“對MSS和MDR這兩個服務我們是非常堅定地看好,實際上開展相關業務的公司的經營效益也很好。”
“網絡安全領域沒有一放出來就能解決所有問題的‘獨門大招’。”
“在人類技術進步的過程中,提高自動化水平,減少對人力的消耗是我們追求的終極目標,尤其是在安全人員遠遠不足的當下,只有通過提高自動化和智能水平,才能減少對于人的消耗。”
——譚曉生
近20年間中國的網絡安全產業經歷了翻天覆地的快速變化,無數技術的創新與迭代支撐著整個行業產品、服務、模式像時間的指針一樣不斷向前發展。8月28日,在2021北京網絡安全大會上,北京賽博英杰科技有限公司董事長譚曉生進行了《網絡安全技術趨勢分析》分享,以下為分享全文:
今天我來給大家分享一下我們對網絡安全技術趨勢的分析。
#網絡安全基礎框架
我從事了30多年的軟件開發和網絡安全相關工作,今天首先為大家輸出的是一個網絡安全研究框架(如圖)。我們把網絡安全分成六大基礎安全領域,分別是端點安全、網絡與基礎架構安全、應用安全、數據安全、身份與訪問管理以及安全管理。這六大基礎安全領域基本上是以安全產品形式提供。
但單是提供產品,用戶并不能很好的做好安全,所以通過安全方案與集成、風險評估、安全運維、滲透測試、應急響應,紅藍對抗、攻防實訓與靶場、培訓與認證,安全意識教育與安全眾測這十大安全服務來輔助用戶把安全工作做好。
同時和產品、服務相交的還有四大通用技術理念,分別是威脅情報、數據安全與治理、零信任與開發安全,他們應用在各個基礎安全領域并貫穿在安全服務之中。
同樣,現階段還有四大新興的應用場景,分別是云安全、工控安全、移動安全和物聯網安全。
六大基礎安全領域、十大安全服務、四大通用技術理念、四大新興場景最終要解決的是各個行業的安全問題。在過去這20年中國的網絡安全市場里面形成了六大行業,他們是安全的主要客戶,分別是運營商、金融、能源、醫療、衛生、教育和公檢法司。
#端點安全
下面我們逐一來看,首先是端點安全。端點安全最近這些年有什么變化?
首先端點的類型逐漸變多,從過去的桌面電腦逐漸有了移動終端,到現在萬物互聯有了很多物聯網終端。最初的終端安全是從殺毒開始的,上個世紀90年代有各種各樣的殺毒產品,最近幾年開始由EPP演化到EDR。原因是什么呢?在移動終端里面裝殺毒效果就大打折扣,要在物聯網終端里面裝殺毒軟件這事兒簡直無從做起,所以這時候基于終端的檢測和響應(EDR)就能夠去幫助大家解決終端的問題。端點上的探測、云端協同的終端安全檢測和相應的處置,都在逐步被解決。
技術上有什么變化?
第一,引擎的變化。和傳統的殺毒相比,現在的引擎從“基于規則”發展到了“基于AI”。2009年在全世界開始出現基于AI的引擎,比如360的qvm、趨勢科技的引擎等。經過十幾年的發展,現在基本所有的安全公司都在采用AI引擎。
第二,判定方式的升級。從過去基于代碼特征來殺毒,現在逐漸變成基于用戶行為進行惡意判定;從由本地判定,到云和端結合來判定,再結合威脅情報來進行防護。
第三,過去20年發展起來的終端安全管理市場(包括準入、各種三合一的管控等),這些也歸入到終端安全管理的范疇之內。現在我們已經把終端安全管理擴展到了移動終端和物聯網終端層。
第四、主機安全曾經是一個很古老的細分領域,叫主機加固,最近幾年隨著云的流行出現了越來越多的HIDS,HIPS這方面的應用,比如像青藤云、椒圖、安全狗都是這方面的新興供應商。
第五,可信計算終于到了落地的時候,尤其在物聯網終端,我們需要標識身份,并對它們之間的通信進行加密。
第六,終端側的漏洞管理。在過去,出現漏洞我們都簡單地告訴用戶打補丁,但實際上用戶在很多時候很難對他的系統打補丁,尤其是物聯網終端,終端側的漏洞管理技術會給客戶提供智能化的管理,很好的解決了這個問題。
#網絡安全
第二個大領域是網絡安全,網絡安全是在終端安全出現之后的第二個大市場,一直到現在它都是網絡安全市場主要的收入構成部分。那么從防火墻到下一代防火墻,IPS、IDS、各種各樣的全流量采集和分析設備、SDWAN/SASE這種服務模式的出現,到DNS安全的興起、蜜罐的復興……這些產品逐漸演化的過程中,技術是如何發展的?
