一、小白剧场
小白:东哥,前几次你给我讲了网络空间安全的“八个打”、“七宗罪”、“六个看”、“五个能”、“四个学”和“三个科”,今天讲点啥啊?
大东:哎呦,还真是,我们已经从8讲到3了,这次该2啦。前面我们系统性地对网络空间安全传统防御和先进防御态势特点及其未来演进方向进行了分类,聚焦探讨了“黑客”们发动网络攻击时的典型场景和基本原理,阐述了网络空间安全专业学科领域分科治学的方法论。
小白:还基于攻防两条主要线索对网络安全企业对整个行业发展脉络的观测视角展开了分析,同时对专业学生科研攻坚的四个宏观方向、走向职场之前必须具备的五项重要能力的塑造提出了若干建议。作为新时代网络空间安全专业学生,我深感使命重大。
大东:是的,小白,祖国的未来需要你们这一代建设。但是你想想,还有哪些重要的内容我们没有探讨?
小白:嗯,我觉得是情报的博弈,这可是网络安全领域一块重要内容。
大东:是的,这块正是我今天要讲的内容,我把它命名为“两个情”。
小白:这真是“两情若是久长时”。
二、话说“两个情”
小白:东哥,那么“两个情”包含哪些主要内容呢?
大东:网络安全的世界固然纷繁复杂,然而在前序“从8到3”系列文章的条分缕析、抽丝剥茧般拆解、剖析过程中,不难发现,网络安全行业领域的发展主线,素来脱不开“攻、防”两大研究对象的此消彼长。
小白:那“两个情”体现在哪里呢?
大东:“两个情”是指:“已知情报”和“未知情报”,它们将网络空间安全专业领域看似混沌的情报博弈世界还原为清晰“二元”格局的过程。
小白:哦,“已知情报”和“未知情报”。
大东:小白,你还记得“三个科”吗?
小白:当然啦,上期刚刚讲过。
大东:在“三个科”中,我们提出了空间维的三要素——世情、国情和产情,空间维是两个情——“已知情报”和“未知情报”的观测基座。但是,你知道情报的概念吗小白?
小白:我搜了一下:情报(Intelligence)一词来源于军事领域,指的是已获得的敌方军事、政治、经济、科学技术、地理等战略要素情况。
大东:对。网络空间安全领域的情报,主要是红蓝对抗双方的威胁情报博弈,博弈的先机源于对情报的预先掌握和精准感知。
小白:这个我理解,这点恰恰契合了《孙子兵法》里“情先于事”的论断。
大东:优秀啊小白,你的理解很到位。谈到情报,不得不对其中的“情”字展开分析,情绪、情形、情况都蕴含着变化,如何感知这个变化就可以成为网络安全研究的重点。
小白:你这么一说,事和情总放一起说,这两有区别吗?
大东:是的。我们说情报的“情”,也可理解为情绪的延伸,实际上暗含了一定的主观因素,也就是情报主体主观认为需要获得的信息,属于“情报”的范畴,譬如军事中将领对作战情报的结论会直接催动“形”的变化;而客观因素可侧重理解归属于客观存在的“事件”范畴。“情”和“事”,可视为网安对抗棋谱的黑白棋子,一以贯之却不可混淆。
小白:王右军在《兰亭集序》里发出“情随事迁,感慨系之矣”的喟叹,岂非说明了事件是情报的载体这样一个道理?
大东:小白你最近对国学造诣很深啊!的确,二者之间更似“思考”和“实践”的辩证统一关系:知情,是指研判情报提高的是知晓能力,对应思考;而识事,则是了解事件提高的是辨识能力,对应实践。
小白:学而不思则罔,思而不学则殆。
大东:是的。辨析情报并非瞄准一时的风向,而是要真正看清隐藏在情报与事件背后的规律,因为矛盾的情报很多,所以这一点反而很难实现;此外,辨析主体的价值观也会对情报博弈的过程和结果产生影响。有时,囿于情报主体的具体处境、认知状态等因素,其辨析能力境界稍显逊色,因此情报的挑战在于知的能力,也就是发现的能力。
小白:哦,我学过异常行为发现,是说这个发现吗?
大东:可以这么认识,全面地料敌于先、谋敌在前,更迅速地掌握威胁情报博弈的价值阵地,更科学地根据威胁对象、威胁来源、威胁方法对威胁情报进行分类拆解,进而针对攻击面、攻击者、攻击手段、攻击态势开展精准布局,才能够实现运筹帷幄、算无遗策的威胁情报博弈目的。
小白:谈笑间,樯橹灰飞烟灭。
大东:哈哈。因此,“两个情”的“两”就重点着眼在“已知”和“未知”,可分为四个象限,分别是:已知的已知,已知的未知,未知的已知,未知的未知。
小白:好像绕口令啊,这个怎么理解?
大东:可从是否知己知彼的角度思考,譬如已知的未知就是已知己方的脆弱性,未知彼方的攻击方法。从这四个象限来感知情报就可以持续性提升异常发现能力,从而逐步达成准确研判。
小白:原来如此,明白了东哥。
三、大话始末
大东:“两个情”方法论的深层逻辑,可以引导各类组织通过威胁情报博弈能力的逐级跃迁,让小到企业、单位,大到地区、国家,因地制宜掌握网络威胁情报研判的理论依据和实操抓手。
小白:我觉得现实中的威胁情报博弈之所以对很多单位造成较大困扰,主要是原因是“不可见”——正因为威胁情报看不见、摸不着,才导致大量的“事后诸葛亮”,甚至遭受网络攻击后依然不知道被攻击的尴尬境况。
大东:正是,小白进步很大。对于网安对抗双方来说,威胁情报先知可以视为一种“单向透明”能力优势。这种能力的体系化建设可以从标准统一和深化外延两个方面着手。譬如,标准统一目前产业界和学术界都在做威胁情报的标准制定,而我认为标准应该更加宏观的、从用户视角对网安领域做标准模型统一。譬如,“数字中国”包括数字乡村、数字政府、数字经济等等,那么数字中国的网络安全就可以建设一套网安指标体系标准系统化设计,这套体系的目标应该可以让客体对象具有数字安全高韧性,进而实现数字安全领导力。
小白:东哥,这不就是你上次提及的网安对号领导力模型吗,原来是从指标角度着手。
大东:此外,从深化外延的角度来看,站得高才能看得远,看得远才能看得见更多看不见的情报,因此情报的先知也应重点考虑联合,从企业、单位的联合,到地区、国家的联合,只要实现有效联合,就可以形成与时俱进的情报先知能力。
四、小白内心说
小白:威胁情报的博弈,确实需要着重思考,这次课受益匪浅。从“八个打”到“两个情”,东哥的网安理念研讨课经历了从具象到抽象、从聚焦到收敛的总体脉络,下一期要讲“1”啦,我觉得应该是讲安全事件,这个该怎么学习啊,想一想很难,期待哦!
来源:中国科学院信息工程研究所
转自:“中科院之声”微信公众号
如有侵权,请联系本站删除!
