——HW思考系列：檢測只是開始，調(diào)查才能結(jié)案(上)

　　五年的HW行動，將網(wǎng)絡(luò)安全從“合規(guī)”時代，帶入“實戰(zhàn)化”時代。面對這一變化，安全理念應(yīng)如何進化，安全產(chǎn)品應(yīng)如何進階?

　　一、合規(guī)的價值和不足網(wǎng)絡(luò)安全合規(guī)時代，最大的成就是，讓大家配齊了網(wǎng)絡(luò)安全“老三樣”(防火墻、防病毒、入侵檢測)等產(chǎn)品，相當(dāng)于筑起院墻、裝上大門，使得普通人不再能隨意出入你的領(lǐng)地，侵犯你的隱私，威脅你的財產(chǎn)，但對于能翻墻入院的小偷，這樣的措施收效甚微。于是，大家自然而然地對當(dāng)前的防護措施進行加固、升級，在墻上加裝鐵絲網(wǎng)，安裝更為堅固的防盜門，增加防盜窗，配上門衛(wèi)(身份認(rèn)證)，聘請總管(安全服務(wù)商)，有時甚至是配上不同的防盜門，層層設(shè)防。這些改進取得一定效果，能應(yīng)對初、中級小偷，卻無法阻擋能自制萬能鑰匙的“慣偷”。隨著互聯(lián)網(wǎng)的普及，學(xué)習(xí)制作和購買萬能鑰匙的門檻降低，具備慣偷級別能力或者擁有萬能鑰匙的潛在犯罪分子越來越多。面對能力快速提升的對手，筑更高的墻已不能解決問題，還會帶來巨大的財務(wù)成本、糟糕的用戶體驗，我們需要尋找新的解決方案。

　　二、尋求問題的本質(zhì)網(wǎng)絡(luò)空間已成為“海、陸、空、天”以外的第五大國家主權(quán)，然而網(wǎng)絡(luò)空間的出現(xiàn)才短短幾十年，還在不斷成長、變化，要一眼看清其本質(zhì)，存在巨大挑戰(zhàn)。事實上，“安全”問題由來已久，并不是網(wǎng)絡(luò)世界獨有，社會治安領(lǐng)域的“安全”已有幾千年的歷史。“犯罪率”是衡量社會安全程度高低的指標(biāo)。犯罪率高，則“盜賊公行而弗能禁”，社會缺乏安全感;犯罪率低，則“路不拾遺，夜不閉戶”，社會充滿安全感。建設(shè)充滿安全感的社會，只需將犯罪率控制在一個較低的范圍。

　　控制犯罪率，可以從如下三個方面實現(xiàn)：不能犯罪;不敢犯罪;不愿犯罪。

　　(1)“不能犯罪”，是指犯罪分子因客觀原因無法實施犯罪或達成犯罪目標(biāo)。從犯罪分子方面出發(fā)，只能通過收繳犯罪分子作案工具的方式，使其犯不了罪，而這顯然無法實現(xiàn)，因為可以實施犯罪的作案工具太多——槍可以，刀可以，板磚可以，拳頭也可以……禁無可禁，收無可收。從受害者方面出發(fā)，只能通過提升自身防護能力，將其武裝到牙齒，使其強大到讓犯罪分子傷害不了，而這一方面成本高，難以普及，另一方面體驗也會很差。

　　(2)“不敢犯罪”，是指犯罪分子因擔(dān)心承擔(dān)后果，不敢實施犯罪行為。要達到震懾犯罪分子，使其不敢犯罪的目的：首先，需要制定法律法規(guī)，實現(xiàn)“有法可依”——明確地告知犯罪分子，犯了什么樣的錯就“會”受到什么樣的懲罰。其次，需要強大的破案能力——只要犯罪分子犯了案，就能被查出來，將前面的“會”變成“事實”，實現(xiàn)“違法必究”。然而“有法可依”容易，“違法必究”卻難。從最早的《漢謨拉比法典》，到現(xiàn)在的各種法律法規(guī)，各個時代法律都非常齊全，但破案能力卻嚴(yán)重欠缺。很多案件只能寄希望于遇到“包青天”“福爾摩斯”“李昌鈺”。顯而易見，神探是稀缺物種，因此破案率始終不理想，也就難以真正震懾到犯罪分子。

　　(3)“不愿犯罪”，是指犯罪分子內(nèi)心沒有犯罪意愿或動力。犯罪是因為犯罪分子自身的某些需求無法滿足，需要通過犯罪的方式獲得。如果犯罪分子所有的需求都被滿足了，也就不存在犯罪動機了。而我們有時竟能聽到不缺錢的人實施偷竊的案件，這種情況犯罪分子不存在金錢方面的需求，而是其他需求導(dǎo)致了偷竊。要滿足任何人的全方位的需求，使任何人都沒有犯罪動機，在可見的將來都是不現(xiàn)實的，也許存在于“理想國”中。綜上所述，“不能犯罪”方面，收繳犯罪工具顯然無法全面落地，而通過提升潛在受害者自身防護能力，則受資源、成本、用戶體驗等因素的制約，可提升空間有限。“不愿犯罪”方面，除非人人都達到“從心所欲而不逾矩”的境界，否則至少目前階段，缺少落地的可能性。“不敢犯罪”方面，在“有法可依”的前提下，做到“違法必究”，震懾潛在的犯罪分子，使其不敢犯罪，從而降低犯罪率，是可能的方向。達成“違法必究”的目標(biāo)，關(guān)鍵在于如何提升破案能力。提升破案能力，幾千年來一直都是難題，而我們國家近二十年來在這方面的努力和實踐說明，完全可行。