首先,從最早防火墻的第三層檢測和防護,發展到應用層(第七層)的檢測與防護,這是第一個技術進步。第二,VPN正在面臨升級和換代,零信任網絡就是可以替代VPN的下一代的產品,下一代VPN產品就是基于零信任思想的網絡安全控制手段。第三,在網絡安全方面也存在由規則引擎到基于大數據AI引擎的技術變化。第四,過去防火墻都基于靜態的本地規則去做,今天采用了協同聯動和威脅情報去進行封堵。
#應用安全
應用安全過去大家講的比較多的都是Web安全,除此之外,其實還有郵件安全、API安全等領域。應用安全上,WAF是一個存在了10多年的產品,長亭科技在WAF近些年的發展是一個很好的例子,在WAF這個紅海市場里他開辟了一個新的體驗點,主要是由WAF過去表達式的防護到基于語義分析的防護,效果可以說是做到了全球領先的水平,這是一個技術進步帶動老產品更新很好的案例。
在最近兩年API安全又開始被提出來, API的未來其實在今天還沒有完全的被確定下來,API安全既可以用于解決攻防問題,也可以用來解決數據安全之類的合規問題。我個人預測API安全到未來的幾年時間會具體的落地,具體會落到什么樣的領域,解決什么樣的問題,我們還需要拭目以待。
#數據安全
數據安全是一個非常大的品類,我們從數據安全和數據安全治理這兩個角度來看。
數據安全現有的產品大多是基于數據審計和數據加密方面,但是今天我們所面臨的數據安全問題其實遠遠超過這些領域。在這里我簡單列了一下,比如數據脫敏問題,數據要發揮更大的價值在于共享,這里就會涉及隱私等數據安全問題,數據脫敏以及隱私計算都是用于解決數據共享問題的產品。
數據訪問的時候有各種的權限控制問題,這個在講身份控制的部分也會涉及。還有大數據平臺的安全性,大數據平臺基于各種各樣開源系統,在設計初期沒有考慮太多安全問題,一般認為只要數據能“算”就可以了,但在數據變得越來越敏感的時候,大數據平臺的各種安全機制就變成了一個強需求。還有像數據備份與恢復,就是對付WannaCry這種勒索攻擊的一種手段。
在數據安全領域的技術進步也有很多,比如在隱私計算方面。昨天安全創客匯我們就講到現在至少有15家新的創業是在做隱私計算這個方向,有做聯邦計算、多方計算、同態加密等等。
#身份與訪問管理
身份與訪問管理其實也是一個傳統的大市場。
我們先看IAM。在過去的這些年,IAM首先用的是用戶名口令這種傳統的手段,大家都知道這種方案效率低,對用戶不友好,但是到今天我們其實還沒有辦法完全地拋掉用戶名和口令。后來我們有了多因子認證,現在零信任網絡架構也試圖從一定的角度去解決這個問題。
那么從PAM權限管理這個角度,我們經歷了從IBAC(基于身份的權限訪問控制)到RBAC(基于角色的訪問控制),到ABAC(基于屬性的安全訪問控制)。在今天這個產品仍然在逐漸的完善過程中。
還有在云服務越來越多的情況下,IDaaS也變成了世界上非常主流的一個潮流,雖然中國和國外之間的發展趨勢會略不一樣。
還有這兩年非常火的零信任,零信任在國內是一個熱詞,很多的創業公司都要打零信任的標簽,零信任有一個非常重要的部分就是和身份訪問管理有關的,他很大程度上解決的也是身份和訪問控制的權限問題。
#安全管理
在安全管理這方面,在過去這幾年我們解決了幾大問題。一個是數字資產的發現與管理,一個是從2015年國內安全行業開始建設的威脅態勢感知,可以說是完成了從SIEM到提前感知的進程跨越。
