419五周年丨谭晓生：在回顾与展望之间谈谈网络安全产业热点与热词

admin

988
文章

2
评论

2021年4月19日18:11:39 评论

我们度过了一个极不平凡的2020年。谁都没想到，年初顶着疫情压力召开的RSAC 2020成为当年大型线下安全会议的“绝唱”，随后的BlackHat&Defcon、Gartner 2020 Security and Risk Mgmt Summit，国内的BCS、ISC均以线上形式召开。疫情导致的“隔离/社交疏离”，使在家远程工作成为常态，远程工作模式下，使中国的线上协同业务往前迈了一大步，Zoom、腾讯会议等线上会议、企业SaaS应用快速获得客户，IAM、VPN、MFA等远程工作基础性产品销售火热。更没有想到的是，随着中美关系急转直下，华为被制裁，360等公司上实体名单，使得中美科技是否要硬脱钩持续成为2020年热点话题。

但对网络安全市场造成更大影响的，是来自于网络攻防思想的改变，包括对网络拓扑改变的预期、对漏洞应对策略的变化以及整体防御思想上的进步。在回顾与展望之间，此处谈谈网络安全产业的热点与热词。

一、关于SASE与零信任

安全访问服务边缘（SASE）是Garnter 2019年8月在《网络安全的未来在云端》报告中提到的概念，阐明了在业务云化与企业网络边缘的泛化的现实下，现有的网络方法和技术不能提供数字组织所需的安全性和访问控制级别，作为一种针对用户典型实用场景的，整合多种技术和产品的综合解决方案， SASE将广域网或WAN和网络安全服务（如CASB，FWaaS和零信任）整合到一个单一的云交付服务模型中。按照Gartner的说法， SASE能根据实体的身份，实时上下文，企业安全性/合规性策略以及在整个会话过程中对风险/信任的持续评估而作为一项服务交付，实体的身份可与人员、人员组（分支机构）、设备、应用程序等多因素相关联。SASE从一提出就受到美国安全公司的追捧，在我国也得到大型安全公司的跟进，虽然美国公有云比例较高，我国私有云、政务云市场更庞大，但组织网络边缘泛化、业务云化的大趋势是一样的。作为一项解决用户痛点的创新，SASE涉及多种技术的整合，具有纵深，对网络安全产业的影响必将是深远的。

零信任是十年前由John Kindervag提出的概念，在国内首先通过百度、腾讯、360、完美世界等互联网公司的实践，在2018年作为ISC大会的主题：“安全从零开始”开始广为人知。经过两年半的推广，国内头部客户广为接受零信任概念，现在有专做零信任产品的创业公司，过去做IAM、VPN、微隔离的厂商都纷纷给自己打上零信任的标签，各大安全厂商更是纷纷推出零信任产品。零信任也是防御思想上的一大进步，是权限授予模型的大改变，对传统的VPN产品，乃至防火墙都会产生冲击。

二、关于中美网络安全市场的热点

近两年，中美网络安全市场共同关注的热点主要集中在数据安全等6方面。

数据安全：伴随着数字化转型，数据安全重要性凸显。我国于2020年6月发布了《中华人民共和国数据安全法（草案）》，明确提出国家为维护数据安全，要建立健全数据安全治理体系，促进数据安全检测评估、认证等服务的发展，并制定全局性的数据安全制度，包括：对数据实行分级分类保护；建立数据安全风险评估、报告、信息共享、监测预警机制；建立数据安全应急处置机制；建立数据安全审查制度等。该草案的推出表明我国数据安全正式进入强监管时代。《中华人民共和国个人信息保护法（草案）》的发布，中国人民银行《金融数据安全数据安全分级指南》的印发，进一步推动了我国数据安全市场的发展。现在我国已经呈现出传统DLP厂商、数据库安全审计厂商、密码厂商、安全多方计算厂商，以及创新的数据安全厂商等共同开拓数据安全市场的局面。

扩展检测与响应（XDR）：XDR是随EDR与NDR兴起之后又一次概念升级，XDR试图解决EDR异常检出率不高、安全告警事件多的问题，提供跨网络，云和端点的数据可见性，同时应用分析和自动化来应对当今日益复杂的威胁。XDR在国外发展更成熟些，在国内面临NDR产品有一些创新，但EDR产品上不过关的问题。

