译者序

网络安全领域有句富有哲理的话,大意是网络本来是安全的,但自从有了研究安全的人,也开始变得不安全了。这句话背后的含义值得玩味。互联网的诞生缘于应用需求的牵引,彼时大家尚不知安全是什么。一直运行得好好的网络,突然有一天出现了安全问题,是人为的还是无意的?最初可能是无意的,这自然引起了专家的关注。无论是人为还是无意,均暴露出网络安全缺陷是真实存在的,这吸引着越来越多的人加入安全研究的行列。伴随着信息化进程的加速深化,接入网络的资产越来越多,数据交互频率越来越高,攻击面也越来越广泛,潜在脆弱性会更多地暴露出来,从而非常容易引发攻击事件。反过来看,攻击事件牵引着安全防御技术、战术、战略的深度发展和广度融合。从攻与防的发展历史来看,它们如同硬币的两面,是一个有机整体,技术发展交错占优、螺旋上升,彼此成就对方。常言道,未知攻焉知防,殊不知,未知防何言攻?这大概就是攻防研究需要并行开展的现实基础。《中华人民共和国网络安全法》也明确要求,网信部门定期组织演练,关键信息基础设施安全保护部门负责本行业、本领域的定期演练。这种演练就是基于红蓝角色的实战化攻防对抗(Attack With Defense,AWD)或者桌面推演(Cyber Table Top,CTT),与本书作者从攻防两个视角讨论现代高级威胁的思路一致。

攻防并举,这是开展网络安全研究的系统性思路。但我们也必须清晰地认识到,攻防在现实中并不对等,而且在目前条件下,不对等中的优势偏向攻者一方,这主要体现在以下几点:一是时间不对等,攻在随机时刻,而防需要时刻在线;二是点位不对等,攻仅需一个点,防则需一个面;三是资源不对等,攻可能仅需一个漏洞利用资源,而防则需要一整套体系资源;四是信息不对等,危害最广、最有效的攻就是掌握了防没掌握的信息,或者攻先于防掌握所需的信息;五是主被动角色不对等,攻大多走在防之前,而防更多的则是跟着攻。就在本译者序撰写之时,全球顶尖的安全公司FireEye 2020年12月8日透露,其内部网络遭受攻击,导致大量红队工具流失。再举一例,在今年一次知名的攻防实战演练中,大量的蓝队安全设备被攻破,且不止一家、不止一型、不止一次。在演练总结时,甚至有人调侃“演练中最安全的网络是那些无钱购置安防设备的蓝队网络”。安全问题就是如此,即使一时认为自己最强大,你也不知道下一刻会发生什么。

鉴于当前的安全态势和上述攻防地位不对等的现状,目前的安全防御理念已逐渐从传统的边界防御、纵深防御向基于威胁情报的感知、监测、检测、响应的方向发展,这意味着将攻击者堵在企业网络边界之外已不再是唯一甚至主要的防御目标了,而且随着现代高级持续性威胁(APT)的泛滥,以堵为主的方式已不再奏效。这就需要引入新的防御理念,像欺骗防御、诱敌深入、以退为攻、以攻促防等防御理念,从防御的战略战术上寻求突破,带动相应技术的发展。

本书作者用17章的篇幅介绍攻防的两面,大致分为三个部分:第一部分包括第1~3章,介绍网络安全态势、事件响应流程及网络安全战略的内涵;第二部分包括第4~9章,介绍APT组织的思维(Mindset)、攻击技术(Technique)、主要战术(Tactic)和攻击过程(Procedure),即MTTP;第三部分包括第10~17章,针对APT典型的MTTP,研究如何开展有效的防御、检测、响应和处置。三个部分刚好形成完备的攻防视角,相比割裂地单方面介绍攻与防,这种组织方式具有更强的实践价值。通过了解和掌握现代威胁的行为特征,开发出相应的对策。眼睛是心灵的窗户,行为是暴露的原罪。攻击者在攻击企图的驱动下,其行为被碎片化地记录在攻击路径上和不断渗透拓展的驿站中,犹如电影桥段中,情报刺探者沿路有意撒下暗号供后续同伙追踪。不过,这里追踪“暗号”的不再是网络攻击者同伙,而是安全响应人员。

同时,本书作者指出:多年以来,企业在安全方面的投入从建议性投资逐渐演变成必要性投资。换句话说,网络安全从企业发展的附庸地位逐渐走向前台,成为健康发展必不可少的一部分。在某些领域,网络安全甚至已经成为能够决定企业命运的关键;在能源、交通、电力、通信、用水等关键基础设施领域,在工业制造、武器系统等大量涉及工业控制系统、信息物理系统等典型应用的场景,网络安全更是关系到人的生命安全。许多国家都发布了自己的国家网络安全战略,将网络安全作为信息化建设的一部分,同步规划、同步实施、同步发展。深刻认识网络安全的重要性,重塑新型的、超越传统防御思维的理念,对加强全面、有效的网络防御具有重要意义。美国国防部今年发布新的采办声明,要求今后采办合同商必须通过武器系统的网络安全试验评估,否则将不能成为DoD的合格供货商。我们有理由相信,对网络安全的要求会更多地融入企业发展和产品的必要属性之中,犹如产品的关键功能一般,不可或缺。

参与本书翻译的除封面署名译者赵宏伟、王建国、韩春侠及姚领田外,还有姚相名、刘璐、贺丹、涂佳彤、陈展、杨坤、王旭峰、蒋蓓等。本书中文版得以出版,还要感谢机械工业出版社华章公司的刘锋、张秀华两位编辑,与他们的合作令人轻松、愉悦。译者的研究领域主要涵盖威胁建模仿真、网络靶场技术及应用、武器系统网络安全试验与评估等方面,欢迎读者就本书中涉及的具体问题及上述领域内容与译者积极交流,共同学习进步。联系邮箱fogsec@qq.com

姚领田

2020年12月