天然气和柴油运输管道公司 Colonial 因遭受勒索软件攻击而停止运营,攻击者通过非法软件控制了其电脑系统或数据,导致其美国东部沿海各州供油的关键燃油网络全部被迫关闭,受此影响,美国政府宣布进入国家紧急状态。
APT 这种网络“核攻击”让世界最大经济体也感到紧张,随着威胁形式的不断升级,作为防守一方,再也不能用过去的解药疗治当前的疾病。
3. 网络安全思想不断演变
与网络威胁相对应,网络安全的指导思想也在不断演变,围墙式安全思想、数据驱动安全思想、内生安全思想等陆续出现。
围墙式安全思想:即用一套软件或硬件系统,把要保护的区域与外界网络环境隔开,就像在系统外面建一圈围墙一样。早期的安全产品,比如防火墙、入侵检测等都是这一思想的产物。
数据驱动安全思想:2015 年前后,云计算技术逐渐成熟,企业在内部业务系统的IT环境中部署安全措施,并实施安全上云。这种思想认为数据是网络安全的基础,把网络安全建设的重心转移到安全监测与威胁发现上,并不追求 100% 的有效防御。
内生安全思想:内生安全由我国科学家邬江兴院士提出,他在 2016 ISC 中国互联网安全大会上首次公开发表了内生安全的相关论述。该思想强调通过提升信息系统内在的免疫力,实现业务安全,即便系统的边界防御被打穿,也能够在一定程度上保持健康运行。内生安全要求将安全能力植入业务系统的每个必要环节,让企业取得自适应、自主和自成长的安全能力。
有些安全事件看似偶然,实际上有其必然性,在某些条件下,安全事件必然会发生,可能只是早晚的问题,人对网络安全的影响不可忽视。
4. 正视人性的力量
在网安行业,著名的两大失效定律就是告诫网络安全实践者,不要违背人性,也不要挑战人性。
第一失效定律:一切违背人性的技术与管理措施都一定会失效。当管理措施违背人性(指每个人的思维方法和行为习惯)时,就不可避免地会有人试图通过技术或人为手段来突破管控的底线,直至“挑战”成功。对于内部不设防的隔离系统来说,突破一点,就等于突破了全部。因此,如果不能正视人性的力量,就不能有效防范安全风险。
第二失效定律:一切没有技术手段保障的管理措施一定会失效。由于人性会不断地挑战管理措施,如果没有足够的技术手段做保障,这样的管理措施形同虚设。
人是网络安全各环节中的一个重要因素,网络安全的长城可能受益于人,也可能毁坏于人。奇安信公司在《走进新安全:读懂网络安全威胁、技术与新思想》一书中将人看作安全的尺度。“尺度”,分寸、标准之意。奇安信认为,网络攻防的本质不是程序与程序的对抗,而是人与人的对抗,人是安全运营的核心与关键,人是网络安全工作中最薄弱的环节,是最容易攻破的“漏洞”。
作为20年互联网行业老兵,李涛对企业级的网络安全非常熟悉,对人的观察比常人更深刻,几句话洞穿了我国网络安全的现状和本质。他认为:
(1)网络安全要尽可能相信系统,相信安全的技术,而不是依赖人控。因为越高等级的网络安全系统,越不需要人的介入,系统越与人剥离开来;而等级越低的网络安全系统,越依赖于人。
(2)在安全系统里,进入的人也要分级审查,也要有安全等级保护。李涛认为,人是网络安全最大的不确定性因素。因为人是连接传统社会和数字社会的节点,一方面他受数字社会的要求、管理,但另一方面他又受到传统社会的影响;人也是安全体系中的一个节点,安全体系只能尽量不依赖人,但不可能完全脱离人,人应该像其他节点一样有安全等级保护,但人恰恰缺少等级保护。
(3)企业对网络安全有自己的定位,而这一定位与安全厂商不在同一频道。如上提到的微盟事件也印证了国内企业的安全意识亟需加强,中国绝大多数企业包括上规模的央企、国企,对网络安全适用场景与风险意识急需重视。
