“從人到組織到社會到國家,數(shù)字帶給人類的價值在哪里,網(wǎng)絡(luò)安全就應(yīng)當(dāng)出現(xiàn)在哪里,不僅如此,我們還要致力于更快速、更有效、更全面、更長遠(yuǎn)地解決安全風(fēng)險。”
人類社會從農(nóng)業(yè)革命、工業(yè)革命、科學(xué)革命發(fā)展到現(xiàn)在的數(shù)字革命時代,生產(chǎn)力不斷提升,生存方式進(jìn)行了多輪的演進(jìn)。數(shù)字締造了新的生產(chǎn)關(guān)系與生活模式,使人類向更高的智慧物種更邁進(jìn)了一步,數(shù)字的價值不言而喻——事物價值越高,存在的風(fēng)險也越大,對數(shù)字的價值所面臨的風(fēng)險進(jìn)行控制,就是我們今天要討論的安全。
我們跨入數(shù)字時代是依托于技術(shù)的發(fā)展,但安全的本質(zhì)卻不單單是技術(shù)問題,不能只從技術(shù)視角來探討。安全問題雖是由技術(shù)缺陷所引起的,卻是因?yàn)闃I(yè)務(wù)本身具有被攻擊和被利用的價值,才會形成真正的問題和事故并產(chǎn)生風(fēng)險和危害。經(jīng)濟(jì)利益、政治因素、人文思想都是產(chǎn)生安全問題產(chǎn)生的原因,所以安全不僅僅是技術(shù)問題,也是經(jīng)濟(jì)問題、政治問題、人文問題,甚至是哲學(xué)問題。
了解了安全的本質(zhì),就不難衡量安全的重要性與解決安全問題的方法與思路了。在2017年伯克希爾哈撒韋公司股東大會上巴菲特曾說:“人類所面臨的最大的威脅是網(wǎng)絡(luò)攻擊”。伊朗的核設(shè)施被破壞,是關(guān)鍵基礎(chǔ)設(shè)施被網(wǎng)絡(luò)攻擊破壞的案例;個人隱私被泄露,造成網(wǎng)絡(luò)詐騙案件屢見不鮮,國內(nèi)電商和直播平臺都遭受過黑客攻擊事件,谷歌德國GDPR違規(guī)損失五千萬歐元罰金,Uber全球規(guī)模的數(shù)據(jù)泄露所承擔(dān)1.5億美元罰金;還有一直聲稱被黑客操縱的美國2016年大選。從人到組織到社會到國家,數(shù)字帶給人類的價值在哪里,網(wǎng)絡(luò)安全問題也就出現(xiàn)在哪里。如何更快速、更有效、更全面、更長遠(yuǎn)地解決安全風(fēng)險,是我們這個行業(yè)的從業(yè)者要去解決的問題。
行業(yè)監(jiān)管:合規(guī)與效果并重
由于數(shù)字時代帶來的更加嚴(yán)峻和更加多樣的網(wǎng)絡(luò)安全威脅,國家監(jiān)管層面意識到了問題的重要性,近幾年密集出臺了多套組合型的法律法規(guī)和相關(guān)政策。《網(wǎng)絡(luò)安全法》作為安全行業(yè)基礎(chǔ)法,從維護(hù)保障網(wǎng)絡(luò)空間主權(quán)和國家安全,服務(wù)于國家網(wǎng)絡(luò)安全戰(zhàn)略和網(wǎng)絡(luò)強(qiáng)國建設(shè),助力網(wǎng)絡(luò)空間治理護(hù)航“互聯(lián)網(wǎng)+”的戰(zhàn)略高度開展監(jiān)管。在網(wǎng)絡(luò)安全法頒布之后,更多配套的法律法規(guī)從個人、企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施、社會和國家等層面全方面組合管控,包括《中華人民共和國個人信息保護(hù)法(草案)》、《中華人民共和國數(shù)據(jù)安全法(草案)》、《中華人民共和國密碼法》、《網(wǎng)絡(luò)安全審查辦法》、網(wǎng)絡(luò)安全等級保護(hù)2.0制度等。還有許多各行業(yè)的網(wǎng)絡(luò)安全法規(guī),在此不一一列舉。
安全合規(guī)是基礎(chǔ),法律法規(guī)在督促著各類客戶走向合規(guī)。然而早期很多企業(yè)僅僅只是為滿足合規(guī)要求而購買安全產(chǎn)品和服務(wù),而非重視安全產(chǎn)品和服務(wù)實(shí)際帶來的效用以及對企業(yè)切實(shí)的防護(hù)能力,更不要說完善企業(yè)安全防護(hù)機(jī)制了。而今,隨著形勢的演變,攻擊的紛繁復(fù)雜以及國家為安全防護(hù)做出的努力,使得這種“為合規(guī)而合規(guī)”的現(xiàn)象也有所改變。