非常荣幸第三次参加CCS,从第一届CCS开始我都是来积极参与的。我手下的一个研究机构数说安全前几天发布了《2023年中国网络安全市场年度报告》,这个报告的内容比较多,我今天主要为大家介绍一下技术趋势。
首先我们认为2023中国网络安全产业有八大趋势,分别是数字经济、人工智能、顶层设计、数据安全、信创加速、服务化转型、关基保护和密码应用。
- 首先数字化转型大家都知道,现在我们国家、以及全世界范围都在做数字化转型,数字经济是当下被特别强调的一个点,这个是一个新的经济动力。
- 第二,人工智能的发展其实带来了两方面的问题,一是人工智能本身的安全问题,今天下午百度的分论坛讨论的就是人工智能大模型的安全问题。第二个是人工智能怎么样能帮到网络安全,不管是像微软的 Security Copilot,还是360现在做的安全助手等等,这些尝试都是把人工智能用来解决安全问题,所以这也是一大趋势。
- 第三个趋势是咱们国家在过去的这么多年,网络安全相关的立法都已经先后出台,咱们今天的网络安全是在法治的基础之上,尤其是像数据安全法等一系列有针对的立法出台,以及关基保护护条例等,都对产业会产生非常深远的影响。
- 第四个是数据成为重要的生产要素,数据安全立法出台了,但是数据安全相关的技术手段、产品还都远远达不到要求,我们预测未来“数据安全”可能会发展成和如今的“网络安全”相媲美的产业规模与空间。
- 第五个是信创。在当下复杂的国际条件之下,信创需求的加速是对于产业影响非常大的。在过去的两三年里面,信创产业在网络安全中间占了一个非常大的比重。
- 第六个是服务化转型,今年ISC期间360所宣布“为中小企业提供网络安全托管服务”,这就是其中一个典型的体现。其实在过去的两年里面,深信服、安恒等这些企业,都在把它的安全由产品向服务化做转型。
- 第七就是关基保护条例等相关政策的出台,让关键信息基础设施保护这件事得到了足够的重视。
- 第八大趋势是商用密码。前几天刚刚在郑州召开了商用密码大会,商用密码的市场地位越来越高。在2020年1月份密码法出台之后,经过三年的疫情,到现在国产化密码的应用实施会进入到一个快速发展的阶段。
简单讲了八大趋势之后,我们来看一下《中国网络安全产业的十大创新》。
第一个肯定是AI。今年是AI非常爆发的一年,我们这里想讲的是AI驱动安全,没有去讲AI自身的安全,而是AI怎么样能帮到网络安全的威胁检测、响应处置、安全运营等等这些方面。那么最需要关注的就是像Security Copilot这样,在网络安全的运营中AI怎么样能够帮到大家,从现在我看到的结果来说我认为是非常可以期待的。在网络安全的运营上,它也许能够替代中低端的网络安全运营的工程师。
在威胁检测方面,其实从2009年360第一个做基于机器学习的恶意代码检测,到后来尝试过用深度学习解决安全问题,到今天AI的大模型、用多模态这些技术来做的检测大多数是可以做到三个9以上(99.9%)以上的准确度,它的误杀率也是可以得到相当好的控制的。
所以在下面一个阶段,各大安全公司去拥抱AI几乎是变成了一个不得不做的一件事情。
第二个是安全平行切面,这个是现在蚂蚁金服在力推的一个方向。这项技术源自于我们今天数字化的应用越来越多,同时要解决安全问题,就面临着安全和业务逻辑的解耦合问题。如果你不能做到很好的解耦合,那么应用系统的安全开销就非常之大。
蚂蚁金服的韦韬提出来了安全平行切面的概念,试图在应用系统和安全之间去做一个安全的平行切面,而实现应用逻辑和网络安全的一个解耦合。其实就像现在开发安全里面用的IAST和RASP这种就是一种安全平行切面的一种应用。
当然蚂蚁金服在这方面做了很多的实践,它的现在也在有限度的给合作伙伴在开放它的全套的代码,这个我们认为是在网络安全的领域近年来提出来的一个具有革命性的一个东西,希望引起足够的关注。
第三个是隐私计算,是数据安全的一系列要求和需求带来的创新。数据安全立法都出来了,但是数据安全到底怎么解?尤其数据的确权问题、分类分级问题等解决不好,你的数据一旦流转起来都会带来很大的麻烦。
