技術驅動社會數字化加速,新的數字環境下,網絡安全進入了攻擊復雜化、漏洞產業化、重保常態化等新常態。應對數字世界新挑戰,網絡安全防護需要新的理論思考和方法論。
網絡連接矩陣復雜化、網絡泛攻擊化、數字資產持續沉淀化、攻防資源不對等化,這四個安全命題,在未來很長一段時間,將是產業上下游都要思考的方向,也是未來安全防護最核心的原點。接下來,筆者從這四個趨勢,簡單談談思考和看法。
趨勢一:網絡連接矩陣趨向復雜化
當我們注意到人與物、物與物連接矩陣的邊界越來越模糊且多變的時候,安全防護框架就需要適應變化重新構建。
數字化的本質是讓人更方便地獲取信息、利用信息,也就是構建人與數字信息的連接。但相比過去,數字接入的移動性和服務的云化,已經讓人和業務之間的連接變得更加復雜。過去,組織在網絡訪問上,按照職能和功能,對辦公區和數據區進行劃分,訪問模式還是比較固定的。但現在,移動終端的普及,人在居家、差旅、辦公區之間移動切換,業務在私有云和公有云中部署和遷移,SaaS類業務也越來越多,構成了一個復雜的連接矩陣。
上圖就是一個很典型的對比案例。可以很清晰地看到,組織連接矩陣的邊界已經是趨于模糊且易變。以往按照區域劃分,區域之間配置安全策略的防控模式,已經難以適應復雜易變的連接矩陣了。
這是產業共同面臨的問題。以身份為核心,建立基于動態最小授權策略的零信任安全防控框架,會是應對這個挑戰的最優解。
可以這么理解,安全防控的基本理念是出了問題可以控制在最小影響范圍,當區域邊界變的模糊時,我們需要看有什么是相對穩定的,那么可以基于一個相對穩定的基礎構建新的安全防控框架。既然信息化的本質是人與信息之間的連接,那么防控體系也可以從人出發進行重構,也就是以身份為基礎,建立動態最小授權策略的零信任安全防控框架。這其中,所謂動態最小授權,除了根據身份之外,還需要結合接入設備的類型、軟硬件合規要求、風險狀態等多重因素,進行訪問權限控制。
那未來零信任的方案應該是什么樣的?SASE將會成為主流。從SaaS業務和移動辦公的推廣普及的趨勢來看,SASE作為零信任的運營方案,將能為用戶帶來便捷安全的業務訪問。
SASE 本質是“SD-WAN + Security”, 是基于云網的“企業網+安全”的運營模式,其產生的原因是分散的移動辦公加上多點的云服務。傳統的接入模式:spoke-n-hub,不適應現在的環境。SASE通過廣泛部署PoP點,為分支機構和在外辦公提供接入,既提供路由選擇、QoS等網絡優化功能,也提供各類安全功能,由專業的網絡安全公司提供安全的網絡接入和運營,也保證了辦公的便捷性和安全性。
目前來看,中國的SaaS用戶,主要還是中小企業,SaaS業務的類型主要還是企業微信、釘釘這樣的通用辦公類SaaS。SASE會從中小客戶開始,隨著客戶的成長,與用戶使用習慣的培養,未來的客戶群體會更加廣泛。
另外也可以看到,對網安公司來說,從賣產品,到賣解決方案,提供服務,到提供一整套網絡與安全運營,也是未來的趨勢之一。
趨勢二:泛網絡攻擊時代已經到來
網絡攻擊的演進也已經到了下一個時代。早些年,以CIH、熊貓燒香、沖擊波等為主的攻擊,主要是破壞操作系統穩定性;后來到以APT攻擊為代表的精準攻擊,主要是竊取重要信息或破壞重要系統,是一種定向攻擊;到如今,以勒索、挖礦為代表,與蠕蟲結合,全網擼羊毛,網絡攻擊已經進入到了輕松又高效的泛網絡攻擊時代。
信息資產數量和價值的持續倍增,讓網絡空間進入了泛網絡攻擊時代。網絡攻擊是為了獲利,當個人終端的信息資產也變的重要時,勒索,從一開始的郵件附件傳播,到后來利用高危漏洞,與蠕蟲結合,對黑客來說,是一種極其高效的獲利方式。當前,泛網絡攻擊在暗網上有完整的產業鏈支撐,入門門檻低,從病毒的獲取,加殼變形,病毒投放,獲利的收取等都有完整的服務鏈條,只要幾千美金就可以開張起步,并可以在短時間內收回成本并獲利。
而目前主流的威脅檢測技術從原理上分為特征匹配和異常行為兩大類,特征匹配由于檢測結果誤報率低,解釋性好,檢出問題有明確的處置建議,因此一直是網安產品的主流檢測技術,但面對漏洞越來越多,攻擊數量多、易變種的局面,僅僅有特征匹配檢測已難以應對。
可以看到,在這種以快、廣、狠為主要特點的泛網絡攻擊時代,基于特征匹配的傳統檢測技術已難以應對新的網絡攻擊挑戰。新形勢下智能威脅治理框架需要重新構建,且該框架應該具備多維檢測、精準分析、聯動響應、情報賦能四個基本要點。
面對新形勢下的攻擊態勢,首先要在端、網、邊、云,建立特征匹配與異常行為的多維檢測。由于檢測點和檢測技術多,產生的威脅數據量大,需要建設基于大數據技術的精準分析平臺,匯總全息檢測數據,綜合應用人工智能分析技術,將威脅與資產結合,幫助管理員聚焦于高置信度失陷風險;進而與端、網、邊、云的防控體系實現聯動響應,運用SOAR技術,自動化專家分析處置經驗,快速實現威脅檢測、分析、響應閉環。同時,通過云端威脅情報的賦能,使政企組織可以實時獲取全網威脅情報數據,實現更大范圍的檢測、分析、響應閉環。