還有SOC,可以說過去很長一段時間里,把SOC這個產品做成功的公司特別少,到今天SOC的自動化水平得到了極大地提升。現在我們也能看到SOAR的演進,SOAR在目前還不能算是一個獲得成功的產品,但在未來我們對它給予很大的希望,因為在人類技術進步的過程中,提高自動化水平,減少對人力的消耗是我們追求的終極目標,尤其是在安全人員遠遠不足的當下,只有通過提高自動化和智能水平,才能減少對于人的消耗。
在漏洞管理方面,漏洞管理以往的方式是打補丁,但是很多用戶系統很難去打補丁,這種情況下,漏洞化管理成為了一種新的方式,通過訪問權限的控制,通過一些防火墻的規則設置可以去解決打補丁的問題,什么時候該裝補丁?什么時候可以采用其他方法去解決?這都屬于安全管理方面我們獲得的一些進步。
#安全服務
安全服務一開始大家都比較容易接受的首先是滲透測試服務,過去安全公司都會準備一個滲透測試團隊,先上去把用戶打穿了,然后再賣產品進去。到今天我們有專業的安全公司的安服人員,還有各種眾測公司,包括最近國家信息安全測評中心搞了一個眾測的項目。
還有像MSS和MDR這種安全托管服務,在2021年各大安全上市公司的年報里面都會提到自己要做MSS或者MDR,這里面的原因主要是我們整個社會都在做數字化轉型,需要保護的系統和財產越來越多,但是我們的網絡安全人員一年只能培養出來幾萬個,離安全教職委說的“我們需要140萬-150萬的安全人員”這個數差距太大,很長時間都難以去滿足這個要求。另外人員設置也是要花錢去養護團隊的,通過安全的云服務方式,才是能夠低成本為用戶解決問題的一個手段。所以對MSS和MDR這兩個服務我們是非常堅定地看好,實際上開展相關業務的公司的經營效益也很好。
電子取證其實也是非常重要的一個安全服務,系統遭到入侵了之后,有專門的安全取證團隊能幫你做取證服務,最終能夠變成“呈堂證供”。
#四大通用技術理念
剛才說到了四大通用技術理念,首先要提的就是零信任。零信任現在的基礎組件其實就是一個微隔離,一個SDN,一個IAM。現在各種創業大賽里面號稱是做零信任的公司特別多,其實零信任是一個思維方式,它會應用到很多傳統的安全產品甚至服務里面去。比如現在非常熱的SASE里面也包含了零信任的應用。
再看數據安全治理與隱私保護,其實數據安全治理是解決數據安問題的一個有效方法,他首先有數據資產發現,我要先知道我有什么樣的數據資產,其次能對我的數據去進行分類和分級,然后再去做各種權限控制;還要對數據進行加密,讓別人入侵之后也無法拿走;數據分享的過程中還要脫敏,再加上傳統的數據庫審計防護、數據防泄漏等等方面的需求。其實數據安全治理是一個非常復雜多樣的工作,在內部他可以再分成很多細分內容,而在數據安全整個的工作中,今天的解決方案都處于非常早期的階段,所以我們認為數據安全未來會是一個非常大的賽道。
數據安全技術主要的發展變化來自于從一開始是對數據進行靜態的防范,今天我們要對于流轉的數據去做安全管控,因為數據不流動起來,它的價值無法真正的發揮。第二點我們由過去的明文計算,到現在有了各種隱私計算,不管是聯邦學習、安全多方計算還是同態加密,都是用來解決隱私計算問題的一種方法。還有我們在過去對數據標密的時候采用人工標密,現在隨著數據量的膨脹人工已經無法滿足需求,這就產生了數據的自動分類和分級。
在高級威脅發現方面,最近的兩年各種解決方案和產品的大賽里我們看到非常大的比例是基于全流量分析的方案。2020年我們做市場分析的時候發現做IPS/IDS這兩款產品的提供商在減少,但是基于全量分析的NTA廠商在非常快速的增加,并且應用了人工智能技術、沙箱技術等。從基于引擎的掃描到基于沙箱的檢測,從人工的日志分析到AI的全流量分析,這都是在高級威脅發現方面的技術進步。
