一、 白話應(yīng)急響應(yīng)

大東：小白，少吹點(diǎn)空調(diào)。

小白：東哥，我也不想啊，關(guān)鍵是北京最近太熱了。

大東：這倒是，連續(xù)的高溫預(yù)警確實(shí)很罕見。

小白：是的，看到這個(gè)預(yù)警我就瞬間取消了出游計(jì)劃。

大東：你這個(gè)就是現(xiàn)實(shí)中的應(yīng)急響應(yīng)執(zhí)行了，給你點(diǎn)贊。

小白：應(yīng)急響應(yīng)？

大東：沒錯(cuò)。比如現(xiàn)實(shí)社會(huì)中，如果出現(xiàn)了高溫這種異常氣象狀況，氣象部門就要采取一系列措施，比如發(fā)布預(yù)警；其他部門也會(huì)配套出臺(tái)一些政策，保障人民群眾防暑降溫工作的有序開展。那么問題來了，網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)急響應(yīng)你能舉個(gè)例子嗎？

小白：我想到的是CIH病毒，它在特定日期（通常是4月26日）會(huì)觸發(fā)其破壞性負(fù)載，導(dǎo)致目標(biāo)計(jì)算機(jī)上的數(shù)據(jù)和硬件受到損壞，以至于那些年大家遇到這個(gè)日期只好不開機(jī)。

大東：是的，這屬于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)范疇。

小白：那網(wǎng)絡(luò)安全領(lǐng)域要如何更好開展應(yīng)急響應(yīng)能力建設(shè)呢，是不是越早知道威脅情報(bào)越好呢？

大東：我們待會(huì)再回答這個(gè)問題。首先我先問你，冬天的學(xué)校和夏天的學(xué)校是同一個(gè)學(xué)校嗎？

小白：可以說是，也可以說不是。

大東：很好，你已經(jīng)掌握了知識(shí)傳遞和知識(shí)變換的邏輯了。

大東：那你認(rèn)為威脅情報(bào)的關(guān)鍵能力點(diǎn)有哪些呢？

小白：威脅情報(bào)建設(shè)主要考慮兩個(gè)方面，一是能否適配經(jīng)濟(jì)全球化等歷史浪潮同步提升；二是能否促進(jìn)數(shù)字經(jīng)濟(jì)等新興經(jīng)濟(jì)領(lǐng)域的健康發(fā)展。

小白：那么東哥，從宏觀能力來看，需要圍繞哪些能力展開建設(shè)呢？

大東：主要是共享能力、先知能力和流轉(zhuǎn)能力。

小白：額，這幾個(gè)概念具體何解？

大東：其實(shí)，我們可以把相關(guān)場景平行類比到世界衛(wèi)生組織（WHO）的相應(yīng)能力。當(dāng)流行病在全球爆發(fā)期間，有關(guān)情報(bào)都會(huì)匯總到WHO， 組織協(xié)調(diào)世界各國的醫(yī)護(hù)有關(guān)資源需要建立統(tǒng)一快速的的共享能力；而 WHO對流行病毒發(fā)出全球預(yù)警，這就是廣源高效的先知能力；最后能把這些很好的調(diào)度起來就是動(dòng)態(tài)有機(jī)流轉(zhuǎn)能力。

小白：東哥你這么一說，我就明白了，其實(shí)網(wǎng)絡(luò)安全領(lǐng)域也應(yīng)有類似WHO的組織吧？

大東：是的，比如中國的CERT，亞太地區(qū)應(yīng)急組織APCERT，全球的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)組織FIRST等組織，都是針對病毒木馬僵尸網(wǎng)絡(luò)蠕蟲在全球網(wǎng)絡(luò)肆虐的時(shí)候做到積極有效的網(wǎng)絡(luò)應(yīng)急響應(yīng)；但是，隨著APT等多種隱蔽性網(wǎng)絡(luò)安全事件日益加劇，全球各國的威脅情報(bào)能力進(jìn)一步提升也需要做與時(shí)俱進(jìn)的體系建設(shè)。

小白：東哥我想起來《兩個(gè)情》里面講過類似內(nèi)容?，F(xiàn)在網(wǎng)絡(luò)威脅情報(bào)變換太快啦，而網(wǎng)絡(luò)攻擊是在虛擬世界發(fā)生的，上一秒的攻擊可能到了下一秒就出現(xiàn)了遷移和失效，我們確實(shí)需要在《兩個(gè)情》基礎(chǔ)上，開展先進(jìn)的網(wǎng)安威脅情報(bào)能力建設(shè)。

