版权归原作者所有,如有侵权,请联系我们

草船借箭——应急响应·妙计

CCF计算机科普
由中国计算机学会主办,提供优质的计算机科普内容。
收藏

一、草船借箭

大东:之前我们谈了应急响应全球化之锦囊。提问时间到:小白,你觉得在数字中国建设背景下,应急响应能力建设应该考虑哪些方面呢?

小白:那就是要围绕“预”这一科学目标从“三优”维度分析,即优势、优化、优先。

大东:不错,看来上一讲的知识消化良好,提出表扬。

小白:谢谢东哥。

大东:咦,你在看《三国演义》啊!

小白:是的东哥,正所谓“不谋万事者不足以谋一时,不谋全局者不足以谋一域”。这本书里面很多战略思想和妙计可以触发战略思维的升级。比如我现在看的“草船借箭”这部分,就是孔明充分估计了战局形势,剖析了敌我优势劣势,开展了场景推演后,执行的优选策略,令人击节!

大东:你说的没错,看来是总结了很多,思考了很多。草船借箭这部分的故事,我也很喜欢,而且我觉得,这部分故事与威胁情报有关。

小白:东哥速速道来,我已迫不及待~~

二、 事先:“四量

大东:我们今天的主题仍然是威胁情报全球化网络建设的中观分析,也就是妙计,那么就要从威胁情报的“四量”说起。

小白:何为“四量”?

大东:存量、增量、变量、能量。

小白:懂了,我认为存量是大东话安全的网安热点事件库。全球化网络建设下,威胁情报的流动性和复杂性增加了不少,因此可以根据安全事件的历史发展脉络探寻期内生逻辑和演进规律。

大东:是的,这也意味着可以建立一个强大的全球合作网络来共同盘点存量,分析规律。

小白:上次东哥提到的共享机制,也可以面向存量历史事件库递进式开展,以便及时了解全球威胁动态。

大东:你说的没错。增量,就是根据历史事件升华凝练的安全情报库,这个理念你可以借用稀疏矩阵的映射逻辑来类比。

小白:那么什么是变量呢?

大东:其实,存量和增量都是都是聚焦于网安威胁情报领域,但是网安事件的深度分析还需要进一步考虑带外情报,譬如跳出网安领域从全球产业链视角做产业情报分析,得出的威胁带外情报库可以称为“变量”。产业情报库的功能就是结合产业行业的情报信息,更全面分析威胁情报的来源和目标。

小白:明白,而且产业情报观测视角也需要不断更新,以及时动态调整,适应不断变化的威胁情报发展形势。

大东:“能量”可以理解为面向产业数字化场景的、具有网络威胁应对能力的沉淀库,因此产业数字化场景库的构建至关重要,这样才能够对威胁情报的推演和预测提供背景和环境。能量聚合是四量的核心目标,可以用一个“积”字加以概括。

小白:明白了。

大东:你有没有发现,这“四量”内部也有一个“由窄到宽”的演变规律?

小白:嗯, 发现了!

大东:非常好,你已经get到了要点。

三、 事前:“四知”

大东:小白,“四知”你知道吗?

小白:之前的《两个情》讲过已知和未知,是和这个有关系吗?

大东:应急响应下的威胁情报“四知”为:应知、深知、专知和先知。

小白:怎么讲?

大东:首先来说“应知”。应知就是威胁情报从业人员默认应该知道却往往不知道的情报。比如,已经存在很久的Nday漏洞的情报,而网安有关从业人员却对此一无所知,这就会埋下很大的隐患。

小白:那“深知”呢?

大东:“深知”已经比“应知”递进了一个层次,它是指在获得了“应知”情报能力的基础上继续按图索骥,探寻未知情报。通过不断纵深挖掘事件的方式,就能更加深入地掌握安全事件的内在演进机理和逻辑脉络。

小白:如何挖掘呢?

大东:还是回归到全球视角之安全事件这张图。比如沿着勒索病毒的事件的时间轴,针对相关勒索组织情况做分类分析,可以得出勒索病毒的代码特征是有规律可循的,这样就可以做定向的代码特征分析。如果进一步对其背后的勒索黑客组织开展定向研究,那么应急响应能力就会进一步提升,也就是我们常说的“只见树木不见森林”。

小白:明白了。那么”专知”该如何理解呢?

大东:“专知”就是独门手艺,具有独特性。

小白:就像诸葛孔明的“木牛流马”?

大东:有点类似。也比如钱钟书的著作《管锥编》。其实《管锥编》里面的知识都可以公开查阅到,但是钱钟书先生利用他强大的国学知识体系进行了一场史诗级总结,用独特的方式将别具一格的国学知识体系呈现给读者。

小白:具备“专知”能力也就是说纵使我有本事且告诉了你,你也看不懂,够凡尔赛。

大东:的确。其实“专知”也给了我们一点启示,就是看不懂并不代表没有价值,而是要跳出网络安全思维来分析网络安全的事件,比如可以切换到产业链、供应链的视角去观测网络安全学科领域的演进规律,进而获得“专知”。

小白:妙哉!那么“先知”呢?

大东:“先知”是“四知”的最高境界,也是威胁情报领域不断探索、追寻的核心目标。

小白:我明白了,孔明的“草船借箭”岂非恰是一种“先知”,运筹帷幄,决胜千里!

