应急响应的回顾与展望
一、什么是应急响应
这张图片显示的是网络世界和现实世界的应急响应相互启发的过程,上面的蓝色字是网络世界的应急响应。1988年Morris蠕虫病毒爆发,对全世界互联网造成了极其巨大的影响,随后,全球首个设立在卡内基梅隆大学的计算机应急响应组织(CERT/CC)诞生。
不久之后大量的网络安全事件此起彼伏,让人们很快就意识到这是一个全球性问题,因此在1989年就成立了首个国际应急响应协作组织。2000年,我国开始筹办国家应急响应组织,而2001年的红色代码事件真正促进了互联网安全应急响应组织和应急响应体系的建设。
但是持续不断的安全事件一直在提示着我们要加强应急响应。2017年Wanna Cry席卷全球再一次给全世界都上了一课,我们面对的挑战依然非常大。如今世界各地都有相应的应急响应协作组织,比如人们熟悉的亚太区的APCERT、欧洲的ENISA、美洲的OSA等等。
以上这些都是网络世界的应急响应,下半部分是现实世界的应急响应。历史上曾多次出现流行病毒事件,比如中世纪的黑死病、“西班牙流感”等,相对应的美国在1946就成立了疾控中心(CDC),中国也在1983年就成立了自己的疾控中心。
也就是说,现实世界应急响应要比网络世界早得多,而我本人开始做应急响应的时候,就是从大量现实世界中寻找例子的,里面有非常多可以借鉴的地方。
比如SARS的隔离模型就可以直接用于分布式拒绝服务攻击或者大规模蠕虫病毒的应对上,美加大停电事件给我留下最深的印象是那30分钟“黄金时间”的重要性,超过了这个时间就无力回天。还有新奥尔良飓风事件、印度洋海啸等等,都有可以借鉴的地方。
那么,到底什么是应急响应?在计算机和网络安全领域,应急响应是安全人员在遇到突发事件后所采取的措施和行动。而所谓突发事件指的是影响一个系统正常工作的情况,这里的系统包括主机范畴,也包括网络范畴。
应急响应在安全保障里面到底起什么作用?我之前有个观点:应急响应是所有安全工作中最前线的部分,应急响应输了,所有的都输了。
举个例子。现在有两个方案来保护黄金,一是把黄金放进用两米厚的不锈钢做成的保险柜中,然后再把它放在撒哈拉沙漠的正中间;二是把黄金放进一个普通的玻璃柜中,然后把它放在天安门广场的中间;这两个方案哪个更安全?
事实上单凭这些信息不能确定这两个方案哪一个更好。因为其中缺失了一个非常重要的环节:如何响应。如果放在撒哈拉沙漠的保险柜一年才会去检查一遍,那么坏人哪怕是花了大半年时间才能把保险柜炸开,然后花一个月才能把黄金运出去,但黄金依然失窃了。反过来天安门广场中间的玻璃柜哪怕一秒钟就会被砸碎,坏人十分钟就能运走,也不一定就不安全,因为天安门广场的方案中,快速响应的人可能就在附近,不等黄金被运走就能够抓住坏人,阻止黄金被偷走。
网络安全领域中有一个最经典的模型-PDR模型,其核心思想就是事件发生之前的防护,事件发生时的检测,以及检测之后的响应和恢复。以前有一个说法,完成响应的时间只要不超过防护的时间,其实就是安全的,所以最核心的关键就是时间。
因此我们得出三个推论:
1、安全保障的各个环节之间不应该是相互孤立的;
2、安全是相对的,具体的要求各不相同;
3、投资多、设备好不一定安全级别就高。
而在网络安全领域中,做好事件处理(应急响应)一般有以下阶段。
1、准备阶段—事件发生之前必须要做好充足的准备;
2、确认阶段—事件发生后进行综合判断,确认清楚具体情况;
3、封锁阶段—防止事态不断扩大,遏制事件蔓延;
4、根除阶段—通过彻底的补救措施解决事件;
5、恢复阶段—通过备份都手段进行恢复;
6、跟踪阶段—对安全事件进行跟踪,防备第二次出现。
现实世界里,在面对新冠疫情时英国政府也分为四个阶段:控制、延缓、研究和减轻。但是英国现在应该直接放弃了第1阶段,进入延缓第2阶段。网络世界也是如此,有时留给控制的黄金时间非常短,同时在重大事件发生时还要快速进行研判。
