——HW思考系列：檢測只是開始，調查才能結案(上)

        五年的HW行動，將網絡安全從“合規”時代，帶入“實戰化”時代。面對這一變化，安全理念應如何進化，安全產品應如何進階?

        一、合規的價值和不足網絡安全合規時代，最大的成就是，讓大家配齊了網絡安全“老三樣”(防火墻、防病毒、入侵檢測)等產品，相當于筑起院墻、裝上大門，使得普通人不再能隨意出入你的領地，侵犯你的隱私，威脅你的財產，但對于能翻墻入院的小偷，這樣的措施收效甚微。于是，大家自然而然地對當前的防護措施進行加固、升級，在墻上加裝鐵絲網，安裝更為堅固的防盜門，增加防盜窗，配上門衛(身份認證)，聘請總管(安全服務商)，有時甚至是配上不同的防盜門，層層設防。這些改進取得一定效果，能應對初、中級小偷，卻無法阻擋能自制萬能鑰匙的“慣偷”。隨著互聯網的普及，學習制作和購買萬能鑰匙的門檻降低，具備慣偷級別能力或者擁有萬能鑰匙的潛在犯罪分子越來越多。面對能力快速提升的對手，筑更高的墻已不能解決問題，還會帶來巨大的財務成本、糟糕的用戶體驗，我們需要尋找新的解決方案。

        二、尋求問題的本質網絡空間已成為“海、陸、空、天”以外的第五大國家主權，然而網絡空間的出現才短短幾十年，還在不斷成長、變化，要一眼看清其本質，存在巨大挑戰。事實上，“安全”問題由來已久，并不是網絡世界獨有，社會治安領域的“安全”已有幾千年的歷史。“犯罪率”是衡量社會安全程度高低的指標。犯罪率高，則“盜賊公行而弗能禁”，社會缺乏安全感;犯罪率低，則“路不拾遺，夜不閉戶”，社會充滿安全感。建設充滿安全感的社會，只需將犯罪率控制在一個較低的范圍。

        控制犯罪率，可以從如下三個方面實現：不能犯罪;不敢犯罪;不愿犯罪。

        (1)“不能犯罪”，是指犯罪分子因客觀原因無法實施犯罪或達成犯罪目標。從犯罪分子方面出發，只能通過收繳犯罪分子作案工具的方式，使其犯不了罪，而這顯然無法實現，因為可以實施犯罪的作案工具太多——槍可以，刀可以，板磚可以，拳頭也可以……禁無可禁，收無可收。從受害者方面出發，只能通過提升自身防護能力，將其武裝到牙齒，使其強大到讓犯罪分子傷害不了，而這一方面成本高，難以普及，另一方面體驗也會很差。

        (2)“不敢犯罪”，是指犯罪分子因擔心承擔后果，不敢實施犯罪行為。要達到震懾犯罪分子，使其不敢犯罪的目的：首先，需要制定法律法規，實現“有法可依”——明確地告知犯罪分子，犯了什么樣的錯就“會”受到什么樣的懲罰。其次，需要強大的破案能力——只要犯罪分子犯了案，就能被查出來，將前面的“會”變成“事實”，實現“違法必究”。然而“有法可依”容易，“違法必究”卻難。從最早的《漢謨拉比法典》，到現在的各種法律法規，各個時代法律都非常齊全，但破案能力卻嚴重欠缺。很多案件只能寄希望于遇到“包青天”“福爾摩斯”“李昌鈺”。顯而易見，神探是稀缺物種，因此破案率始終不理想，也就難以真正震懾到犯罪分子。