開發安全是隨著開發左移的思想發展的,意思就是人們解決安全問題不是在產品最終要提交的時候再交給安全團隊去測試,而是在開發過程之中就采用各種各樣的交互式自動化的工具支撐來幫助開發者盡早發現漏洞。像懸鏡安全、默安科技,都號稱自己是一個DevSecOps公司,提供SAST、IAST、DAST、SCA等等各種管理工具,分別解決靜態安全掃描、動態的安全掃描、交互式安全掃描和源代碼的成分分析等。
還有一個是Fuzzing,Fuzzing其實是上個世紀80年代末學術界提出來的,但最近幾年開始越來越廣地得到了安全界人士的應用。現在Fuzzing到的一個問題就是要從專業人士應用變成普通開發者就能用,怎么形成自動化的漏洞挖掘工具,在開發過程中能幫助客戶去找出來協議上和代碼上的漏洞,這類產品的整個發展還是要有自動化的工具來落地和支撐。
總結:下五洋捉鱉 上九天攬月
最后從總體上總結一下網絡安全技術發展的趨勢,在這里我放上了一張太極圖。在RSAC等各大全球安全會議上,老外在演講的時候也經常拿中國的太極圖舉例子,雖然我不知道他是不是真正理解太極圖的意思。
在過去幾年間我們看到有幾個趨勢,一個是安全的管理越來越細,從過去管一個終端的安全,然后到網絡邊界上的安全,再逐漸深入到代碼的運行過程做了什么行為,再到后來的比如API安全關注到每一次的系統接口的調用,越來越細節。對數據也是,我們從過去用一臺服務器做權限控制,到在服務器內部去分清楚它是哪個數據庫,到現在要能分出哪條記錄。這種越來越細的趨勢,我們把它叫做“下五洋捉鱉”。
第二個就是“上九天攬月”,意思就是說雖然基于細節的管理我們的能力確實在提升,但依然是不夠的。比如像這次的新冠病毒,我們正好可以看出來中醫和西醫之間的區別,西醫就是越搞越細,細到這個病毒的表面蛋白是什么,分子結構是什么,它到底是怎么感染人體的,該用什么樣的疫苗,用什么樣的藥物去治療它。但是這樣越往下剖得越細其實工作負荷是很大的,病毒這個東西是不是真的能被解決也是存疑的,比如很快就出現變異病毒了。那么中醫的玩法不同,類似于不管你什么病毒,在中醫看來都是癔癥,中醫通過把你的身體的機制調動起來,提高免疫力,讓你身體的免疫力自己去把病毒干掉,不管是什么病通過這樣的方式都可以來進行一定程度的防御。
像在網絡安全里面,我們從更宏觀的角度去看,不管是態勢感知還是UEBA,都是試圖跳出細節,在掌握更大信息量的基礎之上,通過找到一個更高層的規律來解決問題。
另外我們在講網絡安全的趨勢的時候,我們要知道網絡安全領域沒有一放出來就能解決所有問題的“獨門大招”,且往往需要一個很長的過程。拿Fuzzing來做例子,在1989年的時候就有學者提出來這個概念,但在后面將近20年時間里都沒有得到非常廣泛的認同和應用。直到最近10來年時間高效Fuzzing工具的出現能夠讓專業人士開始用起來,今天我們再把它變得能讓更普通的用戶能夠使用,整個過程從創意到產品應用要花費幾年的時間。在這幾年時間之內,大廠會不斷的跟進,創業公司也會不斷的跟進,最后往往會形成一個新技術,但它不是誰家的獨門武器,而是多家公司都會具備這樣的這種技術。所以在網絡安全的技術演進上面,我們看到的是一個漸進的趨勢,從一個創意最終到變成用戶真正能用的產品,再快也得兩三年時間,而且最后往往是逐漸迭代式的演進的這樣一個過程。
今天和大家分享的就是這些,謝謝大家。
