作者:时间之外沉浮事
注:某内部以色列网络安全调研报告(非密,公开发行,侵删)。
1、以色列网安发展策略
以色列因与邻国长期处于战乱,以色列的高军事预算、攻防武器研发及全民皆兵制度,被认为是目前网络安全技术及人力的重要关键基础;以色列一开始是向各界寻找资源满足他们的信息化需求,同时引入了国际大厂在以色列设置研发中心,也带来了大公司的经验、知识、物流、人力资源及营销全球的相关资源,辅以推动高科技经济及全球营销的政策方向,加上以色列重视教育并鼓励思辨传统,造就创新不怕失败的民族性格,是他们网络安全技术创新及产业发展亮眼之根源。
以色列打造国家级的网络安全生态圈,主要由政府、企业及学校等 3 个面向来发展。在政府部分,目前是由国家网络安全指导委员会(Israel National Cyber Directorate, INCD)统管整体网络安全的工作,直接对总理负责,约 250 位成员,设有技术研发(Technology Uuit)、安全强化(Robustness Unit)及操作营运(Operation Unit)等 3 个主要单位,分别负责网安技术能量提升、 各层面安全防护指引(如关键基础设施防护、产业引导等)、网安事件信息搜集及处理;另设有支持单位,负责策略规划、国际合作、法律咨询、人事及后勤等。
以色列自 2002 年即建立相关的网安组织进行业务拓展,其相关演进及 作业情况说明如下:
(1) 国家情报安全局(National Intelligence and Security Authority,NISA):
2002 年成立,对信息安全领域的关键基础设施进行规范,其任务包括:认定特定基础建设是否为关键基础设施;关键基础建设中信息相关的人事任命同意权;指导网安相关的政府部门人员;管理辖下机关的关键基础设施的业务面审查和财务审计。
NISA 的审查人员可依法对被监管单位在网络安全系统和关键基础设施上的防护措施进行全面的风险评估和系统性的安全审查,被监管单位须配合办理及时分享信息,否则将受到处罚,在关键基础设施保护上,NISA 扮演监管机构的角色。
(2)国家网络局(Israel National Cyber Bureau,INCB):
于 2012 年成立,主要是以色列将网安发展视同作战,自2011 年起即视国家信息安全为最优先政策,于是成立此组织,负责协调以色列的各政府机关和国防网络安全工作,保护国家基础设施避免遭受网络攻击,并就网路安全领域的立法和法规问题提供总理咨询意见。
(3)网络安全监管机构(National Cyber Security Authority,NCSA):
2016 年于总理办公室成立 NCSA,任务为制定国家网络政策,并促进国家安全方面的应用,亦即制定国家网络安全战略。自 2017 年 3 月以来, NCSA 负责指导各关键基础设施组织,包括以色列电力公司和以色列铁路等如何应对网络风险。
NCSA 于 2016 年提出 4 项国内网络优先发展事项,分别为:提升针对 现在和未来网络挑战的能力;强化以色列国家基础设施的保护能力;提升以色列作为全球信息科技开发中心的地位;鼓励学界、产业界、私人企业、 政府部门之间的跨领域合作。
而针对 CIP(Critical Infrastructure Protection,关键基础设施保护),保护目标扩及全国大小设施,包含:政府机关、银行、部分制造产业、石油、 天然气、水利、电力、医院、通讯、航空、铁路、海运、证券,和社会安全机构。同时,藉由以色列国防军(Israel Defense Forces, IDF)建立符合当局要求的网络安全结构,协助侦防国内通讯系统。
(4)国家网络安全指导会(Israel National CyberDirectorate,INCD):
于 2018 年成立,系以色列政府在 2017 年底将 NCSA 及 INCB 整合为 一个机关,其任务包括保护民用网络空间、发展国家网络防御能力,及提高以色列应对网络安全挑战的能力。INCD 还负责推动提升以色列在网络 领域的国际影响力,特别是在网络相关知识和技术发展方面,希望能占据世界领先地位。
以色列政府部门网络安全战略采 3 层次架构,包含第 1 层“强化平时防护保障能力”(Aggregate Robustness):强调各组织平日即须投注网安防护资源,当单一个体均能做好防护,国家整体防护能量自能提升;第 2 层“强化事件应急处置能力与防护韧性”(Resilience):事件发生实时应急处置恢复运作,注重预警情报分享及漏洞修补;第 3 层“国家层级防御”(National Defense):注重入侵源头追查及事件管理,与情报机关合作,尝试找出攻击者,以全面应对网安威胁。并要求各机关应投入 8%的信息预算在网安相关工作上、各部会的网络监管单位要向委员会汇报相关网安维护计划及作业情况等。
