如果把信息系统比作一个别墅,那么漏洞就好像墙上的裂缝,知道这个裂缝的人,就能钻进去偷东西搞破坏,不是别墅的主人胜似别墅的主人。
一位业内人士曾告诉雷峰网“行业内出的漏洞80%是补不了,因为漏洞太多了根本补不过来。”
在网络安全中,漏洞、漏洞利用和威胁之间存在差异。要先防患于未然,理清高、中、低危漏洞,企业才能避免更大的损失。
很多企业信息化管理人员花了大量的时间打补丁,但是漏洞永远补不完。这也是让南京公路发展集团信息中心副主任陈庆头疼的问题,交通行业在安全人员资源配置上和金融行业相比更是存在不足。
要破除漏洞魔咒,就要剖析漏洞的本质,只有能够被利用的漏洞才能够对企业带来实质性的威胁。
“市场上众多的漏洞管理方案让很多客户忘记‘修复漏洞’的本质,是使得漏洞无法在被恶意利用,失去利用价值。”青藤云安全流量产品事业部总经理焦东辉谈到。
近日,以“漏洞无效·安全有道”为主题的“青藤云幕·漏洞无效化新品发布会”上,雷峰网(公众号:雷峰网)就青藤云幕在交通领域的应用情况以及产品效果与南京公路发展集团信息中心副主任陈庆进行了深入的交流。
一、理念:网络安全领域“100-1=0”
在陈庆看来网络安全领域,100减1并不等于99,而是0。
在行业内大家都有一个共识,就是网络安全运维难做,因为黑客攻击100次,只要有一次成功他就胜利了,而作为网络安全运维人员,防守住99次的攻击,只要有一次失误,那就等于白干。
“网络安全已经提升到和生产安全一样的高度,”陈庆如是说。在公路集团,除了生产安全是考核的对象,网络安全也成为考核的重要内容。
网络安全是一个投入很难见效益的项目,这也导致很多企业不重视或者投入少。在一些企业看来,每年在安全上的投入如此多,却看不见任何收益,也没有被攻击,殊不知没有问题就是最大安全和收益。
在信息化安全建设的第一个阶段是知道但不重视,比较被动,用一些免费的杀毒软件;第二个阶段是意识到重要,逐步购买一些网络安全产品、正版的软件;第三个阶段就是有法可依了,《网络安全法》相关的法律颁布把网络安全提升到国家层面。陈庆告诉雷峰网,公路信息化安全的建设,也逐步按照规定开展了网络安全相关的一些标准化建设,进行相关的费用投入、人员的配置。
陈庆于2014年从金融行业加入交通行业,就职于到南京公路发展集团负责信息化建设,着手从0到1搭建公路集团交通信息化规划建设、网络安全等方面的工作。
在陈庆的主导下南京公路集团高速公路信息化建设,完成全国首个信创收费站,《全国产化高速公路收费平台解决方案》成功入选省工信厅、省委网信办、省党信办信创优秀解决方案,另外还有智慧高速移动支付系统全面支持数字人民币、主持开发建设智慧高速异常事件检测系统项目。
交通行业经常会受到国内外的攻击,南京公路发展集团对于安全的需求一方面是,对内能够理清资产和漏洞,及时发现问题自己内部解决安全问题;另一方面是对外能够满足合规需求的同时减少漏洞被利用的风险。
另外国有企业的信息化安全建设已经实行责任制。这场关于网络安全建设的大仗已经到了非打不可的程度。
二、选择:聚焦细分安全领域前列的厂家
智慧交通领域面临的网络环境复杂、设备种类多、管理平台多等安全挑战,是包裹在各种隐藏漏洞上的“外衣”。
在加入南京公路发展集团后开展信息化系统和网络架构的调研,发现办公网络信息化和网络安全方面的建设还亟待加强。”陈庆对雷峰网如是说。
“公路行业最多的问题就是各类终端设备接入,而接口并没有有效的网络安全防护,一些钓鱼邮件、勒索病毒很容易入侵,导致数据被锁定。”他发现公司下面的三个分段都管辖着不同的收费站,都有独立的外网接入,而且没有进行任何防控管理。
