5月6日,由華雲安承辦的2022網絡安全運營技術峰會(SecOps2022)圓滿舉行,會議以「數字時代,安全從攻擊面管理開始」為主題,匯聚國內知名諮詢機構、權威專家、企業領袖,聚焦於數字時代攻擊面管理技術創新與實踐,探索網絡安全運營技術突破的新方向,推動網絡安全行業的變革與發展。國內首份《中國攻擊面管理市場白皮書》於會上發布,全面梳理可解釋的攻擊面管理概念、市場現狀、攻擊面管理產品特徵與體系、行業實踐及發展趨勢。
在本次活動中,北京賽博英傑科技有限公司創始人兼董事長譚曉生以《從網絡安全發展趨勢看安全運營技術發展》為主題,為與會觀眾概括地闡述了網絡安全在發展過程中的環境變革、安全思想的演變、面臨的挑戰、技術的進步、服務形態及商業模式的變化,並指出中國網絡安全正在經歷從重建設到與建設與運營並重的轉變。(本文是針對此次發言中的一些摘編,以供參考。)
眾所周知,網絡安全本質是攻防對抗,且對抗的過程是動態的,因此防禦技術也會隨着形勢的變化而不斷地演進。譚曉生表示,在最近幾年中所面臨的重要挑戰就是數字化轉型,而疫情更是加速了數字化轉型的進程,遠程辦公、協同正在逐步成為日常,生產、製造等領域也在開始積極地擁抱互聯網。在2021年下半年,元宇宙概念的出現,讓人們對未來充滿了期待,儘管對於是否會真的出現可以讓人們生活在一個數字世界中的平行數字空間尚存疑問,但元宇宙概念能受到如此熱捧,其基礎就是要依靠數字化轉型。
那麼在數字化轉型它會帶來哪些變化?譚曉生總結了三點,一是信息技術由過去的一種業務支撐工具,逐漸變成了業務本身;二是網絡空間與物理空間已經打通,這意味着網絡攻擊已經可以製造影響到現實空間中的事故;三是過往的IT是做手工流程的計算機網絡化,其中手工流程可以作為備用措施,而當前已經沒有了手工流程,這意味着沒有退路可言,必須要盡力做到不容有失。由上述幾點可以看出,數字化轉型進程中,所遭遇的網絡攻擊相比此前會對我們造成更加重大的影響。
北京賽博英傑科技有限公司創始人兼董事長 譚曉生
網絡安全當前所面臨的挑戰
面對上述的這些變化,譚曉生也指出了當前網絡安全所面臨的主要挑戰:
1、數字資產拎不清。在數字化轉型過程中,數字資產不僅呈現出快速增長的態勢,而且更是在快速地變化,數字資產的管理直到今日仍是非常大的難題。
2、層出不窮的漏洞。當我們的IT系統越來越多,漏洞的問題會一直存在,同時新的漏洞也會層出不窮。另外,在一些工業場景下,如某些工控領域仍在使用過於老舊的系統,這意味着它上面所存在的很多漏洞是無法進行修補的。
3、IT基礎架構雲化導致的傳統防禦思想不管用。IT基礎架構雲化為我們帶來諸多好處,如可以更好更快地適應企業發展變化、更低的使用成本等等,因此這一趨勢在未來仍會持續,這就要求網絡安全防禦思想也要跟上這一趨勢,過去的那種城牆防禦思想已經不太適用。
4、數據安全缺乏最佳實踐。數據安全的防線非常長,比如最初級的數據分類分級這一問題至今都沒有得到很好的解決。在這一領域,聯邦學習、安全多方計算等新方法的引入儘管可以幫助我們解決一些問題,但同時我們也要去驗證這些技術本身的安全性,其結論最終都需要依靠實踐才能得出。可以預見的是,在未來數年甚至十年這樣一個時期內,數據安全始終都會是困擾我們的一個大問題。
5、難以預防的供應鏈攻擊。從2020年年底爆發的SolarWinds事件到2021年年底爆發的Log 4j 2事件,已經可以讓我們看到供應鏈攻擊所能導致的巨大破壞性影響,而在當前對開源組件、軟件高度依賴的情況下,供應鏈攻擊的預防難度會進一步地加大。
6、員工的安全意識不足。因一些內部人員安全素養不夠導致的安全風險仍然較高,據一份關於全球範圍內的釣魚郵件相關數據顯示,釣魚郵件打開率普遍都在25%以上,如果安全意識足夠到位,相信其打開率會顯著降低,由此所產生的風險也會隨之下降。
7、安全工程師難找。這依然是和人相關的一項挑戰,根據目前相關部門統計的數字看,中國的網絡安全行業從業人員缺口在120萬至140萬人之間,在缺口如此巨大的情況下,我國每年培養出來的安全從業人員數量卻只有幾萬人,因此對於安全而言,人才的缺乏也是要面臨的一項巨大挑戰。
除頭部客戶外
腰部及中小企業客戶缺少做安全運營的能力
在演講過程中,譚曉生也對安全行業的客戶群體在安全運營層面的能力進行了分析和闡述。在這裡,他將客戶群體分為頭部客戶、腰部以及中小企業三大類:
