一個好的安全體系的前提是為合法主體建立信任關系，通過信任在保證業務的前提下降低安全成本，在運行時及時檢測并消除非法主體的惡意行為，所以信任是網絡安全的前提要求。從業界近年的發展來看，無論是Gartner認為信任和彈性是自適應安全的兩個原則，還是“零信任”理念成為業界熱議的流行詞，都說明安全行業已經反思簡單堆砌的安全機制已經無法抵御日漸復雜的應用場景和攻擊團伙，所以回歸安全的本源，思考如何構建信任體系，成為當前一種獨特的現象。

　　綠盟科技于2021年推出“智慧安全3.0”新戰略，其中要素之一就是可信任，這表明如何構建信任機制是新一代安全體系中非常重要一環。本文將詮釋“智慧安全3.0”中可信任的內涵。

　　信任與風險的平衡

　　在網絡空間中，業務發展、環境變化或技術更新是常態，也是數字化轉型的必然，因而風險是永遠存在的，安全團隊不可能為規避所有風險而要求業務不變，甚至讓業務下線。對抗的本質是攻守成本的平衡，安全的本質是防護減少損失（收益）超過防護成本，因而安全防護最終是緩解風險，不可能完全去除風險。

　　圖1 信任與風險的平衡

　　不信任就不可能開展新的業務，適應并擁抱變化是安全團隊應信奉的哲學。為了保證業務正常運行，安全團隊必須讓渡部分非關鍵風險的處置，也就是在管理風險的前提下，主觀上相信業務會安全運行。例如，邊界就是信任的體現，跨邊界的訪問是不可信的，需要強制認證和訪問控制，而內部網絡的訪問默認是可信的，這樣就大大減少了身份認證和訪問控制的部署成本，也提升了用戶的使用體驗。

　　但安全團隊也應清晰地認識到，信任第三方就意味著存在風險。那么就應評估和管理風險，將業務受到影響降到最低，保證業務的彈性（Resilience）。

　　總之，擁抱變化，管理風險，是可信任的內在需求。對于安全廠商，應當構建信任管理體系，以降低整體安全投入的成本，并提升安全防護效率，幫助客戶贏得安全方面投資的回報。

　　信任管理模型

　　維基百科（Wikipedia）上對信任（Trust）的定義為[1]：一方（信任方）在未來依賴另一方（被信任方）行動的意愿。假設給定三方A、B、C，三者之間都有交互，如下圖所示。

　　圖2 信任度模型

　　可見，主體A對B的action（B）行為的信任是結合了A對B的歷史行為的觀察{actions（B）}、第三方（如主體C）對其信譽評價Reputation（B,C）的綜合評估。事實上，信任度的度量會更復雜一些，需要考慮到觀察行為（即證據）的可靠度，以及信任度隨著時間推移衰減等因素。

　　而信任機制在應用時，根據不同的場景和需求，會有多種形態，如IAM、訪問控制、邊界控制等，具體產品就更五花八門，但核心上看，信任管理有四個要素：

　　1） 主體身份屬性確認，即Identification

　　2） 資源的屬性確認，即Attribute Enumeration

　　3） 主體對資源操作的授權，即Authorization

　　4） 操作控制，即Enforcement

　　圖片

　　圖3 信任機制表示

　　在當前新出現安全模型中，也對信任提出了新的要求。例如零信任（軟件定義邊界）模型要求全方位的信任控制，即主體在任何時間、任何地點訪問客體，均需要遵從全局的訪問控制策略；而Gartner提的“自適應訪問控制”，則要求控制點在通過主體的訪問請求后，還需要根據上下文進行調整，動態授權其訪問。

　　而當前行業大多數的信任管理處于被動信任和靜態信任的階段，遠未達到全方位、自適應的階段。

　　所謂被動信任，就是無條件地信任。例如，客戶在部署了某個安全產品、平臺或服務后，只能黑盒地選擇相信其正常工作、發揮作用；開發團隊在采用某第三方軟件或硬件時，只能假定其沒有后門、漏洞，總之，既來之則安之，除了信任沒有其他辦法。

