《孫子兵法》與網(wǎng)絡安全
《孫子兵法》是最早系統(tǒng)化看待戰(zhàn)爭的軍事著作。其中相關理論和內(nèi)容,對于網(wǎng)絡安全同樣具有重要的指導意義。目前流行的網(wǎng)絡安全架構(gòu),也部分與《孫子兵法》思想契合。
把《孫子兵法》內(nèi)容架構(gòu)映射到網(wǎng)絡安全,如下圖所示:
首先在內(nèi)部篇的戰(zhàn)略層面,這就等同于我們網(wǎng)絡安全的企業(yè)IT治理目標,網(wǎng)絡安全戰(zhàn)略規(guī)劃、治理框架之類。
而在內(nèi)部篇的戰(zhàn)術層面,就等同于我們的戰(zhàn)術、策略應用,例如風險評估、組織、策略、制度、流程、技術之類。
在外部篇的執(zhí)行層面,就類似于我們?nèi)粘5陌踩ㄔO、實施及運營,而特種作戰(zhàn)執(zhí)行就有如我們的滲透策略、社會工程學之類。
接下來分別給大家深入介紹一下。
首先在內(nèi)部篇的戰(zhàn)略與戰(zhàn)術部分,核心是企業(yè)IT和安全的戰(zhàn)略目標和頂層設計。這個地方我們可以引用多個企業(yè)IT治理和安全管理框架,例如COBIT 2019、ISO 27001、NIST 800-53 之類。在這兒我就以 COBIT 2019 為例,因為我覺得它最適合這部分。
這個圖是COBIT 2019,企業(yè)信息和技術治理系統(tǒng)的設計工作流程,它是圍繞企業(yè)IT治理為主,里面涉及到網(wǎng)絡安全的部分其實不多(只有風險管理、安全管理、連續(xù)性管理和安全服務管理四個控制對象),它也不是技術框架。但是它和孫子兵法的戰(zhàn)略和戰(zhàn)術部分非常契合。
這個設計工作流程里面有四個流程,前面兩個流程是了解企業(yè)的環(huán)境和戰(zhàn)略,確定企業(yè)IT治理系統(tǒng)的初步范圍,這就和孫子兵法內(nèi)部篇戰(zhàn)略部分很類似。我們需要首先了解企業(yè)當前的狀態(tài),了解企業(yè)的戰(zhàn)略、目標,分析目前面臨的風險,了解相關的態(tài)勢,從而確定我們的戰(zhàn)略目標,以及對應的作戰(zhàn)策略。而第三個和第四個環(huán)節(jié)就是充分的考慮相關因素,優(yōu)化和確認治理系統(tǒng)的范圍,以及確定最終的治理系統(tǒng)架構(gòu)設計,就和孫子兵法內(nèi)部篇戰(zhàn)術部分很類似。
而外部篇操作與執(zhí)行部分可以映射的安全管理計劃與安全控制框架就很多了,我選了四個:ISO 27001:2013、NIST CSF v1.1、NIST 800-53 R5、CIS Control 7.1。
? 其中ISO 27001是國際標準的信息安全管理體系要求,也是一個安全管理整體框架,目前最新的版本是2013年9月發(fā)布的版本;
? NIST 800-53 是針對IT系統(tǒng)和組織的安全和隱私控制,是一個非常大而全的安全管理框架;
? NIST CSF v1.1 是針對關鍵基礎設施的安全改進的框架,是一個以安全風險為核心的安全管理框架,相比前面兩個已經(jīng)簡化了很多;
? 而第四個是CIS Control,和前面三個不一樣,這是一個以保護目標、安全功能為核心的安全技術框架,包含具體的技術實施細節(jié)要求,非常具有可操作性。
ISO27001和NIST 800-53太過于龐大完整,因此實施通常需要非常專業(yè)的咨詢顧問人員。而NIST CSF 和 CIS Control就相對簡化直接一些,我也經(jīng)常參考,建議大家可以深入學習一下。
從涉及的范圍來看,這四個安全框架涉及的階段還是有些區(qū)別的,我大致劃分了一下,如下圖所示:
《孫子兵法》的內(nèi)容博大精深,用詞精煉,蘊意深刻,里面很多經(jīng)典詞句也在全球范圍內(nèi)廣泛流傳。在這部分內(nèi)容中我選擇了一些孫子兵法中的經(jīng)典語錄來為大家從網(wǎng)絡安全方面進行釋義闡述。
“兵者,國之大事,死生之地,存亡之道,不可不察也。”
“兵者,國之大事,死生之地,存亡之道,不可不察也”,翻譯過來就是“戰(zhàn)爭是一個國家的頭等大事,關系到軍民的生死,國家的存亡,是不能不慎重周密地觀察、分析、研究”。
這句話是孫子兵法的開篇之語,孫子一上來就強調(diào)戰(zhàn)爭的重要性,說明戰(zhàn)爭是生死存亡、人命關天的大事情,不是兒戲,體現(xiàn)出他的慎戰(zhàn)思想。對于網(wǎng)絡安全而言,習主席強調(diào)過,沒有網(wǎng)絡安全就沒有國家安全,同時國家在“網(wǎng)絡安全法”中也對企業(yè)的網(wǎng)絡安全建設和運營提出了強制性的要求。而對于企業(yè)而言,如果沒有做好網(wǎng)絡安全,則容易出現(xiàn)安全事故,例如企業(yè)商業(yè)機密被竊取、核心基礎設施被破壞等,直接影響到企業(yè)的生存和發(fā)展。
