“对MSS和MDR这两个服务我们是非常坚定地看好,实际上开展相关业务的公司的经营效益也很好。” “网络安全领域没有一放出来就能解决所有问题的'独门大招'。” “在人类技术进步的过程中,提高自动化水平,减少对人力的消耗是我们追求的终极目标,尤其是在安全人员远远不足的当下,只有通过提高自动化和智能水平,才能减少对于人的消耗。” ——谭晓生
近20年间中国的网络安全产业经历了翻天覆地的快速变化,无数技术的创新与迭代支撑着整个行业产品、服务、模式像时间的指针一样不断向前发展。8月28日,在2021北京网络安全大会上,北京赛博英杰科技有限公司董事长谭晓生进行了《网络安全技术趋势分析》分享,以下为分享全文:
今天我来给大家分享一下我们对网络安全技术趋势的分析。
#网络安全基础框架
我从事了30多年的软件开发和网络安全相关工作,今天首先为大家输出的是一个网络安全研究框架(如图)。我们把网络安全分成六大基础安全领域,分别是端点安全、网络与基础架构安全、应用安全、数据安全、身份与访问管理以及安全管理.这六大基础安全领域基本上是以安全产品形式提供。
但单是提供产品,用户并不能很好的做好安全,所以通过安全方案与集成、风险评估、安全运维、渗透测试、应急响应,红蓝对抗、攻防实训与靶场、培训与认证,安全意识教育与安全众测这十大安全服务来辅助用户把安全工作做好。
同时和产品、服务相交的还有四大通用技术理念,分别是威胁情报、数据安全与治理、零信任与开发安全,他们应用在各个基础安全领域并贯穿在安全服务之中。
同样,现阶段还有四大新兴的应用场景,分别是云安全、工控安全、移动安全和物联网安全。
六大基础安全领域、十大安全服务、四大通用技术理念、四大新兴场景最终要解决的是各个行业的安全问题。在过去这20年中国的网络安全市场里面形成了六大行业,他们是安全的主要客户,分别是运营商、金融、能源、医疗、卫生、教育和公检法司。
#端点安全
下面我们逐一来看,首先是端点安全。端点安全最近这些年有什么变化?
首先端点的类型逐渐变多,从过去的桌面电脑逐渐有了移动终端,到现在万物互联有了很多物联网终端。最初的终端安全是从杀毒开始的,上个世纪90年代有各种各样的杀毒产品,最近几年开始由EPP演化到EDR。原因是什么呢?在移动终端里面装杀毒效果就大打折扣,要在物联网终端里面装杀毒软件这事儿简直无从做起,所以这时候基于终端的检测和响应(EDR)就能够去帮助大家解决终端的问题。端点上的探测、云端协同的终端安全检测和相应的处置,都在逐步被解决。
技术上有什么变化?
第一,引擎的变化。和传统的杀毒相比,现在的引擎从“基于规则”发展到了“基于AI”。2009年在全世界开始出现基于AI的引擎,比如360的qvm、趋势科技的引擎等。经过十几年的发展,现在基本所有的安全公司都在采用AI引擎。
第二,判定方式的升级。从过去基于代码特征来杀毒,现在逐渐变成基于用户行为进行恶意判定;从由本地判定,到云和端结合来判定,再结合威胁情报来进行防护。
第三,过去20年发展起来的终端安全管理市场(包括准入、各种三合一的管控等),这些也归入到终端安全管理的范畴之内。现在我们已经把终端安全管理扩展到了移动终端和物联网终端层。
第四、主机安全曾经是一个很古老的细分领域,叫主机加固,最近几年随着云的流行出现了越来越多的HIDS,HIPS这方面的应用,比如像青藤云、椒图、安全狗都是这方面的新兴供应商。
第五,可信计算终于到了落地的时候,尤其在物联网终端,我们需要标识身份,并对它们之间的通信进行加密。
第六,终端侧的漏洞管理。在过去,出现漏洞我们都简单地告诉用户打补丁,但实际上用户在很多时候很难对他的系统打补丁,尤其是物联网终端,终端侧的漏洞管理技术会给客户提供智能化的管理,很好的解决了这个问题。
#网络安全
第二个大领域是网络安全,网络安全是在终端安全出现之后的第二个大市场,一直到现在它都是网络安全市场主要的收入构成部分。那么从防火墙到下一代防火墙,IPS、IDS、各种各样的全流量采集和分析设备、SDWAN/SASE这种服务模式的出现,到DNS安全的兴起、蜜罐的复兴……这些产品逐渐演化的过程中,技术是如何发展的?
