企业IT安全：国防安全之缩影

对于大多数企业的非IT专业人员来说，企业IT安全只是一个较为模糊的大概念。虽然大家在日常工作和生活中通过各种渠道都知道一些基本的IT安全术语，但企业IT安全到底是什么、如何运作、保护了什么样的企业资产，并不是十分清晰。其实，要想理解企业IT安全，有一个很好的参照物，那就是“国防安全”。

譬如，企业IT安全中最基础的术语“防火墙”，就是一个现实社会中典型的城墙加城门保护住城堡的概念。“防火墙”把企业网络分成两个区域：安全域（城内）和非安全域（城外），模仿现实中的防御需求，甚至还有军事中立缓冲区的概念（DMZ）。企业IT管理流程中必不可少的“口令验证”机制和著名的后门程序特洛伊木马也都是直接从军事上照搬过来的典型场景。可以说，目前所有与企业IT安全相关的概念、技术和产品都可以在国家安全领域里找到对应的参照物。

事实上，IT技术的起源也确实是来自战争的需求：人类历史上的第一台计算机就是为破解敌国电台密码而产生的。古往今来，国与国之间的战争故事比比皆是，我们也都耳熟能详。所以，通过国家之间明争暗斗的案例来理解企业IT安全不失为一个有趣、有效的方法；利用国防安全的思维方式，来思考企业IT中已经存在，或是可能存在的安全隐患，也不失为一个有价值的尝试。

无论国内国外，企业IT安全领域，在过去三十年的发展中从无到有，从单一产品功能到复杂解决方案，“武器”日趋先进，理论方案愈加成熟，企业的重视程度和投入也在不断加大。然而，企业IT安全发展的现实却似乎走进了一个困境：企业投入的资金和人员越来越多；出现的相关安全问题，从表面上看，也在一一被“及时”解决，但企业IT环境面临的安全隐患却并未减少，有关企业安全事故的消息频出报端；更糟糕的是安全事故带给企业的损失越来越大，往往是灾难级的（一个最有力的证据就是据统计美国的企业首席信息安全官CISO在同一家公司的职业寿命因为担责卸任的原因平均下来只有可怜的十八个月），究其原因，我们同样可以以国防安全的思维来分析企业IT安全的现状和未来：

1
道高一尺魔高一丈，信息技术的快速发展在给企业带来巨大效益的同时，也为威胁企业IT安全提供了更多的途径和技术手段，正如战争中敌我双方所使用的武器本身并没有对错属性一样，信息安全的双方所依赖的理论和技术也是一样的。并且，新的技术往往是攻击方首先掌握并使用，做为企业IT安全的负责人员则处于敌暗我明的被动防御状态。可以说，目前的企业安全现状，基本上都是某一个或一些企业成为新出现的安全攻击的牺牲者，而其他企业能够及时亡羊补牢就已经非常不错。如何能够及时地跟踪业界出现的安全事件、快速地自查并发现类似隐患、提供相关的解决方案是企业IT安全人员面临的重要挑战。

2
国防安全之于国家的重要性，决定了其本身运作总体上不会采取商业模式，在考虑解决方案时往往并不会将成本作为一个决定性因素（当然微观局部还是会适当考虑成本），因此而形成的理论方法多是为达最优效果而不计代价的。而绝大多数企业商业目的第一，成本控制成为企业活动需考虑的先决条件之一，此时再采取与国家安全同样思维的安全模式往往力不从心，事倍功半。
譬如，近年企业IT安全圈内火热的红蓝军对抗演练，原本是军队常规演练科目之一，其目的在于检验军队战时机动应变能力，该理论应用到IT安全领域的益处不言而喻。但是，除极个别超大型机构外，多数企业无法承担得起这种理论的真正落地实践。

