2022年7月2日,在北京、杭州两地,举办了以“构建安全可信的数字世界”为主题的西湖论剑·网络安全大会。西湖论剑·网络安全大会是中国网络安全产业权威大会之一,本届大会以网络安全未来趋势展望为方向,邀请政府部门领导、两院院士及多位专家学者和网络安全优秀企业代表参加,通过对政策的解读、科技的探索、经验的分享、观点的碰撞,凝聚各方力量,探索通往“安全可信的数字世界”之道。
此次峰会首设“网络安全未来趋势闭门论坛”,邀请北京邮电大学网络空间安全学院院长李小勇教授、云科安信的创始人金飞等专家及行业头部实践者一起,跨越至2050年,对未来的数字安全趋势进行分享、探讨。
网络安全依然面临挑战
谈及当前最大的网络风险,李小勇教授指出,尽管采用了最先进的网络安全技术,网络罪犯团伙仍然通过利用各种安全系统中的漏洞,快速开发出新的黑客策略,破坏网络安全。对此,不论是作为网络攻防一线的实战专家,还是作为网安新锐创业者代表,云科安信创始人金飞都深有同感。
金飞表示:随着新技术的不断发展,网络安全面临的威胁更为繁复,应用技术的发展速度领先于安全技术的跟随速度,永远是先有攻,后有防。随着量子计算、元宇宙、Web3.0这些新概念的提出,很多传统安全手段被挑战,而新的安全解决方法还未被提出。因此,无论技术如何更迭,从攻击者的角度去观察自身的安全性都有着重要的意义:让企业提前预知自身的薄弱点,并对此进行攻击预判和处置,从而可以把防御由“事中和事后”,前置到“事前”。
网络安全未来趋势 不仅有新技术 还有新理念
有新挑战,就会有新安全。关于未来5至10年的趋势展望:李小勇教授表示,数据安全、隐私保护及物联网、5G等新技术安全将会成为关注焦点;中国科学院信息工程研究所翟立东研究员指出,一个新的技术门类甫一兴起,就要同步设计其防护手段,推演其可能出现的潜在威胁并积极制定其解决方案,这是一个总体趋势;对此,云科安信金飞补充到:目前提到的趋势,是针对现在试点尚处于发展阶段的新应用概念提出的,但5到10年后的应用发展到什么程度确实很难预料,与之匹配的安全就更无从谈起了。正如翟老师说的,我们需要尽可能预知潜在威胁并制定其解决方案,本质还是先有攻击,后有防御,安全技术永远是攻击的后手。聚焦外部部攻击者视角的攻击面管理技术,恰恰是反其道行之,以攻促防,这不仅是新的技术,更是一种新的理念。
主动防御是未来影响网络安全的核心技术
翟立东分享道:未来影响网络安全的核心技术,从理念上来看,应该是主动防御的理念;云科安信金飞从实战角度阐释到:攻击面管理是主动防御的非常重要的手段。让防御具备攻击者的能力,用攻击者的视角审视现有的安全架构,是缩小攻击和防御之间差距的有效方法。攻击面管理,就是把攻击和防御融合的实例。未来不能再把攻和防割裂,要实现攻防能力的融合和及相互触发,这也是主动防御的重要组成部分。企业对未知威胁获知的越早,安全防御的成功率就越高。
攻击面管理构建主动防御
攻击面管理是一种站在外部攻击者视角,对企业数字资产攻击面进行风险识别、分析研判、情报预警、响应处置和闭环运营的资产安全性管理方法,进而来审视和评估企业资产可能被利用攻击的可能性。在真实的攻防对抗场景下,企业如何快速获得攻击者视角,进一步落实有效的动态防御措施,是攻击面管理技术产生的背景。云科安信作为攻防一体的攻击面安全管理服务商,其攻击面管理平台“白泽”,可针对客户及分支机构、供应链生态、并购行为等,从攻击者视角深度探查其资产暴露面,并对应用、网络、数据库、中间件、组件、开发框架等的漏洞做可利用性验证,从而为企业组织和建设主动防御的能力。
无论未来技术如何,趋势如何,网络安全从业者始终在各自的领域里不断钻研、突破,其最终目的,都是构建更为安全可信的数字世界。
评论