——HW思考系列：检测只是开始，调查才能结案

　　五年的HW行动，将网络安全从合规时代，带入实战化时代。面对这一变化，安全理念应如何进化，安全产品应如何进阶?

　　合规的价值和不足

　　网络安全合规时代，最大的成就是，让大家配齐了网络安全老三样(防火墙、防病毒、入侵检测)等产品，相当于筑起院墙、装上大门，使得普通人不再能随意出入你的领地，侵犯你的隐私，威胁你的财产，但对于能翻墙入院的小偷，这样的措施收效甚微。于是，大家自然而然地对当前的防护措施进行加固、升级，在墙上加装铁丝网，安装更为坚固的防盗门，增加防盗窗，配上门卫(身份认证)，聘请总管(安全服务商)，有时甚至是配上不同的防盗门，层层设防。这些改进取得一定效果，能应对初、中级小偷，却无法阻挡能自制万能钥匙的惯偷。随着互联网的普及，学习制作和购买万能钥匙的门槛降低，具备惯偷级别能力或者拥有万能钥匙的潜在犯罪分子越来越多。面对能力快速提升的对手，筑更高的墙已不能解决问题，还会带来巨大的财务成本、糟糕的用户体验，我们需要寻找新的解决方案。

　　寻求问题的本质

　　网络空间已成为海、陆、空、天以外的第五大国家主权，然而网络空间的出现才短短几十年，还在不断成长、变化，要一眼看清其本质，存在巨大挑战。事实上，安全问题由来已久，并不是网络世界独有，社会治安领域的安全已有几千年的历史。犯罪率是衡量社会安全程度高低的指标。犯罪率高，则盗贼公行而弗能禁，社会缺乏安全感;犯罪率低，则路不拾遗，夜不闭户，社会充满安全感。建设充满安全感的社会，只需将犯罪率控制在一个较低的范围。

　　控制犯罪率，可以从如下三个方面实现：不能犯罪;不敢犯罪;不愿犯罪。

　　(1)不能犯罪，是指犯罪分子因客观原因无法实施犯罪或达成犯罪目标。从犯罪分子方面出发，只能通过收缴犯罪分子作案工具的方式，使其犯不了罪，而这显然无法实现，因为可以实施犯罪的作案工具太多——枪可以，刀可以，板砖可以，拳头也可以……禁无可禁，收无可收。从受害者方面出发，只能通过提升自身防护能力，将其武装到牙齿，使其强大到让犯罪分子伤害不了，而这一方面成本高，难以普及，另一方面体验也会很差。

　　(2)不敢犯罪，是指犯罪分子因担心承担后果，不敢实施犯罪行为。要达到震慑犯罪分子，使其不敢犯罪的目的：首先，需要制定法律法规，实现有法可依——明确地告知犯罪分子，犯了什么样的错就会受到什么样的惩罚。其次，需要强大的破案能力——只要犯罪分子犯了案，就能被查出来，将前面的会变成事实，实现违法必究。然而有法可依容易，违法必究却难。从最早的《汉谟拉比法典》，到现在的各种法律法规，各个时代法律都非常齐全，但破案能力却严重欠缺。很多案件只能寄希望于遇到包青天福尔摩斯李昌钰。显而易见，神探是稀缺物种，因此破案率始终不理想，也就难以真正震慑到犯罪分子。

