|
技术驱动社会数字化加速,新的数字环境下,网络安全进入了攻击复杂化、漏洞产业化、重保常态化等新常态。应对数字世界新挑战,网络安全防护需要新的理论思考和方法论。 网络连接矩阵复杂化、网络泛攻击化、数字资产持续沉淀化、攻防资源不对等化,这四个安全命题,在未来很长一段时间,将是产业上下游都要思考的方向,也是未来安全防护最核心的原点。接下来,笔者从这四个趋势,简单谈谈思考和看法。 图注:山石网科高级副总裁、首席战略官(CSO)蒋东毅 趋势一:网络连接矩阵趋向复杂化 当我们注意到人与物、物与物连接矩阵的边界越来越模糊且多变的时候,安全防护框架就需要适应变化重新构建。 数字化的本质是让人更方便地获取信息、利用信息,也就是构建人与数字信息的连接。但相比过去,数字接入的移动性和服务的云化,已经让人和业务之间的连接变得更加复杂。过去,组织在网络访问上,按照职能和功能,对办公区和数据区进行划分,访问模式还是比较固定的。但现在,移动终端的普及,人在居家、差旅、办公区之间移动切换,业务在私有云和公有云中部署和迁移,SaaS类业务也越来越多,构成了一个复杂的连接矩阵。 上图就是一个很典型的对比案例。可以很清晰地看到,组织连接矩阵的边界已经是趋于模糊且易变。以往按照区域划分,区域之间配置安全策略的防控模式,已经难以适应复杂易变的连接矩阵了。 这是产业共同面临的问题。以身份为核心,建立基于动态最小授权策略的零信任安全防控框架,会是应对这个挑战的最优解。 可以这么理解,安全防控的基本理念是出了问题可以控制在最小影响范围,当区域边界变的模糊时,我们需要看有什么是相对稳定的,那么可以基于一个相对稳定的基础构建新的安全防控框架。既然信息化的本质是人与信息之间的连接,那么防控体系也可以从人出发进行重构,也就是以身份为基础,建立动态最小授权策略的零信任安全防控框架。这其中,所谓动态最小授权,除了根据身份之外,还需要结合接入设备的类型、软硬件合规要求、风险状态等多重因素,进行访问权限控制。 那未来零信任的方案应该是什么样的?SASE将会成为主流。从SaaS业务和移动办公的推广普及的趋势来看,SASE作为零信任的运营方案,将能为用户带来便捷安全的业务访问。 SASE 本质是“SD-WAN + Security”, 是基于云网的“企业网+安全”的运营模式,其产生的原因是分散的移动办公加上多点的云服务。传统的接入模式:spoke-n-hub,不适应现在的环境。SASE通过广泛部署PoP点,为分支机构和在外办公提供接入,既提供路由选择、QoS等网络优化功能,也提供各类安全功能,由专业的网络安全公司提供安全的网络接入和运营,也保证了办公的便捷性和安全性。 目前来看,中国的SaaS用户,主要还是中小企业,SaaS业务的类型主要还是企业微信、钉钉这样的通用办公类SaaS。SASE会从中小客户开始,随着客户的成长,与用户使用习惯的培养,未来的客户群体会更加广泛。 另外也可以看到,对网安公司来说,从卖产品,到卖解决方案,提供服务,到提供一整套网络与安全运营,也是未来的趋势之一。 趋势二:泛网络攻击时代已经到来 网络攻击的演进也已经到了下一个时代。早些年,以CIH、熊猫烧香、冲击波等为主的攻击,主要是破坏操作系统稳定性;后来到以APT攻击为代表的精准攻击,主要是窃取重要信息或破坏重要系统,是一种定向攻击;到如今,以勒索、挖矿为代表,与蠕虫结合,全网撸羊毛,网络攻击已经进入到了轻松又高效的泛网络攻击时代。 信息资产数量和价值的持续倍增,让网络空间进入了泛网络攻击时代。网络攻击是为了获利,当个人终端的信息资产也变的重要时,勒索,从一开始的邮件附件传播,到后来利用高危漏洞,与蠕虫结合,对黑客来说,是一种极其高效的获利方式。当前,泛网络攻击在暗网上有完整的产业链支撑,入门门槛低,从病毒的获取,加壳变形,病毒投放,获利的收取等都有完整的服务链条,只要几千美金就可以开张起步,并可以在短时间内收回成本并获利。 而目前主流的威胁检测技术从原理上分为特征匹配和异常行为两大类,特征匹配由于检测结果误报率低,解释性好,检出问题有明确的处置建议,因此一直是网安产品的主流检测技术,但面对漏洞越来越多,攻击数量多、易变种的局面,仅仅有特征匹配检测已难以应对。 可以看到,在这种以快、广、狠为主要特点的泛网络攻击时代,基于特征匹配的传统检测技术已难以应对新的网络攻击挑战。新形势下智能威胁治理框架需要重新构建,且该框架应该具备多维检测、精准分析、联动响应、情报赋能四个基本要点。 面对新形势下的攻击态势,首先要在端、网、边、云,建立特征匹配与异常行为的多维检测。由于检测点和检测技术多,产生的威胁数据量大,需要建设基于大数据技术的精准分析平台,汇总全息检测数据,综合应用人工智能分析技术,将威胁与资产结合,帮助管理员聚焦于高置信度失陷风险;进而与端、网、边、云的防控体系实现联动响应,运用SOAR技术,自动化专家分析处置经验,快速实现威胁检测、分析、响应闭环。