一、小白剧场
大东:人事有代谢,往来成古今。
小白:飘来五个字,那都不是事~
大东:小白,今年的《一年一度喜剧大赛2》你看了吗?
小白:那必须看啊,乐死我了。
大东:其中有一个black out的喜剧场景给我留下了深刻的印象:通过东京奥运会的BGM,先渲染一种体育竞技氛围,结果出现在舞台都是一些令人捧腹的滑稽动作,这种“意料之外”的反差感,让大家忍俊不禁。
小白:是的,出乎意料的“笑果”最好啦!
大东:其实,网络安全的发展态势,也如同black out一样出乎意料。每个网安事件发生之后,总会让人觉得始料未及,层出不穷的黑天鹅事件使得网络安全的事件观测极具挑战。
小白:我记得还有一个喜剧演的是同学聚会各种搞笑的显摆,也是满满的black out的风格。
大东:没错,喜剧表演的张力恰恰体现在这里:你看,同学聚会那场,每一个场景都是5秒左右,几乎是瞬间就切入到下一个场景,故事之间并无线性强关联,但是在这么短时间内能够拉满观众的代入感,这需要很强的布局构思。
小白:是啊,大东话安全团队5年来的网安科普事件解读,真是人事有代谢,往来成古今。
大东:没错,大东话安全安全事件解读犹如“black out”,我们紧紧抓住了“一个事”的观测基座,通过一幕幕看似无关的安全事件解读,当积累五年后再回顾众多事件时,就可以涌现出很多新的认识。
小白:嗯,一个事原来是这个意思。
二、话说“一个事”
大东:那我要考考你了。前面,我们探讨了网络空间安全的“八个打”、“七宗罪”、“六个看”、“五个能”、“四个学”、“三个科”和“两个情”,七节课讲完了,讲讲你的收获和理解吧!
小白:没问题。前面的课程系统性地对网络空间安全基础防御和先进防御态势特点及其未来演进方向进行了分类,对情报的已未知做了辩证阐述,聚焦探讨了“黑客”们发动网络攻击时的典型场景和基本原理,阐述了网络空间安全专业学科领域分科治学的方法论,并基于攻防两条主要线索对网络安全企业和整个行业发展脉络的观测视角展开了分析,同时对专业学生科研攻坚的四个宏观方向、走向职场之前必须具备的五项重要能力的塑造提出了若干建议。
大东:说得好。从8到2数字上看即是一个逐渐收敛的过程,网络安全的攻防要素、演进态势、能力建设、科研方向、分科治学、情报层次的内在逻辑规律,也如被沙土掩埋的石碑,在微风的作用下徐徐揭开了其神秘的面纱。
小白:是的东哥,其实通过这一逐渐收敛过程,我发现网安领域的科学规律和发展趋势,也符合“万变不离其宗”的准则,诚如东坡居士所言:“盖将自其变者而观之,则天地曾不能以一瞬;自其不变者而观之,则物与我皆无尽也。”
大东:不错啊,小白,赤壁赋都可以信手拈来。
小白:一般一般。
大东:其实,唯一不变的即变化。通过对网络安全从8到2规律的深刻总结、翔实剖析和审慎研判,不难看出网络安全事件的持续跟踪分析可以作为观测网络安全宏观演进脉络的重要基本面。
小白:所以这千呼万唤始出来的“一”,就是试图拨开迷雾,讲述针对网安事件的观测方法?
大东:是的,网络安全事件分析之所以困难重重,是因为繁芜、凌乱、离散的安全事件层出不穷,严重干扰了分析者的视线;但如果我们遵循事物发展的规律,充分认可变化是永恒这一原则,顺应自然、从容不迫地把事件分析作为常态化的科研工作,才可以循序渐进逼近你所说的“自其不变者而观之”的观测目标。
小白:就如同获取了“哈勃望远镜”,任他星汉灿烂,也能自如“扪参历井”,对吧?
大东:没错。具体而言,要想从这些看似毫无关联的安全事件中抽丝剥茧,我们可以编织出一张网安事件“分析之网”的观测基座,对其经度、纬度和交错节点展开长时间观测跟踪研究分析,让每一次针对事件的全方位分析在这张分析之网上生根发芽,这样就能够积累沉淀出基于网络安全事件分析的科研方法,这样可以在更大尺度的时空观视角看到一些事件会 由“无关”变“有关”,聚“离散”成“耦合”,凝“繁冗”为“收敛”。
小白:那么这张分析之网是如何织就的呢?
大东:分析之网可分为经度和纬度,“经度”我们可从研究分析策略出发。
小白:这个怎么解读。
大东:策略分析可以从战备、战略、战役三个层次出发。战备层是网络安全事件的粮草,主要指尽可能对网安事件发生的全要素背景进行全量分析,为网安事件分析奠定环境基础。譬如勒索病毒组织命名的变化,可以从事件报道的情报源头的分析员国籍入手,就会有新的认识。
小白:三军未到,粮草先行嘛,尽可能找寻蛛丝马迹。
大东:是的,战略层是要建立对网络安全事件的分析要素不断重塑的科研方法,使之臻于至善,譬如我们每年年底发布的网安十大事件,就由基本的安全事件发生的时间、地点、技术影响逐步演进扩充为现在的安全事件造成的组织、人物以及技术平台等观测要求,也就是说要以发展的眼光看事件。
小白:嗯嗯,那战役层呢?