首先是頭部客戶群體,該群體主要由銀行、能源等機構組成,他們在安全建設上的特點是預算相對充裕、對業務的安全要求極高、普遍擁有規模不小的內部安全團隊。在安全建設方面,他們也能夠根據自己的業務系統去構建自身的安全防禦系統。簡單看,這類客戶群體不僅自身非常重視安全運營,而且也擁有安全運營的能力。
接下來再看腰部客戶群體,他們的特點是有一定的安全預算,對安全的關注重點在於合規,這一點同上面的頭部客戶有着明顯的區別,在內部安全團隊建設方面,可能就只有幾個專職甚至兼職的人員去做。前面這些特點決定了這一類客戶群體的安全能力普遍較弱,安全團隊從人員數量到人員素養都比較難以進行高效的安全運營。
最後再看中小企業這一客戶群體,也是體量最大的群體。在數字化轉型的進程中,更多擁抱數字化的其實正是中小企業。這類群體的特點是,對業務的重視程度高於其他,因此在安全相關方面投入普遍較低,即便有預算也非常緊張,而在安全人員的配置方面幾乎沒有。因此,這一群體主要是通過購買簡單的、標準的安全產品或安全服務來解決安全問題,其自身是沒有能力去做安全運營的。
安全理念、技術、產品及商業模式的演進
隨後,譚曉生用較為概括的語言闡述了在過去多年以來,網絡安全的理念、技術、產品以及商業模式是如何演進的。
網絡安全思想演進
從狹義的網絡安全(Network Security)看,其最早的就是邊界防禦思想,典型的產品就是防火牆、WAF等防護產品,隨着這類城牆防禦產品逐漸變得越來越容易被攻擊者突破,於是開始引入了縱深防禦這一思想,也就是從城牆防禦變成了塔防。
在IT基礎架構雲化之後,網絡邊界變得愈加模糊,這時候一個新的同時也是最近這兩年特別熱的理念——零信任出現了,如今它已經成為當前一個主流的網絡安全思想。不過,由於它的實施方案相對較重,成本較高,因此可能更多的是面向頭部或腰部的客戶群體,對於中小企業而言,想要實施零信任仍然會面臨比較大的挑戰。
終端安全思想演進
終端安全思想方面,最早採用的是黑名單的機制,比較典型的產品就是像殺毒軟件等,隨後在10多年前,黑名單這種方式已經無法跟上威脅發展的變化,於是轉變思路,開始採用白名單的機制。但無論是黑名單還是白名單,從發布更新到用戶終端完成更新這一周期,在時效是無法滿足安全需求的,這就演進到後來出現的雲查殺。
時間再往後,前述這種基於特徵檢測的殺毒也開始難以滿足要求,基於各種進程級的行為檢測產品開始湧現,並演變為現在的EDR等相關產品。在這個過程中,運營的成分已經呈現出越來越重的趨勢。
威脅發現思想的演進
威脅發現思想方面,最早是基於特徵值去檢測,當這個方法不太有效之後,威脅情報開始興起,不過威脅情報也有一些自身的問題,比如國內專注於這一領域的公司想通過威脅情報的服務很難做到掙錢,這其實也是一項挑戰,後面又開始興起了通過引入大數據、AI等新興技術的方式來做異常檢測,去發現網絡威脅。
隨着時間的推移,在開發的模型上也開始有了改變,早期安全往往都是事後的,當開發部門將系統開發完成後,會交給安全部門做檢測,在發現安全隱患或問題後再交給開發部門去修正,但這一模式在今天已經是行不通了,當前對於業務向前運轉的速度追求幾乎是無止境的,在此前的這種模式下,必然會拉長業務或產品走向市場的時間周期。為了應對這一問題,DevSecOps這一概念應運而生,也被稱之為安全左移。DevSecOps的理念是當你在做系統規劃時就要考慮安全性,並將安全貫穿在整個開發生命周期,這意味着安全檢測已經嵌入到整個開發過程,這是一種從源頭做好安全的方式。
在上述關於一些安全思想的演進之外,譚曉生還為大家闡述了數據安全治理的思想,指出對於數據安全,較為傳統的安全產品如數據庫審計、數據庫安全網關、DLP等產品,在以往的結構化數據情境下是相對有效的,但在面對當前大量非結構化數據的情境下就顯得力不從心,這時數據治理和數據安全治理的思想就此被提出,以更好地應對變化。他還談到,在Gartner的CARTA中,對安全防禦中的預測(Predict)、預防(Prevent)、檢測(Detect)、響應(Respond)這4個階段進行持續的監控和風險評估,不斷去檢測當前的安全威脅,並有針對性去採取相應的措施,而這實際上就是持續安全運營的思想。
