美國(guó)特勤局的核心使命是保護(hù)美國(guó)總統(tǒng)，自特勤局開(kāi)始保護(hù)總統(tǒng)起的110年里，只有7名攻擊者切實(shí)侵入到了總統(tǒng)身邊，且只有1名完成了他的任務(wù)，盡管總統(tǒng)每年都有數(shù)百場(chǎng)公眾活動(dòng)，任期內(nèi)要會(huì)見(jiàn)成千上萬(wàn)人，特勤局依舊保持著這幾近不敗的記錄，可謂戰(zhàn)績(jī)彪炳。

網(wǎng)絡(luò)安全防御者面臨類似的問(wèn)題：他們要防護(hù)必須被保護(hù)的高價(jià)值資產(chǎn)，同時(shí)又不得不跟成百上千臺(tái)其他服務(wù)器通信。不過(guò)，我們的網(wǎng)絡(luò)安全記錄可不怎么好看——2015年一年就發(fā)生了2260起數(shù)據(jù)泄露事件，絕大多數(shù)入侵者還是幾分鐘之內(nèi)就攻破系統(tǒng)，而大多數(shù)防御者要幾天之后才醒悟到泄露的發(fā)生。

特勤局一直以來(lái)都面對(duì)各種重大挑戰(zhàn)，也將繼續(xù)面對(duì)下去。不過(guò)，任何如此成功地應(yīng)用了制度偏執(zhí)的組織，必然在安全領(lǐng)域有可供他人參考的地方。

以下便是網(wǎng)絡(luò)安全防御者可從特勤局習(xí)得的4招：

1. 你保護(hù)不了自己都看不見(jiàn)的東西

護(hù)衛(wèi)任何地方的第一步，就是發(fā)現(xiàn)潛在的攻擊路線。但即便到了今天，大多數(shù)網(wǎng)絡(luò)安全防御，還是建立在靠記憶在餐巾紙上畫(huà)出的網(wǎng)絡(luò)拓?fù)湟粯拥臇|西上。

事實(shí)上，近些年的每個(gè)重大入侵，都依賴攻擊者對(duì)目標(biāo)網(wǎng)絡(luò)有著比防御者更好的認(rèn)知上。2014 Carbanak 銀行劫案就是個(gè)絕佳案例——數(shù)百次入侵，偷掉10億美元，每次入侵都耗費(fèi)上至4個(gè)月時(shí)間對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行偵察。更近一些的入侵，從孟加拉央行到美國(guó)人事管理局(OPM)，也都符合相同的模式。

防御者常常對(duì)他們數(shù)據(jù)中心的實(shí)時(shí)運(yùn)營(yíng)只有最小的可見(jiàn)性，意味著他們知道自己的系統(tǒng)該怎樣運(yùn)轉(zhuǎn)，但不知道它們實(shí)際上在怎么運(yùn)行。攻擊者就利用了這一缺口。特勤局會(huì)從攻擊者的角度描繪運(yùn)作環(huán)境，不這么干的防御者面對(duì)如今普遍調(diào)查詳細(xì)決心堅(jiān)定的入侵，自然就特別脆弱漏洞百出了。

2. 僅有可見(jiàn)性還不夠——必須減小自己的攻擊界面

無(wú)論是用繩索、柵欄、高墻還是帳篷，特勤局絕少會(huì)留掌控不到的地方。每塊環(huán)境都有很多攻擊路線，全部監(jiān)視起來(lái)將會(huì)耗盡所有可用資源。但通過(guò)限制通向總統(tǒng)的路徑，特勤局減少了風(fēng)險(xiǎn)，也能將資源集中到最有效的地方。

筆者當(dāng)前職業(yè)，是帶領(lǐng)團(tuán)隊(duì)周期性分析數(shù)據(jù)中心和云環(huán)境，幫助企業(yè)發(fā)現(xiàn)并關(guān)閉他們的攻擊界面。我們發(fā)現(xiàn)，即使只有100臺(tái)服務(wù)器的數(shù)據(jù)中心，服務(wù)器之間也存在有幾十萬(wàn)個(gè)開(kāi)放的端到端的通信路徑。監(jiān)視這么多路徑，會(huì)讓防御者淹沒(méi)在警報(bào)和誤報(bào)中，也就讓公司無(wú)法分辨出究竟哪個(gè)才是最重要的。我們還發(fā)現(xiàn)，很多公司只用了不到3%的路徑，引出一個(gè)簡(jiǎn)單的問(wèn)題：那為什么要留著其他的開(kāi)放端口呢?適應(yīng)性分段就是數(shù)字版路障和繩線，是讓網(wǎng)絡(luò)安全防御者去除噪音，專注嚴(yán)重威脅的基礎(chǔ)。

