《孙子兵法》与网络安全
《孙子兵法》是最早系统化看待战争的军事著作。其中相关理论和内容,对于网络安全同样具有重要的指导意义。目前流行的网络安全架构,也部分与《孙子兵法》思想契合。
把《孙子兵法》内容架构映射到网络安全,如下图所示:
首先在内部篇的战略层面,这就等同于我们网络安全的企业IT治理目标,网络安全战略规划、治理框架之类。
而在内部篇的战术层面,就等同于我们的战术、策略应用,例如风险评估、组织、策略、制度、流程、技术之类。
在外部篇的执行层面,就类似于我们日常的安全建设、实施及运营,而特种作战执行就有如我们的渗透策略、社会工程学之类。
接下来分别给大家深入介绍一下。
首先在内部篇的战略与战术部分,核心是企业IT和安全的战略目标和顶层设计。这个地方我们可以引用多个企业IT治理和安全管理框架,例如COBIT 2019、ISO 27001、NIST 800-53 之类。在这儿我就以 COBIT 2019 为例,因为我觉得它最适合这部分。
这个图是COBIT 2019,企业信息和技术治理系统的设计工作流程,它是围绕企业IT治理为主,里面涉及到网络安全的部分其实不多(只有风险管理、安全管理、连续性管理和安全服务管理四个控制对象),它也不是技术框架。但是它和孙子兵法的战略和战术部分非常契合。
这个设计工作流程里面有四个流程,前面两个流程是了解企业的环境和战略,确定企业IT治理系统的初步范围,这就和孙子兵法内部篇战略部分很类似。我们需要首先了解企业当前的状态,了解企业的战略、目标,分析目前面临的风险,了解相关的态势,从而确定我们的战略目标,以及对应的作战策略。而第三个和第四个环节就是充分的考虑相关因素,优化和确认治理系统的范围,以及确定最终的治理系统架构设计,就和孙子兵法内部篇战术部分很类似。
而外部篇操作与执行部分可以映射的安全管理计划与安全控制框架就很多了,我选了四个:ISO 27001:2013、NIST CSF v1.1、NIST 800-53 R5、CIS Control 7.1。
► 其中ISO 27001是国际标准的信息安全管理体系要求,也是一个安全管理整体框架,目前最新的版本是2013年9月发布的版本;
► NIST 800-53 是针对IT系统和组织的安全和隐私控制,是一个非常大而全的安全管理框架;
► NIST CSF v1.1 是针对关键基础设施的安全改进的框架,是一个以安全风险为核心的安全管理框架,相比前面两个已经简化了很多;
► 而第四个是CIS Control,和前面三个不一样,这是一个以保护目标、安全功能为核心的安全技术框架,包含具体的技术实施细节要求,非常具有可操作性。
ISO27001和NIST 800-53太过于庞大完整,因此实施通常需要非常专业的咨询顾问人员。而NIST CSF 和 CIS Control就相对简化直接一些,我也经常参考,建议大家可以深入学习一下。
从涉及的范围来看,这四个安全框架涉及的阶段还是有些区别的,我大致划分了一下,如下图所示:
《孙子兵法》的内容博大精深,用词精炼,蕴意深刻,里面很多经典词句也在全球范围内广泛流传。在这部分内容中我选择了一些孙子兵法中的经典语录来为大家从网络安全方面进行释义阐述。
“兵者,国之大事,死生之地,存亡之道,不可不察也。”
“兵者,国之大事,死生之地,存亡之道,不可不察也”,翻译过来就是“战争是一个国家的头等大事,关系到军民的生死,国家的存亡,是不能不慎重周密地观察、分析、研究”。
这句话是孙子兵法的开篇之语,孙子一上来就强调战争的重要性,说明战争是生死存亡、人命关天的大事情,不是儿戏,体现出他的慎战思想。对于网络安全而言,习主席强调过,没有网络安全就没有国家安全,同时国家在“网络安全法”中也对企业的网络安全建设和运营提出了强制性的要求。而对于企业而言,如果没有做好网络安全,则容易出现安全事故,例如企业商业机密被窃取、核心基础设施被破坏等,直接影响到企业的生存和发展。