这种现状下,企业对网络安全中人的因素更不可忽视。企业不会认为安全是前面那个“1”,他们将安全看作后面那个“0”,没有这个“0”,企业的业务就做不大。网络安全提升了,企业的发展就等于上了一个数量级,这是本质关系。
(4)未来 5 年~ 10 年,中国企业级安全要攻克的一大问题是人的意识问题,即大家要真正认识到安全是企业数字化生态的一部分。现在,多数人认为安全只是锦上添花,而非雪中送炭。所以,未来几年企业和个人的第一要务是将安全意识融入到工作和学习的每一个环节。
从另一个层面看,如果安全给企业带来的损失够大,企业才能意识到安全的重要性,我们的安全水平也才能做得更高。
(5)未来 10 年~ 20 年,要解决数据的安全接口问题。现在,跨平台和跨系统之间企业还缺少通用化和标准化的接口,形成了彼此隔绝的数据孤岛,导致数据不能安全地在不同信息节点上流动,因此也难以真正创造社会价值。把系统安全和数据流动这两个问题解决了,数字化的效率会提高百倍。
李涛提出的数据安全接口问题,目前很多厂商也已意识到,比如SaaS厂商北森等,他们也在力推软件系统的一体化,通过打通数据的流动通道来降低企业的管理成本和运营成本,软件的一体化亦被看作未来的发展趋势,在一体化的潮流下数据的安全接口问题将会迎刃而解。
尽管国内企业的安全意识常被诟病,但也并非所有企业都在“裸奔”,无论是软件厂商、企业服务商,还是作为甲方的企业,都在以自己的方式去接近安全。当然,问题也是客观存在。
03
安全了吗?
企业服务商是如何保障客户网络安全的呢?
牛透社此前采访了一站式 HR 管理服务平台“易路”的产品总监宋轶,易路为了保障用户的薪酬安全,打造了一个名为“洋葱模型”的安全体系。
洋葱模型顾名思义,他们的理念是安全并非一层就能实现,或某个特殊技术手段就能解决,而是像洋葱一样,从外到内层层包裹、互相保护,当中最核心的薪资数据被保护起来。非法分子要获取薪资数据,付出的代价远比得到这些数据拿到的收益高得多,以此形成对数据的安全保护。
易路的“洋葱模型”,其防护原理与李涛的安全理念不谋而合,李涛认为,网络安全防护就是“魔高一尺,道高一丈”的正邪较量,二者在斗法的过程中不断交替前行,而核心就在于,企业要让网络攻击的成本高到他不愿来攻击,面对不对称的投产比,攻击者才会知难而退。
网络安全有一个隐秘的角落极易忽视,那就是企业淘汰的IT设备中的数据安全问题。从数据产生到数据使用,在数据的生命链条中,IT设备的淘汰环节一不小心就会成为数据外泄的一个出口,如果处置不当,后果也将是灾难性的。
牛透社近日已经报道,小熊U租旗下企业IT设备回收业务品牌“小熊U享”公布了年中营业数据,截止到 2021 年 6 月,该品牌 3 年内回收 IT 设备超 700 万台,其 IT 设备年回收规模倍数级增长。
作为企业的利益相关人,你会把旧 IT 设备交给服务商去处理吗?牛透社看到的公开资料显示,互联网企业 Top 100 中的 96% 以上选择了小熊U享的 IT 设备回收方案,其中不乏腾讯、京东等互联网头部企业。从小熊U享的数据来看,上规模的互联网企业一般是选择相信服务商的。
从小熊U享对外公开的资料看,它是行业唯一获得国际R2认证的企业回收品牌,R2(Responsible Recycling,负责人回收认证)认证是由可持续电子回收国际组织(SERI)颁布并且实施的一套关于电子回收的国际标准,但目前国内拥有R2认证资质的机构并不多。小熊U享表示,他们为企业回收设备提供国际最高安全等级的数据清除技术,维护企业数据安全,至今为止零泄露。
企业服务商对安全问题如此重视,那么,作为甲方的企业尤其是企业CIO如何看待网络安全问题?