大东:战役层是指根据战备层和战略层的既有基础,围绕事件开展实践过程复盘和沙盘推演,通过推敲战役细节力图实现对整个安全事件生动、完备的再现,预见一些尚未发生而理论上是可以发生的安全事件,从而逐步提升安全预测能力,也就是说知古验今。
小白:那我觉得应该就是咱们正在做的网安对抗棋谱,那么分析之网的“纬度”是指什么呢?
大东:“纬度”由基于事件的系列战略报告构成。自底向上构建应该分别是——万花筒、钻探机、金刚钻和瞭望塔。
小白:这好像四大法宝,哈哈!
大东:别打岔小白。第一层次万花筒,聚焦广度:网安事件发生以后,要第一时间围绕该事件的全部细节要素开展客观真实收集,构建安全事件拼图,力图还原事件的态势全景。第二层次钻探机,聚焦深度:众多事件犹如繁杂线头,我们要以千头万绪作为出发点,进行日积月累的每日安全事件统一跟踪,然后每周、每月、每季、每年做安全事件盘点,找寻安全事件的关联,譬如我们提出的七宗罪和八个打,就是通过对安全事件的新变化提炼出了攻防的演进阶段。
小白:哦,原来是七宗罪和八个打的源头啊。
大东:那么下面两层要更加认真地看。第三层次金刚钻,聚焦精度:这一层次要完成“深度”到“精度”的转变,就是我们要对历史安全事件做进一步的遴选、甄选和优选,对一些重点的安全事件做战略层面的分析,譬如太阳风事件的类似攻击机理事件发生间隔频率越来越短,我们就可以掌握到软件供应链安全成为目前全球的网安关注热点,从而围绕这一方面研判出开源软件会成为攻击者考虑的犯罪温床。第四层次瞭望塔,聚焦高度:我们不仅要知彼知己,围绕同一安全事件充分调研总结萃取国内外安全分析研究机构的观点和分析视角,同时还要积极破圈,从网安之外的行业往回看问题,譬如我们讲的六个看,就是说跳出网安看网安,这样才能有新视角、新输入、新思路。
小白:东哥这两层我还真的很少看,看来这是我后面学习的重点方向啊。
大东:没错、“经度”和“纬度”参差错互,交织成网;网的结点,可以视为不同类型的事件专题系列,目前我们通过五年的努力已经构建了12个骨干节点。
小白:好神奇,具体有哪些?
大东:整个12个节点不仅一篇文章无法讲完,而且是要通过对四个学的长期科研学习,才可以逐步掌握的。这里我重点举作为入门的两个节点的例子吧,历史篇,主要围绕近30年做了历史安全事件盘点和分析,每年度都选出当时最典型或最经典的事件做记录分析;人物篇,主要把造成全球轰动网安事件的黑客人物做情报分析,从而得出安全事件的动机,譬如掘金黑客。
小白:这些节点的形成看来是一个分类分级的过程啊!
大东:是的,明年我们将推出“东话优选”,作为新型网安科普的2.0,把骨干节点的经典安全事件做推演预测式场景化科普。
小白:好期待啊。
三、大话始末
大东:1的包罗万象,可以理解为无穷大,0的收敛简约,可以理解为无穷小;1个事件是通过网安事件分析掌握网络安全能力的一种重要方法,也是五个能的主要精髓,更是无穷大和无穷小之间的数字化安全高韧性能力塑造的纽带和桥梁。
小白:原来1还不是结束,0才是,好期待啊!
大东:一不小心剧透啦!其实“1”个事件是说我们做网安的科研要尊重科学基本规律,本身网安事件就是千变万化,层出不穷。而我们要做的应该是通过对事件的持续不断分析,逐步从人、机、物、态四个象限做安全风险收敛,这也是我们所提到的RITE网安对号领导力模型。
小白:我对RITE的网安对号领导力模型越发好奇啦!
大东:后面很快就讲到了,别着急。RITE就是从“零事故、零隐患、零失误和零损失”的4个“0” 做科学收敛,遵循数字指标化和指标数字化的指数方法,对组织客体的网安能力做分类分级,这样才能够让千行百业找到属于自己的网安基准水平线,同样也能够清晰知道下一步应该努力提升的安全能力方向。
四、小白内心说
小白:一经,一纬,一节点,一事件。一是最简单的数字,也是二进制世界的极值。一是网安事件万变难离的“宗”,也是独一无二的观测、聚焦点,立足点。我又要去整理笔记啦,开心!
来源: 中科院之声