前言:为什么要将网络安全与《孙子兵法》关联?笔者一直认为,在虚拟世界里的网络安全与现实世界的国土安全越来越相似。从国家层面也提出了“没有网络安全就没有国家安全”的理念。所以从事网络安全行业从业者有必要对兵法有一定了解。那为什么是《孙子兵法》,而不是其他兵书呢?《孙子兵法》在中国被奉为兵家经典,后世的兵书大多受到它的影响,对中国的军事学发展影响非常深远。更主要的是笔者最近读了《华杉讲透<孙子兵法>》一书(感谢借书人赵总),更新了笔者太多根深蒂固的错误认知,所以本文的成文要感谢华杉老师的著作,也将此文献给广大网络安全工作者。本文关于网络安全工作的事例中,由于笔者一直专注于企业安全建设方面的工作,所以没有太多站在攻击者的角度来看待问题,这方面的视角希望能有同道中人能够帮助弥补。
首先,看一下孙子兵法的第一要义,“兵者,国之大事,死生之地,存亡之道,不可不察也”。这是要对战争有敬畏之心,纵观孙子兵法,通篇告诉大家不要打无把握之战,甚至要不战而胜。别信以少胜多,那都是小概率事件,一定要做到有必胜的把握才用兵。也就是“十则围之,五则攻之,倍则战之...”,《孙子兵法》从来不教你以少胜多。如果只关注历史上神反转的低概率事件,会死的很惨。所以“善战者之胜也,无智名,无勇功”。
从网络安全工作角度来讲,也是一样。与其过分依赖态势感知,深度检测之类高大上的技术,不如先把基线做好,该关的应用关了,该写白名单的写了。笔者曾经在《攻击面管理策略梳理》一文中提出过一个类比,从安全性角度来说,锁门远比安装一个人脸识别摄像头更有效!虽然干这些事情好像并不出彩,但是真正实用的往往是这些“无智名,无勇功”的工作,这考验我们安全人能否耐得住寂寞。
第二,我们再讨论一下“无智名,无勇功”的问题,这对我们现在的安全工作非常有启发。所谓“上医治未病”,但是名医往往治重病,这也是扁鹊的典故,大家可以搜来看看。
网络安全工作也是一样,一旦出了安全事件大家有来有往,非常热闹,慢慢的就成“名医”了,但如果大家都想做“名医”,对企业来说一定不是好事。而想做“上医”则需要通过持续的积累进行针对性的规划设计,构建和完善网络安全治理体系,组织专业团队长期执行监控、检测、防御和响应任务,不断抵御各种威胁,保障公司不要病入膏肓、疾入腠理。这样的“上医”需要“明君”的支持,笔者真心希望行业内多一些“明君”,让“上医”有生存的空间。
第三,战争的范围。按照《孙子兵法》的观点,战争不是短兵相接的时候才开始,而是一个长期的博弈,算计的过程。事前,就要从“五事七计”分析要不要打(篇幅所限,具体的内容就不展开了);事中,又要从“十二诡道”引诱犯错,而后一战而定;事后,充分巩固战果。前期的算计,中期的行军、粮草、战斗,后期的巩固战果加在一起才是战争的整体。
同理,网络安全也是一个系统工程,绝不仅仅是某个技术点突破了就可以搞定的(当然找到突破点很重要)。近年来APT越来越热,也是系统工程用于网络攻防的体现。
稍微展开一下。从攻击者角度来说,在真正动手之前一定要有充分的准备,除非有非常丰富的资源,否则在踩点阶段就被察觉了。如果你的对手比你聪明(至少不比你笨)的话,封堵(甚至反制)你是非常有可能的。
从笔者比较熟悉的防御视角来看,在察觉入侵的时候开始行动就已经落于后手了。在重保任务之前,一定要提前准备,否则活动可能就那么几个小时,一旦出现问题根本来不及反应。日常运维过程中一定要重视准备层面的工作,而非一直处于攻防对抗的过程中,这个过程我们往往称之为“救火”。没有哪个安全人喜欢做“救火队员”。
第四,“兵者诡道也”,这是《孙子兵法》中非常有名的一句话。之后紧接着抛出了十二诡道:能而示之不能,用而示之不用,近而示之远,远而示之近,利而诱之,乱而取之,实而备之,强而避之,怒而挠之,卑而骄之,佚而劳之,亲而离之。字面意思基本上清晰,就不解释了,感兴趣的读者可以看一下华杉老师的原著,解释的非常精彩。
