SecOps2022回顾 | 谭晓生:从网安发展趋势看安全运营技术发展
5月6日,2022网络安全运营技术峰会(SecOps2022)圆满举行,会议以“数字时代,安全从攻击面管理开始”为主题,汇聚国内知名咨询机构、权威专家、企业领袖,聚焦于数字时代攻击面管理技术创新与实践,探索网络安全运营技术突破的新方向,推动网络安全行业的变革与发展。国内首份《中国攻击面管理市场白皮书》于会上发布,全面梳理可解释的攻击面管理概念、市场现状、攻击面管理产品特征与体系、行业实践及发展趋势。
在本次活动中,北京赛博英杰科技有限公司创始人兼董事长谭晓生以《从网络安全发展趋势看安全运营技术发展》为主题,为与会观众概括地阐述了网络安全在发展过程中的环境变革、安全思想的演变、面临的挑战、技术的进步、服务形态及商业模式的变化,并指出中国网络安全正在经历从重建设到与建设与运营并重的转变。(本文是针对此次发言中的一些摘编,以供参考。)
众所周知,网络安全本质是攻防对抗,且对抗的过程是动态的,因此防御技术也会随着形势的变化而不断地演进。谭晓生表示,在最近几年中所面临的重要挑战就是数字化转型,而疫情更是加速了数字化转型的进程,远程办公、协同正在逐步成为日常,生产、制造等领域也在开始积极地拥抱互联网。在2021年下半年,元宇宙概念的出现,让人们对未来充满了期待,尽管对于是否会真的出现可以让人们生活在一个数字世界中的平行数字空间尚存疑问,但元宇宙概念能受到如此热捧,其基础就是要依靠数字化转型。
那么在数字化转型它会带来哪些变化?谭晓生总结了三点,一是信息技术由过去的一种业务支撑工具,逐渐变成了业务本身;二是网络空间与物理空间已经打通,这意味着网络攻击已经可以制造影响到现实空间中的事故;三是过往的IT是做手工流程的计算机网络化,其中手工流程可以作为备用措施,而当前已经没有了手工流程,这意味着没有退路可言,必须要尽力做到不容有失。由上述几点可以看出,数字化转型进程中,所遭遇的网络攻击相比此前会对我们造成更加重大的影响。
北京赛博英杰科技有限公司创始人兼董事长 谭晓生
网络安全当前所面临的挑战
面对上述的这些变化,谭晓生也指出了当前网络安全所面临的主要挑战:
1、数字资产拎不清。在数字化转型过程中,数字资产不仅呈现出快速增长的态势,而且更是在快速地变化,数字资产的管理直到今日仍是非常大的难题。
2、层出不穷的漏洞。当我们的IT系统越来越多,漏洞的问题会一直存在,同时新的漏洞也会层出不穷。另外,在一些工业场景下,如某些工控领域仍在使用过于老旧的系统,这意味着它上面所存在的很多漏洞是无法进行修补的。
3、IT基础架构云化导致的传统防御思想不管用。IT基础架构云化为我们带来诸多好处,如可以更好更快地适应企业发展变化、更低的使用成本等等,因此这一趋势在未来仍会持续,这就要求网络安全防御思想也要跟上这一趋势,过去的那种城墙防御思想已经不太适用。
4、数据安全缺乏最佳实践。数据安全的防线非常长,比如最初级的数据分类分级这一问题至今都没有得到很好的解决。在这一领域,联邦学习、安全多方计算等新方法的引入尽管可以帮助我们解决一些问题,但同时我们也要去验证这些技术本身的安全性,其结论最终都需要依靠实践才能得出。可以预见的是,在未来数年甚至十年这样一个时期内,数据安全始终都会是困扰我们的一个大问题。
5、难以预防的供应链攻击。从2020年年底爆发的SolarWinds事件到2021年年底爆发的Log 4j 2事件,已经可以让我们看到供应链攻击所能导致的巨大破坏性影响,而在当前对开源组件、软件高度依赖的情况下,供应链攻击的预防难度会进一步地加大。
6、员工的安全意识不足。因一些内部人员安全素养不够导致的安全风险仍然较高,据一份关于全球范围内的钓鱼邮件相关数据显示,钓鱼邮件打开率普遍都在25%以上,如果安全意识足够到位,相信其打开率会显著降低,由此所产生的风险也会随之下降。
7、安全工程师难找。这依然是和人相关的一项挑战,根据目前相关部门统计的数字看,中国的网络安全行业从业人员缺口在120万至140万人之间,在缺口如此巨大的情况下,我国每年培养出来的安全从业人员数量却只有几万人,因此对于安全而言,人才的缺乏也是要面临的一项巨大挑战。
除头部客户外
腰部及中小企业客户缺少做安全运营的能力