　　嚴(yán)重暴力犯罪變化趨勢圖

　　上圖是最高人民檢察院2020年5月25日工作報告中對近二十年嚴(yán)重暴力犯罪情況的統(tǒng)計。從數(shù)據(jù)看，目前嚴(yán)重暴力犯罪的犯罪率不到峰值時的1/3，尤其近十年更是大幅下降，而這期間法律沒有大的變化，GDP增速也低于前十年，為什么犯罪率卻有這么大幅度的下降呢?最大的變化是“平安城市”“天網(wǎng)工程”“雪亮工程”等的逐步落地，發(fā)揮出越來越大的作用?，F(xiàn)在的案件偵破，通常是通過調(diào)取案發(fā)地的監(jiān)控攝像，鎖定嫌疑人，然后結(jié)合其他監(jiān)控攝像，確定嫌疑人的行蹤和落腳地，實施抓捕和審訊，完成破案。通過構(gòu)建必要的基礎(chǔ)措施，降低破案難度，即可大幅提升整體破案能力?，F(xiàn)在，普通警察的破案能力和效率，甚至高于以往的神探們，由此極大地震懾了潛在的犯罪分子，使其不敢再冒險犯罪，這是近二十年來暴力犯罪率大幅下降的原因所在。

　　三、網(wǎng)絡(luò)安全，路在何方網(wǎng)絡(luò)世界并不是一個全新的世界，它是現(xiàn)實社會的延伸——主導(dǎo)網(wǎng)絡(luò)世界的是人，網(wǎng)絡(luò)犯罪的主體是人，犯罪的目標(biāo)還是獲利或者傷害(破環(huán))——同現(xiàn)實社會并無不同，改變的只是作案工具。“他山之石，可以攻玉”，社會治安領(lǐng)域的成功經(jīng)驗，可以在網(wǎng)絡(luò)安全領(lǐng)域借鑒和應(yīng)用。“合規(guī)”時代讓我們筑起了院墻，安上了防盜門，配上了保安，構(gòu)建起了防控體系，可以有效應(yīng)對偷窺和小偷小摸的行為。但隨著互聯(lián)網(wǎng)的快速發(fā)展，具備較高能力或者擁有先進工具的犯罪分子越來越多，加上“網(wǎng)絡(luò)無國界”的特性，網(wǎng)絡(luò)安全已進入“實戰(zhàn)”時代。實戰(zhàn)時代，在防控體系之外，應(yīng)建立類似于“雪亮工程”的監(jiān)察體系，降低破案難度，提升破案能力和效率。防控體系的目標(biāo)是讓普通人不要或者不能越界，而監(jiān)察體系的目標(biāo)是讓犯罪分子無所遁形。在網(wǎng)絡(luò)世界的重要節(jié)點、系統(tǒng)、應(yīng)用中部署“探頭”，記錄發(fā)生的行為，在管理區(qū)域部署“監(jiān)控中心”。有了這些監(jiān)察體系所需的基礎(chǔ)設(shè)施，一旦發(fā)現(xiàn)可疑行為或者可疑人員，安全人員利用采集的數(shù)據(jù)和先進的技術(shù)手段，進行高效且全面的追蹤調(diào)查，完成“破案”，阻止犯罪分子的進一步行為，讓犯罪分子知難而退或者承擔(dān)法律后果。以近幾年的HW實踐，紅隊成功拿下目標(biāo)的案例，通常需要很多步，10步，甚至20步，從結(jié)果看，顯然藍隊沒有一款產(chǎn)品能將每1步的威脅都檢出，但在事后回溯分析的時候能發(fā)現(xiàn)，這些案例中，紅隊在其中的某些環(huán)節(jié)的行為，并未躲過藍隊安全產(chǎn)品檢測，已觸發(fā)告警，僅是因為藍隊一方面不同環(huán)節(jié)采用不同的產(chǎn)品，相互之間的協(xié)調(diào)存在問題，另一方面安全產(chǎn)品往往只對檢出的威脅進行告警和描述(側(cè)重在說明該告警是正確的，不是誤報)，缺少對告警之外的行為提供深入分析的支持。一句話，當(dāng)前的網(wǎng)絡(luò)安全產(chǎn)品是為“檢測”設(shè)計的，而不是為“調(diào)查”設(shè)計的。

　　網(wǎng)絡(luò)安全實戰(zhàn)時代，檢測只是開始，調(diào)查才能結(jié)案!如何調(diào)查?如何結(jié)案?如何讓你的辦案能力超越福爾摩斯?且看下回分解!

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。