您现在的位置是:首页 > 网络信息安全

《孙子兵法》与网络安全之“五事”

xiaozq2021-09-27网络信息安全

简介前言:为什么要将网络安全与《孙子兵法》关联?笔者一直认为,在虚拟世界里的网络安全与现实世界的国土安全越来越相似。从国家层面也提出了“没有网络安全就没有国家安全”的理念。所以从事网络安全行业从业者有必要对兵法有一定了解。那为什么是《孙子兵法》,而不是其他兵书呢?《孙子兵法》在中国被奉为兵家经典,后世的兵书大多受到它的影响,对中国的军事学发展影响非常深远。本文很多思路来源于《华杉讲透孙子兵法》和《善战者说》两本书,在此对两本书的作者华杉老师和宫玉振老师表示感谢,并献上我的膝

所谓“五事”是《孙子兵法》中“计篇”的前半部分内容。在《孙子兵法》中,五事=“道、天、地、将、法”。这被人们普遍认为是孙子对战争的SWOT分析,
 
本文借孙子讨论“五事”的这五个维度探讨一下网络安全工作的一些思路。
先说说“计篇”的“计”字。
这里的“计”不是计谋、计策,而是计算。这也是人们最推崇孙子兵法的一个核心,体现了孙子极高的战略素养。《孙子兵法》的第一句话是“兵者,国之大事,死生之地,存亡之道,不可不察也。”开篇不提战争的重要性,不提如何打胜仗,而是先教大家要有敬畏之心,打仗之前先计算一下胜利的概率有多大。通读《孙子兵法》的人都会有个感觉,这本兵书教大家的不是“胜”而是“不败”。
对于一个企业的决策者来说,对安全建设也应该有一定的敬畏之心,因为在绝大多数情况下,安全是成本中心。对于安全建设的投入需要谨慎,投入资源过多会导致某种程度上的资源浪费。另外,企业安全建设追求的同样不是“胜”而是“不败”。如果想处处胜攻击者一筹,难免会陷入不必要的缠斗当中。
对标孙子对战争的理解,企业安全建设前应该想清楚“为何而战”的问题。不回答好这个底层问题,后面的工作难免走入歧途。下面我们言归正传,看看“五事”到底是什么。
五事之一:道,令民与上同意也
“上下同欲”几乎所有管理者都想追求的效果,很多管理者抱怨下属不听话,跟自己不是一条心。殊不知“上下同欲”的境界并不是身份带来的,而是需要管理者为每成员找到可以奋斗的理由,从而形成自驱型组织。所以,好的组织一定有清晰的价值主张。
对于企业安全团队的建设者来说,在考虑好“为何而战”的问题后。在团队建设时,需要给每个成员同步这个问题的答案。同时,要确保这个战略方向是员工愿意且值得去奋斗的。对于员工的意愿,如果管理者问员工是否愿意为部门的战略目标而奋斗?估计99%的人会给出肯定的答复,谁会愿意当着领导的面质疑战略方向?在这方面,管理者需要有体察人心的能力,和引导能力。
 