另一个典型例子也是这两年安全领域内炙手可热的话题：威胁情报。情报对于国家安全的重要性无需赘述，对于企业IT安全乍一听情报的重要性也是不言而喻的，但对于一个个体企业来说，这并不是一个“接地气”的操作。不是每个企业都有能力、有精力去收集发生在不同领域、具备不同量级的海量情报，并实时分析出究竟对本企业有多大价值。
这几年IT安全领域的发展在笔者看来有这样一种趋势，值得反思：某些技术思路，对于行业里的大型企业，或是对安全高度敏感的企业具有很大价值，但考虑到场景和成本因素，其对于其它大多数企业是否具有同样价值值得思考。没有经过切实分析的盲目照抄解决方案，不仅成本巨大，工作负荷增加，最终效果也往往事倍功半。因此，如何在本企业的IT安全领域，合理均衡地采用此类理论及技术，更是企业领导面临的一个重要课题。

3
经过三十多年的发展演进，目前的企业IT安全早已经过了单兵（种）作战的时期，用单一技术或产品就解决企业IT的安全问题已成为奢望。目前出现的真正能给企业带来巨大损失的安全问题往往都是一个复杂的攻击链，综合各种技术，在时间、深度和广度上展开全方位攻击。做为防守方的企业IT安全团队，在应对思路上也需要象现代军事的防守理念一样，具备多兵种横向、纵向、联动作战的思维。但是，在企业内部进行如此操作会是一个跨业务部门，上下互动的行动，需要各方面的感知与配合，这往往会对企业业务产生一定影响。需要提出的是，国防安全在任何形式下都是一个国家的最高优先级工作，而企业IT安全的性质则不一样，企业IT安全任务往往需要承担对企业正常业务无影响、让企业员工无感知的承诺，所以是否能够采取这种全方位、诸部门协调的安全应对措施对于企业的决策管理层是一个不小的考验。

4
最后一点是笔者认为企业IT安全发展到今天的最严重的一个方向问题，而这个问题也恰恰是最容易出现隐患的环节：发展至今的企业IT安全领域，太过专注于类似在国家短时紧急战争状态时期的攻防应对策略和技术，忽略了绝大部分时间国家所处的和平状态时期的安全考虑。也就是说，目前企业IT安全领域绝大部分的思路/方案/产品都聚焦于防御来自敌方对企业网络的攻击事件（防火墙、杀毒、防DOS等），以及发现企业网络可能被攻击的弱点（漏洞扫描打补丁等），还有一小部分在考虑战后恢复工作（安全事故发生后的审计溯源），却忽视了国防安全重要程度不亚于战时，而又是最持久、最难操作的工作：和平时期的防微杜渐策略和战争危机来临前夕的预警应对策略（国防安全中由国安和公安承担这部分任务）。这就要求企业IT安全需要具备在日常工作中，尤其是无异常攻击事件发生时（这应该是企业IT环境的常态）能够发现蛛丝马迹的动力和能力，需要有与之相配合的理论/技术和方案/产品。这套理论有明显的如下几个需求：
1）关联能力，仅仅IT域的信息已经不够，需要关联企业的业务及其操作的数据行为；2）预测能力，传统安全的单个攻防事件和事后的审计追责功能已经不够，需要有提前发现安全隐患可能性的能力；3）及时报警能力，由于非战时场景，依赖IT安全运维人员每天去“主动”地从海量数据中发现可能的巨大安全隐患是不现实的，因此需要相关解决方案能够让安全运维人员“被动”地及时地获得安全报警；4）去噪能力，“狼来了”的场景是企业IT安全的最大忌讳，不仅是做无用功，企业IT安全团队在企业决策管理层失去信用才是安全的最大隐患，因此需要提供的安全隐患报警尽量精准。

近几年，这个问题的重要性日趋受到业界重视，相关的理论方法/技术产品也逐渐显现，“态势感知”便是对应于此类问题的解决思路，只是目前市场上的态势感知解决方案多是现有安全厂商利用已有产品旧酒换新瓶的产物，无法真正为企业IT安全在和平时期的工作保驾护航，企业IT安全急需一款真正意义上的“审计过去、监控现在、防患未来”的解决方案。

关于全息网御：全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术，结合机器学习（人工智能），发现并实时重构网络中不可见的”用户-设备-数据”互动关系，推出以用户行为为核心的信息安全风险感知平台，为企业的信息安全管理提供无感知、无死角的智能追溯系统，高效精准的审计过去、监控现在、防患未来，极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。