517      技術社區[雲棲]

阿裏雲安全肖力：邊界消亡後，你需要四個“新認知”

本文作者史中，科技媒體人。

在很多人眼裏，互聯網是朋友圈的深夜美食，是剁手前後的糾結和傷感。但在保衛互聯網的安全人眼裏，這裏從來不是陽光淨土，而是蠻荒的森林。

魑魅魍魎，百鬼夜行。

曾經，為了抵抗來自黑暗中的攻擊，人們選擇點起篝火，避退山洞；而後選擇結成村莊，建立城池。

這個在真實世界持續萬年的漫長安全進化，在賽博世界裏被壓縮到了十幾年。
肖力站在長河岸邊，幾乎完整目睹了企業安全的滄海桑田。

如今作為阿裏雲安全掌門人的他，曾是阿裏巴巴第一個安全工程師。

從2005年至今，肖力親手參與了阿裏巴巴這個全球最大電商的安全建設。
“作為一個發展中的企業，有沒有可能建設像阿裏巴巴一樣強大的安全體係呢？”這是個有趣的問題。如果這個問題由肖力來回答，就變得更有意思。

在今年的阿裏雲安全峰會上，肖力給出了他的回答。

萬物皆須有尺度，企業安全也一樣。

所以，不服跑個分。

在肖力眼裏，評價企業安全水平有一個非常客觀的標準：

這樣的企業沒有專職的安全團隊，僅僅購置了一個防火牆，有的甚至連防火牆都沒有。

可怕的是，這種幾乎完全沒防護的企業占了總數的90%，在阿裏雲上，這樣的企業也不在少數。

這類企業一般成立5年以上，有了專職安全團隊。以中型遊戲、電商、旅行網站為代表。

他們的業務對安全要求比較高，而且預算也比較充足，可以雇傭一些安全人員（目前安全人員的成本還是比較高的）進行基本的安全建設和應急響應。

這些安全人員一般掛在運維或者研發團隊下麵，人數在10人以下，一般3-5人。

這類企業一般成立十年以上，以BAT、運營商、銀行、石化電力央企為代表。安全建設時間超過五年，安全隊伍大於10人，有的可以達到五百人以上。每年安全投入超過5000萬-1億。這類企業安全性較好，但數量也最少，隻占到全部企業的2%。

從我的標準來看，真正安全合格的企業，在中國不會超過100個。

肖力給出了這個有些驚悚的判斷。

但仔細想來，這個判斷理由充分：

對於初創企業來說，受困於資金壓力和安全意識，沒辦法把安全建設一蹴而就；

對於發展中的企業來說，市場上有無數的安全產品和公司，聲稱可以從各個方麵保衛你的安全。這些聲音最終匯集在一起，成為了噪聲，企業反倒一片茫然。

於是很多企業根據樸素的想法和基礎的理論，開始自我嚐試：

有些把安全產品像“羊肉串”一樣串起來放在網關，結果安全性還沒提高，穩定新先崩潰了；

有些索性退守山林，用內網隔離的方法，試著造出一片“世外桃源”，但是今年五月的 Wannacry 病毒已經完整演示了病毒突破隔離，在內網裏繁衍肆虐的駭人景象。

經過這些嚐試，更多的企業不是“得意盡歡”，而是“四顧茫然”。

2017年5月，WannaCry 病毒席卷全球，造成的損失超過500億美元。未來安全可能給企業造成的損失隻會多不會少。在肖力眼裏，賽博世界如此盜匪橫行，名駒寶劍或不可少。

於是，企業需要在最後的時間窗口裏，練就防身之術。

肖力覺得，企業固然需要手握鋒利的武器，但在一切之前，需要手握四個鋒利的認知：

WannaCry 在肖力眼中，竟然是個“輕量級”的病毒。

它在某種意義上說是一個偶發事件，雖然席卷全球，但是技術稍顯粗糙。我甚至可以猜測到未來勒索病毒的進化方向，那就是有自動滲透能力的‘“機器人’”。

肖力說。


▲WannaCry 病毒勒索界麵

其實，機器人自動攻防並不是一個新命題，在2016年的 DEFCON 黑客大賽上，已經出現了“CGC”機器人攻防大賽。這些機器麵對複雜的網絡環境，表現雖然差強人意。但是肖力覺得，真實世界的網絡攻擊，單就滲透來說，環境並沒有那麼複雜。