        (3)“不愿犯罪”，是指犯罪分子內心沒有犯罪意愿或動力。犯罪是因為犯罪分子自身的某些需求無法滿足，需要通過犯罪的方式獲得。如果犯罪分子所有的需求都被滿足了，也就不存在犯罪動機了。而我們有時竟能聽到不缺錢的人實施偷竊的案件，這種情況犯罪分子不存在金錢方面的需求，而是其他需求導致了偷竊。要滿足任何人的全方位的需求，使任何人都沒有犯罪動機，在可見的將來都是不現實的，也許存在于“理想國”中。綜上所述，“不能犯罪”方面，收繳犯罪工具顯然無法全面落地，而通過提升潛在受害者自身防護能力，則受資源、成本、用戶體驗等因素的制約，可提升空間有限。“不愿犯罪”方面，除非人人都達到“從心所欲而不逾矩”的境界，否則至少目前階段，缺少落地的可能性。“不敢犯罪”方面，在“有法可依”的前提下，做到“違法必究”，震懾潛在的犯罪分子，使其不敢犯罪，從而降低犯罪率，是可能的方向。達成“違法必究”的目標，關鍵在于如何提升破案能力。提升破案能力，幾千年來一直都是難題，而我們國家近二十年來在這方面的努力和實踐說明，完全可行。

        嚴重暴力犯罪變化趨勢圖

        上圖是最高人民檢察院2020年5月25日工作報告中對近二十年嚴重暴力犯罪情況的統計。從數據看，目前嚴重暴力犯罪的犯罪率不到峰值時的1/3，尤其近十年更是大幅下降，而這期間法律沒有大的變化，GDP增速也低于前十年，為什么犯罪率卻有這么大幅度的下降呢?最大的變化是“平安城市”“天網工程”“雪亮工程”等的逐步落地，發揮出越來越大的作用。現在的案件偵破，通常是通過調取案發地的監控攝像，鎖定嫌疑人，然后結合其他監控攝像，確定嫌疑人的行蹤和落腳地，實施抓捕和審訊，完成破案。通過構建必要的基礎措施，降低破案難度，即可大幅提升整體破案能力。現在，普通警察的破案能力和效率，甚至高于以往的神探們，由此極大地震懾了潛在的犯罪分子，使其不敢再冒險犯罪，這是近二十年來暴力犯罪率大幅下降的原因所在。

        三、網絡安全，路在何方網絡世界并不是一個全新的世界，它是現實社會的延伸——主導網絡世界的是人，網絡犯罪的主體是人，犯罪的目標還是獲利或者傷害(破環)——同現實社會并無不同，改變的只是作案工具。“他山之石，可以攻玉”，社會治安領域的成功經驗，可以在網絡安全領域借鑒和應用。“合規”時代讓我們筑起了院墻，安上了防盜門，配上了保安，構建起了防控體系，可以有效應對偷窺和小偷小摸的行為。但隨著互聯網的快速發展，具備較高能力或者擁有先進工具的犯罪分子越來越多，加上“網絡無國界”的特性，網絡安全已進入“實戰”時代。實戰時代，在防控體系之外，應建立類似于“雪亮工程”的監察體系，降低破案難度，提升破案能力和效率。防控體系的目標是讓普通人不要或者不能越界，而監察體系的目標是讓犯罪分子無所遁形。在網絡世界的重要節點、系統、應用中部署“探頭”，記錄發生的行為，在管理區域部署“監控中心”。有了這些監察體系所需的基礎設施，一旦發現可疑行為或者可疑人員，安全人員利用采集的數據和先進的技術手段，進行高效且全面的追蹤調查，完成“破案”，阻止犯罪分子的進一步行為，讓犯罪分子知難而退或者承擔法律后果。以近幾年的HW實踐，紅隊成功拿下目標的案例，通常需要很多步，10步，甚至20步，從結果看，顯然藍隊沒有一款產品能將每1步的威脅都檢出，但在事后回溯分析的時候能發現，這些案例中，紅隊在其中的某些環節的行為，并未躲過藍隊安全產品檢測，已觸發告警，僅是因為藍隊一方面不同環節采用不同的產品，相互之間的協調存在問題，另一方面安全產品往往只對檢出的威脅進行告警和描述(側重在說明該告警是正確的，不是誤報)，缺少對告警之外的行為提供深入分析的支持。一句話，當前的網絡安全產品是為“檢測”設計的，而不是為“調查”設計的。

        網絡安全實戰時代，檢測只是開始，調查才能結案!如何調查?如何結案?如何讓你的辦案能力超越福爾摩斯?且看下回分解!

《電鰻快報》