大东:哎呦,还真是,我们已经从8讲到3了,这次该2啦。前面我们系统性地对网络空间安全传统防御和先进防御态势特点及其未来演进方向进行了分类,聚焦探讨了“黑客”们发动网络攻击时的典型场景和基本原理,阐述了网络空间安全专业学科领域分科治学的方法论。
小白:还基于攻防两条主要线索对网络安全企业对整个行业发展脉络的观测视角展开了分析,同时对专业学生科研攻坚的四个宏观方向、走向职场之前必须具备的五项重要能力的塑造提出了若干建议。作为新时代网络空间安全专业学生,我深感使命重大。
大东:是的,小白,祖国的未来需要你们这一代建设。但是你想想,还有哪些重要的内容我们没有探讨?
小白:嗯,我觉得是情报的博弈,这可是网络安全领域一块重要内容。
大东:是的,这块正是我今天要讲的内容,我把它命名为“两个情”。
小白:这真是“两情若是久长时”。
大东:网络安全的世界固然纷繁复杂,然而在前序“从8到3”系列文章的条分缕析、抽丝剥茧般拆解、剖析过程中,不难发现,网络安全行业领域的发展主线,素来脱不开“攻、防”两大研究对象的此消彼长。
小白:那“两个情”体现在哪里呢?
大东:“两个情”是指:“已知情报”和“未知情报”,它们将网络空间安全专业领域看似混沌的情报博弈世界还原为清晰“二元”格局的过程。
大东:在“三个科”中,我们提出了空间维的三要素——世情、国情和产情,空间维是两个情——“已知情报”和“未知情报”的观测基座。但是,你知道情报的概念吗小白?
小白:我搜了一下:情报(Intelligence)一词来源于军事领域,指的是已获得的敌方军事、政治、经济、科学技术、地理等战略要素情况。
大东:对。网络空间安全领域的情报,主要是红蓝对抗双方的威胁情报博弈,博弈的先机源于对情报的预先掌握和精准感知。
大东:是的。辨析情报并非瞄准一时的风向,而是要真正看清隐藏在情报与事件背后的规律,因为矛盾的情报很多,所以这一点反而很难实现;此外,辨析主体的价值观也会对情报博弈的过程和结果产生影响。有时,囿于情报主体的具体处境、认知状态等因素,其辨析能力境界稍显逊色,因此情报的挑战在于知的能力,也就是发现的能力。
大东:哈哈。因此,“两个情”的“两”就重点着眼在“已知”和“未知”,可分为四个象限,分别是:已知的已知,已知的未知,未知的已知,未知的未知。
大东:“两个情”方法论的深层逻辑,可以引导各类组织通过威胁情报博弈能力的逐级跃迁,让小到企业、单位,大到地区、国家,因地制宜掌握网络威胁情报研判的理论依据和实操抓手。
大东:正是,小白进步很大。对于网安对抗双方来说,威胁情报先知可以视为一种“单向透明”能力优势。这种能力的体系化建设可以从标准统一和深化外延两个方面着手。譬如,标准统一目前产业界和学术界都在做威胁情报的标准制定,而我认为标准应该更加宏观的、从用户视角对网安领域做标准模型统一。
大东:此外,从深化外延的角度来看,站得高才能看得远,看得远才能看得见更多看不见的情报,因此情报的先知也应重点考虑联合,从企业、单位的联合,到地区、国家的联合,只要实现有效联合,就可以形成与时俱进的情报先知能力。
小白:威胁情报的博弈,确实需要着重思考,这次课受益匪浅。从“八个打”到“两个情”,东哥的网安理念研讨课经历了从具象到抽象、从聚焦到收敛的总体脉络,下一期要讲“1”啦,我觉得应该是讲安全事件,这个该怎么学习啊,想一想很难,期待哦!