以目前企業的安全防護水平來看，很多都存在不少已知的可利用的低危漏洞。而從黑客的角度來看，幾個低危漏洞組合在一起，就是高危漏洞。這樣，機器隻需要一般智能，就可以完成滲透動作。

他說。


▲2016 DEFCON 黑客大會，參加自動攻防大賽的機器人們

簡單來說，一個如下的世界觀被建立：

世界上第一個利用漏洞的蠕蟲 WannaCry 剛剛過去，它在技術上相當不成熟，卻已經造成了防護欠佳的企業哀鴻遍野。而新的勒索蠕蟲一定正在世界的某個角落整裝待發。

這就像凶勐的洪水一樣，潮頭一定會來，而且一浪高過一浪，在此之前如果沒能尋找到安全的庇護策略，總有一天難免覆巢毀卵。

君不見，有哪一座城池，最終能抵禦敵人潮水般的衝擊。

其實，放下對邊界的幻想和執念，並不容易。在商業領域，永遠會有貿易壁壘；在國家層麵，永遠會有國境界碑；在社會階層，永遠有利益團體。

但是，肖力覺得，邊界的概念沒有錯，隻是過時了。邊界完全可以被更走心地運用，可以做到進一步精細化部署。就像下麵這張企業內部網絡拓撲圖：

一家典型的公司，裏麵可能有一千台服務器。這個內網的拓撲結構方式名為：一鍋粥。

這樣說起來有點刻薄，但是因為服務器之間的相互連接雜亂無章，造成的效果是：隻要內網有一點被突破（看起來不可避免），所有的機器都會淪陷。

而這是一家新型的公司，它的網絡拓撲結構看起來是“強迫症風格”。但這種結構絕不止於美觀。強關聯的主機被劃歸在同一個區塊之中，隻通過固定的端口（例如1433）和其他機器相連，而所有其他端口的流量都會被係統自動阻斷。

需要說明的是，這種機器的拓撲結構生成，以及端口的白名單策略，都是由安全係統通過機器學習的方法自適應定義的，不需要人工強幹預（否則在係統升級和變化之後，拓撲結構就需要推倒重來）。

在這種情況下，病毒如果入侵一台機器，造成的影響就非常有限，因為以目前自動化攻防的水平，無法繞開企業內網中這麼多“坑”。

如此，企業內網產生了新的細粒度的隔離，就像《地道戰》中描述的一樣，在鬼子不斷深入村莊的規程中，不斷遇到各種陷阱，導致舉步維艱，損失慘重。

還是以 WannaCry 病毒為例，在蠕蟲爆發前28天，這個漏洞已經被曝光在世界麵前。從漏洞曝光開始，就是感知影響，修複自身漏洞的“黃金運營時間”。

這是安全運營的基礎。

但正所謂，上工治未病。肖力把它翻譯成為安全語境：“最好的安全是防患於未然。”

企業要的東西很簡單：安全的結果。為了達到這個結果，需要兩個必要條件：

1、全世界最好的產品。

2、可以用好產品的人。

如果你還沒有深刻理解“人”的重要性，可以看一下這個GIF：

肖力舉了一個例子：

一家公司的業務被人攻擊，是因為發現了漏洞。一般人的想法是，用最好的產品來修複漏洞。但是，殊不知漏洞產生的根源卻恰恰是代碼工程師。
如果一家網站的工程師每天產生一百個漏洞，那麼再好的安全產品也修補不過來。

亡羊補牢永遠是亡羊補牢。

在建設網絡的時候，有很多錯誤原本就可以不發生。

平心而論，讓代碼工程師的安全意識提高，這件事並不是無法操作，隻是很多公司從內心裏並沒有把它作為問題的的根源。

肖力以阿裏巴巴自身為例，“每個工程師上崗之前，都會經過嚴格的培訓，其中一項就是安全培訓。隻有通過了安全培訓，工程師才有可能上崗，他的代碼才有可能進入阿裏巴巴的血液。”