之后基于在金融行业积累的多年信息化建设以及网络安全运维经验,陈庆进行了基于网络安全方面的改革,统一外网出口集中管理,同时在统一外网入口加了下一代防火墙、上网行为管理、实名制认证、强制安装网络版杀毒软件、封堵端口配置等措施,确保办公网络的安全。
众所周知,金融行业信息化程度高,业务系统数据集中度高、资金流转数目巨大,金融网络安全事件甚至可能引发系统性金融风险,可谓关乎国计民生。因此,金融网络安全具有更高更严的监管合规要求,运营单位重视程度也相对较高,金融网络安全发展进而较其他行业整体处于领先水平。
也正是金融行业的从业经历,让他了解了青藤的主机防护产品。在金融行业,青藤的云主机安全防护平台部署非常多。而陈庆在交通行业引入云主机防护是省里的先例。
陈庆此前就做过调研,在云主机防护领域青藤是走在前列的,而他选择厂商标准的一方面就是在细分领域一定要做的很好。
青藤万相·主机自适应安全平台,采⽤自适应安全架构,有效解决传统专注防御手段的被动处境,为系统添加强大的实时监控和响应能⼒,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后⼀公⾥。
陈庆表示,青藤的安全产品可以看到攻击源从而进行有效的封堵,比如可以设置一个策略,只要攻击超过三次就认为可疑,自动断掉访问,大大减少了暴力破解的问题。
对于高速公路管理运营公司来说,选择网络安全服务企业,实力是一方面的考量因素。另一方面还要考虑系统本身的便捷性、实用性。
第一,安全系统要对公路本身的业务系统和应用面影响最小,青藤的产品在测试当中对于服务器的性能和消耗的资源影响是最小的,因为公路系统是24小时运营,一旦影响服务器运行,就会影响收入造成高速拥堵;
第二,产品是否便捷,比如移动端的展示分析日志,生成报表进行推送;
第三,就是能够提供咨询服务,比如对于整个网络防护以及人员安排给出合理化的建议;
第四,满足一些定制化的开发。
陈庆补充说,定制化开发不是非常个性化,而是基于整个行业通用的问题提出建议进行开发,比如高速公路应急指挥调度视频监控的需求,防止黑客篡改大屏信息而造成不良意识形态的问题,这样的需求对于有大屏的单位来说是共性需求,比如医院、公交车运营等单位都有此类需求。
三、修复漏洞的本质是让“漏洞无效化”
软件或系统是不可能做到100%没有漏洞。
当前智慧交通面临四大风险:一是,链路存在的隐患,主要由于管理人员在管理中的疏忽造成的;二是,端口没有做封闭处理;三是,系统需要连接Internet,产生安全漏洞;四是,应用软件本身存在安全漏洞。
青藤NPatch首先可以解决老旧系统补丁修复难题,对无法修复的漏洞进行智能化分析,针对性屏蔽老旧系统漏洞;其次规避漏洞修复期风险,在最短时间内建立屏蔽措施,规避因长周期内打补丁修复的空窗期风险;最后,防御漏洞利用型勒索病毒扩散,拦截对漏洞的扫描和攻击利用行为,阻断横向扩散途径;构建勒索病毒立体防护模型,降低被勒索风险。
当然目前企业网络安全建设还有很大一部分原因是合规驱动,NPatch也可以帮助用户满足等保要求,降低因漏洞问题而被通报的风险。
陈庆告诉雷峰网,在大型攻防演练的时候,一些新系统还没有进行漏洞扫描,而且现在各种插件也有安全漏洞,另外因为软件版本问题的一些漏洞也经常会暴露出来。而青藤NPatch能够迅速地、精准地检测到网络流量中针对漏洞的一些探测和攻击利用行为,并及时进行阻断处理,让漏洞无效,从而保障系统安全。
回顾2021年Apache Log4j漏洞的影响至今仍然持续,专家认为影响可能更加持久,我们必须为“与漏洞共存”这个漫长的过程做好所有的准备。
漏洞是老问题,但必须要看清本质,不断推陈出新,用新思路、新方法、新技术来解决问题,才能实现业务发展的可持续性。