一個(gè)好的安全體系的前提是為合法主體建立信任關(guān)系，通過(guò)信任在保證業(yè)務(wù)的前提下降低安全成本，在運(yùn)行時(shí)及時(shí)檢測(cè)并消除非法主體的惡意行為，所以信任是網(wǎng)絡(luò)安全的前提要求。從業(yè)界近年的發(fā)展來(lái)看，無(wú)論是Gartner認(rèn)為信任和彈性是自適應(yīng)安全的兩個(gè)原則，還是“零信任”理念成為業(yè)界熱議的流行詞，都說(shuō)明安全行業(yè)已經(jīng)反思簡(jiǎn)單堆砌的安全機(jī)制已經(jīng)無(wú)法抵御日漸復(fù)雜的應(yīng)用場(chǎng)景和攻擊團(tuán)伙，所以回歸安全的本源，思考如何構(gòu)建信任體系，成為當(dāng)前一種獨(dú)特的現(xiàn)象。

　　綠盟科技于2021年推出“智慧安全3.0”新戰(zhàn)略，其中要素之一就是可信任，這表明如何構(gòu)建信任機(jī)制是新一代安全體系中非常重要一環(huán)。本文將詮釋“智慧安全3.0”中可信任的內(nèi)涵。

　　信任與風(fēng)險(xiǎn)的平衡

　　在網(wǎng)絡(luò)空間中，業(yè)務(wù)發(fā)展、環(huán)境變化或技術(shù)更新是常態(tài)，也是數(shù)字化轉(zhuǎn)型的必然，因而風(fēng)險(xiǎn)是永遠(yuǎn)存在的，安全團(tuán)隊(duì)不可能為規(guī)避所有風(fēng)險(xiǎn)而要求業(yè)務(wù)不變，甚至讓業(yè)務(wù)下線。對(duì)抗的本質(zhì)是攻守成本的平衡，安全的本質(zhì)是防護(hù)減少損失（收益）超過(guò)防護(hù)成本，因而安全防護(hù)最終是緩解風(fēng)險(xiǎn)，不可能完全去除風(fēng)險(xiǎn)。

　　圖1 信任與風(fēng)險(xiǎn)的平衡

　　不信任就不可能開展新的業(yè)務(wù)，適應(yīng)并擁抱變化是安全團(tuán)隊(duì)?wèi)?yīng)信奉的哲學(xué)。為了保證業(yè)務(wù)正常運(yùn)行，安全團(tuán)隊(duì)必須讓渡部分非關(guān)鍵風(fēng)險(xiǎn)的處置，也就是在管理風(fēng)險(xiǎn)的前提下，主觀上相信業(yè)務(wù)會(huì)安全運(yùn)行。例如，邊界就是信任的體現(xiàn)，跨邊界的訪問(wèn)是不可信的，需要強(qiáng)制認(rèn)證和訪問(wèn)控制，而內(nèi)部網(wǎng)絡(luò)的訪問(wèn)默認(rèn)是可信的，這樣就大大減少了身份認(rèn)證和訪問(wèn)控制的部署成本，也提升了用戶的使用體驗(yàn)。

　　但安全團(tuán)隊(duì)也應(yīng)清晰地認(rèn)識(shí)到，信任第三方就意味著存在風(fēng)險(xiǎn)。那么就應(yīng)評(píng)估和管理風(fēng)險(xiǎn)，將業(yè)務(wù)受到影響降到最低，保證業(yè)務(wù)的彈性（Resilience）。

　　總之，擁抱變化，管理風(fēng)險(xiǎn)，是可信任的內(nèi)在需求。對(duì)于安全廠商，應(yīng)當(dāng)構(gòu)建信任管理體系，以降低整體安全投入的成本，并提升安全防護(hù)效率，幫助客戶贏得安全方面投資的回報(bào)。

　　信任管理模型

　　維基百科（Wikipedia）上對(duì)信任（Trust）的定義為[1]：一方（信任方）在未來(lái)依賴另一方（被信任方）行動(dòng)的意愿。假設(shè)給定三方A、B、C，三者之間都有交互，如下圖所示。

　　圖2 信任度模型

　　可見，主體A對(duì)B的action（B）行為的信任是結(jié)合了A對(duì)B的歷史行為的觀察{actions（B）}、第三方（如主體C）對(duì)其信譽(yù)評(píng)價(jià)Reputation（B,C）的綜合評(píng)估。事實(shí)上，信任度的度量會(huì)更復(fù)雜一些，需要考慮到觀察行為（即證據(jù)）的可靠度，以及信任度隨著時(shí)間推移衰減等因素。

　　而信任機(jī)制在應(yīng)用時(shí)，根據(jù)不同的場(chǎng)景和需求，會(huì)有多種形態(tài)，如IAM、訪問(wèn)控制、邊界控制等，具體產(chǎn)品就更五花八門，但核心上看，信任管理有四個(gè)要素：