　　(3)不愿犯罪，是指犯罪分子内心没有犯罪意愿或动力。犯罪是因为犯罪分子自身的某些需求无法满足，需要通过犯罪的方式获得。如果犯罪分子所有的需求都被满足了，也就不存在犯罪动机了。而我们有时竟能听到不缺钱的人实施偷窃的案件，这种情况犯罪分子不存在金钱方面的需求，而是其他需求导致了偷窃。要满足任何人的全方位的需求，使任何人都没有犯罪动机，在可见的将来都是不现实的，也许存在于理想国中。综上所述，不能犯罪方面，收缴犯罪工具显然无法全面落地，而通过提升潜在受害者自身防护能力，则受资源、成本、用户体验等因素的制约，可提升空间有限。不愿犯罪方面，除非人人都达到从心所欲而不逾矩的境界，否则至少目前阶段，缺少落地的可能性。不敢犯罪方面，在有法可依的前提下，做到违法必究，震慑潜在的犯罪分子，使其不敢犯罪，从而降低犯罪率，是可能的方向。达成违法必究的目标，关键在于如何提升破案能力。提升破案能力，几千年来一直都是难题，而我们国家近二十年来在这方面的努力和实践说明，完全可行。

上图：严重暴力犯罪变化趋势图

　　上图是最高人民检察院2020年5月25日工作报告中对近二十年严重暴力犯罪情况的统计。从数据看，目前严重暴力犯罪的犯罪率不到峰值时的1/3，尤其近十年更是大幅下降，而这期间法律没有大的变化，GDP增速也低于前十年，为什么犯罪率却有这么大幅度的下降呢?最大的变化是平安城市天网工程雪亮工程等的逐步落地，发挥出越来越大的作用。现在的案件侦破，通常是通过调取案发地的监控摄像，锁定嫌疑人，然后结合其他监控摄像，确定嫌疑人的行踪和落脚地，实施抓捕和审讯，完成破案。通过构建必要的基础措施，降低破案难度，即可大幅提升整体破案能力。现在，普通警察的破案能力和效率，甚至高于以往的神探们，由此极大地震慑了潜在的犯罪分子，使其不敢再冒险犯罪，这是近二十年来暴力犯罪率大幅下降的原因所在。

　　三、网络安全，路在何方

　　网络世界并不是一个全新的世界，它是现实社会的延伸——主导网络世界的是人，网络犯罪的主体是人，犯罪的目标还是获利或者伤害(破环)——同现实社会并无不同，改变的只是作案工具。他山之石，可以攻玉，社会治安领域的成功经验，可以在网络安全领域借鉴和应用。合规时代让我们筑起了院墙，安上了防盗门，配上了保安，构建起了防控体系，可以有效应对偷窥和小偷小摸的行为。但随着互联网的快速发展，具备较高能力或者拥有先进工具的犯罪分子越来越多，加上网络无国界的特性，网络安全已进入实战时代。实战时代，在防控体系之外，应建立类似于雪亮工程的监察体系，降低破案难度，提升破案能力和效率。防控体系的目标是让普通人不要或者不能越界，而监察体系的目标是让犯罪分子无所遁形。在网络世界的重要节点、系统、应用中部署探头，记录发生的行为，在管理区域部署监控中心。有了这些监察体系所需的基础设施，一旦发现可疑行为或者可疑人员，安全人员利用采集的数据和先进的技术手段，进行高效且全面的追踪调查，完成破案，阻止犯罪分子的进一步行为，让犯罪分子知难而退或者承担法律后果。以近几年的HW实践，红队成功拿下目标的案例，通常需要很多步，10步，甚至20步，从结果看，显然蓝队没有一款产品能将每1步的威胁都检出，但在事后回溯分析的时候能发现，这些案例中，红队在其中的某些环节的行为，并未躲过蓝队安全产品检测，已触发告警，仅是因为蓝队一方面不同环节采用不同的产品，相互之间的协调存在问题，另一方面安全产品往往只对检出的威胁进行告警和描述(侧重在说明该告警是正确的，不是误报)，缺少对告警之外的行为提供深入分析的支持。一句话，当前的网络安全产品是为检测设计的，而不是为调查设计的。

　　四、有案必破，天下无贼

　　有了监察体系，使得复杂案件的破获有了可能，但到底应该如何开展调查，实现结案，将可能转变成必然呢?让我们再次回望现实社会，社会治安领域，办案流程可分为四步：报案 、立案 、破案 、判案 。

