IT企业都在追逐新的盈利点来推动自己企业的发展,如安全盒子风潮、安全服务风潮、智能化风潮……那下一个风潮是什么,很多企业都在思索,本文阐述了一个网络安全从业者眼中的未来风潮、趋势。
本来题目想取名为网络安全的风口,但是网络安全公司“风口”这个词太大了,所以还是笼统的叫了网络安全。其实本文主体还是阐述笔者眼中的就业者或创业者未来5年左右,网络安全方向机遇在哪个方向较大。另外对于投资者来讲,在网络安全上市公司中选择投资机遇,哪个会更好一些。
国内网络安全发展现状如何有很多专业机构出过很详细的报告,整体来看,很多领域处于“追逐者”的阶段,无论产品还是国内相关标准,比如目前针对云安全的方面,最佳还是Gartner曾提出三大云安全管理工具CASB、CSPM和CWPP,但这个概念2016就见到有引入国内,但是落地依然稀稀疏疏。下面提到的几类网络安全服务类及产品类,可能是更迎合国情的未来发展点。
一、网络安全服务类:合规、安保、顶层
网络安全合规服务
关键词:合规。即满足国内法律法规或监管单位要求的最低标准。
正如罗翔说的一句话玩笑话,“如果一个人标榜自己遵纪守法,这个人完全有可能是人渣”,拿到网络安全行业,这个合规其实是一个“免死金牌”。尤其是非生产制造企业,IT对生产影响一般的企业,就算企业再不幸被针对被攻击,我有合规凭证证明了我的工作量,可以免于一定的处罚。
比如网络安全等级保护:现在信息系统的安全保护等级分为五级,一至五级等级逐级增高。当进行了相关基础的基于网络安全等级保护的建设时,其实可以免于部分《中华人民共和国网络安全法》的处罚。
关键信息基础设施安全保护条例:目前依旧征求意见稿,针对境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护。相信后期正式颁布,针对关键信息基础设施的这种建设需求之多不少。
信息科技风险评估:中国银监会在2006年发布了《银行业金融机构信息系统风险管理指引》,,2009年发布了《银行业金融机构重要信息系统投产及变更管理办法》,提出为实现对信息系统风险的识别、计量、评价、预警和控制,有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进银行业安全、持续、稳健运行这样的要求。所以说针对这类金融行业的信息科技风险评估或近年的新业务投产前安全测试报告,都给金融行业的网络安全企业提供了不少机会。
当然还有密码法、网络安全审查办法及其2021将落地的部分网络安全法律法规,将给部分网络安全企业提供不少商机。
综合来看:技术门槛较低,需要的主要环节:政策解读、差距分析、差距加固及再评估。
商务、技术分析:客户关系中高、技术要求中低。
适合程度:适合大多数安全厂家、集成商、测评机构。
网络安全安保服务
关键词:别出事。即在周年庆、HW行动、XX会等在重大节日进行临时性安保或日常驻场安保。
有些厂商将安保分为事前、事中、事后,有些分为统筹、自查、演习、防护、总结等等,各家叫法不一,但核心还是通过人、产品与服务,将整个网络环境“临时运营”起来,摸家底后查漏补缺,建设防线,提高响应速度。
网络安全安保服务从产品来看,防火墙、WAF、IPS/IDS/APT、态势感知/大数据分析、蜜罐、EDR/HIDS等等全家桶结合新安全的云监测、云防护、威胁情报,防护已知安全效果出众。欧美目前部分厂商甚至出动网络安全一体集装箱安全应急车进行灵活作战。
网络安全安保服务从服务来看,资产梳理、漏洞扫描、基线检查、渗透测试、代码审计等结合新型安全服务的众测、红队、社工安全、供应链安全、物联网安全等等,针对已知及部分未公开漏洞及脆弱性进行自查、纠正。
图:主流安保流程
综合来看:网络安全安保服务适合大多数安全厂家,产品及服务经验丰富的较占优势。
适合程度:客户关系中、技术要求中高。
网络安全咨询类服务
关键词:顶层设计或其它咨询类服务。
目前较大多数安全负责人非科班出身,网络安全专业这几年才开始慢慢火热起来。所以人才缺口比较大。与其说网络安全行业人才的缺口大,不如说真正的网络安全专家资源真的是基本枯竭。部分“老砖家”还在安全的“江湖”招摇撞骗,让很多从业者误入歧途,更加大了人才建设的难度。也提升了甲方分辨“真专家”与“假专家”的难度。
可能CISP、CISAW等通过率较高,但是知识还是较为泛泛,很多学院没有太多实战经验无法真正理解里面提到的很多较好的知识点。所以说能找到一个经验丰富的安全顾问实属不易。
网络安全咨询类服务适合领导层对网络安全重视程度较高,最好网络安全部门为一级部门的企业。甚至部分的企业高层或CSO能跟安全顾问形成俞伯牙与钟子期的知音关系—-你太懂我了!