安全左移理念（DevSecOps）：在安全漏洞逐年增长，应用程序漏洞成为首要重灾区的大背景下，在软件开发的全生命周期进行安全赋能，成为了减少软件漏洞数量并将安全缺陷最小化的一种新理念。在微软公司SDLC（Security Development Life Cycle）概念基础上，通过将安全性融入DevOps流程和工具链中，安全左移（DevSecOps）理念逐渐成为了目前面向应用软件开发层面的主要安全技术之一。DevSecOps在中国的兴起比美国慢了好几年，但如今也得到了较好的认识。

安全编排，自动化和响应（SOAR）：提高网络安全运营的效率一直是行业内的一个难题，对安全事件进行分类分级评估，结合威胁和弱点管理，采用模板化的脚本进行自动响应是出路之一。随着移动办公、5G和物联网技术的发展，海量终端设备接入到网络，攻击面不断被拓宽，攻击事件呈现出指数增长态势，从而使得安全运营团队承受着极大的压力。人们期望借助于SOAR产品，可以根据安全事件的分类/评估结果，关联不同类型的处理脚本，进行自动化的事件响应，从而使安全运营团队的工作效率指数级提升，有效应对不断攀升的漏洞和安全告警。SOAR在国内刚刚出现几家创业公司，面临安全产品缺乏统一API等问题的挑战。

动态的漏洞管理：针对漏洞修补的难题，网络安全产业终于认识到要求用户安装所有补丁是不现实的，更加多元化的方法处理系统漏洞问题，是很多安全创业公司的方向之一。

工业互联网安全：工业互联网的安全是全世界都面临的威胁，也是我国重点关心的内容，工业互联网安全的龙头企业匡恩的崩解导致国内短时间内冒出100多家工控安全创业公司，在产品高度同质化竞争下，通过一段时间的竞争后已经有几家有自己技术、产品方向的企业逐渐脱颖而出，后续会有更大的分化出现。

三、关于潜力产品及其他

欺骗防御类产品，最常见的是蜜罐。面向企业网络及横向移动下的威胁检测场景，通过对企业网络结构、操作系统、应用系统、文件、容器、微服务、甚至是IoT设备的高度仿真来增加企业IT设施的密度，最大限度增加被攻击者触碰的机会来诱导攻击者主动现身并陷入圈套，是大幅提升企业安全检测能力、有别于传统检测手段的一种高级检测技术。企业管理协会（EMA）宣布，欺骗技术将企业网络上攻击者的平均停留时间从100天减少到仅5.5天，与未使用欺骗技术的企业相比，降低了91％。作为本身具有悠久历史的产品，实网攻防演习使欺骗防御类产品这棵老树开出了新花，因其检测攻击的能力，成了“实网演习必备”产品。

网络空间测绘：通过探测、采集、分析和处理，发现识别网络空间设施、服务和资源，基于地理信息和逻辑关系进行图形绘制，直观展现网络空间资产、属性、状态和安全态势等，最终形成覆盖IPv4/IPv6、工控网络、物联网设备、云计算的网络空间地图，为社会应用、网络攻防、专业领域运作提供基础能力。网络空间测绘已有数年发展历史，监管机关“挂图作战”的思想直接催熟了网络空间测绘市场。

监控摄像头安全为代表的物联网安全市场：由于监控摄像头在社会治安上发挥的重大作用，随着监控摄像头网络化程度加深，由此引发的安全事件也日益增多，与此同时，物联网安全在摄像头监控网络上找到了突破口，OTA、准入、视频防泄露等基本的功能成就了监控摄像头安全市场。

信创：信息技术应用创新发展是目前的一项国家战略，发展信创是为了解决本质安全的问题。本质安全可以理解为，先把它变成我们自己可掌控、可研究、可发展、可生产的。这既有中美科技脱钩的压力，也是当今形势下国家经济发展的新动能驱使。短时间内的大量投入，将使信创成为IT/安全市场不可忽视的一个因素。