嘶吼专访||蚂蚁集团网络安全部总经理王宇:原生安全范式——变幻维度,向安全本质前进
导语:近期,蚂蚁集团网络安全部总经理王宇接受嘶吼专访,结合自身的安全建设实践经验,对“原生安全范式”进行分享。
蚂蚁集团网络安全部总经理 王宇
“由简入繁”,这是人类社会发展的普遍规律。
距今40亿年前,生命在海洋中诞生。数十亿年间,随着自然环境的复杂性日趋增强,人类在无数次的演进中,对话自然、顺应自然、战胜自然,于是发展出了今天强大而独特的人体结构。
在世界发展的进程中,人类是亲历者,而在一次次的经历和沉淀中,人类也成为了规律的总结者与运用者。
网络空间,是人类智慧的现代产物,它深刻伴随着人类社会的发展需求和技术能力持续演进。在网络安全产业的发展中,安全人正积极从“由简入繁”的发展规律中探寻本质,提升认知, 从人对抗外界复杂性中汲取经验,以此强化网络安全体系对空间和时间复杂性的应对能力。
简繁亦然,网络安全防御演进趋势
网络安全防御趋势的演进过程,正是“由简入繁”规律应对的完美体现。蚂蚁集团网络安全部总经理王宇结合自身的安全建设实践经验,阐述了网络安全防御演进的三个趋势:
第一个趋势,表现为从安全对抗中的单点技术博弈到安全防护的整体协同。王宇谈到,在现代的安全攻防中,传统杀毒软件、防火墙、流量检测等单一技术或产品构建的安全防御,其弊端已被充分暴露。绕过单个安全产品进行攻击,已成为一定经验黑客的基本操作,现阶段单点成熟技术上的深化,其投入产出比相对较低,过度片面追求单点深化往往带来准招维度或结果可解释性的失衡。安全防御的发展趋势体现在从单点技术向多方协同演进。近些年,发展迅猛的XDR,协同各方的安全大脑等理念,其目标都是通过整体协同,尝试还原“事实本身”,提升准确性和决策效率。
第二个趋势,展现为从边界防御到对纵深防御和身份安全的重视。随着数字化技术的发展,万物皆数、万数上云成为了时代发展的大趋势,接入方式上也表现出随时随地的特点。安全需要面对的威胁不仅来源于外部,也可能发起于企业内部。传统的边界防御思路难以应对现代威胁,而强调纵深防御布局,重视身份安全的建设,强调内部的网络监测、持续访问控制、内部数据和应用安全等,能够给予企业更加全面的保护。
第三个趋势,展现为从被动防御到主动防御的思路转变。传统意义上的安全防护更像是:防御能力准备好了,静待敌人的攻击,防御水位相对静态。但我们都知道,给定足够的时间,攻击者一定会找到突破点。因此企业如何更主动的前置化拒绝风险,面对威胁进行更加积极主动的预判和对抗前置,协调资源更及时的降低或转移风险是必然的选择。这个过程中,安全友好的基础设施就显得尤为重要,防御体系建设与基础设施间的相互融合无疑会让此处的优势得到强化。
趋势的演进是时代发展与安全建设需求的客观展现,从单一的技术突破到整体的多方协同,面对愈发复杂的网络威胁,今天的安全,已不止停留于具象化的技术或产品,它更加明确的指导着企业在顶层安全架构与战略设计上的宏观布局,它也逐渐成为了企业数字化转型进程中启动的必要标配。
面对复杂,换个维度探寻事物本质
当繁复的混沌出现,如何抽丝剥茧探寻事物本质的规律,维度的转换变得尤为重要。
公元150年,古希腊天文学家托勒密提出了“地心说”,对天体的运动轨迹进行观察,轨迹是复杂而没有规律的,这也因此成为了人类破解宇宙奥秘的巨大障碍。
1400年后,波兰天文学家哥白尼开创性的提出“日心说”,自此,行星的运动轨迹被简化成了一个个同心圆,牛顿也在此基础上发现了万有引力。
回溯本源,原生安全范式的提出与演进
漫长的时间跨度,同样的宇宙空间,变化的只是人类观察与分析事物的维度。在纷繁变化的网络空间中,蚂蚁集团基于大量实践以及对安全行业深刻的理解,提出了原生安全范式的理念。
王宇谈到:“区别于具象化的技术和安全能力,原生安全范式本质上来说,是一种方法论,是用于指导企业如何开展安全建设,为企业安全架构设计提供的一种指导思想”,而这一思想正在重塑着现代企业的安全治理思路。
原生安全范式,包括了NbSP零越范式、OVTP可溯范式、以及ARCP攻击回报范式,分别从机制层、策略层和价值层为企业安全架构提供指导。