首先,从最早防火墙的第三层检测和防护,发展到应用层(第七层)的检测与防护,这是第一个技术进步。第二,VPN正在面临升级和换代,零信任网络就是可以替代VPN的下一代的产品,下一代VPN产品就是基于零信任思想的网络安全控制手段。第三,在网络安全方面也存在由规则引擎到基于大数据AI引擎的技术变化。第四,过去防火墙都基于静态的本地规则去做,今天采用了协同联动和威胁情报去进行封堵。
#应用安全
应用安全过去大家讲的比较多的都是Web安全,除此之外,其实还有邮件安全、API安全等领域。应用安全上,WAF是一个存在了10多年的产品,长亭科技在WAF近些年的发展是一个很好的例子,在WAF这个红海市场里他开辟了一个新的体验点,主要是由WAF过去表达式的防护到基于语义分析的防护,效果可以说是做到了全球领先的水平,这是一个技术进步带动老产品更新很好的案例。
在最近两年API安全又开始被提出来, API的未来其实在今天还没有完全的被确定下来,API安全既可以用于解决攻防问题,也可以用来解决数据安全之类的合规问题。我个人预测API安全到未来的几年时间会具体的落地,具体会落到什么样的领域,解决什么样的问题,我们还需要拭目以待。
#数据安全
数据安全是一个非常大的品类,我们从数据安全和数据安全治理这两个角度来看。
数据安全现有的产品大多是基于数据审计和数据加密方面,但是今天我们所面临的数据安全问题其实远远超过这些领域。在这里我简单列了一下,比如数据脱敏问题,数据要发挥更大的价值在于共享,这里就会涉及隐私等数据安全问题,数据脱敏以及隐私计算都是用于解决数据共享问题的产品。
数据访问的时候有各种的权限控制问题,这个在讲身份控制的部分也会涉及。还有大数据平台的安全性,大数据平台基于各种各样开源系统,在设计初期没有考虑太多安全问题,一般认为只要数据能“算”就可以了,但在数据变得越来越敏感的时候,大数据平台的各种安全机制就变成了一个强需求。还有像数据备份与恢复,就是对付WannaCry这种勒索攻击的一种手段。
在数据安全领域的技术进步也有很多,比如在隐私计算方面。昨天安全创客汇我们就讲到现在至少有15家新的创业是在做隐私计算这个方向,有做联邦计算、多方计算、同态加密等等。
#身份与访问管理
身份与访问管理其实也是一个传统的大市场。
我们先看IAM。在过去的这些年,IAM首先用的是用户名口令这种传统的手段,大家都知道这种方案效率低,对用户不友好,但是到今天我们其实还没有办法完全地抛掉用户名和口令。后来我们有了多因子认证,现在零信任网络架构也试图从一定的角度去解决这个问题。
那么从PAM权限管理这个角度,我们经历了从IBAC(基于身份的权限访问控制)到RBAC(基于角色的访问控制),到ABAC(基于属性的安全访问控制)。在今天这个产品仍然在逐渐的完善过程中。
还有在云服务越来越多的情况下,IDaaS也变成了世界上非常主流的一个潮流,虽然中国和国外之间的发展趋势会略不一样。
还有这两年非常火的零信任,零信任在国内是一个热词,很多的创业公司都要打零信任的标签,零信任有一个非常重要的部分就是和身份访问管理有关的,他很大程度上解决的也是身份和访问控制的权限问题。
#安全管理
在安全管理这方面,在过去这几年我们解决了几大问题。一个是数字资产的发现与管理,一个是从2015年国内安全行业开始建设的威胁态势感知,可以说是完成了从SIEM到提前感知的进程跨越。
