从2020年始至2022年,安在新媒体连续三年发布《中国网络安全产品用户调查报告》(下文简称“报告”),该报告最大特点为“基于用户,取之用户,利于用户”。有幸得益于网安业内人士的赏识与抬举,让报告在网安领域拥有“大众点评”的美誉。
今年6月,该报告第三版正式发布。问世之后,很快引发诸多争议。“横看成岭侧成峰,远近高低各不同”。每个人的视角与立场不同,所以看待报告也能得出不同的观点与结论。对此,我们完全可以理解,并对诸多争议观点进行了思考与总结。
为了让业界能够更加理解报告里的内容,我们特别邀请了业内最早尝试零信任产品之一的中银证券信息安全负责人蒋琼,持续为安全圈输送干货的乐信集团信息安全中心总监刘志诚,某外企信息安全负责人李达,安在新媒体合作人及安在新榜出品人张威,齐聚线上直播分享。本次直播由安在创始人张耀疆主持。
(从左到右、自上而下分别为张威、张耀疆、李达、蒋琼、刘志诚)
蒋琼指出,这份报告整体体现出安全行业百花齐发,每一个细分领域都有了很高的提升,每一家厂商也都在各自擅长的领域不断探索和升级。结合多年来实际工作的感受,她认为目前很多做“全家桶”的大厂也逐渐有了“小而美”的感觉,中国的安全产业越来越具有价值。
刘志诚认为,这是一份具有代表性的报告,足够多的样本保障了报告的参考价值,品类的碎片化体现出目前安全覆盖的领域、场景越来越多。对于报告还有哪些需要补充的地方,刘志诚表示,因为安全从业者所处的行业、企业的业务范围、场景和生命周期各不相同,有限的投入和大范围的产品对每一个企业来说都是巨大的挑战,因此,大、小企业安全形态不同的原因;安全行业、企业安全团队的未来方向等问题都是有待补充的方向。
李达表示,报告的最大亮点是能够帮助业内同仁进一步了解中国安全市场的划分和各类解决方案。近年来,我国的政策和网络安全产业持续向好,很多细分领域的产品甚至超越国外,这份报告可以促进甲方的同仁互相学习,相互成长。
多维度看企业安全预算差异
报告指出,我国企业安全预算占比IT预算的占比中位数约为4.79%,对此,张耀疆表示,预算占比在不同行业、不同领域都会有所不同,IT预算包括哪些内容也没有统一的标准,未来报告会尽可能制定统一的标准,让这一数据更具代表性。
蒋琼认为这一数据偏高。在她看来,因为费用类预算和投资类预算都属于IT预算,分母很大,所以安全预算占比会更少。安全要常态化、体系化,就需要一定的资源,而安全资源中人才占很大比例。企业安全不能全部依靠外力,扎实的安全团队在落地解决方案时更能帮助到企业。另外,安全,安全行业需要更多的需求驱动型产品,企业在应用时也能够更快落地。
而刘志诚表示,安全预算占比需要从多个维度去考量,首先是传统型企业,这类企业的信息基础设施架构和技术升级周期相对稳定,信息化占比业务比较有限,预算也就不会过高。互联网企业恰恰相反,这类企业数字化水平很高,开发技术的持续升级使企业的场景和业务愈发复杂,安全所面对的风险也持续加大,所以这类企业的安全预算一般都会较高。
从企业成熟度角度来看,初创期企业更重视业务,对安全的态度是应对风险而非主动防控,所以这类企业安全的预算占比也不会太高。建设期企业相对稳定,资源、资金相对充足,并且大多会考虑体系化建设,对安全能力相对较高,安全预算也会随之提升。最后是成熟期企业,这类企业不会大量拓展业务,对安全的需求是维持日常工作需要,所以预算会回落到通用水准。
在外企工作的李达表示,4.79%这一数字放在全球来看非常客观,不同的行业对安全的要求各不相同,预算占比也各不相同。影响预算占比的因素有很多,安全部门在企业所承担的角色也是因素之一。如果安全只是企业业务的支撑者,那么预算不会太高,如果安全能够引领业务,预算占比将相对更高。另外,李达提示,安全部门应用某一解决方案时,往往会影响很多部门,看似安全部门支出了很多预算,但实际上,这种影响也同样会使其他部门支出一定的预算,从而影响安全预算的占比。
最后,张威表示,这一调查结果所呈现出的数字有两方面原因,一方面是国内近年来信息安全产业发展持续向好,另一方面是金融、能源、房地产等高度信息化的行业占比较高,在下一次调研时会加以调整,使数据更加真实可信。
安全产品的评估标准预算问题讨论结束后,下一步就是支出。张耀疆发出提问,在选择安全产品或解决方案的过程中,不同企业往往都会有不同的侧重和考量,三位嘉宾在实际工作中都是如何选择和落地安全产品?