　　1） 主體身份屬性確認(rèn)，即Identification

　　2） 資源的屬性確認(rèn)，即Attribute Enumeration

　　3） 主體對(duì)資源操作的授權(quán)，即Authorization

　　4） 操作控制，即Enforcement

　　圖片

　　圖3 信任機(jī)制表示

　　在當(dāng)前新出現(xiàn)安全模型中，也對(duì)信任提出了新的要求。例如零信任（軟件定義邊界）模型要求全方位的信任控制，即主體在任何時(shí)間、任何地點(diǎn)訪問(wèn)客體，均需要遵從全局的訪問(wèn)控制策略；而Gartner提的“自適應(yīng)訪問(wèn)控制”，則要求控制點(diǎn)在通過(guò)主體的訪問(wèn)請(qǐng)求后，還需要根據(jù)上下文進(jìn)行調(diào)整，動(dòng)態(tài)授權(quán)其訪問(wèn)。

　　而當(dāng)前行業(yè)大多數(shù)的信任管理處于被動(dòng)信任和靜態(tài)信任的階段，遠(yuǎn)未達(dá)到全方位、自適應(yīng)的階段。

　　所謂被動(dòng)信任，就是無(wú)條件地信任。例如，客戶在部署了某個(gè)安全產(chǎn)品、平臺(tái)或服務(wù)后，只能黑盒地選擇相信其正常工作、發(fā)揮作用；開發(fā)團(tuán)隊(duì)在采用某第三方軟件或硬件時(shí)，只能假定其沒(méi)有后門、漏洞，總之，既來(lái)之則安之，除了信任沒(méi)有其他辦法。

　　而所謂靜態(tài)信任，則是采用了確定性的信任評(píng)估方式，設(shè)置后長(zhǎng)期不變。這也是行業(yè)內(nèi)主流的信任管理機(jī)制，雖然簡(jiǎn)化了策略制定、系統(tǒng)運(yùn)行時(shí)機(jī)制，但沒(méi)考慮到上下文變化，是造成現(xiàn)在網(wǎng)絡(luò)安全事件頻發(fā)的根本原因之一。

　　事實(shí)上，信任是主觀、動(dòng)態(tài)、不確定，信任管理是要基于風(fēng)險(xiǎn)為基礎(chǔ)的，安全策略需要根據(jù)主體行為等上下文動(dòng)態(tài)調(diào)整，因而，在下一代安全體系中，信任管理應(yīng)當(dāng)具備可信任的安全能力、可信任的訪問(wèn)機(jī)制，以及可信任的供應(yīng)鏈管理。

　　可信任的安全能力

　　隨著地緣政治和數(shù)字化轉(zhuǎn)型深化，網(wǎng)絡(luò)安全將從滿足合規(guī)性要求轉(zhuǎn)向攻防對(duì)抗，客戶對(duì)于安全廠商的要求將越來(lái)越偏向其安全能力可信任。這主要有兩個(gè)層面：安全運(yùn)維可信任和安全運(yùn)營(yíng)可信任。

　　首先，網(wǎng)絡(luò)安全設(shè)備本質(zhì)上就是一類網(wǎng)絡(luò)設(shè)備，與其他的路由器、交換機(jī)無(wú)異，都是部署在網(wǎng)絡(luò)中。但在以往的安全運(yùn)維中，除了金融等重要業(yè)務(wù)場(chǎng)景中，客戶對(duì)安全設(shè)備的穩(wěn)定性沒(méi)有網(wǎng)絡(luò)設(shè)備那么高。但現(xiàn)在大背景下，安全設(shè)備的重要性將越發(fā)凸顯，邊界側(cè)、串接型的安全設(shè)備一旦故障，很有可能出現(xiàn)斷網(wǎng)的事故，影響正常生產(chǎn)；而旁路側(cè)的設(shè)備，雖然不至于影響生產(chǎn)，但如果故障，也可能會(huì)丟失重要的事件、告警和日志，對(duì)后續(xù)排查溯源帶來(lái)不可逆的影響。因而，安全廠商的安全設(shè)備、平臺(tái)和服務(wù)必須具有極高的穩(wěn)定性和可靠性。