目前基本为企业或机构提供全面或专项安全咨询服务,经过三个大的过程:调研、设计及落地。部分针对性的可能经过七个步骤,即:网络安全现状评估—网络安全需求分析—网络安全战略—网络安全规划—网络安全治理模式—网络安全实施计划—网络安全投资估算
图:主流咨询流程
安全咨询类项目门槛较高,像顶层设计类项目,往往给客户指明一条明确的建设之路,保护其网络安全投资。毕竟现在花的钱要远远低于万一出事修复的资金。
图:资金对比
当然还有很多专项建设的顶层设计,比如数据安全治理、DevSecOps、Soar协防建设等。
适合程度:客户关系中、技术要求高。
值得一提的是,网络安全咨询类项目对人员技能有高要求,拿ISC2的CISSP的目录来看,基本每个方面在此类项目都有相关定向需求。
第一章 安全与风险管理
第二章 资产安全
第三章 安全工程
第四章 通信与网络安全
第五章 身份与访问管理
第六章 安全评估与测试
第七章 安全运营
第八章 软件开发生命周期安全
二、网络安全产品类:自动化 绩效
网络安全产品类上面在安保中提到,各个厂家的传统安全产品与新型安全产品均在自己行业、自己领域发光发热,厂商间的竞争也实时发生,经常出现厂商间的合并、吞并。
图:全球主流安全厂商
正如上图,全球的网络安全厂商密密麻麻罗列在一起,想想竞争有多严重。
现在的部分厂商在走新安全这条道路,部分锚定的是新领域,比如等级保护2.0中覆盖到的云计算、大数据、物联网、移动互联和工业控制信息系统进行了研究与创新建设,此部分不进行论述,本文主要提两类,自动化类网络安全产品、绩效类网络安全产品。
自动化类
自动化类网络安全产品有:SOAR类、自动判定类、自动渗透类等等。
SOAR,即安全编排和自动化响应。这将是国内外厂家一起攻克的一个难题。目前各厂家实现效果都比较差。如何自动化在企业中进行安全响应的科学性编排,这是需要解决的核心问题。不断训练所谓的安全AI核心,将机器学习转化为泛量自学习与推论形成一套算法,这是未来的一个核心竞争点。
自动判定类,如UEBA产品、如自学习WAF、自学习防火墙,需要人参与的事情少一些,机器判定的事情多一些。
自动渗透类,将渗透测试工程师初级甚至中级水平的工作都自动化完成,让更多的人力去负责高级渗透、0day挖掘等。
自动化类产品,机器能代替人类干的事情越多,此类产品竞争力越强。
绩效类
安全部门目前现状大多数较为尴尬,“出安全事件,要你何用。不出安全事件,要你何用?”所以部分厂家推出安全绩效、安全考核、安全指标或做广了为安全运营。
网络安全绩效类产品包括的指标较多,如之前较为广泛的2个关键指标:平均检测时间(MTTD:Mean-Time-to-Detect),真正有风险的威胁发现所用的平均时间,其中包含了更进一步的分析和响应。平均响应时间(MTTR:Mean-Time-to-Respond),进行全面分析威胁并解决可能的风险所用的平均时间。
绩效类可让安全部门明确本季度、本年度做了哪些工作,比如发现多少资产、多少是未知资产、未知资产可能带来的安全风险、发现的漏洞及解决的漏洞、发布的通告及提前解决的通告预警。
记得之前有个文章讲过,其实绩效评估就是网络安全管理体系中的“行动”(PDCA之A)。绩效类或自动化绩效类。此类产品应该会受部分企业的青睐。
结语
以上提到的三类网络安全服务类及两类网络安全产品类是笔者看到的未来国内的网络安全可能有大机会点。当然每个安全从业者可能有自己的看法,大家也可以进行自己的想法论述与探讨。希望以上可以给读者带来部分收获。