因企业组织无法打造跟其他人分享信息的机制,所以要打造一个国家级的计算机紧急应急处置团队(ComputerEmergency Response Team, CERT)机制,串连国家及产业合作,此外也将各产业区分CERT 出来,由各领域专家提供咨询。国家级的网安监控中心(Security OperationCenter, SOC)掌握国家网络情况,而各企业依其自己的需求及资源情况决定是否成立自己的 CERT 。以色列国家计算机紧急应急处置团队(CERT-IL),该团队设立于 INCD 中,提供网安情报搜集及分析。CERT-IL 非常重视提升民众对信息安全及隐私问题的认识和了解,强调对网安事件进行专业评估的必要性,并向民众发布如何处理事件、防御工具等信息。鉴于全面性进行网安防护的重要性,以色列也规定关键基础设施如发生网安事件须强制回报至CERT-IL,再依网安事件严重程度进行不同层级通报,重要关键基础设施如金融、能源等网安事件则会进一步协调处理。CERT-IL 也与国际 CERT 进行合作,以发挥更大的防护效果。CERT-IL 主要的任务有三:一是调查以及响应网络安全事件,进行公开的评估以及建议;二是协调及处理安全事件;三是公布威胁信息以及防御工具。
2、关键基础设施安全防护
以色列政府部门会就重要的关键基础设施进行辅导及协助,与其共同进行信息分享、安全防护及信息通报,提供经费给中小企业进行网络安全风险评估及网络安全概念宣导。以色列因长年战火使民众对国家安全具有高度认知,在追求安全的目标下,民间团体较易形成良性竞合关系,如 10 家业者组成以色列网络联盟 IC3,协助发展网络安全解决方案,这也是以色列推展网络安全作业的关键因素之一。
其中,包括Cyberbit、 CyberGym等公司均根据政府政策,关注关键基础设施安全防护和演练验证。CyberGym 公司是由以色列电力公司和网络安全顾问公司 Cyber Control 共同出资成立,主要业务为替政府和私人公司提供网络安全实战演练培训课程,针对不同的产业客户,量身发展一套完整的网安教育训练模式,提供仿真的场地及设备,复制实际工作环境流程,在为期数天的训练过程中,培养学员在实际环境中防御网络攻击及处置的能力。
该公司针对关键基础设施安全的攻防训练,注重 2 个部分,分别是SCADA安全防御认知的建构以及区分角色模拟各种网络安全事件的攻防演练。
(1) SCADA 安全防御认知的建构
包含习惯养成,预期不可预期的事(Habit: expect the unexpected),将此认知内化到日常;经验累积,模拟各种情境(Experiences: scenarios),例如:电力系统停摆、通信环境的 DOS 攻击、类似 Stuxnet 的可疑病毒;建立技术,动手实验做累积(Skills:Hands-on),在 SCADA 网络系统中搜寻各种可能的恶意代码,做 Pcap 流量包的分析;建构相关知识(Knowledge)。例如 Modbus 协议、PLC(ProgrammableLogic Controller)与暗黑能量(Black Energy)案例等专业知识。
(2) 区分角色模拟各种网络安全事件的攻防演练
训练团队的技术能力并发展网络上战术性技巧,及持续掌握最新威胁情报,同时也针对带有较高风险的业务活动设计与实施攻防演练,该演练侧重于实际操演,而非纸上谈兵。CyberGym 的攻防演练过程中配置有 4 种角色:
I. 红队(RedTeam,攻击员):执行特定目标的攻击,由来自以色列国防军精英 8200网络情报单位有经验的攻击和防御黑客以及其他网络防御组织的网络安全人员组成。其目标是在 Blue Team 防御的技术环境中执行真实的网络攻击,以训练受训者。
II.蓝队(BlueTeam,防护员):防御、侦测和响应特殊网络安全事件,由跨组织的技术和非技术人员组成,其目标是保护组织的关键资产,同时尽量减 少损失。
III.白队(WhiteTeam,引导员):指派、评估与观察,由以色列国家情报安全局(NISA)退休的专业人员组成,在保护和控制重大网络威胁和攻击关键基础设施方面拥有多年经验,其目标是管理培训课程并协调蓝队和红队。
IV.灰队(GreyTeam,观察员):负责分析与深入调查分析。整体而言,红队利用各种技术和方法来挑战蓝队,蓝队面临攻击则必须识别,捍卫和保护组织安全,白队则负责管理培训和汇报过程,评估蓝队的表现并提供建议。