二、大规模网络安全事件的应急响应
接下来和大家一起分享网络安全领域内那些应急响应的故事。
2001年红色代码事件是一个蠕虫病毒的划时代事件,这是第一次不以文件形态存在而是直接从内存到内存的蠕虫,不需要借助任何人的操作。蠕虫成功入侵目标之后会自动寻找下一批目标进行入侵,加上当时正好是周末,所以在24小时之内就感染了全球超过30万台的计算机。
虽然在这之前我国就已经在做国家应急响应组织,但实际上还没有经历过真正的考验。2001年红色代码事件过后,我国做了一些非常重要的举措,除了CNCERT以外,还建立了包括所有的互联网运营商在内的应急响应合作组织,建立了规定、标准的做法,相互配合的流程和制度。
这套应急响应体系很快就发挥了作用。在2003年的SQL SLAMMER事件中,我们仅凭当时建立的那一套体系,在一小时之内就准确地判断出这件事是蠕虫爆发。
随后我们同步进行研究,判断这个蠕虫的传播方式什么、是否可以通过网络的方式来切断、蠕虫的攻击程序里面还有没有其他的隐藏功能等。当时我们仅花了半天的时间,SQL SLAMMER事件就彻底响应完毕,即便是有一些路由器因为采取措施而出现运行不稳定的情况也在当天黄昏全部解决了。而这一事件给韩国带来了非常大的影响,90%以上的网络全部瘫痪。
SQL SLAMMER事件让我们意识到虽然应急响应合作体系发挥了作用,但还是不够。当时已经进入了蠕虫研究的热潮,我们发现一个小时的响应时间依旧不够,因为真正的攻击完全可以在半小时之内摧毁整个网络。所以当时我们认为还要继续加快和加强网络安全应急技术平台和资源储备方面的工作,才可以赢得“黄金时间”之争。此外,网络安全事件没有国界,是全球性问题,可以在全球快速蔓延,就如同今天的新冠肺炎一样,我们需要建立全球合作的体系。
自2000年以来,我们从加入全球应急响应组织到发起成立了亚太区的应急响应组织,并且在大量的全球性大规模网络性事件中起到了非常好的作用。后来,我们甚至推动了中国和东盟的应急响应合作体系、中日韩的合作体系,以及在亚太经合组织中推动建立合作体系等。
2004年下半年开始,大量的蠕虫攻击者的动机发生了变化,传统的纯粹技术层面的挑战驱动的攻击逐渐减少,攻击者的逐利性不断增强,因此蠕虫也逐渐变成配合各种黑灰产和信息窃取的工具,所以大规模的网络安全事件不断减少。但并不是意味着就不需要应急响应了,比如当年的索尼事件就是对企业内部的应急响应体系一个非常大的挑战。
2014年,著名的“心脏滴血”漏洞和“破壳”事件令我印象深刻,这两者都造成了非常大的影响。那时我们也在积极尝试通过其他的方式来进一步提升应急响应合作体系的效率。
和现实世界的公共卫生事件一样,当我们对安全事件进行研究和判断的时候,人依然是非常重要的。在研究的过程中,我们发现原来的应急响应体系大多是星形或者树状的结构,包括美国也是如此。我国在2004年的时候就基本确定了这套结构,从应急响应组织到各个省的运营商,再到安全产业界和第三方机构等,形成了一个看似很完美的图。
但是,在2014年的“心脏滴血”漏洞和“破壳”事件的研究过程中,我们发现想要快速研究确定具体情况的难度比以前要大的多。
因为以前的蠕虫事件的流程基本上是先确定大网有没有问题,判断是不是蠕虫,并且在网络中切断传播通道,然后再去寻找被感染的主机。而“心脏滴血”和“破壳”是漏洞,很难在最短时间研究清楚。特别是自2010年以来,0 DAY漏洞的概念越来越火热,这些漏洞出现后马上就会有攻击利用,完全不给防护方准备的时间。
就好像新冠肺炎一样,到现在依旧还有很多问题尚未研究清楚,毫无疑问这将会拖累黄金响应的时间。因此,当时我们开始思考应急响应合作体系可不可以变成一个更加扁平化、高效率、快速发挥各自的专长的一种新的协作体系?