我们可以看出,十二诡道没有一个是短兵相接时的战法,而是前期准备阶段的任务,再次体现了《孙子兵法》的战争观,不要百战百胜,而要不战而胜。百战百胜的前提是要“百战”,而“百战”损耗的大量的国力,会导致从胜利中走向灭亡,二战时的日本就是一个例子。
另外,《孙子兵法》提纲挈领的提出了十二诡道,这可以衍生出成百上千的不同战例。套用华杉老师的观点,双方都懂兵法,十二诡道大家都背的滚瓜烂熟,但为什么还有那么多人上当?只能说人生如戏全靠演技,充分利用猜疑链才能更好骗过对方。
在安全工作中,“百战百胜”的救火队员一点都不值得骄傲,这种情况下任何失误都有可能“一夜回到解放前”。而从企业安全的角度来看,由于人员流动、采购安全服务等问题,信息保护不太可能按照战争的标准进行,所以真正意义上的“诡道”很难实行。但十二诡道让笔者get到的点是,“诡道”要从前期开始,只有在前期做好各方面工作,诡道实施的可能性才可能提高。
第五,以正合,以奇胜。首先按照华杉老师的思路,更正一下很多人对这句话的误解:以奇(jī)胜,读音为jī代表这多余的部分。不是使用奇(qí)招,而是在正面战场之外有多余的力量。兵法上讲究正奇变化,简单的说,投入战斗的是正,预备队是奇。正奇变化就是战场上正面队伍和预备队的变化,正奇动态变化才能打乱对手的部署,兵法部分不展开了,感兴趣的同学照例去看书。
在安全工作中,我们也要充分利用正奇变化。比如,防火墙是第一层与攻击者交锋的,这就是“正”,而WAF则为奇;而攻击者绕过防火墙后WAF就是“正”了,而防火墙则为奇。这貌似就是个文字游戏,没有任何意义,别急,我们继续推理。当WAF检测到有人试图突破阈值或者甚至尝试绕过时,我们可以在防火墙上直接封堵这个源IP,而这时防火墙又是“正”了。这里的核心不是谁“正”谁“奇”,而是相互变化的过程,所谓“无穷如天地,不竭如江河”。安全攻防是一个变化更加频繁的过程,任何一个静态的防御点都可以很容易的被突破。所以这句话给笔者带来的思考是,安全防御虽然被动,但也一定要“动”起来(当然不要乱动)。
对于以正合,以奇胜。笔者还非常认同吴军老师在《格局》一书中的解读。吴军老师重点提出了“正”的重要性,长久以来大家都太关注“奇”了,以至于大家相信“弯道超车”、“超常发挥”之类的情况是制胜法宝。但从考试来说,超超发挥不过是有3,5分很难的题蒙对了,但马虎带来的可能是20分的丢分。我们要把成功变成大概率时间,而不是寄托于小概率事件的发生。
也就是说,就算是想出奇制胜,也需要“以正合”,正是奇的基础。在此笔者无意争论谁理解的更准确,重要是是这两个观点都能给我们带来启发。
在安全工作中,有很多非常炫酷的产品和技术,我们都可以理解成“奇”。但再“黑”的黑科技都不能弥补用户将源代码上传到github上或者到处都是弱密码这种低级错误。所以,所谓以正合就是解决基础层面的问题,然后有机会让“奇”发挥作用。
第六,上兵伐谋,其次伐交,其次伐兵...再次套用华杉老师的观点,“上兵伐谋”不是让我们用计谋,而是告诉我们要破坏对方的计谋。《孙子兵法》又一次强调这个观点——不战而胜。而不战而胜有个更重要的做法威慑,提升自己的实力和打击对方的攻击手段都是威慑的手段。
在网络安全工作中,对入侵者的威慑是一个非常有效的思路,也就是让对手从思想上就不敢(或不想)去动你的系统。
所谓“不敢”,可以让攻击者知道你有很强的溯源甚至反制的能力,这是威慑。
所谓“不想”,是与其跑赢对手,不如跑赢同伴。比如,我们无力全面对抗羊毛党,至少让其在我们平台薅羊毛的成本高于同类网站,羊毛党也就不想在我们身上费工夫了。这虽然不是非常高大上的做法,但在实际场景中是非常有效的。
第七,“九地之下”与“九天之上”。这是攻守双方追求的两个极致状态。“善守者藏于九地之下”不是让我们挖个坑把自己埋起来,而是一个加速积累的过程,让别人不知道你的积累有多深,不敢动你。而“善攻者动于九天之上”,可以用一句话来概括“毁灭你与你何干”。当攻击者有能力顺手就干掉你的时候,他当然就处在“九天之上”。