　　报案 ：是指发现案件的线索，线索可以是受害者提供，也可以是目击者提供，甚至可以是基于怀疑而提供。比如，朝阳大妈发现形迹可疑的人即可报案，不一定需要看到案件的发生。

　　立案 ：警方基于线索，结合既有经验，案件的重要性等综合因素，将大量的案件线索做一个筛选，将相对重要的，符合立案要求的案件予以立案。一旦立案，无论案件大小，时间跨度多长，案件都会有全面、详细的记录和进展通报，直至侦破，结案。

　　破案 ：对于立案后的案件，以初始线索为起点，警方不断开展拓线工作，搜寻能确定案件性质和责任的所必需的各种证据和相关人员，直至形成完整的证据链。破案是一个不断推理、验证，直至案件相关证据链构建齐全的过程。

　　判案 ：各方围绕证据链进行辩论和确认，也可按需补充相关证据，完善证据链，直至所有结论没有疑问，法官依据法律法规对案件进行判决。

　　雪亮工程等，改善的是破案环节。将原本存在巨大不确定性的，大海捞针般的寻找蛛丝马迹，寻找目击证人，转变成了简单、明确的监控录像调阅，活动轨迹查看，最终落脚点确定的过程;将原来复杂的推理验证工作，变成简单的图像对比工作;将原来需要几天，几个月，甚至几年的工作量，缩减到几个小时到几天;将原来需要唇枪舌剑，激烈PK的证据链构建和确认过程，变成简单，轻松的录像回看。

　　对照社会治安领域的办案流程，不难发现，现有网络安全体系存在巨大缺陷：第一，缺失关键环节，也即破案环节(报案-检测;立案-关联分析，过滤;破案-无;判案-处置)。在社会案件中，已报案信息，未经破案过程，直接判案，是不可想象的，而网络安全领域却一直在这么做，甚至仍希望继续这么做;第二，混淆不同阶段的职责。以报案信息，做判案依据，将破案环节的责任强加给报案环节。这也是造成很多平时看起来无所不包，无所不能的网络安全平台，一到实战就成了举步维艰，甚至一无所能的摆设的根因所在;第三，将报案环节的误报率，漏报率，作为衡量办案能力的指标。破案能力(破案率)和破案效率才应是衡量整体安全能力的核心指标。

　　结合网络安全自身的特点，我们合并报案和立案两个环节，调整为发现 ，破案环节调整为调查 ，判案环节调整为处置 。

　　经此调整后，每个阶段的角色和职责一目了然，又适合网络安全场景。以破案为中心，建设基础防控能力、全面监测能力、高效调查能力，以及联动处置能力，为实现高效破案提供支撑和保障。基础防控能力通过防火墙、WAF、杀毒软件等常规的安全产品构建;全面监测能力通过全流量监测与分析、终端监测、应用审计、大数据、人工智能等产品或技术构建;高效调查能力通过关联分析、可视化、交互式分析、大数据、人工智能等技术构建;联动处置能力通过同第三方安全产品联动，将威胁进行阻断或者隔离，消除威胁或阻止其扩散。一旦发现可疑线索或安全事件，安全人员基于收集到的全面且必要的安全相关数据，利用可视化、交互式分析、机器学习等技术，高效的展开调查、取证，再通过防控机制进行响应、处置。

　　兰 云科技认为：网络安全实战时代，我们应 摈弃以误报率，漏报率为 核心 衡量 指标 的 安全理念 ， 践行 以 破案 为中心 ， 以破案能力和破案效率为 核心 衡量 指标 的新型安全理念 ， 建设 以发现 、 调查 、 处置为主线的实战化网络安全体系。

　　兰云科技的定位是：为网络安全人员提供强有力的系列工具—兰眼调查者，提升他们的破案能力和破案效率。使网络安全领域，有 案 必 破，天下无贼 !