那么现在就用隐私计算这种方法去做,数据价值可以分享,但是避免原始数据的分享,这是在现在这个阶段解决数据安全问题可以立马能够去用的一种方法。隐私计算在近几年里面变成了一个创业的热点,这是这样的一个原因。数据安全的问题要得到很好的解决,我认为还是需要可能8~10年以上的时间。在现在这个阶段隐私计算是能帮助我们解决数据安全问题的一些有效方法。
第四个是可信数字身份,也是全社会数字化转型的重要环节。其实身份的问题原本就是网络安全中一个非常大的领域, IAM这个领域是本身就非常大,零信任方法的提出也是基于身份来解决问题的。
今天早上方院士也讲到,网络安全其实一开始我首先要确认你的身份是可信的,然后你的行为是和你的身份是符合的。所以构建可信数字身份就是一个非常大的需求。你包括现在一些新的创业公司就在做这个,比如领信数科,他是把大白互联给收了,然后以可信身份当做一个切入点来做创业。
第五是CSMA,这是gartner大概在两年前提出来的概念,它是指网络安全运营的结构。其实就是怎么样的把已有的网络安全能力、各种安全产品通过标准化接口,拿到一个分析的平台上,然后通过在上面进行管控等行为。 其实网络安全的运营就应该这么做的,但是中间的问题想要全部解决在中国尤其困难,尤其是各个 安全产品的标准接口和分析等等会是一个比较大的工程。我认为围绕着CSMA架构,也是咱们安全从业者往后要忙活个10来年时间的一件事儿。
第六是数据安全沙箱。沙箱本来是在终端上对身份不明的代码进行监控的工具,但是这里说的是数据安全沙箱,其实大家现在从业者把沙箱反过来用了,以应对数据安全所带来的一些挑战。像数篷、航天启星、一知他们都利用沙箱技术,把对数据的处理过程放在沙箱里来进行,而它通过外部的程序,能够从监控到沙箱中对数据处理的各个过程,从而实现对数据处理的过程的可见、可控。
这个技术并不是典型的沙箱应用,这条路线到底今后还会怎么演化,其实还存有变数。但是在大家想各种方法去解决数据安全的问题的当下,这个也是一种很好的尝试。
第七个是企业安全浏览器。去年RSAC的Innovation Sandbox获奖的Talon Cyber Security就是做安全浏览器的。现在你在国内能看到的360、奇安信、雪诺这些团队都是从360那一支出来的,他们过去有做面向个人的安全浏览器的基础。其实它是对RDP远程桌面、云桌面的一种替代,所有的应用都通过浏览器来跑。
这种通过浏览器的来解决安全问题也是一种现在比较可行的一种方法。
下一个是ITDR。过去微软操作系统AD的域控是黑客重点打击的一个点,突破了域控就能拿到系统里面的各个其他系统的权限。ITDR有基于微软AD的,也有基于国产化操作系统的,还是前面的话题,基于身份对于现在应用系统防护的重要性,ITDR今天也是变成了一个非常重要的领域,可惜国内的创业公司不是太多,一个我老同事出来搞的中安网星,另外就是无胁科技,他们在做ITDR方面的这样的这种应用。
第九是汽车的网络安全管理平台。随着咱们国家汽车安全的强制性国标出来,汽车安全受到了足够的重视。
其实在过去这么多年,对于汽车安全我一直持比较谨慎的态度,因为车厂对于成本控制非常的严,而汽车安全问题的解决又相对来说比较困难。那么现在国内像为辰信安、云驰未来做的都不错,他们的产品都已经做到了批量化装车,有车载防火墙、车机安全产品等一些创新产品。还有像犬安科技这类是从设计阶段就去解决汽车安全问题,就是从设计阶段拿设计图纸来帮车厂发现中间的安全问题。
未来伴随着强制性标准的完善和出台,汽车安全市场也一定会成为一个新的市场。
最后一个创新方向是开源软件治理。这里面相关联的一个是软件供应链安全,一个是开发安全。
这个里面就涉及到的技术比较多,现在比较受重视的是SCA(软件成分分析)。在过去的这两年发生了像SolarWinds、log4j2 这样的漏洞事件,前面小松院长也提到在开源过程中,我们的程序员受训练不足,有80%-90%的都采用了开源软件等情况所带来的安全威胁,到了今天就变成了不得不重视的一个领域。
那么在开源软件治理里面通过SCA,然后做SBOM再通过IAST这种方法来做软件的测试,再用RASP做实时动态的防护等,这类开源软件的治理技术在今天也是一个创业的热点的方向。国内做开源软件治理的企业也比较多,现在处于一个群雄并起的阶段。
前面就给大家分享了我们认为在现在这个阶段中国网络安全产业的八大趋势以及十大创新的方向,谢谢大家。
评论