在培训过程则提供工业和 IT 真实设备并采用实际的动手操作训练(hands-ontraining),如 PLC,防火墙,SCADA,HMI,SIEM,Snort 等。经过以上的训练,政府机关或企业组织即可按下列步骤实施攻防演练:(1)确认演练目标;(2)设计演练情境;(3)协调人员、资源与剧情;(4)发展演练计划与检查表;(5)准备相关工具与环境;(6)动员 Red Team、BlueTeam、White Team、Grey Team 等不同角色执行攻防演练;(7)产生计分机制及报告内容。
3、以色列网络安全产业拓展
网络安全产业在以色列占有重要的经济角色,其约有 50 多个加速器;300多家创投,其中 230 家是全球基金,70 家为本土基金,政府也加入创投角色,投资国内创新,对于创投给与减税优惠;超过 25 家跨国企业在以色列设立创新研发中心;网络安全公司有 300 多家,占全球 10%,年营收40 亿美金, 占全球 5%,以色列吸纳近全球 20%的投资,企业 2015-2016 年被收购价值约 20 亿美金。
而政府也会协助企业,主要是建立平台,让企业以全球作为市场,拓展国际合作,邀请海外投资及参与论坛以寻求合作伙伴等;另外扶助创新产业,补助有发展性的企业投资计划,尤其是风险高的投资项目,由政府从旁协助支持,协助与国际大公司寻求国际合作的机会,补助金额甚至可以到 75%,协助承担创新风险,若创业失败无需还钱,但成功者则须回馈营利。
以色列网络安全创新创业生态圈是由政府-产业-大学形成「三重螺旋」产生交互作用关系。政府部门的主要角色是为打造创新创业生态圈的环境,例如投资资金、税赋优惠、法规制定、园区等。以色列经济部创新局(前身为首席科学家办公室)主导并支持产业研发政策,协助科技发展,利用其科学潜力,强化产业知识基础,激励高附加价值的研发和鼓励国内及国际间的研发合作。
同时政府也协助从业者开发建立加速器和孵化器、创新园区、科学园区及加工出口区等,并由政府带头进驻,对本国企业不断投入资源及资金,如加速器前期的专业指导(1 年有 50 到 80 个项目、3 到 6 个月),加速器时期则有 1,000 万美元的总投资资金(每个项目大约有 5 万到 15 万美金,另外,机器人/金融科技/网络安全领域获投资金额较高,每个项目有 10 万到 25 万美金);
最后则是孵化器时期,每个项目有 80 到 160 万美金的投资资金,可取得20%-33%的股权。其他协助资金投入本土企业的措施,如给予创投业抵税、低税率甚至免税的优惠,在法规上,鼓励产业研发,并减少金融业对创投公司融资的限制。创投公司对以色列网络安全创新公司的投资收益很高,2017 年达 230 亿美金,也造就了创投公司对以色列的投资信心,全球仅次于美国。过去,以色列创投资金主要来自美国的创投公司,但近期已逐渐有亚洲资金注入,显示全球对其网络安全创新的青睐。另外,出身网络安全创新公司的天使投资人踊跃投资网络安全创新公司,也是以色列能持续在全球网络安全创投市场取得多数资金的原因之一。
上一届的 RSA网络安全研讨会有超过 550 家网络安全供应商参展,估计全世界约有 1300 到 1500 家网络安全公司,但大企业只跟其中 70 到 100 家供应商合作,网络安全新创公司的成长挑战越来越大。在种子轮融资方面,单一公司的融资额增加,而获得融资的网络安全新创公司数目却减少,且大量资金涌入新创后期以推动增长和 扩张,融资集中于顶尖的网络安全新创公司。这几年网络安全新创公司已不再热衷上市, 而是追求快速从创投公司融资大量资金来颠覆市场或快速的退出。另外,网络安全新创公司也面临聚焦利基市场与发展为整合产品与服务的两难:聚焦利基市场容易被收购,但估值较低;发展整合产品与服务虽然估值较高,但时间较久、风险较高、潜在并购者也较少,目前是朝整合型产品与服务发展为主。
以色列市场小并无法支撑一个网络安全新创公司太久,所以以色列网络安全新创公司多以 Born Global 为目标,成功案例如研发世界第 1 个防火墙的 Check Point,现已是世界最知名的网络安全公司之一。美国几乎是所有以色列网络安全新创公司的首要目标,一是因为美国约占全球网络安全市场 60%,而大多数的网络安全巨头都是美国公司;二是因为全球投资网络安全新创公司的资金大多来自美国的创投公司,且英文对多数以色列人来说是第二语言,美国又有很强大的犹太或以色列人 的社群关系网络,自然使得美国为首选目标。另外,日本与英国的网络安全市场成长速度十分强劲,而是主要目标。
跨国大企业也支撑着以色列的网络安全生态圈,许多跨国企业如 Motorola、 IBM、Intel、VMware、Cisco 等均在以色列设立网络安全创新研发中心,看重的就是以色列所培养的人才,但其实这些跨国企业带来新观念与技术,一 方面可以把专业知识引进以色列国内,提供创新和技术想法,同时也让年轻人有好的发挥舞台,提供历练机会,造就了以色列的国际人才。
