作为一个网安人,每次在向潜在客户介绍自己的业务内容的时候,总会无比深刻地感受到自己词汇量的匮乏和表达能力的低下,分分钟想回去找自己的小学语文老师重修一遍。
“哦,我知道,你们就是那种黑客,哎,不对,防止电脑被黑客入侵的对不对。”
“哦哦,我知道了,就是电脑用不了就找你们对不对?”
这种说法,你说对,好像有哪里不对;但要说不对,好像也是对的。在这种情况下,我们通常会努力并且吃力地再把自己的业务仔细地又介绍一遍。
对方也许是出于礼貌,又也许只是一种倾听的习惯,在你重新再把自己的业务内容介绍一遍的时候,他大约会一脸了解的表情频频点头。
最后再来一句:“那你们跟修电脑的有什么不一样吗?”
手持屠龙宝刀、叱咤江湖的高手就此被绝杀于八旬老妇平平无奇的一记烧火棍下,旁白配音KO!
我们不得不沉默。
而对于我们的沉默,此时的对方甚至还有点茫然。
这让我们甚至都忍不住问自己一句,什么是网络安全服务,我们到底是做什么的呢?
得益于国家这几年对于等级保护工作的重视,这些年,我们总算能够揣着无比复杂的心情,简单又明了地跟客户说一句:“我们就是做等保这一块的。”
但我们并不是只做等保,为了让各位看官更加直观地了解到我们到底是做什么的,我们特意从网上找了几个典型的案例,以此为例,对我们的业务内容进行说明。
案例一:
2020年6月,铜陵市公安网安民警在网上开展网络安全执法检查时发现铜陵市某国企单位门户网站跳转非法赌博网站,疑似被植入暗链。经民警调查,该网络运营者也未采取防范网络攻击、网络入侵等危害网络安全行为的技术措施,导致网站被非法入侵,代码被恶意篡改,对社会造成不良影响。《中华人民共和国网络安全法》规定网络运营者应当按照网络安全等级保护制度的要求履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
对于该单位网络安全责任人未履行网络安全保护义务的行为,根据《中华人民共和国网络安全法》第二十一条第二项、第五十九条之规定,公安机关给予该单位行政警告并责令限期改正的处罚。
(文字来源:铜陵新闻,《2020年度铜陵市查处网络违法典型案例公布》)
案例二:
2018年8月,国家安全机关工作发现,W市农业局人事科干部王某使用的办公计算机被境外间谍情报机关远程控制。经对王某的计算机进行核查取证,发现里面除了日常办公文档,还有多份标注密级的地形图。
王某称,这些地形图是帮同事肖某制作方案而留存的。肖某是该局下属某事业单位工作人员,每年会接到工作任务,在编制方案的时候,需要做工程规划布局图。不会电脑制图的肖某便找王某帮忙。肖某从档案室借出当地的航拍地形图,分区扫描成电子版并保存在自己的办公电脑中,通过QQ从互联网上将图发送给王某。按照肖某的要求,王某使用制图软件在地形图上标注涉及工程建设的信息,完成制图后,再通过QQ邮箱将这些图发送给肖某。
国家安全机关工作人员检测发现,王某电子邮箱曾收到一封异常邮件,在点击阅读后,导致其计算机被植入一款伪装成QQ的特种木马程序,从而导致其计算机被境外间谍情报机关远程控制,存储的文档资料全部被窃取,其中包括多份标记密级的地形图。
因案情重大,已对我国国家安全构成严重危害,该市立即启动追责工作。有关责任人员受到相应法律惩处和党纪政纪处分。
(文字来源:新华社,《国家机关公布三起境外网络攻击窃密案件》)
作为网安人,我们究竟在做着什么样的工作,而我们所提供的网络安全服务,在现实生活中又拥有着怎样一个价值和意义。
就案例一,政企事业单位门户网站被篡改、置入黑链,在业内并不算什么新鲜事,根据国家互联网中心2020年发布的《2020年上半年我国互联网网络安全检测数据分析报告》,2020年上半年我国境内遭篡改的网站约有7.4万个,其中被篡改的政府网站有318个。
政府、事业单位的官方网站因为其机构性质的特殊性,一直以来都是网络安全威胁高发和频发的重灾区,甚至比起其他手段和形式更加隐秘的攻击,像是案例一这种在网站中置入暗链,使其跳转到恶意网站的XSS跨脚本攻击,大概可以算的上是温和的了。
我们的安全工程师在为客户实施安全渗透测试时,甚至在其内网发现了大量的永恒之蓝病毒,也就是这几年在网络上被大家熟知的“勒索病毒”。
“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。病毒一旦成功入侵系统,客户正常的工作运行势必停摆,文件收发、处理陷入僵局,对上和对下的沟通也随之中断暂停,影响恶劣不说,甚至可能引发一系列延误和批评通告问责风险。
无论是XSS跨脚本攻击的暗链置入,还是“永恒之蓝”病毒攻击,我们工作的意义和价值在于,我们能够帮助客户,提前发现可能存在的诸如暗链置入,病毒、木马攻击等可能影响到客户日常业务正常开展的风险隐患,并作出相应的处理和预警上报,让事态的发展变得可控。
而网络安全服务的本质,便是帮助客户发现系统和网络中可能存在的诸多网络安全威胁,保证客户业务系统和日常工作的正常开展。
虽然我们自信自己的工作和服务是有价值有意义的,但是在现实生活中,却也时常面临“没事的时候,安全好像没什么用;出事的时候,要你们安全也没什么用”的窘境。
之所以会存在这样的窘境,一方面固然是可能存在技术层面原因,所谓道高一尺魔高一丈,在网络安全行业并不是不存在的,与肆无忌惮的攻击者相比,头顶白帽子的网络安全工程师如同戴在镣铐在跳舞,时有左支右绌之感。
在做安全的时候不小心把自己“弄进去”这种事情,是真的存在的。
另一方面也是因为互联网是有记忆的,网络安全从来都是一个动态的系统的变化发展着的问题,它沿袭了过去,也承接着未来。
就像案例二中,伪装成QQ的特种木马程序是在过去被植入计算机的,木马病毒一旦被植入,窃密活动就开始了,对于后来人来说,我们能做的就是通过对计算机进行深度威胁检测,配合动静态分析和行为侦测,分析所有端口的流量来检测出隐匿的攻击活动,及时发现,及时上报,将影响和损失降到最低。
网络安全服务的目的不仅仅是为了防范于未然,也是为了亡羊补牢,所以,没事的时候,安全并不是没什么用,出事的时候,安全就更不是没什么用。