　　而所謂靜態信任，則是采用了確定性的信任評估方式，設置后長期不變。這也是行業內主流的信任管理機制，雖然簡化了策略制定、系統運行時機制，但沒考慮到上下文變化，是造成現在網絡安全事件頻發的根本原因之一。

　　事實上，信任是主觀、動態、不確定，信任管理是要基于風險為基礎的，安全策略需要根據主體行為等上下文動態調整，因而，在下一代安全體系中，信任管理應當具備可信任的安全能力、可信任的訪問機制，以及可信任的供應鏈管理。

　　可信任的安全能力

　　隨著地緣政治和數字化轉型深化，網絡安全將從滿足合規性要求轉向攻防對抗，客戶對于安全廠商的要求將越來越偏向其安全能力可信任。這主要有兩個層面：安全運維可信任和安全運營可信任。

　　首先，網絡安全設備本質上就是一類網絡設備，與其他的路由器、交換機無異，都是部署在網絡中。但在以往的安全運維中，除了金融等重要業務場景中，客戶對安全設備的穩定性沒有網絡設備那么高。但現在大背景下，安全設備的重要性將越發凸顯，邊界側、串接型的安全設備一旦故障，很有可能出現斷網的事故，影響正常生產；而旁路側的設備，雖然不至于影響生產，但如果故障，也可能會丟失重要的事件、告警和日志，對后續排查溯源帶來不可逆的影響。因而，安全廠商的安全設備、平臺和服務必須具有極高的穩定性和可靠性。

　　其次，安全廠商也是安全服務提供商，參與到客戶的實際安全運營中，應對各類真實威脅和攻防演練。由于這類安全運營需要實打實的安全防護、檢測和響應能力，因而安全廠商的運營能力必須是可信任的。以前在安全運營中最大的挑戰是告警泛洪，一臺入侵檢測設備單天可能會產生數萬條告警，大部分告警指示的并非關鍵性事件，而且有不少是誤報，這對于安全運營而言是災難性，一位安全運營人員是不會信任這樣設備產生的告警，海量告警中尋找真正的攻擊，無異于大海撈針。

　　當前，安全廠商已經開始利用一些先進技術，例如人工智能、劇本編排等，將頂尖的安全運營專家知識賦能智能引擎，從而大幅減少安全運營的邊際成本。例如綠盟科技于2021年發布的《AISecOps智能安全運營技術白皮書》[2]介紹了通過人工智能技術進行安全運營的技術路線和關鍵技術，例如可以通過多引擎評估和智能推薦算法，將關鍵告警推薦給安全運營人員，從而擺脫大海撈針的困境。一旦安全運營團隊通過短期調整，固化其場景下的運營需求及其推薦模型，則可在日常運營中在最短時間內發現關鍵安全事件，建立對安全廠商能力的信任。

　　此外，在對抗過程中，攻擊者繞過安全設備的規則也將成為常態，這非?？简灠踩珡S商對安全漏洞、安全事件的的日常收集、研判和產品轉化能力。當前的攻擊手法主要是規則繞過，而隨著攻防技術的進一步發展，基于人工智能的引擎也可能被攻擊者繞過，這就要求人工智能算法是可解釋、可信任的，不會發生類似“熊貓變長臂猿”[3]的攻擊案例。

　　可信任的訪問機制

　　網絡安全的本質是保證網絡中主體對客體的訪問是合規、合法、合理的，然而太多的機構數據泄露事件表明當前的訪問控制無法滿足以上要求。例如攻擊者利用服務漏洞進行持續滲透，或是惡意內部用戶嘗試竊取非授權的數據，如果通過常規的訪問控制或入侵檢測是很難發現的。

