——HW思考系列：檢測(cè)只是開始，調(diào)查才能結(jié)案(上)

　　五年的HW行動(dòng)，將網(wǎng)絡(luò)安全從“合規(guī)”時(shí)代，帶入“實(shí)戰(zhàn)化”時(shí)代。面對(duì)這一變化，安全理念應(yīng)如何進(jìn)化，安全產(chǎn)品應(yīng)如何進(jìn)階?

　　一、合規(guī)的價(jià)值和不足網(wǎng)絡(luò)安全合規(guī)時(shí)代，最大的成就是，讓大家配齊了網(wǎng)絡(luò)安全“老三樣”(防火墻、防病毒、入侵檢測(cè))等產(chǎn)品，相當(dāng)于筑起院墻、裝上大門，使得普通人不再能隨意出入你的領(lǐng)地，侵犯你的隱私，威脅你的財(cái)產(chǎn)，但對(duì)于能翻墻入院的小偷，這樣的措施收效甚微。于是，大家自然而然地對(duì)當(dāng)前的防護(hù)措施進(jìn)行加固、升級(jí)，在墻上加裝鐵絲網(wǎng)，安裝更為堅(jiān)固的防盜門，增加防盜窗，配上門衛(wèi)(身份認(rèn)證)，聘請(qǐng)總管(安全服務(wù)商)，有時(shí)甚至是配上不同的防盜門，層層設(shè)防。這些改進(jìn)取得一定效果，能應(yīng)對(duì)初、中級(jí)小偷，卻無法阻擋能自制萬能鑰匙的“慣偷”。隨著互聯(lián)網(wǎng)的普及，學(xué)習(xí)制作和購買萬能鑰匙的門檻降低，具備慣偷級(jí)別能力或者擁有萬能鑰匙的潛在犯罪分子越來越多。面對(duì)能力快速提升的對(duì)手，筑更高的墻已不能解決問題，還會(huì)帶來巨大的財(cái)務(wù)成本、糟糕的用戶體驗(yàn)，我們需要尋找新的解決方案。

　　二、尋求問題的本質(zhì)網(wǎng)絡(luò)空間已成為“海、陸、空、天”以外的第五大國家主權(quán)，然而網(wǎng)絡(luò)空間的出現(xiàn)才短短幾十年，還在不斷成長、變化，要一眼看清其本質(zhì)，存在巨大挑戰(zhàn)。事實(shí)上，“安全”問題由來已久，并不是網(wǎng)絡(luò)世界獨(dú)有，社會(huì)治安領(lǐng)域的“安全”已有幾千年的歷史。“犯罪率”是衡量社會(huì)安全程度高低的指標(biāo)。犯罪率高，則“盜賊公行而弗能禁”，社會(huì)缺乏安全感;犯罪率低，則“路不拾遺，夜不閉戶”，社會(huì)充滿安全感。建設(shè)充滿安全感的社會(huì)，只需將犯罪率控制在一個(gè)較低的范圍。

　　控制犯罪率，可以從如下三個(gè)方面實(shí)現(xiàn)：不能犯罪;不敢犯罪;不愿犯罪。

　　(1)“不能犯罪”，是指犯罪分子因客觀原因無法實(shí)施犯罪或達(dá)成犯罪目標(biāo)。從犯罪分子方面出發(fā)，只能通過收繳犯罪分子作案工具的方式，使其犯不了罪，而這顯然無法實(shí)現(xiàn)，因?yàn)榭梢詫?shí)施犯罪的作案工具太多——槍可以，刀可以，板磚可以，拳頭也可以……禁無可禁，收無可收。從受害者方面出發(fā)，只能通過提升自身防護(hù)能力，將其武裝到牙齒，使其強(qiáng)大到讓犯罪分子傷害不了，而這一方面成本高，難以普及，另一方面體驗(yàn)也會(huì)很差。

　　(2)“不敢犯罪”，是指犯罪分子因擔(dān)心承擔(dān)后果，不敢實(shí)施犯罪行為。要達(dá)到震懾犯罪分子，使其不敢犯罪的目的：首先，需要制定法律法規(guī)，實(shí)現(xiàn)“有法可依”——明確地告知犯罪分子，犯了什么樣的錯(cuò)就“會(huì)”受到什么樣的懲罰。其次，需要強(qiáng)大的破案能力——只要犯罪分子犯了案，就能被查出來，將前面的“會(huì)”變成“事實(shí)”，實(shí)現(xiàn)“違法必究”。然而“有法可依”容易，“違法必究”卻難。從最早的《漢謨拉比法典》，到現(xiàn)在的各種法律法規(guī)，各個(gè)時(shí)代法律都非常齊全，但破案能力卻嚴(yán)重欠缺。很多案件只能寄希望于遇到“包青天”“福爾摩斯”“李昌鈺”。顯而易見，神探是稀缺物種，因此破案率始終不理想，也就難以真正震懾到犯罪分子。

　　(3)“不愿犯罪”，是指犯罪分子內(nèi)心沒有犯罪意愿或動(dòng)力。犯罪是因?yàn)榉缸锓肿幼陨淼哪承┬枨鬅o法滿足，需要通過犯罪的方式獲得。如果犯罪分子所有的需求都被滿足了，也就不存在犯罪動(dòng)機(jī)了。而我們有時(shí)竟能聽到不缺錢的人實(shí)施偷竊的案件，這種情況犯罪分子不存在金錢方面的需求，而是其他需求導(dǎo)致了偷竊。要滿足任何人的全方位的需求，使任何人都沒有犯罪動(dòng)機(jī)，在可見的將來都是不現(xiàn)實(shí)的，也許存在于“理想國”中。綜上所述，“不能犯罪”方面，收繳犯罪工具顯然無法全面落地，而通過提升潛在受害者自身防護(hù)能力，則受資源、成本、用戶體驗(yàn)等因素的制約，可提升空間有限。“不愿犯罪”方面，除非人人都達(dá)到“從心所欲而不逾矩”的境界，否則至少目前階段，缺少落地的可能性。“不敢犯罪”方面，在“有法可依”的前提下，做到“違法必究”，震懾潛在的犯罪分子，使其不敢犯罪，從而降低犯罪率，是可能的方向。達(dá)成“違法必究”的目標(biāo)，關(guān)鍵在于如何提升破案能力。提升破案能力，幾千年來一直都是難題，而我們國家近二十年來在這方面的努力和實(shí)踐說明，完全可行。