從2016年起,國家各級政府部門不斷加強(qiáng)對網(wǎng)絡(luò)攻防實(shí)戰(zhàn)的重視,全國掀起了網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演習(xí)熱潮。在國家有關(guān)部門的合理推動,參演企業(yè)的配合下,將網(wǎng)絡(luò)攻防的嚴(yán)酷現(xiàn)實(shí)展現(xiàn)在大家面前,使得各級領(lǐng)導(dǎo)開始放棄幻想,真正重視網(wǎng)絡(luò)安全能力建設(shè)。網(wǎng)絡(luò)安全實(shí)網(wǎng)演習(xí)成為加強(qiáng)安全建設(shè),提升安全能力的重要手段,驅(qū)動客戶從追求合規(guī)到追求合規(guī)和效果并重,意義深刻且具有前瞻性。因此,從管理上來說,要求企業(yè)從“機(jī)構(gòu)”“制度”和“人員”三要素缺一不可,要實(shí)現(xiàn)安全的運(yùn)維管理;技術(shù)上,從安全區(qū)域邊界,到安全計算環(huán)境,企業(yè)應(yīng)從內(nèi)到外實(shí)現(xiàn)整體防護(hù),這種變化對市場產(chǎn)生了巨大影響,真正有效的安全產(chǎn)品和具有安全服務(wù)能力的廠商在市場競爭中已經(jīng)得到顯現(xiàn)。
安全廠商:網(wǎng)絡(luò)安全創(chuàng)新
在網(wǎng)絡(luò)安全行業(yè)這個領(lǐng)域,創(chuàng)新的目的不是利潤最大化,而是為客戶創(chuàng)造出“新”的價值,把未被滿足的需求或潛在的需求轉(zhuǎn)化為機(jī)會,并創(chuàng)造出新的客戶滿意。
我們把創(chuàng)新分成了兩類,“解決一個沒有被解決的問題”是突破式創(chuàng)新,對應(yīng)創(chuàng)造出增量市場,而“解決一個沒有被解決好的問題”是迭代式創(chuàng)新,對應(yīng)在存量市場提升競爭力。創(chuàng)新的路上都是機(jī)會與風(fēng)險并存,面臨的挑戰(zhàn)也會有一定差異。突破式創(chuàng)新性強(qiáng),但風(fēng)險也高,一方面是存在被成本效率更好的方案替代的可能,另一方面需要花費(fèi)較長時間教育市場。迭代式創(chuàng)新是一種微創(chuàng)新,與突破式創(chuàng)新相比,市場接受度更高,但也將要面對存量市場的激烈競爭,市場能力強(qiáng)的頭部企業(yè)后續(xù)也會快速跟進(jìn)。
市場需求牽引了網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新的驅(qū)動力,至少有以下幾種:
一是技術(shù)革新驅(qū)動的創(chuàng)新。回看過去十年間全球范圍內(nèi)的網(wǎng)絡(luò)安全初創(chuàng)企業(yè),由基礎(chǔ)技術(shù)的升級帶動的創(chuàng)新基本是這些企業(yè)的共性。這類創(chuàng)新大部分都是用新的技術(shù)把市場上的舊的產(chǎn)品進(jìn)行重做,例如SOC、 SIEM類的產(chǎn)品其實(shí)在15年前就已經(jīng)存在了,由于大數(shù)據(jù)和人工智能技術(shù)的進(jìn)步,利用大數(shù)據(jù)和人工智能技術(shù)將之前分析效率低的產(chǎn)品進(jìn)行了重構(gòu),提升了產(chǎn)品的適用性和效率,這種迭代式創(chuàng)新用新技術(shù)為客戶提供更好的解決方案。在威脅檢測、行為分析、身份訪問控制、應(yīng)用安全和數(shù)據(jù)安全等領(lǐng)域,人工智能技術(shù)也大大提升了安全防護(hù)的效果和安全產(chǎn)品的能力。
二是應(yīng)用場景驅(qū)動的創(chuàng)新。過去十年間用戶應(yīng)用場景最大的變化就是業(yè)務(wù)上云,原有針對數(shù)據(jù)中心的防護(hù)方案就失效了,云上的安全怎么做?這種新的需求帶動了新的市場,同時新的理念也被提出,零信任網(wǎng)絡(luò)架構(gòu)正是為了解決在邊界泛化以后,動態(tài)邊界時代的網(wǎng)絡(luò)安全問題。另外隨著4G、5G網(wǎng)絡(luò)的發(fā)展,加上今年疫情的影響,移動辦公,遠(yuǎn)程辦公的工作方式越來越普及,員工通過運(yùn)營商網(wǎng)絡(luò)直接訪問內(nèi)網(wǎng)鏈接和數(shù)據(jù),在此應(yīng)用場景下原有的解決方案也面臨失效問題,新的方案應(yīng)運(yùn)而生,例如SASE、CASB都是為了保障在企業(yè)遠(yuǎn)程辦公或未來無邊界狀態(tài)的重要創(chuàng)新理念。未來5G時代的到來將會有更多的IOT設(shè)備接入網(wǎng)絡(luò),對于安全來講都是重大挑戰(zhàn),且5G也將會帶動新的應(yīng)用場景的出現(xiàn),與之相關(guān)的安全問題也需要重點(diǎn)關(guān)注。