还有SOC,可以说过去很长一段时间里,把SOC这个产品做成功的公司特别少,到今天SOC的自动化水平得到了极大地提升。现在我们也能看到SOAR的演进,SOAR在目前还不能算是一个获得成功的产品,但在未来我们对它给予很大的希望,因为在人类技术进步的过程中,提高自动化水平,减少对人力的消耗是我们追求的终极目标,尤其是在安全人员远远不足的当下,只有通过提高自动化和智能水平,才能减少对于人的消耗。
在漏洞管理方面,漏洞管理以往的方式是打补丁,但是很多用户系统很难去打补丁,这种情况下,漏洞化管理成为了一种新的方式,通过访问权限的控制,通过一些防火墙的规则设置可以去解决打补丁的问题,什么时候该装补丁?什么时候可以采用其他方法去解决?这都属于安全管理方面我们获得的一些进步。
#安全服务
安全服务一开始大家都比较容易接受的首先是渗透测试服务,过去安全公司都会准备一个渗透测试团队,先上去把用户打穿了,然后再卖产品进去。到今天我们有专业的安全公司的安服人员,还有各种众测公司,包括最近国家信息安全测评中心搞了一个众测的项目。
还有像MSS和MDR这种安全托管服务,在2021年各大安全上市公司的年报里面都会提到自己要做MSS或者MDR,这里面的原因主要是我们整个社会都在做数字化转型,需要保护的系统和财产越来越多,但是我们的网络安全人员一年只能培养出来几万个,离安全教职委说的“我们需要140万-150万的安全人员”这个数差距太大,很长时间都难以去满足这个要求。另外人员设置也是要花钱去养护团队的,通过安全的云服务方式,才是能够低成本为用户解决问题的一个手段。所以对MSS和MDR这两个服务我们是非常坚定地看好,实际上开展相关业务的公司的经营效益也很好。
电子取证其实也是非常重要的一个安全服务,系统遭到入侵了之后,有专门的安全取证团队能帮你做取证服务,最终能够变成“呈堂证供”。
#四大通用技术理念
刚才说到了四大通用技术理念,首先要提的就是零信任。零信任现在的基础组件其实就是一个微隔离,一个SDN,一个IAM。现在各种创业大赛里面号称是做零信任的公司特别多,其实零信任是一个思维方式,它会应用到很多传统的安全产品甚至服务里面去。比如现在非常热的SASE里面也包含了零信任的应用。
再看数据安全治理与隐私保护,其实数据安全治理是解决数据安问题的一个有效方法,他首先有数据资产发现,我要先知道我有什么样的数据资产,其次能对我的数据去进行分类和分级,然后再去做各种权限控制;还要对数据进行加密,让别人入侵之后也无法拿走;数据分享的过程中还要脱敏,再加上传统的数据库审计防护、数据防泄漏等等方面的需求。其实数据安全治理是一个非常复杂多样的工作,在内部他可以再分成很多细分内容,而在数据安全整个的工作中,今天的解决方案都处于非常早期的阶段,所以我们认为数据安全未来会是一个非常大的赛道。
数据安全技术主要的发展变化来自于从一开始是对数据进行静态的防范,今天我们要对于流转的数据去做安全管控,因为数据不流动起来,它的价值无法真正的发挥。第二点我们由过去的明文计算,到现在有了各种隐私计算,不管是联邦学习、安全多方计算还是同态加密,都是用来解决隐私计算问题的一种方法。还有我们在过去对数据标密的时候采用人工标密,现在随着数据量的膨胀人工已经无法满足需求,这就产生了数据的自动分类和分级。
在高级威胁发现方面,最近的两年各种解决方案和产品的大赛里我们看到非常大的比例是基于全流量分析的方案。2020年我们做市场分析的时候发现做IPS/IDS这两款产品的提供商在减少,但是基于全量分析的NTA厂商在非常快速的增加,并且应用了人工智能技术、沙箱技术等。从基于引擎的扫描到基于沙箱的检测,从人工的日志分析到AI的全流量分析,这都是在高级威胁发现方面的技术进步。