　　其次，安全廠商也是安全服務(wù)提供商，參與到客戶的實(shí)際安全運(yùn)營(yíng)中，應(yīng)對(duì)各類真實(shí)威脅和攻防演練。由于這類安全運(yùn)營(yíng)需要實(shí)打?qū)嵉陌踩雷o(hù)、檢測(cè)和響應(yīng)能力，因而安全廠商的運(yùn)營(yíng)能力必須是可信任的。以前在安全運(yùn)營(yíng)中最大的挑戰(zhàn)是告警泛洪，一臺(tái)入侵檢測(cè)設(shè)備單天可能會(huì)產(chǎn)生數(shù)萬(wàn)條告警，大部分告警指示的并非關(guān)鍵性事件，而且有不少是誤報(bào)，這對(duì)于安全運(yùn)營(yíng)而言是災(zāi)難性，一位安全運(yùn)營(yíng)人員是不會(huì)信任這樣設(shè)備產(chǎn)生的告警，海量告警中尋找真正的攻擊，無(wú)異于大海撈針。

　　當(dāng)前，安全廠商已經(jīng)開始利用一些先進(jìn)技術(shù)，例如人工智能、劇本編排等，將頂尖的安全運(yùn)營(yíng)專家知識(shí)賦能智能引擎，從而大幅減少安全運(yùn)營(yíng)的邊際成本。例如綠盟科技于2021年發(fā)布的《AISecOps智能安全運(yùn)營(yíng)技術(shù)白皮書》[2]介紹了通過(guò)人工智能技術(shù)進(jìn)行安全運(yùn)營(yíng)的技術(shù)路線和關(guān)鍵技術(shù)，例如可以通過(guò)多引擎評(píng)估和智能推薦算法，將關(guān)鍵告警推薦給安全運(yùn)營(yíng)人員，從而擺脫大海撈針的困境。一旦安全運(yùn)營(yíng)團(tuán)隊(duì)通過(guò)短期調(diào)整，固化其場(chǎng)景下的運(yùn)營(yíng)需求及其推薦模型，則可在日常運(yùn)營(yíng)中在最短時(shí)間內(nèi)發(fā)現(xiàn)關(guān)鍵安全事件，建立對(duì)安全廠商能力的信任。

　　此外，在對(duì)抗過(guò)程中，攻擊者繞過(guò)安全設(shè)備的規(guī)則也將成為常態(tài)，這非?？简?yàn)安全廠商對(duì)安全漏洞、安全事件的的日常收集、研判和產(chǎn)品轉(zhuǎn)化能力。當(dāng)前的攻擊手法主要是規(guī)則繞過(guò)，而隨著攻防技術(shù)的進(jìn)一步發(fā)展，基于人工智能的引擎也可能被攻擊者繞過(guò)，這就要求人工智能算法是可解釋、可信任的，不會(huì)發(fā)生類似“熊貓變長(zhǎng)臂猿”[3]的攻擊案例。

　　可信任的訪問(wèn)機(jī)制

　　網(wǎng)絡(luò)安全的本質(zhì)是保證網(wǎng)絡(luò)中主體對(duì)客體的訪問(wèn)是合規(guī)、合法、合理的，然而太多的機(jī)構(gòu)數(shù)據(jù)泄露事件表明當(dāng)前的訪問(wèn)控制無(wú)法滿足以上要求。例如攻擊者利用服務(wù)漏洞進(jìn)行持續(xù)滲透，或是惡意內(nèi)部用戶嘗試竊取非授權(quán)的數(shù)據(jù)，如果通過(guò)常規(guī)的訪問(wèn)控制或入侵檢測(cè)是很難發(fā)現(xiàn)的。

　　當(dāng)前業(yè)界一方面使用欺騙、沙箱等高級(jí)對(duì)抗技術(shù)，則極大增加了檢測(cè)、防護(hù)的投入成本；另一方面也會(huì)使用用戶實(shí)體行為分析（User & Entity Behavior Analytics, UEBA），分析訪問(wèn)主體的行為模式，能從一定程度補(bǔ)全行為和業(yè)務(wù)層面的安全機(jī)制空白，但也存在大量誤報(bào)，同樣也需要投入較多運(yùn)營(yíng)成本。

　　如果從安全對(duì)抗的本質(zhì)出發(fā)，一方面，從正常業(yè)務(wù)的用戶體驗(yàn)的角度，應(yīng)確保大部分合法主體的訪問(wèn)不被安全機(jī)制所困擾，另一方面，將安全控制前移，在前期投入較少資源以獲得較大收益，以避免后期的各類成本（包括投入新安全機(jī)制的投資成本CAPEX和緩解誤報(bào)的運(yùn)營(yíng)成本OPEX）。

　　在安全運(yùn)營(yíng)的閉環(huán)中，防護(hù)、檢測(cè)、響應(yīng)階段的投入依次增加，安全效果卻依次降低。因而，應(yīng)適度將部分檢測(cè)、響應(yīng)階段的投入轉(zhuǎn)移到前期防護(hù)階段，即將安全控制前置。首先，保證訪問(wèn)主體對(duì)客體的訪問(wèn)關(guān)系是可信任的，即主體具備合法的身份，主體對(duì)客體的訪問(wèn)是授權(quán)的，主體的行為是合理的。