蒋琼表示,产品创新不是特立独行,而是要基于行业分析之上的尝试。当前,由于技术的不断更新,新产品带来了更高的解释成本。所以,为了能够更好的应用新产品,企业往往会采用POC。POC可以有效帮助安全产品的实施和落地,并能够让企业各部门更好的接受它。
此外,蒋琼将安全解决方案的服务对象分为三个类型,第一是大型金融企业,这类企业对于安全的目标是支撑稳态的业务;第二是数字化转型中的企业,这类企业处于建设期,对安全的目标是相对敏态;最后是需要面对攻防演练或突发安全事件的企业,这一企业对安全的目标是应急态,需要安全能够真正引领企业业务发展。
刘志诚认为,安全企业要根据风险来选择解决方案,而不是被厂商所引导。当企业面对风险,要在分析的同时确认安全需要具备的能力,这可以避免采购碎片化等问题。在实际工作中,往往不会有产品能够100%匹配企业的需求,这就需要企业不再仅仅将厂商视为供应商或服务商,而是要将其视为合作伙伴。如果厂商和企业的未来发展方向一致,双方合作将会对安全产品整合带来更大的帮助,也会为行业带来更高的价值。
另外,刘志诚指出,POC不是单纯地做功能测试,而是要做风险的验证和处置。例如检测类产品,在做POC时要着重观察其是否能预测出某一领域存在漏洞。最后,刘志诚表示,如果不知道如何对比厂商之间的优劣,可以站在成本和验证的角度,观察其产品的成熟度和稳定性。
李达认为,企业在选择厂商时,往往会选择愿意与企业共同成长的,会和企业未来规划相集成的。目前,甲方往往不会仅有一两个解决方案,因此,新的解决方案需要提供可支持的脚本和相同的API接口,以达到更好的落地。另外,即便产品与需求的契合度不高,也可以通过企业安全团队加以提升,如果能达到60%以上,那么这类产品也是可以选择的。
企业和厂商的关系
在总结新一期报告时,张耀疆表示,第一期推出后,他认为这一报告可能不利于中小厂商,因为中小厂商知名度不高,在面对成熟的大厂时没有太多优势。但是新一期发出后,他发现并不是这样,用户不是不关注小厂商,而是因为还没有合适的时机来使用小厂商的产品。今年上榜的企业里,绝大多数都是创新性企业,这些企业在各自的领域都非常优秀,因此,厂商不仅需要一个合适的方向,还需要和企业达成一种伙伴关系。
对此,李达表示,以往甲方和乙方就是单纯的买卖关系,而现在大家更追求双方共赢。他举了一个例子,在业务需要公有云时,李达在有其他厂商的情况下选择了阿里云,原因是双方有很强的合作意愿和一致的目标。
刘志诚认为,过去乙方承载着教育客户的职责,在兜售产品和服务之前要向甲方讲清楚作用和价值。但现在安全形式正在变化,产品也在逐渐分类。以往主机的产品、防火墙或入侵检测等成熟市场,无需定制就可以满足企业需求,但现在随着数据安全、业务安全、API安全、零信任等新概念的衍生,新产品并没有足够的成熟度,所以甲乙双方的职责发生了变化。现在,甲方要向乙方输出观点,提出需求。对很多创新性厂商来说,要逐渐适应这一过程。
另外,刘志诚还提出了一种现象叫未强先老,指的是厂商还没有做大做强就已经和传统企业一样老,发生这一现象的主因是技术发展速度过快,3-5年的时间就会涌现出新的技术,厂商需要足够的适应能力。很多甲方并不会关注乙方的技术到底强不强,而是关心产品是否能解决问题。有的甲方会关注厂商的操作系统是否符合自身习惯的业务逻辑,不在一个维度的厂商也会被拒绝。
蒋琼表示,甲方安全离不开风险,做好安全就是做好整体公司风险的保障。甲方往往会先厘清企业的风险点,再将风险转换成技术的控制点,从而寻找合适的产品或厂商。
观众互动问答环节问题精选
问题一:主机终端安全产品现在非常多,各类功能又有细分的差异,需要安装不同的软件,如何避免这种困局?