OVTP可溯范式,即“操作者—凭证—可追溯范式”,它回答的是网络安全最本质的如何进行验证问题,即判定访问行为是否合规合理的依据。
但区别于传统的RBAC模型和零信任等理念,OVTP可溯范式最大的突破在于研判过程中加入了对链路和凭证的考量。王宇举了一个非常形象的例子:“客服小二因工作需求可能会有访问用户信息的权限,但并不意味着可以随时随地任意的进行。访问的原因(如工单驱动),访问的路径(如通过工作电脑使用工作台访问)等,都应该作为判定某次访问是否合规合理的要素”。
OVTP可溯范式在安全建设者如何进行合理全面的鉴权设计上给予了指引。
NbSP零越范式则更加关注机制层面的保障。要求确保关键的检查点不可被绕过,其目标是确保系统中的安全机制被强制执行。
对该范式的理解,王宇将其类比为“机场的安检环节设计,它要求覆盖全面,确保不存在能够直接进入机场内部的如下水道或通风管道等路径的存在”。
作为对OVTP可溯范式的有效支撑,NbSP零越范式描述了安全防护建设的规划问题,确保所有路径均通过OVTP范式之下的检查链路,从而使得访问得到最大化的安全防护水位。
ARCP攻击回报范式,主要用于指导网络空间的攻防对抗的有效性评估,引入经济学的投入产出模型,从而在对抗设计中给予更加全面的效果评估维度。
王宇介绍,该范式是指导安全风险发生时,防御方如何评估对抗效果的一个原则。在实际的对抗中,ARCP范式要求安全防御方在对抗手段与攻击者重入成本之间进行比较。
在实际的对抗中,防御方暂时对攻击者的某次攻击进行了成功的压制,但攻击者会不断考虑切换新的方式进行重入攻击。是否有效的提升攻击重入成本或者从根源上消灭风险,是企业需要从威胁对抗的方式选择角度重点进行评估的。
安全平行切面,落地原生安全范式的有效途径
范式,归其根本是对实践的原则性指导,而原生安全范式的成功落地,离不开强有力的安全基础设施加持。
安全平行切面作为面向企业数字生命体的新一代安全基础设施, 其成为了现代化数字机构落地原生安全范式的关键技术支撑。
安全平行切面体系的特色在于从技术层面解决了传统外挂式安全的不足。 传统外挂式安全解决问题上如隔靴搔痒,缺乏业务理解, 并不能够很好的满足当下的安全防护诉求。安全平行切面提供的“内视”和“精准干预”两种能力,在应急攻防、安全布防、数据安全治理等场景下,有很强的应用场景。“让安全人员的重心回归安全,提供安全创新的基座”,王宇这样评价安全平行切面基础设施。企业安全人员可以快速组合利用切面原子能力进行创新、快速的灰度、部署和落地,而不需要考虑基础的诸如稳定性、资源调度等非专业领域话题,这显著提升了企业应急攻防与安全治理效果,为企业的数字化转型提供坚实保障。
2022年,“基于安全平行切面的应用安全防御与隐私管控”项目入选国家网安周“网络安全优秀创新成果”;
2023年,安全平行切面被列为“中国网络安全十大创新方向”之一;同年,安全平行切面联盟正式成立,在产、学、研、用的加速融合中,高效推动切面体系的应用实践与创新升级。
王宇介绍,“切面技术在蚂蚁集团内部已覆盖超过95%以上的应用,核心链路覆盖更是达到100%。今年安全平行切面完成了3.0新底座能力的升级,有效支撑插件的隔离和调度。同时更新了支撑OVTP范式身份溯源的插件,以实现对访问链路更加高效精准的刻画。“
谈及原生安全范式未来的发展方向,王宇表示,“首先是要完成对于范式理解的普及,通过大量的案例与理论数据,提升行业对“原生安全范式”的认知;其次是要案例实践,通过多场景的实践来严格验证范式的理论架构;最后是开放,接受不同应用和场景的检验,接受行业的反馈,整合更多方的需求,集合更多人的智慧,共同来推动原生安全范式的发展升级,助力创新安全技术的落地与应用。”
结语:
随着数字化进程的不断深入,网络空间的复杂性将愈演愈烈,网络安全威胁的对抗难度也将不断攀升。这是时代飞速发展与技术快速演进的未来必然的趋势,但每一个投身其中的安全人也深知,尽管挑战层出不穷,但机遇也将无边无沿。
发表评论