答案是肯定的,当时很多安全公司的大咖都被拉进了群,并且大家在群里快速讨论“心脏滴血”漏洞到底是怎么回事。不同的人自然会有不同的擅长方向,随后他们在各自的公司进行快速验证并且互相校正观点,也让很多企业及早得到了情报。整个协作大家的反响非常好。
如今,世界已经是数字和物理的世界相融合,海量的设备相互连接在一起,但是由于很多物理设备制造商缺乏网络安全意识,因此也给应急响应带来了新的挑战。以前应急响应只要组织加上运营商基本就可以搞定蠕虫,但后来的“心脏滴血”漏洞不再是这样,2017年的Wanna Cry更是影响到非常多的行业,那么这些行业如何一起来应急响应?
此外,企业也需要自己的各种业务安全事件的应急响应,比如某多的薅羊毛事件造成如此大的损失,若是响应了会怎么样?如今代码被删、大量的用户数据被窃取已经越来越多,企业又该如何去响应呢?
三、Convid-19的应急响应
有意思的是,网络空间中的很多事情和今天的新冠疫情(Covid-19)有很多的相似之处,但也有大量的不同,这里分享一下个人的想法,大家可以一起讨论。
左边部分是现实世界和网络世界相似的地方。
1.R0
新冠疫情刚出现时,大家都在关注其R0值——病毒传播性的一项关键指标。在网络安全领域也是一样,当年的每一个蠕虫都有一个传播算法。比如2001年的红色代码蠕虫,每一个机器中招后会生成100个地址往外传播,当然这和它生成地址的策略有关。因此,在网络安全领域里面的大规模蠕虫事件也要考虑类似R0,来估算蠕虫蔓延趋势和影响。
2.传播途径的研究和处理-隔离
首先就是要隔离,你可以什么都不知道,但是一定要阻断传播,这也就是我们当年对蠕虫应对的第一反应。隔离的关键是搞清楚传播途径。现在convid -10隔离的难度在于病毒可以通过气溶胶和飞沫传播。当年东北鼠疫事件也是如此,西方著名传染病专家不相信那次鼠疫会通过飞沫传播,因此不戴口罩去了现场,结果很快就被感染了。而武连德坚决广泛使用口罩来切断飞沫感染途径。随着病毒传播的方式越来越多样化,隔离的难度也在增加。
之前我一直说如果红色代码在今天出现依旧是无法隔离的,因为红色代码的传播途径和我们必须使用的HTTP通道是同一个,无法切断这个通道。这和现实世界是一样的,如果传播途径和我们不得不依赖的途径无法区分开,会给隔离带来巨大的挑战。
3.传播条件的遏制-缓解
缓解或遏制传播条件的办法有很多,比如快速打补丁,因为在网络安全领域必须要依靠漏洞才能攻进来。而在现实世界中则是靠减少聚会、减少营业、减少接触来实现的。
4.感染者的确认和处置-消杀
在进行大规模网络全应急响应之前,大家做网络安全基本上都是在做杀毒,是在端上解决问题,例如遇到一个恶意程序直接识别和清除等。当我们做网络安全的时候则都是从网络层入手,即首先要保证大网不出问题,就和今天的传染病控制一样。
当然,对于被感染的机器也要进行处理,虽然作为协调机构无法强制要求他人,但是只要有机会就要帮助被感染的机器清除恶意软件。目前病毒传染病治疗对于人类来说依旧是个难以解决的问题,在传统的网络安全领域也十分类似,感染的速度太快了,眨眼之间会有大量的主机被感染,而且在2003年3月的一个蠕虫就会把管理员口令送到集中控制服务器,所以快速清理感染机器也是一个非常重要的工作。
