转载自雷锋网宅客频道 作者:史中 原文链接:http://www./news/201702/4NzX5SLlEv5kUqLG.html 引言 阿里云,这个国内最大的云计算平台,服务着万亿企业的数据和业务。它所代表的云计算能力已经像水、电一样成为了互联网国度的基础设施。 难以想象如果一个城市的水源干涸、电力枯竭,将引发怎样的灾难。对阿里云来说,安全是巨大的云城邦脚下的基石。而肖力,作为2005年就加入阿里巴巴的第一个安全工程师、阿里云安全团队的缔造者,正承担着这份守土之责。 肖力是为数不多站在技术和战略十字路口的人,他无时无刻不在寻找世界上最先进的武器和部队来守卫阿里云计算。于是,他对于未来一年、五年、十年网络安全趋势的洞见,也许会深切地影响中国互联网安全的发展脉络。 每年,肖力都会出现在各大世界顶级安全会议的现场,感受最新安全技术形势的变化。RSA 大会,是全球安全厂商一年一度的聚会,被视为全球安全行业的风向标。每年全球 Top 500 的安全厂商都会积极参与 RSA 的技术分享,并借此机会为自己的最新技术找到“用武之地”。 客观地说,全球安全技术仍然以美国为中心,RSA 上的无数公司拼凑出了一幅安全界的清明上河图,这番图景,对于安全产业发展较美国有“代沟”的中国,有着极强的借鉴意义。 刚刚从旧金山 RSA 现场归来的肖力,带回了从互联网安全高地绘制的最新趋势图。雷锋网(公众号:雷锋网)宅客频道在第一时间采访到肖力,让他展示了这份最新的“作战地图”。 以下是肖力访谈实录 (口述/肖力 | 文/史中) 一、安全没有巨头,“合作”才有意思 在描述今年 RSA 所有的具体技术趋势之前,我最愿意分享一个今年的总关键词,那就是“合作”。这个词听上去不性感,却是安全行业发展到现在,一个必然到来的总趋势。 1、安全是“碎片化”的 安全有点不一样。 在互联网的其他领域,通常会出现巨头一家独大,能占领70%-80%的市场。 但我感受到安全这片土地,一定不是巨头霸占的领域。为什么这样说呢?因为安全并不垂直,恰恰相反它涉及到互联网和商业世界的所有领域,可谓安全无处不在。这些领域太广泛了,所以不可能有一个巨头说:我的产品在所有领域都是最好的。 就算是我们耳熟能详的安全大咖:McAfee、赛门铁克,他们的收入在整个安全市场的占比还是很少的。我看到的是,安全的每个细分领域都有“头牌公司”。 对于一个企业来说,它的安全需求是“碎片化”的,这意味着企业要搞定各个方向可能存在的安全问题,就一定会选用多个领域的安全产品。根据我的观察,每个公司都需要5-10个领域的安全产品。例如:
千里之堤溃于蚁穴。对于企业来说,所有的维度一旦出现任何一个短板,它的安全性都会破碎。这个特性就要求各个方向的安全产品之间的联动合作,它们只有拼成一个整体,才能为企业提供最安全的服务。 2、打通日志和API是合作的重要一步 今年的 RSA,我感受到了一个关键词:合作。这说明安全行业也已经意识到了,合作是至关重要的。 但实际上目前安全厂商的合作现状并不好。 以数据日志为例,网络、系统、主机都会产生数据日志,把这些日志汇总分析,才能得到整体的安全态势。但是,目前诸多安全厂商的日志格式、标准都不同。甚至在安全领域专门出现了一个领域:安全日志的横向管理分析。产生了安全大数据产品——SIEM,SIEM 第一个核心竞争力就是翻译各个安全产品的日志。 由于日志的碎片化和不统一,翻译的做法,一定不如原生的统一格式日志。云是一个非常好的机会,消除不同日志之间隔阂的机会。在这种统一的 API 接口基础上,安全产品的联合才能变得更容易。 作为云计算的服务商,我们最希望看到各大安全产品能够在我们的平台上实现数据、日志、接口的联合。这样才能让我们平台上的用户更加坚不可摧。 二、安全产品全面转转向公共云 SaaS 服务 1、SaaS 安全服务元年 在 RSA 上观察各大厂商主推的产品,就可以清晰地看出安全产业的发展趋势。
这说明 SaaS 安全服务已经成为了一个不可逆的主流趋势。举两个例子:
从这一点上看,可以看出美国和中国安全发展的最大不同: 根据我的观察,美国云计算发展要领先中国两年。之所以得出这样的判断,是参考了 SaaS服务的成熟度。在美国,基于公共云的 SaaS 服务已经成为了企业服务的主要形式;而在中国 SaaS 服务本身都还没起来,所以 SaaS 安全服务也同样不成熟。 但是,我坚信公共云计算服务是未来互联网的趋势。我可以举一个例子:
虽然一些厂商还在私有云方面发力,但是我认为在美国这个趋势已经很明显了。
当高等级安全需求的大型企业、银行、政府系统都上了公共云,他们经过严格的评估,认可在公共云上划出的“逻辑隔离区”的安全性。良好的示范效应会使得其他行业迅速跟进,拥抱公共云。 2、公共云安全产品的“天然优势”越来越明显 从我的角度来看,公共云至少有三点优势:
说了这么多公共云的优势,不仅仅因为我们所做的是公共云计算,而是因为当公共云计算成为趋势的时候,基于公共云的安全产品才能真正被人认可,从技术上和易用性上成为首选。 根据我的观察,国内大的安全公司,已经把产品云化,说明他们也非常认可这个趋势。 三、不说“数据智能”,不好意思和别人打招呼 数据智能是我在今年 RSA 上看到的最明显的趋势。数据智能在交通、金融等等方面都已经有大量的案例,安全的数据智能也成为人人争抢的高地。 我理解的数据智能,包括了基于数据的机器学习和人工智能。
举例来说:
【Splunk将用户数据同一导入大数据平台/图片来自官网】 客观来说,数据智能也是技术发展的必然归宿:
这就必然是数据智能。
整个行业的趋势就是:越是顶级的安全公司,越是重视数据智能在安全领域的应用。 四、安全的“未来边疆”和“明日黄花” 除了 RSA 上人人都在喊的方向,还有一些只有少数前瞻性公司涉猎的安全方向,这些方向一方面有可能在未来会是安全的新边疆,但显然在今年还没有进入爆发期;一方面可能是一个并不正确或者尚未探明模式的方向。我试着对这些技术趋势给出自己的判断。 1、IoT 安全是一个巨大的未来 有一个趋势大家都可以看到:
虽然大家都看好 IoT 领域的安全市场,但是由于 IoT 本身刚刚开始,所以在 RSA 上自认为是 IoT方向安全厂商的人还很少。所以我认为 IoT 安全的市场还没有起来,因为 IoT 本身的市场还没办法养活依附其上的安全市场。 但是我坚信一个判断: IoT市场和安全市场本身类似,都是碎片化的领域。没有一个厂商的安全方案可以把所有的 IoT 安全都搞定。 举个例子:
这些领域非常细分,所有的方案都无法通用,另外对于同一个 IoT设备来说,还存在不同类型的安全需求。例如:端本身的安全、传输过程中的认证和加密安全、云端安全。这就造成了一个复杂的安全局面: 可能有十个 IoT 安全的细分领域,每个领域又需要不同的端口和传输安全。每一种排列组合都需要一个细分安全公司来进行服务。 例如一些比较前沿的公司:
可见,这其中会孕育出超出想象的机会。 【Covisint Corporation 提供的安全接入能力/图片来自官网】 2、移动安全市场并不美好 所谓移动安全市场,就是我刚才说到的以 Android 和 iPhone 手机端为主的安全市场。虽然移动终端已经非常普及,但是我认为,这个市场和 IoT 市场恰恰相反,并没有很大的安全需求。 从今年 RSA 的参展商来看,做移动安全的公司非常少,总数500家企业中,移动安全公司只有个位数。这也支持了我的判断。 我相信 99% 的 iPhone 都没有装安全软件,而 Android 手机上的杀毒软件重要性也在下降。这个现象背后有其原理:
移动安全这个市场一度火爆,很多企业都准备大展拳脚,但是现在看来,很多企业都已经“死”了。根据我的判断,这个市场也许并不会迎来新的发展机会。 3、CASB(Cloud Access Security Broker 云安全接入代理)将会开拓新边疆 CASB 是前年和去年刚刚兴起的领域,意思是云化的 SaaS 服务中的数据安全。简单来说,就是企业在接入 SaaS 服务的过程中,可能产生数据、隐私方面的问题。 举几个例子:
原来全球企业只用本地软件,现在纷纷接入云端 SaaS,所以接入的过程本身产生了新的威胁。例如:SaaS 服务本身安全性如何、敏感信息是否越界上传、接入身份是否合法等等。 面对这种威胁,一些安全厂商投身于此,例如:
【Skyhigh 产品适配的部分软件】 就国内厂商来说,360 今年也发布了 CASB 方面的产品,意在提前布局市场。CASB 的市场将会很广阔,但是根据我的观察,国内 SaaS 服务的市场不超过 10亿,很多公司还没有使用 SaaS 服务,所以在国内现阶段推出 CASB 产品,也许有些为时过早。 就全球来说,CASB 也在成熟过程中。有一点可以作证这个观点,那就是 CASB 产品的形态还在一直变化。 目前大量的 CASB 都是基于 SaaS 服务商(财务、客户、办公)提供的 API 接口来做的,根据 SaaS 服务商的数据来做分析,这种方法严重依赖 API 的成熟度和完整度。如果 SaaS 服务商本身提供的数据就不完整,CASB 的监控能力就会很差。 基于此,今年有一些安全厂商选择通过流量分析的方法来获取数据。因为企业员工上网一定会通过网络接口,实际上在接口处的流量相对更加全面,所以最新的产品形态是:CASB 厂商通过网络接口流量进行威胁分析,试图更完整地解决问题。 4、威胁情报、UBA、安全运维自动化 除了以上比较明朗的技术趋势外,还有一些更加细分的领域。但是在我看来,这些细分领域并不是产品的最终形态,而更像是面对安全厂商的技术。 1)威胁情报 威胁情报不应该面对最终用户,应该面对安全厂商。我认为终端用户用不了威胁情报的数据,这些数据应该由具体的安全服务厂商进行分析之后,落实到具体的产品中,才可以为用户所用。 例如,威胁情报可以用在大数据分析平台、WAF、终端安全、数据安全等等产品上。 据此,我认为直接面向终端用户的威胁情报可能走不通。 2)UBA UBA 全称是用户行为分析(user behavior analytics),简单来说就是从企业用户的角度来入手,通过分析用户的一般行为,对用户的安全等级进行标注,一旦感知到异常行为,就可以进行预警。这种技术同样可以应用在安全产品之中。 3)安全运维自动化 安全运维自动化,是一个更激进的安全管理形态。顾名思义,这种技术想要实现在无人值守的情况下进行自动安全运维,目前这种技术仍然处在初期阶段。同样,这也不是一个产品形态,目前,有一些运维自动化的方案已经出来,但是在后期可能会和具体的产品相结合。 五、冷清的中国展台,我们长路漫漫 今年的 RSA,有来自中国的 30家安全厂商,包括华为、360 在内的大厂商,还有很多中小厂商。但是一个普遍的感觉就是:中国展台很冷清。 我觉得原因在于,中国的安全企业业务没有全球化。简单来说就是,安全产品没有卖给国外的用户。 这其中又反映出中美安全厂商的不同点:
究其原因的话,很重要的一点应该是:中国市场还没有形成足以养活“专一”安全企业的规模。受限于目前的市场规模,所以国内的安全市场是“销售主导”。也就是说本来客户就这么多,但是企业要多收钱,所以只好开发出更多的产品。 当然,市场最终拼的是能力,而不是销售。如果一家厂商未来要做到百亿美金的安全公司,至少有一点要做到“全球最好”。而在一点上做到最好,显然就不会有更多的资源和精力去做其他领域。 以阿里云安全为例,我们的核心任务就是把平台的稳定性做到最好,据此我们最需要的底层能力就是“抗 DDoS”,所以在抗 DDoS 方面,我们的能力就要做到全球最好。至于其他业务,我们会和全世界最好的 IoT 安全公司合作,和最好的数据安全公司合作,和最好的 Docker 安全公司合作,和最好的威胁情报公司合作等等。 对于中国安全企业来说,做到某一个点的全球最好,仍然前路漫漫。中国企业展位门庭若市的那一天,仍然需要我们共同的努力。 小结·采访手记 中国顶级安全公司纷纷出海,但是肖力却冷静地看到了我们某种程度的“自说自话”。这种冷静可以解读为一个安全研究员的职业直觉;从另一个角度来说,认清我们的优势和劣势,正是攻城略地前的寂静。 公共云 SaaS 安全服务、安全数据智能、IoT 安全、CASB,是肖力热情赞颂的四座高地。这四个领域有着一个共同点,那就是在现有基础上,赛博世界的元素(服务、数据、终端)更加密集、频繁、安全地连接。 几十年前,从全世界第一台电脑接入互联网开始,我们就在期待每一个新的赛博世界的子民。而当亿万设备裹挟着重若泰山的数据向我们的互联网点头致意的时候,我们需要有足够的自信,给它们安全的承诺。据此,肖力的洞见,值得玩味。 |
|