Shownotes Transcript
原文链接:嘶吼专访||蚂蚁集团网络安全部总经理王宇:原生安全范式——变幻维度,向安全本质前进)
1、网络安全防御演进的三个趋势
蚂蚁集团网络安全部总经理王宇结合自身的安全建设实践经验,阐述了网络安全防御演进的三个趋势:
**第一个趋势,表现为从安全对抗中的单点技术博弈到安全防护的整体协同。**王宇谈到,在现代的安全攻防中,传统杀毒软件、防火墙、流量检测等单一技术或产品构建的安全防御,其弊端已被充分暴露。
**第二个趋势,展现为从边界防御到对纵深防御和身份安全的重视。**随着数字化技术的发展,万物皆数、万数上云成为了时代发展的大趋势,接入方式上也表现出随时随地的特点。安全需要面对的威胁不仅来源于外部,也可能发起于企业内部。
**第三个趋势,展现为从被动防御到主动防御的思路转变。**传统意义上的安全防护更像是:防御能力准备好了,静待敌人的攻击,防御水位相对静态。但我们都知道,给定足够的时间,攻击者一定会找到突破点。
2、原生安全范式
王宇谈到:“区别于具象化的技术和安全能力,原生安全范式本质上来说,是一种方法论,是用于指导企业如何开展安全建设,为企业安全架构设计提供的一种指导思想”,而这一思想正在重塑着现代企业的安全治理思路。
原生安全范式,包括了NbSP零越范式、OVTP可溯范式、以及ARCP攻击回报范式,分别从机制层、策略层和价值层为企业安全架构提供指导。
(1)OVTP可溯范式,即“操作者—凭证—可追溯范式”,它回答的是网络安全最本质的如何进行验证问题,即判定访问行为是否合规合理的依据。但区别于传统的RBAC模型和零信任等理念,OVTP可溯范式最大的突破在于研判过程中加入了对链路和凭证的考量。王宇举了一个非常形象的例子:“客服小二因工作需求可能会有访问用户信息的权限,但并不意味着可以随时随地任意的进行。访问的原因(如工单驱动),访问的路径(如通过工作电脑使用工作台访问)等,都应该作为判定某次访问是否合规合理的要素”。OVTP可溯范式在安全建设者如何进行合理全面的鉴权设计上给予了指引。
(2)NbSP零越范式则更加关注机制层面的保障。要求确保关键的检查点不可被绕过,其目标是确保系统中的安全机制被强制执行。对该范式的理解,王宇将其类比为“机场的安检环节设计,它要求覆盖全面,确保不存在能够直接进入机场内部的如下水道或通风管道等路径的存在”。作为对OVTP可溯范式的有效支撑,NbSP零越范式描述了安全防护建设的规划问题,确保所有路径均通过OVTP范式之下的检查链路,从而使得访问得到最大化的安全防护水位。
(3)ARCP攻击回报范式,主要用于指导网络空间的攻防对抗的有效性评估,引入经济学的投入产出模型,从而在对抗设计中给予更加全面的效果评估维度。王宇介绍,该范式是指导安全风险发生时,防御方如何评估对抗效果的一个原则。在实际的对抗中,ARCP范式要求安全防御方在对抗手段与攻击者重入成本之间进行比较。在实际的对抗中,防御方暂时对攻击者的某次攻击进行了成功的压制,但攻击者会不断考虑切换新的方式进行重入攻击。是否有效的提升攻击重入成本或者从根源上消灭风险,是企业需要从威胁对抗的方式选择角度重点进行评估的。
3、安全平行切面是原生安全范式落地的关键技术支撑
范式,归其根本是对实践的原则性指导,而原生安全范式的成功落地,离不开强有力的安全基础设施加持。安全平行切面作为面向企业数字生命体的新一代安全基础设施, 其成为了现代化数字机构落地原生安全范式的关键技术支撑。
安全平行切面体系的特色在于从技术层面解决了传统外挂式安全的不足。传统外挂式安全解决问题上如隔靴搔痒,缺乏业务理解, 并不能够很好的满足当下的安全防护诉求。安全平行切面提供的“内视”和“精准干预”两种能力,在应急攻防、安全布防、数据安全治理等场景下,有很强的应用场景。“让安全人员的重心回归安全,提供安全创新的基座”,王宇这样评价安全平行切面基础设施。企业安全人员可以快速组合利用切面原子能力进行创新、快速的灰度、部署和落地,而不需要考虑基础的诸如稳定性、资源调度等非专业领域话题,这显著提升了企业应急攻防与安全治理效果,为企业的数字化转型提供坚实保障。
王宇介绍,“切面技术在蚂蚁集团内部已覆盖超过95%以上的应用,核心链路覆盖更是达到100%。今年安全平行切面完成了3.0新底座能力的升级,有效支撑插件的隔离和调度。同时更新了支撑OVTP范式身份溯源的插件,以实现对访问链路更加高效精准的刻画。”