“兵者,诡道也。”
“兵者,诡道也”,说的是“用兵作战,就是欺骗的艺术”。
在军事方面,欺骗艺术的核心在于掌握主动权,主要手段有两个,一个是隐秘企图、遮蔽战场,让敌人无从感知,二是通过欺诈的手段迷惑敌人,让敌人听从自己的安排行事,从而获得战争的主动权和优势地位。
而网络安全同样也是欺骗的艺术。对攻击方而言,最典型的就是社会工程学,还有各种钓鱼邮件、金融欺诈、伪冒信息等等;而对于防守方,如何遮蔽关键资产信息、利用沙箱、蜜罐、诱饵、威慑甚至社会工程学等主动防御技术来抵御入侵方的攻击,都具有非常大的学问。
“攻其无备,出其不意。”
“攻其无备,出其不意”这句话从字面上也好理解,就是要攻打对方没有防备的地方,在对方没有料到的时机发动进攻。
从网络安全的角度来看,这句话的核心还是敌我双方对于当前环境、资产、态势和目标对手的识别、了解和研判,从而采取对方未能预料的行动措施,例如通过未关注到的IT资产发起攻击行为等等。
对于进攻方或者防守方而言,均需要了解具体环境的特点、网络安全的盲点或薄弱点(技术、人员、流程),才能实现“攻其无备,出其不意”。
“故知兵之将,民之司命,国家安危之主也。”
“故知兵之将,民之司命,国家安危之主也”。这句话强调的是带兵打仗的将领的重要性,说的是“真正懂得用兵之道、深知用兵利害的将帅,掌握着民众的生死,主宰着国家的安危”。
映射到网络安全而言,它其实强调了强调企业领导人员(例如CEO、CIO、CISO等等)对于企业网络安全的重要性,可以延申至说明网络安全组织及相关安全人员的重要性。企业网络安全领导人员对于网络安全的重视、投入和专业程度,决定企业网络安全的高度。不重视、没有投入、投入不够肯定是做不好的,有投入但不够专业也大概率做不好。
“上兵伐谋,其次伐交,其次伐兵,其下攻城。”
“上兵伐谋”这句话是非常出名的,完整的一句是 “故上兵伐谋,其次伐交,其次伐兵,其下攻城。”,讲的是“上等的军事行动是用谋略挫败敌方的战略意图或战争行为,其次就是用外交战胜敌人,再次是用武力击败敌军,最下之策是攻打敌人的城池。”。
它的核心在于强调如何以最小代价获取最大的胜利,即最大的投入产出比。映射到网络安全而言,对于攻击方而言,如果可以通过社工或者钓鱼邮件轻松获得管理员密码,也就没有必要花更大的代价去进行攻击。
从安全防守的角度来看,企业网络环境复杂,需要保护的目标众多,如何识别资产的优先级,并进行相应的安全保护,从而降低安全事件产生的影响,这其实是非常考验安全管理和运营人员的能力。
“知彼知己,百战不殆。”
“知彼知己,百战不殆”这句话也是非常著名,也很好理解,翻译过来就是“了解敌方也了解自己,每一次战斗都不会有危险”。
而映射到网络安全,这句话的核心还是敌我双方对于当前环境、资产、态势和目标对手的识别、了解和研判,从而采取所对应的措施。
对于攻击方而言,你需要了解目标环境的具体配置、信息、状态,从而有的放矢,确保实现攻击目标。而对于防守方而言,除了了解自己的环境、资产、技术、配置、系统、服务等等,也需要了解对应的攻击技术、手法和安全情报等等,才能更好的进行安全防护。
“用兵之法,无恃其不来,恃吾有以待之;无恃其不攻,恃吾有所不可攻也。”
这句话讲的是用兵的原则,“不要抱敌人不会来的侥幸心理,而要依靠我方有充分准备,严阵以待。也不要抱敌人不会攻击的侥幸心理,而要依靠我方坚不可摧的防御,确保不会被战胜。”
这句话的核心是强调不能有任何侥幸心理,而是需要做好完善的准备和应对措施,从而首先达到“先为不可胜”的状态,才能找到机会战胜敌人。
从网络安全角度,我们同样不能有任何侥幸心理,需要做好完善的安全防护措施,才能防止别人的攻击行为,至少要达到不能被敌人“速胜”的效果。