大數據、AI技術在網絡安全領域應用已取得巨大進步 但仍有挑戰
大數據與AI在網絡安全領域中的應用,第三波人工智能浪潮的到來令計算能力迅猛提升,使得這兩項技術落地應用的能力同樣取得了一個巨大的進步,與此同時,它們在安全領域中也取得了非常多的成就。不過譚曉生也指出大數據和AI在安全中的應用仍在面臨一大問題——誤報率。在不同的場景下對誤報的容忍度有很大的差別,對於容忍度相對較高的場景,AI所具有的高檢測率特點是值得關注的,但在關鍵業務系統中,是完全不允許有誤殺的情況出現,因此大數據和AI在部分安全領域中應用還是會面臨極大的挑戰。相比之下,在To C的市場中,針對惡意程序、文件的檢測方面,大數據等技術早在十多年以前就已經獲得了非常成功的應用。
除了大數據與AI之外,誕生於上世紀90年代的漏洞挖掘技術——Fuzzing在包括AFL等工具的出現下,在自動化0day漏洞挖掘方面也取得了不小的進步;同樣頗有歷史沉澱的主機加固技術,以及在數據安全領域中的隱私計算等技術,在這幾年的發展中也得到了眾多廠商的關注、探索和實踐,在當前也都取得了一定的創新成果。
網絡安全商業模式的變化安全即服務值得關注
譚曉生表示,MSS(安全託管服務)和MDR(託管檢測與響應)這類業務在西方已發展了很長一段時間,而在中國,因為各種各樣的原因和問題,導致它在早期並沒有得到一個很好的發展。不過在近些年來,國內不少企業開始聲稱已經開始在做MSS,據其判斷,這些企業所做的實際上除了MSS之外,還提供了MDR這種更加專業且全面的服務。在他看來,這裡所包含的內容,實際上就是在過去說了很久的「安全即服務」的概念。
譚曉生在分享中坦言,儘管MSS、MDR在國內市場發展了這麼多年之後終於開始收穫到用戶的認同,但客戶群體還是主要集中在中小企業,這一點同國外有着很大的區別,比如像以EDR起家的美國企業CrowdStrike,其MDR業務的客戶群體有很多都是中大型企業。
除了MSS和MDR之外,他還特別提到了SASE。隨着雲計算的興起,當用戶的IT基礎架構逐步雲化之後,如何做好它的安全防護就成為一個很大的挑戰,而SASE則是將包括網絡接入在內的網絡服務和安全服務兩者進行了整合,其架構中的安全部分包括了FWaaS(防火牆即服務)、SWG(安全Web網關)、CASB(雲訪問安全代理)、零信任網絡訪問(ZTNA)等。我們可以看到,當Gartner在2019年下半年提出了SASE這一概念之後,便迅速風靡全球,而在國內市場,也有眾多綜合性廠商開始踴躍地介入這一領域。
第三個則是網絡安全眾測,在前面關於網絡安全面臨的挑戰內容中,已經提到了關於安全人才缺口的問題,就目前而言,眾測就是一個相對較好的方式,能夠令各個安全企業、白帽子甚至甲方用戶的安全人員調動起來,讓這些安全資源能夠得以復用。
譚曉生談到了目前還處在嘗試階段的網絡安全保險。他談道,政府正在強有力地推動網絡安全保險,但從實際看,目前能看到的是在某個城市的網絡安全保險保費收入只有幾千萬/年,因此,這還是處在一個開始逐步增長的早期發展階段。譚曉生認為,網絡安全保險會成為一種能夠解決廣大中小企業網絡安全問題的一個普惠式的方法,因為網絡安全本身的特性同自然災害有着極為相似的地方,因此其未來的發展潛力值得關注。
網絡安全運營是提高網絡安全防禦能力的一條可行道路
在演講的最後,譚曉生表示,在2022年的網絡安全領域全景圖內新增的類別中,包括SASE(安全訪問服務邊緣)、MSS(安全託管服務)、MDR(託管檢測與響應)、ASM(攻擊面管理)、BAS(入侵與攻擊模擬)等都是具有較強的安全運營屬性,SOAR(安全編排自動化與響應)和各類AST(應用程序安全測試)工具也同樣是需要用戶去深度的介入和運營的。
在這些技術、產品或服務中,譚曉生表示會對MSS和MDR抱有很大的期望,隨着數字化轉型進程的不斷推進和深入,對廣大中小企業而言,無論是配置安全人員團隊還是採購安全產品等相關網絡安全建設都是難以承擔之重,相比之下,通過MSS、MDR這樣的安全服務,不失為一種保障自身安全的高性價比選擇。
總體而言,在數字化轉型過程中,網絡安全領域的參與者也在自身的技術、產品和商業模式等方面不斷地演進,那麼在當下,網絡安全運營無疑是提高網絡安全防禦能力的一條可行道路。
THE END
留言列表