人，才是肖力心中真正的安全運營。

在網絡安全中，有一個很重要的概念——藍軍。

這個概念脫胎於軍事演習。顧名思義，所謂藍軍，實際上就是一支攻擊隊伍。他們的目的就是通過進攻的方法找到紅軍的漏洞弱點。用這種方式提高紅軍的安全能力。

這種方法已經被廣泛地應用於大公司。

微軟曾經推出十萬美金獎勵計劃，就是讓全球的高手幫自己來發現漏洞；

各大企業的SRC（漏洞響應平台），就是讓白帽子們可以集思廣益，幫助企業找到漏洞所在。

一個企業自身的安全隊伍在強大，也許隻能找到自身80-90%的漏洞，就算照到了99%的漏洞，剩下的一個被黑客利用，所有的防護還是功虧一簣。

肖力說。

這就說到了很多人都熟悉的眾測平台。

例如美國的 HackerOne 眾測平台，例如國內的補天、阿裏先知眾測平台。

安全界有一個共識：

雖然中國的眾測平台在發展過程中受到了一些非議。但是我們看到國外有很多成功的眾測平台模式，這說明眾測本身的邏輯沒錯，我們隻是需要把它做得更規範，更透明。

而藍軍的另外一個作用，是對攻擊的反擊能力。

藍軍平時可以通過攻擊的方式來驗證自身的安全，但是在遭遇攻擊的時候，它同樣可以作為精銳之師，討伐敵人。

如果你沒有任何還手之力。哪怕攻擊者隻有一個，如果他天天盯著你，總有一天會衝進來把你殺死。

如果你有反擊的能力，就對攻擊者有了威懾，這就從根本上扭轉了攻防的局勢。

肖力說。

至此，我們可以構建如下世界觀：

麵對核武器，如果我們隻是修建地下工事，企圖躲避進攻，那麼對方永遠會拿出更大當量的武器來轟擊我們。

如果我們擁有一套頂尖的反導係統，可以在敵人剛發射核彈的時候就進行攔截，甚至可以讓核彈在敵人的領土上爆炸。那麼敵人就會完全重估進攻我們的成本和收益。


▲藍軍從根本上來說是一種“核威懾”

企業“看見”這種能力尤為重要。

所謂：“攻防的過程中，第一時間發現攻擊者，戰鬥就結束了。"

這大概就像你在公交車上斷喝一聲“有小偷！”蟊賊一定馬上收手。

這就是“態勢感知”的意義。

這裏有一個令人遺憾的事實：很多企業，多了一台服務器都沒有感知，更遑論記錄這台服務器上的全量日誌記錄了。


▲全量數據是“看見”的基礎

而肖力覺得，完整的數據源隻是態勢感知的基礎：

真正考驗企業安全能力的時候是企業有沒有足夠的計算能力，能不能檢測出威脅。數據模型算法，是否優化到了讓誤報和漏報都在可用的範圍，而不是滿屏的誤報，或是漏過很多攻擊。

也就是說，算法才是“看見”的核心能力。

打個比方：市場上一定有賺錢的股票，但是這並不意味著普通人就可以毫不費力地找出它們。相反，隻有具備極強的經濟學能力和相關知識的專家，才能從股市裏挖掘出價值。

這樣的智慧，一半來自於頂尖的算法工程師，這些算法工程師不但要精於數據模型，也要對安全有深刻的理解。

這件事情如很多人所想，並不容易。但是，一旦建立了精確的算法模型，就像在城池中央點起了一盞燈塔。它的意義不亞於在黑暗的世界，點燃一支火把。

人人都在說“邊界已死”。這個判斷簡單利落，帶有先知的光芒。

但邊界死後，我們又該做什麼呢？

從阿裏巴巴的角度來看，肖力和同事用了十幾年的時間，建設了一個不依賴邊界防禦的企業樣本。肖力覺得，這些經驗不應該僅僅成為個人經曆，而是應該分享出來。

這也是他熱情地讚頌雲安全的原因之一。

雲安全的價值，是“普惠”。用優秀的標準品把企業安全分數從1拉到3，讓我們每年投資過億的安全能力建設，可以瞬間被普通的企業所使用。

他說。

肖力提出的四個認知，無一不在昭示著安全建設的長期和艱巨。而麵對越來越嚴峻的安全形勢，雲安全也許是一個捷徑。

來源：史中

最後更新：2017-07-27 09:03:09

  上一篇：  tu

  下一篇：  Linux問題情報分享（1）：內核Stack Clash補丁導致Java程序啟動失敗