刘志诚:这确实是一个难题,很多企业都涉及到客户端整合问题,这些客户端功能又不完全重叠。据我的经验来看,首先可以自己整合,其次是SDK集成,最后是研发集成第三方引擎等等。
目前我所处的企业在尽量降低终端的安全风险,数据不落地,终端风险就会降低。针对实际的风险进行整合,适当放弃一些客户端,避免终端承受更高的风险。
问题二:应急中心具体的职责和SOC有什么不同?
蒋琼:我们的应急中心主要是在监管的要求中,合规和安全很难分开,建立应急中心的前提是符合合规;另外,企业要有常态化应急的需要;最后SOC可以作为企业安全的一种展示方式,让整体安全可视化。可视化还可以在适应新产品时,更好地把握各部门之间的感受。
问题三:数据安全领域目前有什么推荐的产品与解决方案?
李达:这个话题非常广泛。数据安全的保护有一个生命周期,在不同的生命周期采用不同的解决方案。例如数据采集这一阶段,有些企业会采集很多个人信息,存储在数据库时就需要一定的加密。这种加密可以做在数据库层或者应用层,不同的层级也有不同的解决方案。除了加密还有数据的脱敏,脱敏有静态数据脱敏和动态数据脱敏,这也是两种不同的解决方案,例如Informatic等等对应静态数据脱敏的解决方案。
除此之外,还有隐私增强计算,企业会经常和合作伙伴去共享数据,在这种情况下就需要隐私增强,例如安全屋或者数据交易中心都会提供这类解决方案。
在数据传输阶段可以采用TRS 1.2或Cipher等等。如果数据需要零散的分享给外界,可以采用DLP解决方案。如果对微软比较依赖,那可以选择M365数据安全保护。
问题四:对于非标产品如何平衡厂家和企业的技术对接?
蒋琼:这个平衡很难做,但是又很重要。首先这款产品是否有替代关系,是局部替代还是对原有的加强,定位不同做法也不同。如果要替代,那么就要做足够多的论证,我称之为死亡测试。死亡测试就是检测企业能接受的最坏结果,如果可以接受,再加上一些控制措施和与厂商的合作,就能够平衡这个过程。
问题五:如何应对引入失败的安全技术和产品?
刘志诚:不仅是新产品,老产品也有可能会失败,因为这是必然的。做POC的目的就是降低产品引入失败的风险,所以POC测试叫风险导向或问题导向,在这个过程中是要真枪实弹的测试,而不是点一点界面,点一点菜单,看到功能可以使用就结束了。一定要在测试环境或灰度环境去做实际上的测试,在预防阶段最大程度避免引入失败的问题。
但即便你做了POC,也不能完全避免失败。因为灰度环境、项目环境都不是全量的业务场景,在实际的业务场景中,性能、稳定性、可用性和产品本身的缺陷可能都会导致失败。
我在选产品时有三个标准,第一是产品;第二是支撑,厂商能够快速地支撑或改进产品的缺陷,外国产品退出中国市场的主要原因就是缺乏支撑;第三是商务,产品价格一定要合理,有些产品的适用性可能就几个月,一旦环境发生变化就会下线。
本次直播完整版视频回看,敬请移步 安在视频号 !
推荐阅读
齐心抗疫 与你同在
点【在看】的人最好看