3. 給你的安全劃分優(yōu)先級(jí)

限制了攻擊路線數(shù)量，形成最大風(fēng)險(xiǎn)的那些威脅便顯露出來(lái)了。特勤局將其最寶貴資源——特工和監(jiān)視攝像頭，放置在最重要的交叉口和路徑上。

很多網(wǎng)絡(luò)安全防御者還在試圖以平等對(duì)待每個(gè)服務(wù)器的方式保護(hù)他們的數(shù)據(jù)中心。如果你不視覺(jué)化自己的數(shù)據(jù)中心并采取措施減小攻擊界面，那你別無(wú)選擇，只能這么干。但這么做，會(huì)將防御者置于極度不利的地位，因?yàn)槟惴?wù)器之間有幾十萬(wàn)條那么多的路徑，幾乎不可能分辨出哪些是最重要的。而一旦我們對(duì)環(huán)境采取控制，減少這些通路，最危險(xiǎn)的開(kāi)放路徑就會(huì)浮現(xiàn)出來(lái)：哪些路徑可以讓攻擊者從開(kāi)發(fā)移動(dòng)到產(chǎn)品?哪些路徑會(huì)讓攻擊者接觸到高價(jià)值資產(chǎn)?

正如簡(jiǎn)化環(huán)境讓特勤局得以更好地遂行護(hù)衛(wèi)工作，簡(jiǎn)化服務(wù)器間的通信路徑，也意味著你可以更快識(shí)別出數(shù)據(jù)中心里最危險(xiǎn)的點(diǎn)，更有效地使用所有其他安全工具——蜜罐、入侵檢測(cè)系統(tǒng)、行為分析、狩獵等等。

4. 專注于最有價(jià)值資產(chǎn)的安全后果

特勤局主要憂心總統(tǒng)面臨的威脅的鄰近度。有人穿越白宮柵欄就是個(gè)問(wèn)題，因?yàn)檫@會(huì)讓他們離總統(tǒng)更近。但這不意味著特勤局指望沒(méi)人越過(guò)柵欄。實(shí)際上，有入侵者越過(guò)柵欄，但在草坪上被制服，正是安保應(yīng)有的工作模式。柵欄阻擋了很多潛在闖入者，拖慢了闖入意志更堅(jiān)定的人，這樣他們就能在走得更遠(yuǎn)之前被阻住。

網(wǎng)絡(luò)安全防御者依然經(jīng)常覺(jué)得，任何對(duì)他們數(shù)據(jù)中心的入侵都意味著安保失敗。但統(tǒng)計(jì)數(shù)據(jù)越來(lái)越證明，將全部入侵者當(dāng)在邊界之外是不可能的。最近的一個(gè)研究發(fā)現(xiàn)，2015年，75%的公司企業(yè)都至少被侵入過(guò)1次。特勤局明白這一挑戰(zhàn)，因?yàn)樗麄儚奈匆蕾噧H僅一層防御。深度防御是網(wǎng)絡(luò)安全專家討論了有些時(shí)日的概念，但很多數(shù)據(jù)中心依然是只要攻擊突破邊界就束手無(wú)措的狀態(tài)。

入侵者有兩個(gè)目的：收集目標(biāo)環(huán)境的信息，以及利用這些信息對(duì)高價(jià)值資產(chǎn)搞破壞。與其專注邊界，將之作為最重要的防線，我們更應(yīng)該轉(zhuǎn)變思維，將環(huán)繞高價(jià)值資產(chǎn)的圍柵筑成最高的圍墻。防線離高價(jià)值資產(chǎn)越遠(yuǎn)，將“識(shí)別”作為我們的目標(biāo)就越重要——而不是100%的抗?jié)B性。如果入侵者越過(guò)了外層邊界，但在穿越草坪時(shí)被抓住，那并非失敗的標(biāo)志——而是安全系統(tǒng)照常運(yùn)作的標(biāo)志。