此外,在以色列不论男女,在完成高中教育后皆需要服兵役,服役期间至 少 2~3 年,除了培养独立自主能力外,也提供了集训与协同合作的实战机会,战争讲求速度,训练快速反应及寻找成功快捷方式的能力,虽不完美但符合创新所需的能力,所以其军队是人才培育的重要体系。军队里的人员筛选机制会将入伍人员里具有潜力者安排操作或研发高科技军事武器,甚至纳编至「8200 部队(Unit 8200,网军)」,退伍后,勇于创业者接受政府扶植成立网络安全新创公司,加上军中网络安全专业及人脉,使其网络安全产业自然链结成形。
以色列军事单位所研发的侦测及防御武器,因国家安全考虑,并不贩卖给其他国家,但相关技术会转型与民间公司扩大应用,如地对空侦测技术(含影像、定位)便应用在内视镜胶囊检查(Endoscopycapsules)的健康量测方面,由受检者吞入,排出后由医生再回收诊视。
在公私合作部分,以色列政府也在国家网络局内建立网络战情室,与网网络防御相关的社群、政府机构及私部门共享信息。纳入了学术界、网络研发、 防御等领域的专家,与大学合作进行网络安全防护研究与网络安全人才培养。
有关网络安全产业生态园,最具代表的就是 CyberSpark 生态园区,以色列以技术研发为核心,在南方贝尔谢巴(Beer-Sheba)打造此网络安全生态园区,结合了 本古瑞安大学(Ben-GurionUniversity)、国家计算机紧急应急处置团队(CERT-IL)、网络安全新创企业、学术研究机构及国防部等,吸引多家跨国企业研发中心进驻,形成产、官、学、研间一个自适应的完整生态圈。大学生在学习过程中可以就近实习,而毕业后也可进入网络安全企业或军队服务,实验室研究成果则回馈国家或成立网络安全新创公司,CyberSpark网络安全生态园区展现出较为成功的运营模式。
4、网络安全人才培养
面临网络安全安全人才不足问题,以色列政府采取四要素策略:建立实用的课程、促进未来研发领袖、加强高中计算机学习项目及扩大网络安全科技管道,透过教育向下扎根的方式,强化人才的培育。
以色列从小学教育即强调鼓励理性思考,质疑辩论,挑战威权,鼓 励思考更好的想法与不断地反省,让创新成为生活的习惯与方式。在以色列中学阶段,学校即教授信息安全,另规定要专修网络安全,则另需要修习数学课程,以奠定坚实的学习基础。
从高中开始即有计划跨部合作培养,如 Magshimim(Achievers)计划, 这个计划是以色列国防军联合教育部、非政府组织(NGO)之间的人才培养合 作计划,重点放在训练高中学生的网络技能。另外参与Gvahim(高地)计划的学生,会被要求 900 小时的学习时数。每天都必须学习程序编写、网络设计实施以及如何对抗网络威胁等。
以色列大学负责教育培养创新管理者的促进者角色,除了教学及研究外, 更负责协调产业发展过程中的创新和创业活动。另以色列政府也选定 6 所大 学做为推动网络安全人才培育的重点大学,补助一半经费鼓励学校成立网络安全的专门研究中心,并依各校专长领域进行研究及人才培养,分别是希伯来大学(网络和协议、国际法)、特拉维夫大学(跨学科)、海法理工大学(工程导向)、 巴伊兰大学(加密)、魏兹曼科学院、海法大学(隐私)及本古理安大学(应用研究),提升人力质量,自然产出高质量的科技。相关研究并与产业合作,使研发成果进入既有产业或成立新创公司。以特拉维夫大学为例,其创造了完整的网络安全生态圈,包括学术方面的提供学士学位、网络安全新创企业课程、网络安全新创公司竞赛等。
针对政府机关网络人才培训部分,主要区分为 3 级:第 1 级属于基础的人员,为执行网络安全从业人员,第 2 级属于进阶的人,可再细分为网络安 全技术专员、网络安全方法专员、网络安全鉴识专员及网络安全测试专员,第 3 级为专业级的专家。
不同级别的人力需求需透过国家或国际认证制度以获得对应的相关人 才,即建立网络安全人才认证制度,由以色列民间机构进行基础、进阶、专业网络安全认证制度的推动,且在未来必须要有执照才能担任网络安全职务,每年依科技进展不断更新知识,并通过实际执行业务自我成长,以因应网络安全环境的日益复杂。
另以色列的大学教育并不以就业市场所需人才需求为训练重点,且私人 公司大多喜欢聘用有经验开发工程师,初入社会工作者显少有机会进入网络安全相关公司,针对这问题,以色列资助成立 ITC(Israel Tech Challenge),以编程集训营(DisruptiveTraining Methods)的方式,约 2 至 5 个月完成训练,为特定产业量身打造课程来训练需求人才,也提供了不同背景的人能进入高科技研发领域发展的机会,填补学校到就业市场间的人才需求缺口。