对风险的管理是网络安全的终极形态
网络安全永远是攻为先手,攻击的演变是这个行业的原动力,攻击会导致风险。收敛是投入产出比最高的安全手段,如果说一切安全的本质是基于风险的定量与定性,那么风险的本质是什么?
一切风险的本质是被防御目标的变化
风险变化的不确定性包含四个部分
风险发生时间的不确定性
风险发生方式的不确定性
风险发生规模的不确定性
风险边界动态的不确定性
一切风险管理的本质是度量被防御目标的
变化,即
信息图鉴包含四个部分
攻击图鉴
资产图鉴
角色图鉴
路径图鉴
上述观点的得出是基于目前大国对抗背景和
攻击理论的现状
主要包含如下几个方面
数字化风险与数字资产主权
数字资产是当今世界的基础生产资料,是社会发展的基石。数字资产的品质和是否安全,会从根本影响发展路径和结果。而数字资产最重要的属性是主权,在操作层面即为安全问题,安全能力的缺失会直接导致数字主权的瓦解。
在数字主权维护范畴内,还有一个至关重要的概念:互联网化。美国是充分数字化的社会,但并没有充分互联网化;中国是充分互联网化的社会,但并没有充分数字化。互联网是风险的倍增器,互联网放大了中国由于安全能力不足导致的数字主权缺失的风险。
多维叠加攻击理论
常规攻击方法是针对目标数字资产,在网络域和设备域挖掘。多维叠加攻击理论包含两个纬度的叠加,即物、人叠加和三域叠加。物、人叠加即把数字资产和使用数字资产的人同时作为目标。不但挖掘网络域、设备域的风险,还把针对数字资产使用者进行开源情报(OSINT)风险挖掘。数字资产风险与使用者自身风险的叠加,会增加系统性风险,从而增大攻击的成功概率。
三域叠加即把数字资产目标的使用者在认知域、社会域、地理域投射,发现与目标数字资产使用者存在直接关系的外围人员信息,这些信息可以为攻击提供更多可能性的信息支持。因为从攻击者视角来看,当攻击者拥有多个攻击维度,组织的资产暴露面将以级数的速度扩张。因此在多维叠加攻击理论指导下的攻击,会极大增加目标的风险,出现“还未攻、已无防”的安全窘境。
风险度量的挑战
对风险的认知决定了对风险的度量。安全解决方案的瓶颈是对风险管控边界的定义,不同的边界定义会出现解决边界内风险的工具,随着时间和认知能力的推演,信息图鉴概念成为目前最优的应对风险管理的方法。
这是一个从固定标靶向时空标靶的演变过程;从发现确定目标的确定风险,到发现未知目标的未知风险的过程;从常量风险场景,进入由时间、边界、形式、规模不确定为基础的变量风险场景的过程。
重塑安全边界需要对被防御目标的变化具有持续且精准的度量能力,这不是一种低频、间断的操作,而是一种高频持续洞察力的建设过程,其中叠加很多大国对抗范畴的技术体系和支持信息,比如开源情报与攻击能力的结合,可以实现对目标的高效毁伤。数字世界需要用新战法、新技术加持的风险管理者。
每个时代的人都有梦想,我们都是安全从业者,我们都知道我们身处的时代充满了威胁,这些威胁不断衍生不断迭代,但我们从来没有放弃梦想,我们不断地上下求索,只要我们不放弃,终有一天,我们会迎来一个美丽的新世界。