　　嚴(yán)重暴力犯罪變化趨勢(shì)圖

　　上圖是最高人民檢察院2020年5月25日工作報(bào)告中對(duì)近二十年嚴(yán)重暴力犯罪情況的統(tǒng)計(jì)。從數(shù)據(jù)看，目前嚴(yán)重暴力犯罪的犯罪率不到峰值時(shí)的1/3，尤其近十年更是大幅下降，而這期間法律沒有大的變化，GDP增速也低于前十年，為什么犯罪率卻有這么大幅度的下降呢?最大的變化是“平安城市”“天網(wǎng)工程”“雪亮工程”等的逐步落地，發(fā)揮出越來越大的作用?，F(xiàn)在的案件偵破，通常是通過調(diào)取案發(fā)地的監(jiān)控?cái)z像，鎖定嫌疑人，然后結(jié)合其他監(jiān)控?cái)z像，確定嫌疑人的行蹤和落腳地，實(shí)施抓捕和審訊，完成破案。通過構(gòu)建必要的基礎(chǔ)措施，降低破案難度，即可大幅提升整體破案能力?，F(xiàn)在，普通警察的破案能力和效率，甚至高于以往的神探們，由此極大地震懾了潛在的犯罪分子，使其不敢再冒險(xiǎn)犯罪，這是近二十年來暴力犯罪率大幅下降的原因所在。

　　三、網(wǎng)絡(luò)安全，路在何方網(wǎng)絡(luò)世界并不是一個(gè)全新的世界，它是現(xiàn)實(shí)社會(huì)的延伸——主導(dǎo)網(wǎng)絡(luò)世界的是人，網(wǎng)絡(luò)犯罪的主體是人，犯罪的目標(biāo)還是獲利或者傷害(破環(huán))——同現(xiàn)實(shí)社會(huì)并無不同，改變的只是作案工具。“他山之石，可以攻玉”，社會(huì)治安領(lǐng)域的成功經(jīng)驗(yàn)，可以在網(wǎng)絡(luò)安全領(lǐng)域借鑒和應(yīng)用。“合規(guī)”時(shí)代讓我們筑起了院墻，安上了防盜門，配上了保安，構(gòu)建起了防控體系，可以有效應(yīng)對(duì)偷窺和小偷小摸的行為。但隨著互聯(lián)網(wǎng)的快速發(fā)展，具備較高能力或者擁有先進(jìn)工具的犯罪分子越來越多，加上“網(wǎng)絡(luò)無國界”的特性，網(wǎng)絡(luò)安全已進(jìn)入“實(shí)戰(zhàn)”時(shí)代。實(shí)戰(zhàn)時(shí)代，在防控體系之外，應(yīng)建立類似于“雪亮工程”的監(jiān)察體系，降低破案難度，提升破案能力和效率。防控體系的目標(biāo)是讓普通人不要或者不能越界，而監(jiān)察體系的目標(biāo)是讓犯罪分子無所遁形。在網(wǎng)絡(luò)世界的重要節(jié)點(diǎn)、系統(tǒng)、應(yīng)用中部署“探頭”，記錄發(fā)生的行為，在管理區(qū)域部署“監(jiān)控中心”。有了這些監(jiān)察體系所需的基礎(chǔ)設(shè)施，一旦發(fā)現(xiàn)可疑行為或者可疑人員，安全人員利用采集的數(shù)據(jù)和先進(jìn)的技術(shù)手段，進(jìn)行高效且全面的追蹤調(diào)查，完成“破案”，阻止犯罪分子的進(jìn)一步行為，讓犯罪分子知難而退或者承擔(dān)法律后果。以近幾年的HW實(shí)踐，紅隊(duì)成功拿下目標(biāo)的案例，通常需要很多步，10步，甚至20步，從結(jié)果看，顯然藍(lán)隊(duì)沒有一款產(chǎn)品能將每1步的威脅都檢出，但在事后回溯分析的時(shí)候能發(fā)現(xiàn)，這些案例中，紅隊(duì)在其中的某些環(huán)節(jié)的行為，并未躲過藍(lán)隊(duì)安全產(chǎn)品檢測(cè)，已觸發(fā)告警，僅是因?yàn)樗{(lán)隊(duì)一方面不同環(huán)節(jié)采用不同的產(chǎn)品，相互之間的協(xié)調(diào)存在問題，另一方面安全產(chǎn)品往往只對(duì)檢出的威脅進(jìn)行告警和描述(側(cè)重在說明該告警是正確的，不是誤報(bào))，缺少對(duì)告警之外的行為提供深入分析的支持。一句話，當(dāng)前的網(wǎng)絡(luò)安全產(chǎn)品是為“檢測(cè)”設(shè)計(jì)的，而不是為“調(diào)查”設(shè)計(jì)的。

　　網(wǎng)絡(luò)安全實(shí)戰(zhàn)時(shí)代，檢測(cè)只是開始，調(diào)查才能結(jié)案!如何調(diào)查?如何結(jié)案?如何讓你的辦案能力超越福爾摩斯?且看下回分解!

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。