大東：是的，在《兩個(gè)情》里面，我們探討過這個(gè)觀點(diǎn)，即威脅情報(bào)“變化”的核心特征，要聚焦信息差，實(shí)現(xiàn)已知情報(bào)和未知情報(bào)的統(tǒng)一。從全球視角來看，如何能夠?qū)?yīng)急響應(yīng)轉(zhuǎn)變?yōu)閼?yīng)對自如，那就是要圍繞“預(yù)”這一科學(xué)目標(biāo)從“三優(yōu)”維度分析，即優(yōu)勢、優(yōu)化、優(yōu)先。

小白：東哥別賣關(guān)子了，趕快傳授給我~~

二、戰(zhàn)略錦囊——優(yōu)勢

大東：還記得《兩個(gè)情》講過的內(nèi)容嗎？其實(shí)應(yīng)急響應(yīng)全球化能力建設(shè)的分析策略也是從戰(zhàn)略、戰(zhàn)備、戰(zhàn)役三個(gè)層次出發(fā)。

小白：戰(zhàn)略錦囊，它的優(yōu)勢是指什么呢？

大東：威脅情報(bào)優(yōu)勢主要是構(gòu)建勢能，勢能這個(gè)東西物理里面你學(xué)過，要有高度差才能構(gòu)建。

小白：是的。站得高看得遠(yuǎn)，掌握情報(bào)才能做到更加全面。

大東：因此，只有情報(bào)的知識(shí)獲取源足夠多、足夠廣，才能更多捕捉瞬息萬變的威脅情報(bào)，進(jìn)而掌握先機(jī)。比如，今年春天來勢洶洶的沙塵暴，由于我國在各省都擁有環(huán)境監(jiān)測站的氣象基礎(chǔ)設(shè)施，就可以做到有效的氣象預(yù)報(bào)研判。

小白：那么網(wǎng)絡(luò)安全該如何構(gòu)建勢能呢？

大東：這就需要我們回顧梳理下典型相關(guān)的安全事件，如下圖所示。

全球視角之應(yīng)急響應(yīng)

小白：這個(gè)圖有點(diǎn)眼熟。在《數(shù)字安全錦囊》里面是不是見過？

大東：你仔細(xì)看看，就能看出區(qū)別。《數(shù)字安全錦囊》是從數(shù)字中國安全能力建設(shè)的視角來觀測；而本文的圖，則主要從威脅情報(bào)全球化能力建設(shè)的視角對事件做了梳理。通過這個(gè)圖，我們不難看出很多規(guī)律。但是在應(yīng)急響應(yīng)全球化能力建設(shè)錦囊里，我們更關(guān)注的不應(yīng)僅是梳理，而是預(yù)測和預(yù)知能力，所以必須得知道什么是“預(yù)”。

小白：凡事預(yù)則立，不預(yù)則廢。我理解所謂“預(yù)”是指，首先就是做好瞬息萬變的安全事件跟蹤分析，在此基礎(chǔ)上才能構(gòu)建“預(yù)”的能力。東哥，“預(yù)”在這里有哪些新內(nèi)涵呢？

大東：其實(shí)“預(yù)”在這里蘊(yùn)含著三種特征。第一個(gè)特征是，諸如incaseformat發(fā)生的機(jī)理類似于千年蟲病毒，類似解決方法處于已知范疇，但是沒有做安全事件能力積累，所以還是時(shí)有發(fā)生。

小白：這就是個(gè)大問題啊，一個(gè)坑掉兩次，不應(yīng)該的。

大東：所以啊，第一個(gè)辦法就是要構(gòu)建歷史安全事件庫，通過這些庫探測掃描數(shù)字化對象，就可以避免很多安全事件再次發(fā)生。

小白：那第二個(gè)辦法呢？

大東：那就是上圖列舉的Windows XP源代碼泄露事件，也就是代碼同源性。做好代碼同源風(fēng)險(xiǎn)分析會(huì)有效構(gòu)建安全防護(hù)能力。

小白：那第三個(gè)辦法呢？

大東：你看過《鋼鐵俠》的電影吧。

小白：當(dāng)然看過，這個(gè)電影最炫的部分就是各種神兵利器組裝為鎧甲的那一瞬間。詳見《從<鋼鐵俠>里現(xiàn)代軟件工程設(shè)計(jì)思想談起》。

大東：其實(shí)這個(gè)組裝過程即“軟件組件化”，隨著AIGC逐步成熟，未來的軟件組件化會(huì)朝著“低代碼”甚至“0代碼”的方向發(fā)展，網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)受控性挑戰(zhàn)加大。這對威脅情報(bào)的“未知能力”提出了更高的要求，這就需要聚焦提升未知情報(bào)共享能力。

小白：對的東哥。我還記得當(dāng)年你在講《兩個(gè)情》的時(shí)候，還說到了“情隨事遷，感慨系之矣”這樣的句子。

大東：其實(shí)“情隨事遷，感慨系之矣”，就點(diǎn)破了事和情的關(guān)系。威脅情報(bào)的第一點(diǎn)特征，就是知識(shí)性，即：情先于事，這就是“預(yù)”的預(yù)測維度。