在安全攻防中,防御者不能“没出事就不做事”,一定要累积实力达到“九地之下”的境界,自然没人敢轻易动你了。但遇到“九天之上”的攻击者,我们需要从其他维度去保证系统的CIA(保密性、完整性和可用性),这是BCM(业务连续性管理)的范畴,不在攻防视角之内了。作为企业安全建设者,我们既要在有限的资源内追求“九地之下”的境界,又必须认识到总会有“九天之上”的对手这个事实(无论你做的有多好)。
第八,虚与实。备前则后寡,备后则前寡...无所不备则无所不寡。这句话是《孙子兵法》中给我启发最大的一句话,我们大部分时候都在追求“无所不备”,但现实世界中这是不可能的。
在安全工作中,我们经常用木桶原理来激励自己、激励团队,去弥补短板。这种行为虽然不能说错,但是实际情况是很多短板不是短时间内可以弥补的,甚至是根本没办法弥补的。比如,在变化很快的初创型企业,因为公司快速变化,人员快速流动,我们很难通过制度建设和培训去提高企业人员的安全素养,这就是短板,没法直接补,只能通过技术来弥补(如通过单点登录解决弱密码问题)。反之,如果在比较稳定的国企或类似的大型企业,由于各类机制的制约,我们又很难按照互联网行业的标准去招聘到大量优秀的人才,这也是短板,除非有特殊情况,否则也很难补,这种情况可以通过良好的制度建设和安全服务外包来解决部分问题。
第九,有备无患。原文是:无恃其不来,恃吾有以待也,无恃其不攻,恃吾有所不可攻也。曹操注解这段时说“安不忘危,常设备也”。你一直有准备,貌似敌人没来,白准备了,但是一旦松懈马上会招致攻击。所以说,我们的准备是敌人没来的原因。
在安全工作中,不知道有多少人能真正理解这段话。安全人经常被问到的事这样“今年安全没出事,要那么多钱干嘛?”“一天也没啥事,你们在干啥?”......面对这样的质疑已经是我们的家常便饭,我们一方面让高层尽量理解“准备是敌人没来的原因”。另一方面需要尽可能的让管理层看到安全工作的效果,比如我们消除了多少脆弱性,封堵了多少威胁等等。
第十,用间。《孙子兵法》在“用间”篇中讲到,战争的成本是非常巨大的,相比之下用于间谍的费用相比是很低的,而且会收到良好的效果,所以在情报方面一定要舍得花钱。
网络攻防中也是一样,在威胁分析的场景中,有威胁情报会节省大量的算力和时间。所以,虽然情报也需要付费,但是我们可以计算一下其与投入的算力和耗费时间所带来的成本之间的价格。投入产出比合适的情况下,安全情报完全是可以使用的。但是情报不能100%获取,只能帮我们提高效率。所以,虽然情报是个好东西,安全工作也不能完全依赖情报。
写在最后,上下同欲者胜!
所有安全从业者都知道,安全工作需要自上而下的推进。但迫于各方面压力,企业高层无法全面支持安全工作。这需要安全团队和公司高层,都能站到对方的角度去看待和思考安全问题和企业的发展。要真正做到上下同欲,要先承认不同欲,在设法统一,站在对方的角度思考,多替对方思考,企业安全的环境才能变得越来越好。
最后,希望孙武的智慧可以对我们的安全工作有些启发,希望更多人通过《孙子兵法》找到工作和人生的智慧。
网络安全与孙子兵法
xiaozq2021-08-02网络信息安全
简介前言:为什么要将网络安全与《孙子兵法》关联?笔者一直认为,在虚拟世界里的网络安全与现实世界的国土安全越来越相似。从国家层面也提出了“没有网络安全就没有国家安全”的理念。所以从事网络安全行业从业者有必要对兵法有一定了解。那为什么是《孙子兵法》,而不是其他兵书呢?《孙子兵法》在中国被奉为兵家经典,后世的兵书大多受到它的影响,对中国的军事学发展影响非常深远。更主要的是笔者最近读了《华杉讲透<孙子兵法>》一书(感谢借书人赵总),更新了笔者太多根深蒂固的错误认知,所以本文的成文要感谢华杉老师的著作,也将此文献给广大
郑重声明:
本站所有活动均为互联网所得,如有侵权请联系本站删除处理
随便看看
文章排行
本栏推荐
栏目更新
Copyright 2020 Inc. AllRights Reserved. Design by 网络安全与孙子兵法