其中我不太认同的做法是自动消杀。比如蠕虫出现以后,我也利用同一个漏洞写一个针对性的蠕虫进入到机器中去灭杀做坏事的蠕虫,而且还会把漏洞打上补丁,最后再自我毁灭。但是这种做法一是没有经过用户的同意擅自杀毒,若是因此给用户造成损失,这责任说不清楚;二是以同样的策略在网络上传播,看上去似乎在解决终端的问题,但给网络侧带来的压力反而更大了,容易造成网络瘫痪。
5.工具和人员的能力
世界各地都出现了新冠肺炎传染病,为什么西方国家采取的策略和措施和中国不一样呢?除了控制的力度弱之外,还有就是怕资源挤兑。比如口罩不是保护健康人,而是给医生使用的,实际上这是因为他们的工具资源缺乏,另外还涉及很多使用这些工具的人的能力不足的问题。
工具、资源和人员能力不足的问题,限制了对传染病的应对策略选择,在网络世界中也是如此。收到这种资源的限制,很多国家被迫防线后移。但是这种资源是可以动态调配的,例如我国可以将各种各样的医疗资源集中到武汉,大幅提升当地的资源和能力水平,再配合上别的措施,能够实现强力的控制效果。如果人员在哪里都不是问题的话,那么应对突发事件的情况会好得多,当然这也不现实。网络世界也是如此,当事件发生时往往会有很多人缺乏相应的人员的帮助。
6.大范围协同研究和处理
在这次新冠疫情中很多人说到发文章的事。实际上在这次事件的应对过程中,快速把新的经验教训通过发文章的方式进行同行共享,这本身就是全球协同工作。大家有了共同的研究后,可以在别人的基础上节省非常多的时间。历史上,在网络安全事件中,我们也得到过很多其他国家的帮助,因为大家有时差的区别,有些事情其他国家或者地区会先发生,通过共享具体情况,我们就可以节省非常宝贵的一两个小时的时间。
而且大家所处的领域不同,如果能够快速沟通就可以更准确的判断问题,哪怕是在公共卫生安全领域也需要如此。
7.媒体管理
媒体管理是一个很重要的事情。我印象非常深刻的一次,在2005年召开的世界应急响应组织大会的时候,法国的一个专家就专门讲了应急响应中的媒体管理。因为西方媒体比较发达,媒体人又有各种各样的技巧,所以对应急响应各方面的挑战非常大,所以法国人总结出了非常详细的办法,避免踩坑。
我们国家原来一直没有这个,所以在2008年的温州动车事件以及后面的很多重大事件中,我们的发言人在面对媒体的时候就发现还有很多要提高的地方。
但是,今天所说的媒体管理已经完全不只是当初这个概念了,而是比当时的情况要复杂的多,比如现在自媒体非常发达,以至于大家都不知道消息的真假。
8.黄金时间
不得不说的是,信息发达的自媒体对我们赢得黄金时间很有帮助,我们可以更早得到真实的信息。所以黄金时间依然是自然世界最重要的事情,如果黄金时间丢了,应急也就失败了,这一点网络世界也是如此。
右边展现的是物理世界和网络世界不同的地方。
现实世界里无数的领域相互关联影响的。比如新冠肺炎事件引发了各行各业的变化,学校、生产、蔬菜供应等等,所有的行业相互关联。
另外,新冠的流动性非常强,极度发达的交通工具导致了疫情短时间内在全世界流动。此外个人心理和社会影响也非常重要,有时候一个消息出现就有可能引起恐慌性的抢购,但是机器就不存在这样的问题。例如2005年的新奥尔良飓风事件,对外发言时要非常小心,往往因为一句话引发疯狂的采购,最后的结果只会是灾难性的。当然,还有影响因素生活基本需求,经济和社会生产需求,甚至还包括政治需求等,哪怕是今天的新冠也不一定就没有政治因素在里面。另外在现实世界会出现资源严重被挤兑的情况,这跟网络世界不同,毕竟网络世界的资源相对要更多一些。
四、大安全趋势下,应急响应会有哪些新要求