大东:没错。

小白:那么在威胁情报领域,如何能够成为像孔明一样的先知呢?

大东:这就需要打通从“专知”到“先知”的闭环链路,不能一蹴而就。从事先、事前、事中、事后四个维度全方位开展威胁情报预警响应能力建设,实现对威胁情报了如指掌的战略目标。

小白:是的。我又想到了“蒋干盗书”这个故事,周瑜对蒋干的所有行为、心态都已经开展了全方位的揣摩、推演,所以也是“先知”的经典案例啊!

大东:《三国演义》类似的先知故事很多,像陆逊的“火烧连营”,诸葛亮的“铁锁连舟”,曹操的“乌巢烧粮”等,也都是穷尽场景推演进而决胜千里的“先知”典例,值得我们借鉴、思考。通过这些案例,我们不难发现,其实这些“先知”,作为威胁情报的关键性输入,大多会对战机的把握起到关键性作用。

小白:嗯嗯,活学活用最关键。

大东:我们小结一下,“四知”的核心目标可以用一个“知”字加以概括。俗话说“知己知彼百战不殆”,到底是真知己还是假知己,谁也不知道,这就是“应知”要解决的问题:我以为我知道了,其实我不知道,这就是应知的未知,所以要构建应知能力;建立了应知能力才能继续构建深知、专知,最终实现“知”目标。

小白:嗯嗯。

大东:要不“四知”能力建设的演变规律你提提?

小白:我想应该是——“由浅入深”对吗?

大东:孺子可教也!

四、事中:“四跑”

大东:其实事中这一阶段,可以用“四跑”理论来解释概括。

小白:“四跑”就是你经常说的会跑、跟跑、并跑、领跑?

大东:对的。事中代表着安全事件正在发生中,这个时候就需要网安应对能力跑起来。

小白:会跑我理解就是要建立全天候全流量全局性的态势感知能力。

大东:那么跟跑呢?

小白:跟跑我理解就是要及时跟踪全球威胁情报能力演变情况,不断优化现有的安全防护能力。

大东:理解得不错,并跑呢?

小白:并跑我理解就是应对能力要达到全球标准,也就是说要具备与时俱进的能力。

大东:如果是面向数字政府这种场景,需要如何设计?

小白:我认为应该充分利用基础运营商的网络资源,全面提升资产测绘、威胁监测、威胁预警、威胁处置、攻击溯源、情报协同、攻防一体的安全服务能力,从而实现全方位感知网络空间安全态势,协助有关部门快速梳理互联网资产暴露面,解决国内外非法网络攻击的监测预警、情报协同问题,缩短“感知-行动-决策-响应”周期。

大东:没错。所以,这就要求面向威胁情报的安全运营能力实现从应急到应对的提升。那么,领跑呢?

小白:我理解是不是就要从建立数字指标标准的目标出发,譬如统一多元数字安全韧性能力建设体系,从韧性指标出发,充分考虑抗毁、弹性、快速重构等设计目标;同时,还可在大模型的基础上,智能构建推演持续丰富深化的应用场景,这样就可以稳步实现“领跑”能力。

大东:讲的非常好。四跑的核心目标是“处”,实施处置,减少损失。

小白:那么“四跑”内部的演变规律,应该是由内而外对吧?

大东:恭喜你啊,都会抢答了!

五、事后:“四因”

小白:那么在威胁情报全球化建设过程中,事后这一阶段妙计如何实施?

大东:这部分可以通过“四因”脉络来诠释。四因是指诱因、起因、成因、归因,通过总结经验最终推出原因。

小白:这个有具体应用案例吗?

大东:你想一想今天的主题~

小白:草船借箭?

大东:没错。“四因”完全可以借助草船借箭的案例来诠释。你觉得草船借箭的诱因是什么呢?

小白:三国演义里赤壁大战之前,两方实力不对等,吴蜀缺箭,那就得想办法。办法也许不一定是借箭,也可以造箭,反正得想办法把缺箭的短板补齐。

大东:是的。这就是草船借箭这个故事的诱因。

小白:那么,起因是?

大东:这件事的起因是周瑜故意提出限十天内造十万支箭想难为诸葛亮,诸葛亮却在鲁肃的帮助下巧妙地借到了箭,实现了攻防优势逆转。

小白:那么成因呢?

大东:成因就是这个事情直接办成的原因。你觉得有哪些呢?

小白:我觉得主要是因为当时赤壁鏖战一触即发,曹军处于实时备战状态,所以才会有大量弓箭,这才让诸葛亮捡了便宜。

大东:这是一个原因。另外,还有一个原因就是鲁肃帮助诸葛亮筹措了大量草船,大雾的天气也天然阻碍了曹军的视域,帮了孔明的忙;而且,借箭这招史无前例,曹军想破脑子也无法想出。

小白:妙哉,那么归因呢?

大东:归因当然是诸葛亮算无遗策、料事如神啊!曹操这个对手太牛了,难怪栽跟头。

小白:确实啊,能赢了曹操的人翻遍《三国演义》也是屈指可数的。

六、小白内心

小白:今天东哥的“四量”、“四知”、“四跑”、“四因”真是精彩绝伦,我得好好消化一下。下一讲,是不是要讲“靠谱”啦!让我们拭目以待吧!