在攻擊泛化的趨勢下,防御應對措施也有新的方向。我認為,攻防的本質始終是基于成本的對抗,SaaS化是智能XDR+SOAR系統的未來趨勢。不管如何演進,攻防的本質始終不變,是基于成本的對抗。像密碼學的設計原則并不是永遠破解不了最好,而是破解的成本高于被保護的信息價值即可。攻擊方是黑客利用工具,防守方僅僅部署產品是不夠的,需要有專業的安全管理人員。
對于中小組織,面對越來越廣泛并且專業的攻擊,通過本地部署安全控制點,將安全數據上報到安全SaaS平臺,安全管理托管于專業廠家的專業人員,可以有效的降低成本。對于大型組織,安全管理投入也是有限的,參照安全成熟度高的歐美地區,自有安全管理人員+專業安全運營托管的趨勢非常明顯。
趨勢三:數據資產將持續沉淀
隨著新興技術不斷發展,數據作為數字經濟的核心生產要素,正成為科技創新的突破口,但現實情況是數據安全防護水平參差不齊,數據安全問題層出不窮,個人隱私泄露、非法數據交易等頻發,國外咨詢機構Verizon發布的2020年數據泄露報告中統計2020年全球數據泄露事件同比增長了96%,醫療、金融和制造業排名前三。另一方面隨著云大物移智等新興技術發展,國家也相應配套了相關法律法規,網絡安全法強調了對個人信息保護的責任,數據安全法確立了數據分類分級、風險評估、應急處置等基本制度,明確了開展數據處理活動的組織、個人的數據保護義務等。
目前來看,組織內數據多樣、海量、復雜,留存周期長,與業務關聯緊密,數據安全治理不能僅靠產品和技術;數據越來越多樣性,數據庫數據、大數據文件、非結構化文檔等數據種類豐富,很多數據因為業務原因,需要長期留存。同時,數據的安全威脅也多樣化,如數據泄露、數據的破壞、隱私的泄露、數據失控、數據的泛濫、數據的損害或丟失等。
復雜的數據問題讓我們看到,數據安全治理不僅僅是部署產品和技術,是一個系統工程,需要自頂向下進行設計,可以從以下五個方面考慮:
1、法律法規的梳理,對業務數據風險分析,明確數據安全治理的實際需求;
2、數據安全治理的組織管理體系支撐;
3、數據的分類分級和梳理,辨別哪些數據需要保護,這些需要保護的數據在哪些位置,哪些人正在使用這些數據,在使用過程中是否合理;
4、制定適合的相關安全策略;
5、對數據安全治理進行有效監測和審計,及時發現存在的問題與隱患,才能對數據安全治理工作進行持續改進。
針對數據安全治理,可以圍繞數據流程過程,從數據安全運營和數據安全管理兩個維度出發,來構建彈性可擴展,業務自適應的數據生命周期安全治理體系,以實現:
1、數據資產全面安全管控。
2、數據安全一站感知處置。
3、數據安全資源云化供取。
4、提供可持續的數據安全運營能力。
趨勢四:攻防資源難以對等程度加劇
物理世界的攻擊距離是有限的,跨地域作案很難。哪怕就是傳染性強的病毒,其擴散速度也與人的交通速度有關,比如目前全球傳播最廣的新冠病毒Delta變種,是從去年10月就出現的。
但是,網絡空間中,信息的傳播是近乎光速的,全球的攻擊者可以攻擊任意地點的組織,但組織只能基于自身資源來應對,不管是甲方還是乙方,面對全球黑客可以從任何地點發起的攻擊,資源都是有限的。所以說,網絡空間的光速可達屬性,是攻防雙方資源難以對等的一個挑戰。而攻防資源不對等,這是所有組織都在面臨的終極挑戰。
網絡空間的安全對抗日趨激烈,傳統的安全技術不能全面滿足安全防護的需要。現階段的安全防護,不僅僅是要做好防御,還需要持續地檢測和響應,而要想做到持續有效的檢測與快速的響應,威脅情報必不可少。
應對全球發起的攻擊,需要產業生態伙伴有意識的開展全球威脅情報生態合作。威脅情報作為網絡空間治理的重要一環,需要政府部門、網絡安全企業、網絡安全專家等各方形成情報協同、數據協同、能力協同,共同構建網絡空間治理與協同防御能力體系,推動全球威脅情報共享,構建全球威脅情報生態,攜手共建網絡空間命運共同體,助力可持續安全運營。
總結來看,針對以上四個安全命題,解決問題的思路可以是以身份為核心,建立基于動態最小授權策略的零信任安全防控框架,應對網絡連接矩陣復雜化;以多維檢測、精準分析、聯動響應、情報賦能的智能威脅治理框架,應對網絡泛攻擊化;以彈性可擴展、業務自適應的數據生命周期安全治理框架,應對數字資產持續沉淀化;以構建全球威脅情報生態,應對攻防資源不對等化。
當今世界正經歷百年未有之大變局,新一輪科技革命和產業變革加速演進,而隨著數字經濟重要性、活躍度的不斷提升,網絡安全的作用也不斷凸顯。近年來,我國網絡安全發展取得顯著成效,但也面臨新問題、新挑戰,我們應準確研判未來網絡安全發展的形勢并進行超前布局,更好地迎接未來網絡安全發展的機遇,應對未來網絡安全面臨的嚴峻挑戰。