2016年我就在讲,未来如果我们还仅仅讲网络安全,那么一定会死的很惨,未来必定是大安全时代,无论是网络空间还是物理空间,它们之间的区别会越来越少。PPT中列举了9点,不一定都对,想和大家一起探讨。
1.无论是网络还是现实世界,复杂性都会大幅上升,相互交织会越来越深入和紧密,单点应急响应效果有限。如果我只做局部的恶意代码的清理、网关策略的设置或业务策略的调整,基本没什么用,未来需要大量的事情相互关联起来,联合行动才会有效果。
2.更加依赖大数据。这次新冠疫情所有人都发现大数据太有用了,如果没有大数据,疫情在中国也无法控制,特别是在春节期间没有办法监控,你都接触过谁,你的活动轨迹是怎样的。用大数据建立起精准应对的能力,是未来最基本的,没有数据就没有希望。
3.需要知识的积累与运用。只是简单的数据没有任何作用,知识的积累十分重要。举个例子,我们完全不知道新冠肺炎会带来哪些影响,因此在做传播途径切除和控制时就会懵,在这个过程中就会出现大量的损失,甚至是应急响应失败。如果能够更早就有相应的知识积累,那就完全不一样。
什么是知识积累?“体温到40度就是发烧”,这就是知识积累。知识积累可以帮助我们加深对某一种病毒或威胁的理解,比如后来我们常提的威胁情报就是一个知识积累的过程,只有在这样的支持下,才能做出更科学的应急响应。
4.需要大范围的协同。多领域、大范围、多国家的协同非常关键,为此可能需要有配套的机制和能力,而不是口头上说要协同就能够协同的。
5.安全需求会大幅升级。很多人现在对数据安全进入到恐慌的时代,甚至走入“谈数据变色”的极端。在经历过这次事件后,我个人认为不能因噎废食。我们必须要打破数据安全的壁垒,要想办法解决数据安全问题,并在这样的前提下让数据能够用起来。
再加上此前说的多领域的协同需求,各行各业的交织越来越深,以及国家提出的新基建,都会导致新基础设施的安全在未来有一个大的需求升级。
6.黄金时间依然是关键。前面已经说到应急不是急应,所以如何能够提前预警,如何从应急响应变成事件响应,如何缩短响应时间,延长时间窗等都是需要考虑的。就拿APT攻击来说,有没有可能拉长攻击的时间,缩短响应的时间?答案是有可能,应急不是单点和局部应急,而是要从整体威胁的角度来应急。如果从整个威胁的运作角度来看,一个APT攻击可能是以要年为单位来算。那么我们就可以在整个APT攻击的过程中来应对,这样的黄金时间就大大不一样了,而不是等到已经造成损失后再来进行应急。
7.专业人员。整个需要说三次重点强调。我们国家网络安全人才一直不够,但是一提到安全专业人员到底是你干嘛的,大家各自理解不一。那么究竟多少数量才算够了呢,我们其实可以和两个领域来比较:医生和警察。我国有1100多万的医护人员,不算武警的话,单单警察和保安也有1000多万人,而网络安全涉及各个领域、各个行业,又到底需要哪些专业人员,需要多少数量的专业人员,我认为可以重新考虑一下。
8.媒体管理。就如同刚刚提到的,新媒体和自媒体时代应该发挥它们的优势,让很多事情更早暴露出来,让很多还没有关注事件的人早一点关注。但是,在这个过程中我们应该尽量减少副作用,混乱的消息甚至是人为制造的假消息也有可能会引发灾难性的后果。
9.素质教育。全民科学和安全素养的提升需要持续进行,这也是一个长期的痛点,那就是中国老百姓的科学素养一直需要提高,所以当需要大规模应对一些威胁时往往发现科学素养不足。网络全行业也是一样,如果群体的网络安全意识严重缺乏的话,很多事情都没办法开展。