许宏,现任苏州科舵工程技术有限公司数智工业部总监兼首席信息官(前苏州通润驱动集团首席信息官),在此之前,他在外企和民企都有工作经历,而他就职的最近两家公司都遭遇过黑客勒索事件:一个是中国区总经理级高管通过邮件感染,另一个是通过供应商提供的设备感染。许宏对网络安全相关问题的见解与思考,笔者将其总结如下:
1. 有限资源下要懂取舍。
企业对网络安全的态度,要看企业的信息化、数字化所处的阶段。如果业务大量信息化,从营销到交付整个生产制造链都在信息系统里,企业对业务的连续性就要求较高,一旦出现问题就很难从事业务的作业和生产。因此,从信息系统的连续性来谈安全,企业的认同会比较高。另一方面,从业务场景看,企业对业务依赖性越强,安全介质就越被放大。
企业往往都是从损失程度来权衡自己做安全建设的必要性。那么,安全投资到底要做到什么程度?这就很难用损失来衡量。因此,要看企业所处的规模阶段和盈利状况,以此来构建安全保障体系。
鉴于企业的规模、资金状况等,企业进行网络安全建设要懂得做取舍:要让大家知晓,企业把主要资源放在了何处,对最重要的部分要绝对保障;已经采取安全措施的部分,要做风险评估,如果产生问题会有一个量化概念,告诉大家只能做这么多;而对于还未能投入太多资源去做的这部分,要让大家意识到且应该接受,一旦发生问题,产生的损失是什么。
CIO 一般通过这种方式去向决策层阐述安全建设的策略。安全投资围绕什么去投放?要找到重点并将其强化,通过收集的信息面,量化风险和损失之后再做决策。
2. 管理者的安全观念有待提升。
上一代管理者对安全管理的认知较薄弱,仍是上世纪 70 年代前的管理理念,对网络安全的理解和认知参差不齐,CIO 提出的安全建设方案及其价值意义都会大打折扣。
很多企业的信息化仍在初期状态,对其谈安全建设颇费心力。因为领导有专门的秘书去处理内容存档等工作,他们更关心防护的级别和权限,而非数据是否安全。除此之外,公司的部分组织程序也会对安全防护带来干扰、破坏等。
3. 全员达成安全共识。
CIO 要告知全员,企业为何要做安全体系建设,要让大家形成一个共识,即建设安全体系并非公司对个体不信任,避免组织和个体在认知上的偏差。要让大家理解安全体系建设的目标、规划、内容等,让员工知晓遇到问题该从何种通道寻求帮助。
另一方面,对于组织里不同角色进行授权授信,要让大家知道哪些人(角色)需要授权,跟安全有何关系等。
他所描述的现象在国内民企中更为常见,管理者的安全理念没能与时俱进,仍在过去的世界里经营企业,哪里意识到网络世界处处暗流旋涡,安全意识的培养仍任重道远。
04
结语
多数人认为被攻击只是偶然和巧合,其实这是个必然事件,如果系统薄弱,遭网络黑客攻击只是时间问题。网络的攻防对抗没有终点,也不存在绝对的安全。
国人向来都强调安全感,高高的围墙,牢不可破的防盗门,甚至连交际表达都拿捏得滴水不漏,以确保自己处在一个不被攻击、不被指摘的安全境地。但在如今这个万物皆可数字化的时代,人们在网络安全这一问题上却后知后觉,甚至仍未觉悟。
网络安全最难攻克的不是技术,而是那些“裸奔”的人,想告别这个“裸奔”时代,目前很难。
参考资料:
《中华人民共和国数据安全法》
奇安信:《走进新安全:读懂网络安全威胁、技术与新思想》
齐向东:《漏洞》
360社区:【走近安全】之“两大安全的失效定律”
-TheEND-ToB领域投融资/行业资讯/ 行业洞察 / 人物专访……尽在牛透社————【推荐阅读】————
【活动| SaaS 应用中国行】