严重暴力犯罪变化趋势图

上图是最高人民检察院2020年5月25日工作报告中对近二十年严重暴力犯罪情况的统计。从数据看，目前严重暴力犯罪的犯罪率不到峰值时的1/3，尤其近十年更是大幅下降，而这期间法律没有大的变化，GDP增速也低于前十年，为什么犯罪率却有这么大幅度的下降呢？最大的变化是“平安城市”“天网工程”“雪亮工程”等的逐步落地，发挥出越来越大的作用。现在的案件侦破，通常是通过调取案发地的监控摄像，锁定嫌疑人，然后结合其他监控摄像，确定嫌疑人的行踪和落脚地，实施抓捕和审讯，完成破案。通过构建必要的基础措施，降低破案难度，即可大幅提升整体破案能力。现在，普通警察的破案能力和效率，甚至高于以往的神探们，由此极大地震慑了潜在的犯罪分子，使其不敢再冒险犯罪，这是近二十年来暴力犯罪率大幅下降的原因所在。

三、网络安全，路在何方网络世界并不是一个全新的世界，它是现实社会的延伸——主导网络世界的是人，网络犯罪的主体是人，犯罪的目标还是获利或者伤害（破环）——同现实社会并无不同，改变的只是作案工具。“他山之石，可以攻玉”，社会治安领域的成功经验，可以在网络安全领域借鉴和应用。“合规”时代让我们筑起了院墙，安上了防盗门，配上了保安，构建起了防控体系，可以有效应对偷窥和小偷小摸的行为。但随着互联网的快速发展，具备较高能力或者拥有先进工具的犯罪分子越来越多，加上“网络无国界”的特性，网络安全已进入“实战”时代。实战时代，在防控体系之外，应建立类似于“雪亮工程”的监察体系，降低破案难度，提升破案能力和效率。防控体系的目标是让普通人不要或者不能越界，而监察体系的目标是让犯罪分子无所遁形。在网络世界的重要节点、系统、应用中部署“探头”，记录发生的行为，在管理区域部署“监控中心”。有了这些监察体系所需的基础设施，一旦发现可疑行为或者可疑人员，安全人员利用采集的数据和先进的技术手段，进行高效且全面的追踪调查，完成“破案”，阻止犯罪分子的进一步行为，让犯罪分子知难而退或者承担法律后果。以近几年的HW实践，红队成功拿下目标的案例，通常需要很多步，10步，甚至20步，从结果看，显然蓝队没有一款产品能将每1步的威胁都检出，但在事后回溯分析的时候能发现，这些案例中，红队在其中的某些环节的行为，并未躲过蓝队安全产品检测，已触发告警，仅是因为蓝队一方面不同环节采用不同的产品，相互之间的协调存在问题，另一方面安全产品往往只对检出的威胁进行告警和描述（侧重在说明该告警是正确的，不是误报），缺少对告警之外的行为提供深入分析的支持。一句话，当前的网络安全产品是为“检测”设计的，而不是为“调查”设计的。

网络安全实战时代，检测只是开始，调查才能结案！如何调查？如何结案？如何让你的办案能力超越福尔摩斯？且看下回分解！