问答环节
1)安:资产的类型很繁多,如服务器资产,网络资产等等,安装在服务器上的资产又有数据库,中间件等。有没有一个好的资产管理方法,在出现问题时,可以及时进行响应和修复。
资产管理一直都是非常大的挑战,直到今天为止,资产越来越复杂,变化的频率越来快,所以好的资产管理始终是个挑战。说实话我恨不得手里有一个产品清单,但是我没有。现在很多大型的、综合的安全平台其实都包括资产管理,但我没有办法把他整理、总结出一个好的资产管理的方法。
2)八月字温:在得到经验验证之前,标准流程与制度的建设的全面性和可靠性在哪些方面可以得到保证?
这个问题非常高深,我思考一下。其实在过去的应急响应工作中,很多时候不能完全依赖成熟的标准,因为所谓的应急大多都是突发事件。但从总体上来说,可以沉淀出一些事情,包括响应流程、应急组织建设、安全事件描述、以及应急预案等,这些可以标准化。我们国家的第一个互联网安全预案应该是在2004年做的,那时候我们其实就没有什么经验,可以说是凭想象写出来的,写完之后到处问别人意见,别人也提不出什么。但是即便如此,那个预案里面有很多最基本的规律性的东西到今天为止依然没问题,例如:要把事件分类、分级,发生什么事情就该怎么判断,每一个级别该怎么做,相关的人是谁,流程是怎样的,这些都可以标准化。
目前应急响应的方向之一就是自动化编排的应急响应,它也要有预案来支持。当你把资产、业务都放入其中之后,预案该怎么做就变得非常关键,我认为要用知识加人工经验形成更加丰富的应急响应预案。
3)向成钢:杜总在目前的工作和之前的工作主要的差别是什么,国家级别的应急响应与大型互联网公司的应急响应的差别主要是什么?
国家级的应急响应和大型互联网公司的应急响应差别还是很大的。国家级的响应总体上来说,我们就像是一个卫星地图,知道大的趋势,但是具体的情况在各个具体的网络和系统中,所以我们总体上是协调、协同、支援的角色。但是在大型互联网公司应急响应就是自己,作为甲方单位,我最重要的肯定是可以看到最细节的部分,但是看不到公司之外的事情。另外,甲方企业的应急响应完全是为业务服务,国家的应急响应更多是以公共基础设施保障和大的安全环境为目标。但无论是国家的还是企业的,应急响应的共性就是你怎么看待应急响应和安全的关系,你如何储备应急响应所需要的资源,以及你的能力建设等,这些方面都是一致的。
4)陈建茂:应急响应是需要资源投入的,应该占总预算的多少比例?企业是否应该有应急响应常设组织?
这个估算不出来,但企业应该设有应急响应常设组织。产业界的应急响应组织至少有两类:一类是运营机构的应急响应组织,它得名字就叫应急响应部门(CERT/CSIRT),而且是常设的,这样应急响应部门就可以有共同语言和标准,然后可以相互协同。
另外一类应急响应组织是产品供应方的,比较典型的是微软的MSRC。现在很多企业都成立了自己的安全响应中心SRC,我在阿里的也带过阿里的ASRC,当时我就呼吁每个企业都要有自己的SRC。大量企业的SRC已经不完全是微软作为产品供应商的应急响应组织了,而是综合性的。企业SRC的核心目标一般都和公司的漏洞有关,在验证完漏洞后要利用公司的内部资源对漏洞做出响应,除此之外,企业内部基于威胁情报的响应也是SRC的作用。从这个角度来说,每个企业都应有自己常设的SRC。
5)海带:360的安全大脑是怎样与应急响应体系协同工作的?