“兵者,詭道也。”
“兵者,詭道也”,說的是“用兵作戰(zhàn),就是欺騙的藝術”。
在軍事方面,欺騙藝術的核心在于掌握主動權(quán),主要手段有兩個,一個是隱秘企圖、遮蔽戰(zhàn)場,讓敵人無從感知,二是通過欺詐的手段迷惑敵人,讓敵人聽從自己的安排行事,從而獲得戰(zhàn)爭的主動權(quán)和優(yōu)勢地位。
而網(wǎng)絡安全同樣也是欺騙的藝術。對攻擊方而言,最典型的就是社會工程學,還有各種釣魚郵件、金融欺詐、偽冒信息等等;而對于防守方,如何遮蔽關鍵資產(chǎn)信息、利用沙箱、蜜罐、誘餌、威懾甚至社會工程學等主動防御技術來抵御入侵方的攻擊,都具有非常大的學問。
“攻其無備,出其不意。”
“攻其無備,出其不意”這句話從字面上也好理解,就是要攻打?qū)Ψ經(jīng)]有防備的地方,在對方?jīng)]有料到的時機發(fā)動進攻。
從網(wǎng)絡安全的角度來看,這句話的核心還是敵我雙方對于當前環(huán)境、資產(chǎn)、態(tài)勢和目標對手的識別、了解和研判,從而采取對方未能預料的行動措施,例如通過未關注到的IT資產(chǎn)發(fā)起攻擊行為等等。
對于進攻方或者防守方而言,均需要了解具體環(huán)境的特點、網(wǎng)絡安全的盲點或薄弱點(技術、人員、流程),才能實現(xiàn)“攻其無備,出其不意”。
“故知兵之將,民之司命,國家安危之主也?!?/span>
“故知兵之將,民之司命,國家安危之主也”。這句話強調(diào)的是帶兵打仗的將領的重要性,說的是“真正懂得用兵之道、深知用兵利害的將帥,掌握著民眾的生死,主宰著國家的安?!?。
映射到網(wǎng)絡安全而言,它其實強調(diào)了強調(diào)企業(yè)領導人員(例如CEO、CIO、CISO等等)對于企業(yè)網(wǎng)絡安全的重要性,可以延申至說明網(wǎng)絡安全組織及相關安全人員的重要性。企業(yè)網(wǎng)絡安全領導人員對于網(wǎng)絡安全的重視、投入和專業(yè)程度,決定企業(yè)網(wǎng)絡安全的高度。不重視、沒有投入、投入不夠肯定是做不好的,有投入但不夠?qū)I(yè)也大概率做不好。
“上兵伐謀,其次伐交,其次伐兵,其下攻城?!?/strong>
“上兵伐謀”這句話是非常出名的,完整的一句是 “故上兵伐謀,其次伐交,其次伐兵,其下攻城?!保v的是“上等的軍事行動是用謀略挫敗敵方的戰(zhàn)略意圖或戰(zhàn)爭行為,其次就是用外交戰(zhàn)勝敵人,再次是用武力擊敗敵軍,最下之策是攻打敵人的城池?!?。
它的核心在于強調(diào)如何以最小代價獲取最大的勝利,即最大的投入產(chǎn)出比。映射到網(wǎng)絡安全而言,對于攻擊方而言,如果可以通過社工或者釣魚郵件輕松獲得管理員密碼,也就沒有必要花更大的代價去進行攻擊。
從安全防守的角度來看,企業(yè)網(wǎng)絡環(huán)境復雜,需要保護的目標眾多,如何識別資產(chǎn)的優(yōu)先級,并進行相應的安全保護,從而降低安全事件產(chǎn)生的影響,這其實是非常考驗安全管理和運營人員的能力。
“知彼知己,百戰(zhàn)不殆。”
“知彼知己,百戰(zhàn)不殆”這句話也是非常著名,也很好理解,翻譯過來就是“了解敵方也了解自己,每一次戰(zhàn)斗都不會有危險”。
而映射到網(wǎng)絡安全,這句話的核心還是敵我雙方對于當前環(huán)境、資產(chǎn)、態(tài)勢和目標對手的識別、了解和研判,從而采取所對應的措施。
對于攻擊方而言,你需要了解目標環(huán)境的具體配置、信息、狀態(tài),從而有的放矢,確保實現(xiàn)攻擊目標。而對于防守方而言,除了了解自己的環(huán)境、資產(chǎn)、技術、配置、系統(tǒng)、服務等等,也需要了解對應的攻擊技術、手法和安全情報等等,才能更好的進行安全防護。
“用兵之法,無恃其不來,恃吾有以待之;無恃其不攻,恃吾有所不可攻也。”
這句話講的是用兵的原則,“不要抱敵人不會來的僥幸心理,而要依靠我方有充分準備,嚴陣以待。也不要抱敵人不會攻擊的僥幸心理,而要依靠我方堅不可摧的防御,確保不會被戰(zhàn)勝?!?/span>
這句話的核心是強調(diào)不能有任何僥幸心理,而是需要做好完善的準備和應對措施,從而首先達到“先為不可勝”的狀態(tài),才能找到機會戰(zhàn)勝敵人。
從網(wǎng)絡安全角度,我們同樣不能有任何僥幸心理,需要做好完善的安全防護措施,才能防止別人的攻擊行為,至少要達到不能被敵人“速勝”的效果。