　　當前業界一方面使用欺騙、沙箱等高級對抗技術，則極大增加了檢測、防護的投入成本；另一方面也會使用用戶實體行為分析（User & Entity Behavior Analytics, UEBA），分析訪問主體的行為模式，能從一定程度補全行為和業務層面的安全機制空白，但也存在大量誤報，同樣也需要投入較多運營成本。

　　如果從安全對抗的本質出發，一方面，從正常業務的用戶體驗的角度，應確保大部分合法主體的訪問不被安全機制所困擾，另一方面，將安全控制前移，在前期投入較少資源以獲得較大收益，以避免后期的各類成本（包括投入新安全機制的投資成本CAPEX和緩解誤報的運營成本OPEX）。

　　在安全運營的閉環中，防護、檢測、響應階段的投入依次增加，安全效果卻依次降低。因而，應適度將部分檢測、響應階段的投入轉移到前期防護階段，即將安全控制前置。首先，保證訪問主體對客體的訪問關系是可信任的，即主體具備合法的身份，主體對客體的訪問是授權的，主體的行為是合理的。

　　前述的“零信任”模型是可以達到這樣的要求的， “持續驗證、永不信任”是零信任的理念，但其本質還是信任主體的身份，但需要動態的上下文評估其行為，從而確保該訪問是能夠被信任的。

　　可信任的供應鏈管理

　　可信任的供應鏈管理有兩層含義：安全產品可信任和第三方軟硬件可信任。

　　安全產品可信任，是客戶對安全廠商信任的基石。安全產品在企業的安全運營中處于非常重要的地位，其自身安全不容忽視。無論是處于網絡邊界的網絡安全設備，還是管理大量終端的終端安全平臺，一旦被攻破，都可能導致攻擊者滲透入內網，或控制大量的終端。近年的安全演練出現的安全廠商的產品出現漏洞導致被攻破，便是明證。

　　因而安全廠商應重視其產品的安全，從開發到交付過程，需建立安全開發、代碼審查、上線前檢查等一系列安全流程，此外，應建立漏洞懸賞計劃和應急響應機制，以確保及時發現潛在的安全漏洞，并在最短時間內確認安全事件、發布安全修復計劃和相應的安全更新。我們說過，攻防是成本和收益的平衡，安全產品與其他的IT軟件一樣，漏洞是不可避免的，但通過事前、事中和事后的預防和應對機制，可以將安全產品變為最不易攻破的防線；而對于攻擊者而言，攻破安全產品的成本明顯高于其他組件，而收益幾乎沒有，則不太會以它為靶標。

　　在更多的案例中，第三方的軟硬件的漏洞或后門成為企業被入侵的重要原因。例如，今年的SolarWind旗下軟件Orion 軟件更新包中被黑客植入后門，波及范圍極大，包括政府部門，關鍵基礎設施以及多家全球500強企業，影響及其深遠[4]。此外，地緣政治沖突日益加劇，國家安全要求第三方硬軟件安全可信，國內正在構建信創生態體系，覆蓋非常長的硬軟件供應鏈。無論是要避免來自第三方的安全漏洞，還是構建安全可信的體系，都需要對供應鏈的第三方提供商進行持續的安全評估，使得客戶避免使用具有風險的提供商或產品，Gartner將其稱為安全評級服務（Security Rating Service, SRS）。

　　在實踐過程中，應當根據客戶的開發和運營流程，科學評估存在的供應鏈風險，例如在開發環節，應當識別軟件項目中引入的開源代碼和第三方軟件庫，并評估其潛在的安全漏洞；在集成環節，應當對第三方的模組、系統或鏡像等進行安全評估。

　　總結

　　信任是人類社會快速前進的基石，也是數字化業務迅速發展的前提，在“智慧安全3.0”的藍圖中，我們協助客戶構建信任管理的體系。首先，我們具備客戶可信任的安全產品和安全服務能力，其次，我們提供可信任的訪問機制和可信任的供應鏈管理，在降低整體投資和運營成本、提升用戶體驗的前提下，提供堅實、有效、全面的安全防護效力。