五事之二:天,天气、天时
天可以由天气引申为天时,天气对战争的重要性大家都能理解。而诺基亚的首席执行官约玛·奥利拉在宣布同意微软收购诺基亚时,说了这样一句话:“我们并没有做错什么,但不知为什么,我们输了。”诺基亚真的什么都没做错吗?也许在大趋势变化之后,企业还是按照从前的逻辑做事本身就是个错误吧。
在进入一个企业前,要看这个企业和其所在行业总体发展前景如何?如果一个行业在走下坡路,就算是头部企业也难幸免;如果企业在走下坡路,就算安全部门话语权很强,长期看也很难有大作为。
在企业中,最宏观的维度是企业所处的行业的安全形势如何,有没有出现新的竞争对手,或者是不是进入了一个有竞争对手的新领域。这种情况下,可能面临来自对手的攻击行为,需要早做打算。
其次,安全行业近期态势如何?一些新型攻击手段的突然出现,0day的爆发......安全团队要针对行业新动向部署相应的资源和手段,以备不时之需。
再次,企业环境如何?要搞清楚几个问题:企业内部在文化上是否重视安全?安全团队话语权如何?对待安全问题的思路是什么样的?业务安全风险是否很高?一一回答这些问题可以让安全团队的工作更有效率。
最后,看大势不能靠大势。无论是企业,还是个人,都可以顺着大势获得快速的成长。但仅仅依靠趋势获得的繁荣是不可持续的,因为趋势既然能到来就能够衰退。我们要做的是顺势而起的时候保持足够的敬畏心,在有利的条件下不断的夯实基础。
五事之三:地,地形,远近、险易、广狭、生死
地,在战争中指战场,战场的选择对战争极为重要。以近战远,补给方面占优势;守住险要,能做到事半功倍;兵力少的一方在“狭”地,能够弥补兵力的不足;把敌军引入“死地”(沼泽、冰冻的湖面等),可以眼看着敌人覆灭,所谓“居生击死”。
在企业信息安全工作中,战场会在互联网边界、重要区域边界(如节点间、VPN等)、主机间、甚至是业务系统内。我们要善用战场的特点,来组织防御手段。这里引用之前在《对安全工作一些思维定式的反驳》一文中的内容对安全战场进行的分析:
大家可能都听到过这样一个观点,大意是:安全团队的处境很尴尬。因为我们要防守的是个面,甚至是一个“体”。但黑客只需要一个点就可以完成最初的突破。比如:在一个攻城战中,守城方需要将兵力分配到每个门,但进攻方只需要攻下一个城门就可以拿下城市。
但笔者认为技术体系的攻防与古代战争中的攻防是有本质区别的,主要有四个方面:
① 最大的区别就是技术体系的攻防是可以利用自动化工具辅助的,在自动化工具的加持下,并不存在多攻击面分散兵力的问题,真正关键的是对资产和攻击面的梳理;
② 对攻击面的管理权限在防守一方,我们防守的城市有几个门,分别都是什么,这个决定权在防守方手中,善于收敛攻击面是防守方必备的能力;
③ 在攻城战中,破城之后还可以巷战。同理,IT系统也要善于利用纵深防御思想,不要把互联网边界当成唯一的战场,很多情况下横向移动的检测比互联网边界入侵的检测更容易;
④ 我们还可以充分利用信息不对称的客观事实,一方面保护好企业IT架构、IP地址之类的敏感信息,同时利用类似蜜罐之类的诱骗工具,可以提高入侵者的入侵成本。
综上,企业安全团队并不需要给自己增加很多不必要的压力和幻灭感,攻防之间各有优势,作为企业安全管理者,需要充分挖掘自己的优势,打赢这场持久战。
上面这段论述用“地”这个维度重新审视一下,可以理解成,安全运维的难题是没有找到对自己有利的地形和环境。安全管理者要善于将攻击者引入到对自己有利的地形,从而赢得对抗的胜利。怎么找到有利地形呢?还是四个关键词:远近、险易、广狭、生死。
远近:在战争中是作战距离。在网络攻防中,防守方天然就占这个优势,机房就在你身边,最高权限就在你手中,这个优势一定要利用。
险易:险即险要,易即平坦。中国有很多有名的关隘:虎牢关,函谷关,山海关等等。这些都是一夫当关万夫莫开之地。在网络攻防中,最小化各个边界的授权,就把自己的系统变成了IT化的虎牢关。
广狭:在战争中指战场容量,影响能投入的兵力;在商业中指市场容量,影响能投入的资源。在网络攻防中,防守方可以尽量减少不必要的服务和业务,让战场足够“狭”,以便于防守方的发挥。
生死:战争中置之死地很难有“后生”的可能性。在网络攻防中,防守方的蜜罐就是很好的“死地”,但如何有效的困住攻击者是还需要做很多工作。
五事之四:将,智、信、仁、勇、严
网络安全工作与战争类似,充满了不确定性、复杂性和对抗性。古代的一个将军,既要对内能搞定皇帝,又要对外搞定敌人,二者缺一不可。网络安全管理者也是一样,如果不能从内部得到足够的支持,很难在对抗中取得实质性的胜利。随意,网络安全工作与战争都对“将”提出了很高的要求。
智、信、仁、勇、严被称为为将者的五德,关于“五德”,梅尧臣有一个经典的解释:“智能发谋,信能赏罚,仁能附众,勇能果断,严能立威。”
“智”:面对一个复杂的环境,无论是古代的将军还是今天的网络安全管理者都需要有厘清繁杂的现实环境,并制定出行之有效策略的能力,这是基础。
“信”:我认为信不仅仅是赏罚分明,而是出言必践。承诺的工作目标有没有完成?承诺下属的收益有没有兑现?内部成文(或不成文)的规定能不能执行?...信用建立非常难,而破坏却很容易。一般来说,管理者在一件事上失信后会找到一些理由,要知道,员工和管理者之间最大的差别不是能力和职位,而是信息。在高度信息不对称的情况下,任何理由都可能变成借口。所以,“信”对管理者的要求是,轻易不要许诺,许诺就要实现。
“仁”:一群士兵为什么跟着一个将军,一是有智,能打胜仗;二是有信,赏罚分明。这还不够,智和信都解决不了人与人之间情感连接的问题,士兵愿意跟随一个将领出生入死,一定要有情感连接。吴起为士兵吸脓的故事相信大家都听过。网络安全管理者的团队里一般都会有一个或几个有“特殊能力”的人(相信大家都理解),想让这些人不触红线,只靠制度和说教是没用的,管理者需要用“仁”来建立情感连接。有了情感连接一个队伍的战斗力才能得以保障。
“勇”:对士兵来说“勇”是勇敢,对将领来说“勇”是果断和所谓“进步求名,退不避罪”的勇气。对于安全管理者来说,一方面在紧急时刻要做到“善断”而非“多谋”;另一方面,决策后也要有勇于担责的气魄。
“严”:前文提到过“仁”,但只有仁就变成了“妇人之仁”(没有对女性不敬的意思,只是表达一个大意)。梅尧臣也解释了,严能立威。没有威信一个团队就更没有战斗力,仁可以让你感动而泣,严让你不寒而栗。
五事之五:法,曲制、官道、主用也
“曲制、官道、主用”,指的分别是组织架构,人事制度,资源管理。
几乎所有网络安全规范中都有对上述三个方面的要求,笔者刚刚从事安全行业的时候,经常盯着技术方面的工作,对“法”这个维度的事甚至有些嗤之以鼻的意思。但安全体系越往后做越发现这三个方面的工作无比重要。
没有组织架构的支撑,安全团队的级别永远不可能太高;
没有人事制度的支持,团队HC、安全管理者的级别、团队薪资等方面都无法得到保障;
没有物资和财务方面的资源支撑,安全团队的很多构想都只能停留在纸面上。
写在最后,“五事”要在更高维度上统一
宫玉振老师在《善战者说》中提到:“需要注意的是,道、天、地、将、法这五大要素,不是彼此孤立的,而是互为条件、相互支持的,要综合起来看,结合起来看。”最后简单总结一下,“五事”在安全场景中的运用:在合适的时机(天)下,通过建立合适的组织制度(法),建立合适的安全体系(地)。然后用合适的方法(将)管理好团队,从而实现总体目标(道)。

郑重声明:

本站所有活动均为互联网所得,如有侵权请联系本站删除处理

随便看看

文章排行

本栏推荐

栏目更新