同时,通过云端威胁情报的赋能,使政企组织可以实时获取全网威胁情报数据,实现更大范围的检测、分析、响应闭环。 在攻击泛化的趋势下,防御应对措施也有新的方向。我认为,攻防的本质始终是基于成本的对抗,SaaS化是智能XDR+SOAR系统的未来趋势。不管如何演进,攻防的本质始终不变,是基于成本的对抗。像密码学的设计原则并不是永远破解不了最好,而是破解的成本高于被保护的信息价值即可。攻击方是黑客利用工具,防守方仅仅部署产品是不够的,需要有专业的安全管理人员。 对于中小组织,面对越来越广泛并且专业的攻击,通过本地部署安全控制点,将安全数据上报到安全SaaS平台,安全管理托管于专业厂家的专业人员,可以有效的降低成本。对于大型组织,安全管理投入也是有限的,参照安全成熟度高的欧美地区,自有安全管理人员+专业安全运营托管的趋势非常明显。 趋势三:数据资产将持续沉淀 随着新兴技术不断发展,数据作为数字经济的核心生产要素,正成为科技创新的突破口,但现实情况是数据安全防护水平参差不齐,数据安全问题层出不穷,个人隐私泄露、非法数据交易等频发,国外咨询机构Verizon发布的2020年数据泄露报告中统计2020年全球数据泄露事件同比增长了96%,医疗、金融和制造业排名前三。另一方面随着云大物移智等新兴技术发展,国家也相应配套了相关法律法规,网络安全法强调了对个人信息保护的责任,数据安全法确立了数据分类分级、风险评估、应急处置等基本制度,明确了开展数据处理活动的组织、个人的数据保护义务等。 目前来看,组织内数据多样、海量、复杂,留存周期长,与业务关联紧密,数据安全治理不能仅靠产品和技术;数据越来越多样性,数据库数据、大数据文件、非结构化文档等数据种类丰富,很多数据因为业务原因,需要长期留存。同时,数据的安全威胁也多样化,如数据泄露、数据的破坏、隐私的泄露、数据失控、数据的泛滥、数据的损害或丢失等。 复杂的数据问题让我们看到,数据安全治理不仅仅是部署产品和技术,是一个系统工程,需要自顶向下进行设计,可以从以下五个方面考虑: 1、法律法规的梳理,对业务数据风险分析,明确数据安全治理的实际需求; 2、数据安全治理的组织管理体系支撑; 3、数据的分类分级和梳理,辨别哪些数据需要保护,这些需要保护的数据在哪些位置,哪些人正在使用这些数据,在使用过程中是否合理; 4、制定适合的相关安全策略; 5、对数据安全治理进行有效监测和审计,及时发现存在的问题与隐患,才能对数据安全治理工作进行持续改进。 针对数据安全治理,可以围绕数据流程过程,从数据安全运营和数据安全管理两个维度出发,来构建弹性可扩展,业务自适应的数据生命周期安全治理体系,以实现: 1、数据资产全面安全管控。 2、数据安全一站感知处置。 3、数据安全资源云化供取。 4、提供可持续的数据安全运营能力。 趋势四:攻防资源难以对等程度加剧 物理世界的攻击距离是有限的,跨地域作案很难。哪怕就是传染性强的病毒,其扩散速度也与人的交通速度有关,比如目前全球传播最广的新冠病毒Delta变种,是从去年10月就出现的。 但是,网络空间中,信息的传播是近乎光速的,全球的攻击者可以攻击任意地点的组织,但组织只能基于自身资源来应对,不管是甲方还是乙方,面对全球黑客可以从任何地点发起的攻击,资源都是有限的。所以说,网络空间的光速可达属性,是攻防双方资源难以对等的一个挑战。而攻防资源不对等,这是所有组织都在面临的终极挑战。 网络空间的安全对抗日趋激烈,传统的安全技术不能全面满足安全防护的需要。现阶段的安全防护,不仅仅是要做好防御,还需要持续地检测和响应,而要想做到持续有效的检测与快速的响应,威胁情报必不可少。 应对全球发起的攻击,需要产业生态伙伴有意识的开展全球威胁情报生态合作。威胁情报作为网络空间治理的重要一环,需要政府部门、网络安全企业、网络安全专家等各方形成情报协同、数据协同、能力协同,共同构建网络空间治理与协同防御能力体系,推动全球威胁情报共享,构建全球威胁情报生态,携手共建网络空间命运共同体,助力可持续安全运营。 总结来看,针对以上四个安全命题,解决问题的思路可以是以身份为核心,建立基于动态最小授权策略的零信任安全防控框架,应对网络连接矩阵复杂化;以多维检测、精准分析、联动响应、情报赋能的智能威胁治理框架,应对网络泛攻击化;以弹性可扩展、业务自适应的数据生命周期安全治理框架,应对数字资产持续沉淀化;以构建全球威胁情报生态,应对攻防资源不对等化。 当今世界正经历百年未有之大变局,新一轮科技革命和产业变革加速演进,而随着数字经济重要性、活跃度的不断提升,网络安全的作用也不断凸显。近年来,我国网络安全发展取得显著成效,但也面临新问题、新挑战,我们应准确研判未来网络安全发展的形势并进行超前布局,更好地迎接未来网络安全发展的机遇,应对未来网络安全面临的严峻挑战。 作者:山石网科高级副总裁、首席战略官(CSO)蒋东毅 |
|
|
