网络安全下一阶段的思考(威慑和反制)

当前网络安全产业发展，围绕客户需求已出现了大量安全产品和服务，各种解决方案。作为励志引领网络安全行业发展趋势的一本正经不靠谱不可靠男人，无聊时就会想想产业形态和未来方向。

如果将网络安全产业发展划分几个阶段，个人认为暂时可以分为两大阶段。

第一阶段，以区域边界、身份和补丁为主的能力建设。特征是，纵深，体系化，隔离，联动，中心化，分布式等。
第二阶段，以识别检测，持续监测和响应为主的能力建设。特点是安全分析，情报，自动化，韧性和弹性，可信，智能化等。

对于大多数企业公司来说，处在第一阶段持续慢跑中；而对于国际领先的互联网企业已经在第二阶段有了初步的尝试，且会长期处于该阶段，为什么？尚还缺少足够体量历练和实战的土壤。

那么现状如此，未来何去？这是此文思考的关键。至于第三阶段围绕什么能力发展作为不靠谱作者还看不到，但经过无聊时想一想，个人认为第三阶段必然具备两个特征---威慑和反制。为什么？

1、从当前处于第二阶段的发展看，识别检测，持续监测和响应，都是以减少脆弱性、减少威胁、减轻后果为导向，依然强调防御，从被动到主动，从静态到动态，但都没有跳出防御思维。

2、从网络战角度看，最理想的情况是不战而屈人之兵。如何能不战，要有足够的威慑力使敌方不敢战；那么遇到不怕死的怎么办，要有足够的反制手段快速战胜。

基于上述两点分析，笔者个人认为网络安全的发展，在第三阶段必然是被迫的主动出击，跳出防御的局限，以进为退，不惹事也不怕事。威慑和反制必然是被迫的主动出击重要特征之一。当然理想很丰满现实很骨感，这需要产业甲乙双方长期艰苦奋斗，共同努力积累安全建设能力、安全工程能力等才能完成的安全事业。

谈谈网络安全的威慑和反制。

从网络安全产业看，安全产品和服务的创新和研发在没有技术突破的当前，很难产生实质性安全进步，更多是传统安全技术在新场景，新应用，新业务环境的延伸或扩展，如云计算，IOT等。另一方面，围绕PDR，PPDR，IPDRR等事件驱动的安全产品或服务对企业来说尚没有完全落地，更谈不上更前端和更后端的投入和提升。

从乙方安全公司看，一些APT研究和威胁情报公司在这方面已经做出了尝试，不足的是其结果能力的转化依旧使能在防御视角，而不是攻击威慑、反制视角。因此缺少威慑、反制类安全产品的创新和研发，没有很好的领引市场趋势。

从客户安全需求看，少数领先的互联网企业虽然已经在安全实践走在前列，但毕竟安全围绕业务，为业务保驾护航，缺少提升安全威慑和反制的动机。

笔者认为，不久的将来，必然会有以正当威慑和反制为目标的安全产品、服务和解决方案诞生。其定位为：
1.增强网络安全事件的事前威慑能力，强调被动的触发式威慑
2.增加安全攻防对抗的正当反制手段
3.被动防御挨打向正当主动出击，达到不战而屈人之兵

那么具体此类产品、服务或解决方案该如何落地，笔者后续举两个场景便于大家理解。

1.外网漏洞扫描场景：
A）防御思维模式下，发现扫描行为特征，无论采用何种手段处置最终结果都是阻断or封禁，思维逻辑是发现后减小影响。
B）威慑思维模式下，识别攻击者扫描行为和IP地址，识别扫描工具特征，针对攻击者以某种机制警告对方，让攻击者知晓当前的行为已被发现并记录，如WEB跳转，弹框等。
C）反制思维模式下，在正当威慑无效后，是否可以进一步主动狙击漏洞扫描行为？例如识别工具特征，利用漏扫工具缺陷造成远端漏扫工具DOS？蓝屏？甚至利用RCE自动取证？等。

2.内网恶意程序外联场景：
A）防御思维模式下，识别监测外联行为，隔离失陷系统，取证，备份并清除恶意代码，或重装系统恢复数据。
B）威慑思维模式下，发现失陷系统识别可疑外联行为，捕获相关ICO指标，快速共享或公示，撰文宣传，如《XX行动案例提示》。
C）反制思维模式下，监控失陷系统与外部通信，修改特定通讯指令？加大虚拟并发？使C&C端错误或关闭？等。

补充：
笔者个人认为网络安全威慑并非一定是采取技术手段，各种警告、培训，巡讲，外部宣传，技术分享等都可以理解为威慑。反制也并非是将攻击者黑掉或捕获，有效狙击、监视和控制攻击者攻击行为、消减敌方进攻或使对方无法反抗都可理解为反制。

最后，笔者再次强调的是
1.网络安全中的威慑和反制不能简单理解成受攻击了黑回去，我们要有掀桌子（黑回去）的能力而更要有不掀桌子（知法守法）的修养。
2.此文中提及未来可能出现的威慑和反制类安全产品、服务或解决方案是以被动触发的威慑和正当的反制技术为基本出发，任何超出尺度的延伸、启发、探讨、尝试、探索等都不是笔者本意，与作者无关，阿弥陀佛。
3.记住有句古话，人所不能及，共勉。

---

坚信少却更好，坚定元认知传播，坚持安全美学，拿个主题，讲300秒就够了。

---

原文始发于微信公众号（表图）：网络安全下一阶段的思考(威慑和反制)