安全大脑的理念和我刚才讲的是一致的,无论是哪个领域,未来的趋势一定是基于更广泛的大数据、更全面的知识和更多维度的威胁情报来进行分析并做出更聪明的响应决策。一个应急响应如果没有充分的经验支持的话,就只能做一些简单的响应,就像是本能反应一样。
当你真正面对比较复杂的对抗时候,这种应急响应肯定不行,真正的更高级别威胁的应急响一定是需要类似安全大脑这样的组织和功能,它能做非常复杂的分析,并在此基础上部署更加复杂、聪明的响应策略。
6)峰子:应急响应和灾难恢复有什么关联和不同?
在网络安全领域,我们通常会分开来说,应急响应带有更多的对抗色彩,它会根据对方的情况、事态的发展来做下一步的工作。而灾难恢复如果是PDRR中最后一个R的话,更多是业务恢复、数据恢复,包括之前的准备,如异地容灾,也包括业务层面。它们是不同的,但是有一点关联,整个安全体系中一定要灾难恢复,这是安全的最后一道防线。
7)orange:黄金响应时间,结合业务如何界定?
要看具体的情况,没有办法用一句话来回答。黄金时间的本质理解指的是你是否能够在时间上避免进入到事态无法控制的时候,这只是一个原则性的东西。其实美加大停电黄金时间30分钟也是事后分析出来的。但是也有一些规律性的黄金时间,比如救援是72小时。其实我们应该想一想各自业务和场景下的黄金时间是多少。
8)Ue:当前网络安全应急响应工作虽然在战斗的一线,给客户创造的价值很高,但是一直存在着工作价值无法被量化,客户无法直接埋单的问题,请问杜博士怎么看这个商业困境?进一步的问题,做企业安全响应是否有直接的商业回报,这个市场是否有机会?
这不是应急响应的困境,而是整个网络安全的困境。网络安全的价值量化一直都是一个很大的挑战,当初我们在阿里的时候也面临一样的困境,客户心中的概念是你能确保永远不被入侵吗?显然无法回答,因为成本不可能无限制增加,也不能实现绝对安全。很多人都在尝试解决这个问题,但到目前为止还处于尝试阶段,还没有一种普遍让人接受的方式。
9)啦啦啦:乙方如何才能比较好地融入到甲方的应急响应流程中?
这是一个非常好的问题。如果乙方不能和甲方很好地融合,最后安全保障是无法做到的,
因为很多事情都不是产品来解决的。但是现实中是大量的甲方根本就没有认识到这件事情,还停留在购买防护产品就可以。
有一些甲方意识到应急响应后,又存在以下几个问题:1.如何让甲方信任你,毕竟可能会涉及到敏感的业务信息和数据;2.甲方和乙方的能力如何连接起来,就好像两个齿轮是否能够契合也没有既定的答案。
10)Charles:5G时代的应急响应和原来的应急响应具体有哪些变化?
5G时代还正在到来,但本质上的规律还是一样。我认为5G时代带来的变化,最主要是不同的领域的融合变得更紧密了,将导致应急响应更加复杂化,甚至是黄金时间更短。5G不是一个具体的业务,而是一个新的时代的基础性技术,本质规律不会有太大的变化。
结语
非常感谢杜总的精彩分享,真的是一场令人十分享受的分享。在本次分享中杜总很多观点既言简意赅又一针见血,很明显没有大量实践和理论研究是无法做到的。同时还把当下社会关注的焦点和网络安全领域横向对比,再进行简练又抽象的表达让听众沉醉其中。