還有一種驅(qū)動力是交付模式驅(qū)動的創(chuàng)新。十年前安全的交付形式以軟硬一體的網(wǎng)絡(luò)安全設(shè)備或者軟件為主,這種情況下產(chǎn)品只是工具,易用性較低,對人的要求較高。近些年國外網(wǎng)絡(luò)安全產(chǎn)業(yè)率先采用了軟件SaaS化交付形式,以WAF和抗DDos產(chǎn)品為例,原來硬件類設(shè)備的交付形式現(xiàn)在變成了云WAF和云抗DDoS,在歐美市場軟件SaaS化已經(jīng)廣泛應(yīng)用,例如身份認(rèn)證即服務(wù)IDaaS(典型廠商OKTA),還有實(shí)現(xiàn)了終端安全軟件SaaS化交付的CrowdStrike等。國內(nèi)由于應(yīng)用場景的差異,進(jìn)展稍微緩慢,但是WAF和抗DDoS類產(chǎn)品的SaaS化基本也已經(jīng)完成,并且廣泛使用。另外為企業(yè)解決了網(wǎng)絡(luò)安全人力不足的問題,安全公司推出了托管式的安全運(yùn)營服務(wù),不再要求客戶具備很高的安全技術(shù)水平,將產(chǎn)品和服務(wù)融合為客戶提供更好的網(wǎng)絡(luò)安全保障,這種理念在國內(nèi)已經(jīng)得到了廣泛的市場認(rèn)可,具備較大的市場空間。
客戶價值:讓客戶切實(shí)感受到安全的價值與作用
隨著產(chǎn)業(yè)的創(chuàng)新和發(fā)展,網(wǎng)絡(luò)安全產(chǎn)品在不斷的革新,易用性也在提升,但離非專業(yè)用戶也能很好使用網(wǎng)絡(luò)安全產(chǎn)品還有很大距離。真正做到真實(shí)有效的提升客戶業(yè)務(wù)風(fēng)險的抵御能力,真正做到避險與控險,不僅要有好用的工具,更需要人的配合。產(chǎn)品的優(yōu)化使得工具對人的要求在不斷的降低,雖然時間成本和管理成本在減少,隨著數(shù)字化進(jìn)程出現(xiàn)的網(wǎng)絡(luò)安全人才缺口依然有擴(kuò)大的趨勢,所以客戶真正需要的是安全產(chǎn)品加安全服務(wù)的聯(lián)合價值。網(wǎng)絡(luò)安全從業(yè)者只有幾十萬,但需要保護(hù)的企業(yè)數(shù)字達(dá)到千萬,解決這個矛盾的唯一途徑就是云化的安全服務(wù)。
安全服務(wù)的發(fā)展使網(wǎng)絡(luò)安全的價值被盤活,安全服務(wù)這項業(yè)務(wù)本身也在不斷地升級,逐漸走向“安全即服務(wù)”的趨勢。更加清晰的權(quán)責(zé)分配,更快速的應(yīng)急響應(yīng),更準(zhǔn)確的分析研判,更直觀的安全報告,更系統(tǒng)的安全運(yùn)維,更有效的培訓(xùn)認(rèn)證以及更貼近真實(shí)場景的攻防靶場,使得安全工具的使用效果最大化,安全風(fēng)險的御控能力最大化,業(yè)務(wù)得到最大化的保障,安全的價值也明顯的凸顯出來。
此外網(wǎng)絡(luò)安全意識培訓(xùn)也是我們需要重點(diǎn)關(guān)注的話題,缺乏網(wǎng)絡(luò)安全知識的用戶會是網(wǎng)絡(luò)安全管理人員的噩夢,但能主動識別網(wǎng)絡(luò)攻擊的用戶會成為網(wǎng)絡(luò)安全管理人員的“情報員”,我們不期望每個人都成為網(wǎng)絡(luò)安全專家,但每年數(shù)小時的網(wǎng)絡(luò)安全意識培訓(xùn)和釣魚測試就可以大大降低網(wǎng)絡(luò)攻擊,尤其是社會工程學(xué)攻擊的成功概率,并幫助我們及早發(fā)現(xiàn)正在進(jìn)行中的攻擊。
數(shù)字時代已經(jīng)來臨,數(shù)字化轉(zhuǎn)型無法逆轉(zhuǎn),數(shù)字的價值已經(jīng)凸顯,我們需要遵循事物發(fā)展的基本規(guī)律,僥幸的心態(tài)無法避免風(fēng)險,要享受數(shù)字時代帶來的便利,就必須為保障它們的安全而做出行動。