在演讲过程中,谭晓生也对安全行业的客户群体在安全运营层面的能力进行了分析和阐述。在这里,他将客户群体分为头部客户、腰部以及中小企业三大类:
首先是头部客户群体,该群体主要由银行、能源等机构组成,他们在安全建设上的特点是预算相对充裕、对业务的安全要求极高、普遍拥有规模不小的内部安全团队。在安全建设方面,他们也能够根据自己的业务系统去构建自身的安全防御系统。简单看,这类客户群体不仅自身非常重视安全运营,而且也拥有安全运营的能力。
接下来再看腰部客户群体,他们的特点是有一定的安全预算,对安全的关注重点在于合规,这一点同上面的头部客户有着明显的区别,在内部安全团队建设方面,可能就只有几个专职甚至兼职的人员去做。前面这些特点决定了这一类客户群体的安全能力普遍较弱,安全团队从人员数量到人员素养都比较难以进行高效的安全运营。
最后再看中小企业这一客户群体,也是体量最大的群体。在数字化转型的进程中,更多拥抱数字化的其实正是中小企业。这类群体的特点是,对业务的重视程度高于其他,因此在安全相关方面投入普遍较低,即便有预算也非常紧张,而在安全人员的配置方面几乎没有。因此,这一群体主要是通过购买简单的、标准的安全产品或安全服务来解决安全问题,其自身是没有能力去做安全运营的。
安全理念、技术、产品及商业模式的演进
随后,谭晓生用较为概括的语言阐述了在过去多年以来,网络安全的理念、技术、产品以及商业模式是如何演进的。
网络安全思想演进
从狭义的网络安全(Network Security)看,其最早的就是边界防御思想,典型的产品就是防火墙、WAF等防护产品,随着这类城墙防御产品逐渐变得越来越容易被攻击者突破,于是开始引入了纵深防御这一思想,也就是从城墙防御变成了塔防。
在IT基础架构云化之后,网络边界变得愈加模糊,这时候一个新的同时也是最近这两年特别热的理念——零信任出现了,如今它已经成为当前一个主流的网络安全思想。不过,由于它的实施方案相对较重,成本较高,因此可能更多的是面向头部或腰部的客户群体,对于中小企业而言,想要实施零信任仍然会面临比较大的挑战。
终端安全思想演进
终端安全思想方面,最早采用的是黑名单的机制,比较典型的产品就是像杀毒软件等,随后在10多年前,黑名单这种方式已经无法跟上威胁发展的变化,于是转变思路,开始采用白名单的机制。但无论是黑名单还是白名单,从发布更新到用户终端完成更新这一周期,在时效是无法满足安全需求的,这就演进到后来出现的云查杀。
时间再往后,前述这种基于特征检测的杀毒也开始难以满足要求,基于各种进程级的行为检测产品开始涌现,并演变为现在的EDR等相关产品。在这个过程中,运营的成分已经呈现出越来越重的趋势。
威胁发现思想的演进
威胁发现思想方面,最早是基于特征值去检测,当这个方法不太有效之后,威胁情报开始兴起,不过威胁情报也有一些自身的问题,比如国内专注于这一领域的公司想通过威胁情报的服务很难做到挣钱,这其实也是一项挑战,后面又开始兴起了通过引入大数据、AI等新兴技术的方式来做异常检测,去发现网络威胁。
随着时间的推移,在开发的模型上也开始有了改变,早期安全往往都是事后的,当开发部门将系统开发完成后,会交给安全部门做检测,在发现安全隐患或问题后再交给开发部门去修正,但这一模式在今天已经是行不通了,当前对于业务向前运转的速度追求几乎是无止境的,在此前的这种模式下,必然会拉长业务或产品走向市场的时间周期。为了应对这一问题,DevSecOps这一概念应运而生,也被称之为安全左移。DevSecOps的理念是当你在做系统规划时就要考虑安全性,并将安全贯穿在整个开发生命周期,这意味着安全检测已经嵌入到整个开发过程,这是一种从源头做好安全的方式。
在上述关于一些安全思想的演进之外,谭晓生还为大家阐述了数据安全治理的思想,指出对于数据安全,较为传统的安全产品如数据库审计、数据库安全网关、DLP等产品,在以往的结构化数据情境下是相对有效的,但在面对当前大量非结构化数据的情境下就显得力不从心,这时数据治理和数据安全治理的思想就此被提出,以更好地应对变化。他还谈到,在Gartner的CARTA中,对安全防御中的预测(Predict)、预防(Prevent)、检测(Detect)、响应(Respond)这4个阶段进行持续的监控和风险评估,不断去检测当前的安全威胁,并有针对性去采取相应的措施,而这实际上就是持续安全运营的思想。