小白：沒錯(cuò)，情報(bào)一定要比事情來得快。

大東：做好了預(yù)測，就可以構(gòu)建一種面向長期情報(bào)獲取的前瞻能力，經(jīng)年累月、滴水穿石般沉淀出威脅情報(bào)之網(wǎng)的價(jià)值，這就是“預(yù)”的預(yù)知維度。

小白：明白。

大東：此外，要借助社會(huì)工程學(xué)的思維、技術(shù)手段開展情報(bào)梳理和篩選，這就是威脅情報(bào)“預(yù)”的預(yù)見維度。

小白：明白了東哥，對于構(gòu)建應(yīng)急響應(yīng)全球化能力建設(shè)來說，“預(yù)”的重要性不言而喻啊。

大東：是的，通過對三“預(yù)”的能力構(gòu)建，就能夠沉淀出優(yōu)勢，進(jìn)行下一步的“優(yōu)化”工作啦。

三、戰(zhàn)備錦囊——優(yōu)化

小白：網(wǎng)絡(luò)安全應(yīng)急響應(yīng)具體可在哪些方面做優(yōu)化，可形成戰(zhàn)備能力呢？

大東：可分別從威脅面管理、威脅者畫像和安全有效性驗(yàn)證三個(gè)方面做持續(xù)優(yōu)化。

小白：能具體講講嘛？

大東：威脅面管理可重點(diǎn)關(guān)注攻擊面管理（ASM）和軟件成分安全分析（SCA）技術(shù)發(fā)展脈絡(luò)，也就是知己；

小白：那威脅者畫像呢？

大東：應(yīng)急響應(yīng)的攻擊主體是威脅者，沒有了威脅者，攻擊也無從談起。這部分能力需要通過安全事件的深度分析，捕捉盡可能多的帶外情報(bào)，持續(xù)對威脅者做精準(zhǔn)畫像，也就是知彼。

小白：說完了威脅面、威脅者，還有哪些威脅要素呢？

大東：未來重要的威脅要素能力優(yōu)化可關(guān)注安全有效性驗(yàn)證（Cybersecurity Validation），這需要千行百業(yè)的數(shù)字化場景賦能和環(huán)境推演，也就是知天下。

小白：那優(yōu)化其實(shí)還是圍繞著“預(yù)”來做的戰(zhàn)備能力建設(shè)。

大東：是的，戰(zhàn)備優(yōu)化的目標(biāo)就是要做到對“預(yù)”持續(xù)提升。

小白：嗯嗯。

四、 戰(zhàn)役錦囊——優(yōu)先

小白：講完了“優(yōu)勢”和“優(yōu)化”，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的“優(yōu)先”要從哪些角度來考慮呢？

大東：優(yōu)先對應(yīng)著上文提到的“流轉(zhuǎn)”能力。當(dāng)你積累了足夠的優(yōu)勢和技術(shù)能力之后，如何占得戰(zhàn)役的優(yōu)先權(quán)、捕獲最佳戰(zhàn)機(jī)，這是一個(gè)核心問題。這就要求根據(jù)局部靈活性原則動(dòng)態(tài)調(diào)整。

小白：東哥，前一段時(shí)間去過一次環(huán)球影城。里面有個(gè)優(yōu)速通服務(wù)，支付相應(yīng)費(fèi)用就可以走優(yōu)先通道；此外，如果你是一個(gè)人去玩，就可以走single通道，這樣可以插縫優(yōu)先；

大東：不光有這些優(yōu)先機(jī)制，譬如說環(huán)球年卡一般節(jié)假日是不能入場，但是因?yàn)楸本└邷爻鲂腥松?，所以年卡限制放寬，也可以端午進(jìn)場了，這就屬于優(yōu)先機(jī)制動(dòng)態(tài)靈活調(diào)整。

小白：這些優(yōu)先場景需要如何全盤考慮設(shè)計(jì)呢？

大東：可以從機(jī)制公平、擁有價(jià)值、因地制宜這三方面做優(yōu)先場景設(shè)計(jì)。

五、小白內(nèi)心說

小白：這次東哥講的應(yīng)急響應(yīng)全球化能力建設(shè)錦囊，圍繞著戰(zhàn)略、戰(zhàn)備、戰(zhàn)役三個(gè)層面，對網(wǎng)絡(luò)安全事件現(xiàn)狀展開分析，并通過三“優(yōu)”的層級(jí)做了闡述，我得好好復(fù)習(xí)消化。怪不得東哥問我在哪？原來是在刺探我的位置情報(bào)哦！不過歐陽文忠公說過：“四時(shí)之景不同，而樂亦無窮也”。那么夏天校園和冬天校園當(dāng)然不是同一個(gè)校園啦！差點(diǎn)被他繞進(jìn)去。