漏洞银行CTO张雪松：我们需要用“开放安全”新视角拥抱安全

【IDC.NET.com原创稿件】近年来，随着网络空间安全上升到国家战略高度，《中华人民共和国网络安全法》等法律法规的颁布和实施，以及监管机构的推动，企业机构对网络安全愈加重视。但是，我们不可否认，在网络安全技术不断提升的同时，黑客的攻击手段也在日益精进、复杂多变。信息泄露、黑客入侵等安全事件接连发生，不胜枚举，全球各大企业纷纷沦陷。

面对愈加严峻的安全风险形势，企业该如何应对?在有限的安全投入中，企业究竟如何才能获得最佳的安全收益?带着以上疑问，IDC.NET记者采访了网络安全专家、漏洞银行CTO张雪松。

[[251443]]

网络安全专家、漏洞银行CTO张雪松

“网络安全事件无法避免。目前，多数企业机构仍然将安全投入集中于拦截与防御措施上，而高级持续的黑客攻击总能找到系统的弱点，并通过发现的漏洞实现攻击达到破坏或窃取数据等目的。”张雪松认为：“面对已知和未知的安全风险，企业想要在有限的安全投入中获得最佳的安全收益，就需要用更加开放的安全思想来看待安全。”

传统安全无法解决企业面临的三大难题

为什么需要更加开放的安全思想，原来的传统安全思想有何不足之处?张雪松表示，传统的安全思想，仍停留在对特定风险的防护上，盲目购置大量的安全产品与服务，导致机构的安全能力不进反退。传统安全无法解决企业面临的三大难题：一是，如何防范安全领域的“黑天鹅事件”发生;二是，如何应对越来越复杂的安全风险;三是，如何规划安全投入获得最佳安全收益。

很多人认为，大型企业机构安全投入大、监管力度大、拥有专业的技术团队，所以不应该出现安全问题，但“黑天鹅事件”并未停止发生。回顾过去十年发生的“黑天鹅事件”，无一不是造成了严重的影响，比如，影响美国大选的希拉里邮件门事件、震惊全球的WannaCry勒索蠕虫病毒事件、雅虎邮箱数据泄露事件等等。

分析大型企业“黑天鹅事件”不断曝出的原因，张雪松表示，传统安全的思想基础是“防患于未然”，同时普遍存在“不知攻焉知防”的安全认知，所以众多企业都在重点建设防御能力来阻止黑客攻击。而传统安全厂商按照“不知攻焉知防” 理念，也在不断研究攻击技术，推出基于特定攻击的安全产品，来满足企业对安全的需要。然而，“防患于未然”在现实中很难实现，“黑天鹅事件”无法被机构和安全厂商提前预测，导致企业进行了大量的安全投入，也依然会产生严重的安全事故。

同时,企业都采用传统风险管理的方式来应对安全问题，但如今信息化的复杂度已远远超出机构的控制范围，从硬件系统、底层操作系统、通讯协议到系统模块、应用服务与第三方框架类库等，各架构与技术栈都可能存在未知的安全风险，机构在资源有限的情况下，很难对所有层面进行风险管控，导致机构安全建设陷入困境。

看全新安全思想“开放安全”如何破局

为了帮助企业更好的应对未知安全风险，解决以上三大难题，漏洞银行提出了开放安全的新思想。张雪松解释说：“开放安全是一种全新的安全视角，也是一种更加开放的思想，作为企业不应拒绝风险，而是直面与利用风险。企业的安全并不是没有敌人和风险，而是企业不会遭受损失。同时开放安全倡导我们利用敌人和风险，帮助企业从中获得更多的安全收益，利用敌人提升自我。”

在与张雪松的交谈中，记者了解到，开放安全认为：安全风险无法避免，“黑天鹅事件”永远存在;安全风险是安全收益的最佳来源;而开放安全的核心思想在于：将企业内外部的安全风险转化成收益。

那么，如何将企业的安全风险转化成收益呢?张雪松表示：“这要从企业为什么需要安全说起，企业希望通过安全防护避免因攻击而导致损失，影响品牌和收益。换句话说，企业是考虑如何避免损失，保护企业收益。从开放的视角做安全，就是尽可能多的让企业从安全风险中获得收益，让攻击转化成收益。”

假如某企业因一次“黑天鹅事件”而产生了严重的经济损失500万，而黑客在对企业实施攻击时，经历了10个必要的入侵过程。假设黑客在第一个攻击过程成功后，企业便奖励黑客50万安全贡献奖金，那么“黑天鹅事件”便不会发生。在现实之中，这个奖励金额甚至会非常低，这就为企业获得到了非常大的收益。

张雪松透露，开放安全的最佳安全收益策略(BSR，Best Safe Return)，是根据机构遭遇严重安全事件的损失进行逆向推导，找出导致严重后果的关键黑客攻击行为，并由此分成安全事件和安全后果两个区域，从而有效的量化解决此安全风险的安全投入与收益情况。

根据BSR的方法指导，找到关键黑客攻击行为十分重要，并根据该行为来制定安全策略，才是最佳的安全方式。针对关键黑客攻击行为之前的环节，应提升更多的免疫能力，同时不断利用黑客攻击，来提升自身健壮性，检验安全能力的完备性。而之后的部分，则应针对安全后果进行有效防控，构建反向防御的能力。

为了找到黑客，并让黑客的攻击“为我所用”，企业需要建立风险奖励机制，站在开放安全的视角：一方面，奖励黑客。把安全投入从防火墙、IPS等安全产品上转移到系统的开放性测试上，让黑客/白帽帮助企业排查安全风险，为他们提供奖励。另一方面，安全防护聚焦在核心业务和核心资产上。对企业核心业务进行攻击防御，对核心资产进行全面监控，做好安全保障工作。最终形成循环，不断利用黑客攻击来提升系统的健壮性，让系统越来越安全，而不是依赖某个安全厂商的产品或服务。

开放安全建议的技术方式

据张雪松介绍，开放安全建议的技术方式主要有：

第一，全面的开放性测试：利用黑客与白帽人群，对IT系统进行整体性的、开放式的、大范围的安全测试，针对系统各方面功能进行有效的攻击，从开放性测试中获得系统风险情报。

第二，构建动态免疫能力：构建对IT系统的动态免疫能力。基于开放安全的理念，利用启发式人工智能技术，让IT系统不断学习黑客行为，获得基于风险和攻击的识别能力，形成强有力的防御。

第三，反脆弱防御能力：针对事件后果制定的防御策略，能有效的阻止损失，即使黑客已经入侵和攻击成功，也无法对最终安全后果产生影响，以确保机构在安全事件中不会遭受损失。

第四，风险处置与转化。在安全厂商的帮助下，企业应做好风险生命周期跟踪与分析。一方面，阻止攻击造成严重后果，建立高效有序的应急恢复机制;另一方面，将技术经验成果回馈于反脆弱与动态防护能力的建设上，实现正向转化，把攻击和风险变成安全收益。

第五，将以上四个模块相结合，形成联动，将攻击中的技术经验反馈给企业，让动态免疫能力的不断提升，企业自身安全也不断加强，从而形成安全闭环。最终，通过持续观察与对比安全策略带来的收益，不断选择最优方案进行当下安全部署，以BSR策略为指导方法，找到最优方案，实现安全收益的持续提升。

展望开放安全思想下的未来安全，张雪松认为：“对于企业安全来说，未来的安全厂商将会是企业安全建设的助理角色，真正的安全能力将被企业所掌握，而开放安全的思想是持续让企业获得最大安全收益的方式。”

【IDC.NET原创稿件，合作站点转载请注明原文作者和出处为IDC.NET.com】