大数据、AI技术在网络安全领域应用已取得巨大进步 但仍有挑战
大数据与AI在网络安全领域中的应用,第三波人工智能浪潮的到来令计算能力迅猛提升,使得这两项技术落地应用的能力同样取得了一个巨大的进步,与此同时,它们在安全领域中也取得了非常多的成就。不过谭晓生也指出大数据和AI在安全中的应用仍在面临一大问题——误报率。在不同的场景下对误报的容忍度有很大的差别,对于容忍度相对较高的场景,AI所具有的高检测率特点是值得关注的,但在关键业务系统中,是完全不允许有误杀的情况出现,因此大数据和AI在部分安全领域中应用还是会面临极大的挑战。相比之下,在To C的市场中,针对恶意程序、文件的检测方面,大数据等技术早在十多年以前就已经获得了非常成功的应用。
除了大数据与AI之外,诞生于上世纪90年代的漏洞挖掘技术——Fuzzing在包括AFL等工具的出现下,在自动化0day漏洞挖掘方面也取得了不小的进步;同样颇有历史沉淀的主机加固技术,以及在数据安全领域中的隐私计算等技术,在这几年的发展中也得到了众多厂商的关注、探索和实践,在当前也都取得了一定的创新成果。
网络安全商业模式的变化 安全即服务值得关注
谭晓生表示,MSS(安全托管服务)和MDR(托管检测与响应)这类业务在西方已发展了很长一段时间,而在中国,因为各种各样的原因和问题,导致它在早期并没有得到一个很好的发展。不过在近些年来,国内不少企业开始声称已经开始在做MSS,据其判断,这些企业所做的实际上除了MSS之外,还提供了MDR这种更加专业且全面的服务。在他看来,这里所包含的内容,实际上就是在过去说了很久的“安全即服务”的概念。
谭晓生在分享中坦言,尽管MSS、MDR在国内市场发展了这么多年之后终于开始收获到用户的认同,但客户群体还是主要集中在中小企业,这一点同国外有着很大的区别,比如像以EDR起家的美国企业CrowdStrike,其MDR业务的客户群体有很多都是中大型企业。
除了MSS和MDR之外,他还特别提到了SASE。随着云计算的兴起,当用户的IT基础架构逐步云化之后,如何做好它的安全防护就成为一个很大的挑战,而SASE则是将包括网络接入在内的网络服务和安全服务两者进行了整合,其架构中的安全部分包括了FWaaS(防火墙即服务)、SWG(安全Web网关)、CASB(云访问安全代理)、零信任网络访问(ZTNA)等。我们可以看到,当Gartner在2019年下半年提出了SASE这一概念之后,便迅速风靡全球,而在国内市场,也有众多综合性厂商开始踊跃地介入这一领域。
第三个则是网络安全众测,在前面关于网络安全面临的挑战内容中,已经提到了关于安全人才缺口的问题,就目前而言,众测就是一个相对较好的方式,能够令各个安全企业、白帽子甚至甲方用户的安全人员调动起来,让这些安全资源能够得以复用。
谭晓生谈到了目前还处在尝试阶段的网络安全保险。他谈道,政府正在强有力d地推动网络安全保险,但从实际看,目前能看到的是在某个城市的网络安全保险保费收入只有几千万/年,因此,这还是处在一个开始逐步增长的早期发展阶段。谭晓生认为,网络安全保险会成为一种能够解决广大中小企业网络安全问题的一个普惠式的方法,因为网络安全本身的特性同自然灾害有着极为相似的地方,因此其未来的发展潜力值得关注。
网络安全运营是提高网络安全防御能力的一条可行道路
在演讲的最后,谭晓生表示,在2022年的网络安全领域全景图内新增的类别中,包括SASE(安全访问服务边缘)、MSS(安全托管服务)、MDR(托管检测与响应)、ASM(攻击面管理)、BAS(入侵与攻击模拟)等都是具有较强的安全运营属性,SOAR(安全编排自动化与响应)和各类AST(应用程序安全测试)工具也同样是需要用户去深度的介入和运营的。
在这些技术、产品或服务中,谭晓生表示会对MSS和MDR抱有很大的期望,随着数字化转型进程的不断推进和深入,对广大中小企业而言,无论是配置安全人员团队还是采购安全产品等相关网络安全建设都是难以承担之重,相比之下,通过MSS、MDR这样的安全服务,不失为一种保障自身安全的高性价比选择。
总体而言,在数字化转型过程中,网络安全领域的参与者也在自身的技术、产品和商业模式等方面不断地演进,那么在当下,网络安全运营无疑是提高网络安全防御能力的一条可行道路。
THE END
// 推荐阅读