开发安全是随着开发左移的思想发展的,意思就是人们解决安全问题不是在产品最终要提交的时候再交给安全团队去测试,而是在开发过程之中就采用各种各样的交互式自动化的工具支撑来帮助开发者尽早发现漏洞。像悬镜安全、默安科技,都号称自己是一个DevSecOps公司,提供SAST、IAST、DAST、SCA等等各种管理工具,分别解决静态安全扫描、动态的安全扫描、交互式安全扫描和源代码的成分分析等。
还有一个是Fuzzing,Fuzzing其实是上个世纪80年代末学术界提出来的,但最近几年开始越来越广地得到了安全界人士的应用。现在Fuzzing到的一个问题就是要从专业人士应用变成普通开发者就能用,怎么形成自动化的漏洞挖掘工具,在开发过程中能帮助客户去找出来协议上和代码上的漏洞,这类产品的整个发展还是要有自动化的工具来落地和支撑。
总结:下五洋捉鳖 上九天揽月
最后从总体上总结一下网络安全技术发展的趋势,在这里我放上了一张太极图。在RSAC等各大全球安全会议上,老外在演讲的时候也经常拿中国的太极图举例子,虽然我不知道他是不是真正理解太极图的意思。
在过去几年间我们看到有几个趋势,一个是安全的管理越来越细,从过去管一个终端的安全,然后到网络边界上的安全,再逐渐深入到代码的运行过程做了什么行为,再到后来的比如API安全关注到每一次的系统接口的调用,越来越细节。对数据也是,我们从过去用一台服务器做权限控制,到在服务器内部去分清楚它是哪个数据库,到现在要能分出哪条记录。这种越来越细的趋势,我们把它叫做“下五洋捉鳖”。
第二个就是“上九天揽月”,意思就是说虽然基于细节的管理我们的能力确实在提升,但依然是不够的。比如像这次的新冠病毒,我们正好可以看出来中医和西医之间的区别,西医就是越搞越细,细到这个病毒的表面蛋白是什么,分子结构是什么,它到底是怎么感染人体的,该用什么样的疫苗,用什么样的药物去治疗它。但是这样越往下剖得越细其实工作负荷是很大的,病毒这个东西是不是真的能被解决也是存疑的,比如很快就出现变异病毒了。那么中医的玩法不同,类似于不管你什么病毒,在中医看来都是癔症,中医通过把你的身体的机制调动起来,提高免疫力,让你身体的免疫力自己去把病毒干掉,不管是什么病通过这样的方式都可以来进行一定程度的防御。
像在网络安全里面,我们从更宏观的角度去看,不管是态势感知还是UEBA,都是试图跳出细节,在掌握更大信息量的基础之上,通过找到一个更高层的规律来解决问题。
另外我们在讲网络安全的趋势的时候,我们要知道网络安全领域没有一放出来就能解决所有问题的“独门大招”,且往往需要一个很长的过程。拿Fuzzing来做例子,在1989年的时候就有学者提出来这个概念,但在后面将近20年时间里都没有得到非常广泛的认同和应用。直到最近10来年时间高效Fuzzing工具的出现能够让专业人士开始用起来,今天我们再把它变得能让更普通的用户能够使用,整个过程从创意到产品应用要花费几年的时间。在这几年时间之内,大厂会不断的跟进,创业公司也会不断的跟进,最后往往会形成一个新技术,但它不是谁家的独门武器,而是多家公司都会具备这样的这种技术。所以在网络安全的技术演进上面,我们看到的是一个渐进的趋势,从一个创意最终到变成用户真正能用的产品,再快也得两三年时间,而且最后往往是逐渐迭代式的演进的这样一个过程。
文由微信公众号数说安全