　　前述的“零信任”模型是可以達(dá)到這樣的要求的， “持續(xù)驗(yàn)證、永不信任”是零信任的理念，但其本質(zhì)還是信任主體的身份，但需要?jiǎng)討B(tài)的上下文評(píng)估其行為，從而確保該訪問(wèn)是能夠被信任的。

　　可信任的供應(yīng)鏈管理

　　可信任的供應(yīng)鏈管理有兩層含義：安全產(chǎn)品可信任和第三方軟硬件可信任。

　　安全產(chǎn)品可信任，是客戶對(duì)安全廠商信任的基石。安全產(chǎn)品在企業(yè)的安全運(yùn)營(yíng)中處于非常重要的地位，其自身安全不容忽視。無(wú)論是處于網(wǎng)絡(luò)邊界的網(wǎng)絡(luò)安全設(shè)備，還是管理大量終端的終端安全平臺(tái)，一旦被攻破，都可能導(dǎo)致攻擊者滲透入內(nèi)網(wǎng)，或控制大量的終端。近年的安全演練出現(xiàn)的安全廠商的產(chǎn)品出現(xiàn)漏洞導(dǎo)致被攻破，便是明證。

　　因而安全廠商應(yīng)重視其產(chǎn)品的安全，從開發(fā)到交付過(guò)程，需建立安全開發(fā)、代碼審查、上線前檢查等一系列安全流程，此外，應(yīng)建立漏洞懸賞計(jì)劃和應(yīng)急響應(yīng)機(jī)制，以確保及時(shí)發(fā)現(xiàn)潛在的安全漏洞，并在最短時(shí)間內(nèi)確認(rèn)安全事件、發(fā)布安全修復(fù)計(jì)劃和相應(yīng)的安全更新。我們說(shuō)過(guò)，攻防是成本和收益的平衡，安全產(chǎn)品與其他的IT軟件一樣，漏洞是不可避免的，但通過(guò)事前、事中和事后的預(yù)防和應(yīng)對(duì)機(jī)制，可以將安全產(chǎn)品變?yōu)樽畈灰坠テ频姆谰€；而對(duì)于攻擊者而言，攻破安全產(chǎn)品的成本明顯高于其他組件，而收益幾乎沒(méi)有，則不太會(huì)以它為靶標(biāo)。

　　在更多的案例中，第三方的軟硬件的漏洞或后門成為企業(yè)被入侵的重要原因。例如，今年的SolarWind旗下軟件Orion 軟件更新包中被黑客植入后門，波及范圍極大，包括政府部門，關(guān)鍵基礎(chǔ)設(shè)施以及多家全球500強(qiáng)企業(yè)，影響及其深遠(yuǎn)[4]。此外，地緣政治沖突日益加劇，國(guó)家安全要求第三方硬軟件安全可信，國(guó)內(nèi)正在構(gòu)建信創(chuàng)生態(tài)體系，覆蓋非常長(zhǎng)的硬軟件供應(yīng)鏈。無(wú)論是要避免來(lái)自第三方的安全漏洞，還是構(gòu)建安全可信的體系，都需要對(duì)供應(yīng)鏈的第三方提供商進(jìn)行持續(xù)的安全評(píng)估，使得客戶避免使用具有風(fēng)險(xiǎn)的提供商或產(chǎn)品，Gartner將其稱為安全評(píng)級(jí)服務(wù)（Security Rating Service, SRS）。

　　在實(shí)踐過(guò)程中，應(yīng)當(dāng)根據(jù)客戶的開發(fā)和運(yùn)營(yíng)流程，科學(xué)評(píng)估存在的供應(yīng)鏈風(fēng)險(xiǎn)，例如在開發(fā)環(huán)節(jié)，應(yīng)當(dāng)識(shí)別軟件項(xiàng)目中引入的開源代碼和第三方軟件庫(kù)，并評(píng)估其潛在的安全漏洞；在集成環(huán)節(jié)，應(yīng)當(dāng)對(duì)第三方的模組、系統(tǒng)或鏡像等進(jìn)行安全評(píng)估。

　　總結(jié)

　　信任是人類社會(huì)快速前進(jìn)的基石，也是數(shù)字化業(yè)務(wù)迅速發(fā)展的前提，在“智慧安全3.0”的藍(lán)圖中，我們協(xié)助客戶構(gòu)建信任管理的體系。首先，我們具備客戶可信任的安全產(chǎn)品和安全服務(wù)能力，其次，我們提供可信任的訪問(wèn)機(jī)制和可信任的供應(yīng)鏈管理，在降低整體投資和運(yùn)營(yíng)成本、提升用戶體驗(yàn)的前提下，提供堅(jiān)實(shí)、有效、全面的安全防護(hù)效力。