1998年图灵奖得主,关系型数据库的领头人吉姆·格雷(Jim Gray)留给世人的最后一次演讲是“科学方法的革命”。在演讲中他提出将科学研究分为四类范式(Paradigm,某种必须遵循的规范或普遍性的套路),依次为实验尝试,模型演算,仿真模拟和数据密集型科学发现。
近期,就职于永信至诚的大潘(潘柱廷)对网络安全产业的未来发展趋势做了研判,提出了网络安全领域的四类范式,并以此基础,介绍了未来网络安全产业的三个重要发展方向。
一、网络安全的四个范式
大潘认为,网络安全的第一范式是不断尝试,渗透测试、非程式化风险评估可以算作此类。第二范式为模型演算,对目标进行归纳总结,抽象出其特征,对应了网络安全传统的特征型安全产品,如防病毒、防火墙、入侵检测、WAF甚至SOC等,国内安全圈的大部分产值来源于此。第三范式就是模拟仿真,典型的技术是沙箱、蜜罐,成功的公司如美国FireEye。国内的网络安全产业走到第二范式后,往往开始直接进入第四范式的多维大数据分析,典型如态势感知平台。那么,用平行仿真这样的代表性技术和思想方法,来补齐跳过的第三范式,与各个范式共同提供完整的感知与处置能力,就非常有必要。
什么是平行仿真?“仿真”即最大化的模拟真实系统,而“平行”则是将现实系统扩展到虚拟的人工系统,此二者共同组成平行系统。虚拟系统和现实系统各自运行,但又实时、动态、紧密地互动,完成对各自当前和未来的状况的“借鉴”和“预估”。
大潘介绍,网络安全的平行仿真,是指在网络空间中,通过构造与现实网络系统相对应的场景模型,结合云平台、虚拟化技术、攻防技术等手段,打造现实网络系统的平行仿真系统,为现实网络系统提供“试错”空间,用于学习与培训、测试与验证、评估与演练,乃至攻防实战,尽可能地将未知安全风险消弭于其中。
大潘解释,四个范式并没有优劣之分,也没有进阶关系,而是网络安全在不同维度的应用,彼此间也有许多结合。
例如永信至诚的实训平台、竞赛平台、靶场平台这些产品,就是平行仿真技术的不断积累和突破,是第三范式的范围。但当在大型靶场中加入蜜罐后,就产生了一个全新的平行仿真场景,这种带有攻防基因和态势感知的虚拟仿真环境,就自然结合了数据密集型发现的第四范式。
二、网络安全的新蓝海地带
大潘认为,结合四个范式的划分,可以判定未来网络安全有三个重要方向,这也是产业界可以藉此做大的新蓝海地带。这三个方向分别是检验性安全、欺骗式防御、情报式对抗。
1.检验性安全 增强实际防护能力
国家近年大力开展网络攻防实战演练,大潘认为这是非常好的事情。其实很多重要的关键信息基础设施可能都存在风险,但没有被发现,通过“护网”行动之类的实战演练,就能暴露出很多问题,督促系统运营方认真去整改。
蓬勃兴起的实战演练催生了检验性安全的产业方向。网络安全防护体系的安全性很难证明,而可以确定性地证伪;用攻击来证明不安全性,反过来就是证明所建设防护体系的安全程度。大潘认为,真正有影响的网络安全事件,决定输赢的那些关键,通常都是极小概率情况下发生的极大影响事件,就像人们常说的“黑天鹅事件”一样,很难被预防,为此必须像塔勒布在《反脆弱》一书中所提出的,加强网络系统的反脆弱性,让系统可以从不确定性的风险中获利,变得更为坚韧。
如何加强反脆弱性?不管是因为人、装备、方案、极限情况所导致的错误,理想的状态是让错误发生在靶场这类平行仿真环境,而不是真实系统。大潘表示,在通常的甲方、乙方、丙方(监管方)之外还可以增加一个丁方(测试方)。丁方代替真正的威胁者,以逆向的方式,通过检验性的手段,完善整个产业格局。如通过演习、众测等,让系统问题暴露在平行的网络仿真靶场中,以及通过攻击性测试来发现系统脆弱之处,以此来有效加强系统的安全性。
大潘认为,检验性安全的逆向观念不仅仅停留在安全性测试,还能延伸到功能测试、性能测试、兼容性测试等,未来可以产生百亿的网安市场增量和千亿规模的测试产业增量。这里的核心技术即平行仿真的虚拟化技术和云调度技术,以及无害化的、疫苗式的、全覆盖的攻击性测试技术。
2.欺骗式防御 保障真实系统安全
在最近的多场实战演练中,有一个传统的安全品类重焕生机,大放异彩,受到了防守方的大力追捧。在过去一段时间从上至下的攻防实战中,诸多防守方确确实实从中尝到了甜头。这就是蜜罐。
在行业的印象中,蜜罐过去更多用来研究测试,但当蜜罐与仿真靶场相结合,就是一个全新的市场方向——欺骗式防御。
大潘认为,有别于传统网络安全的“盒子”型边界防御,蜜罐更适合当前云这种边界模糊的新IT环境。传统的边界防御非常直接,检测、识别、阻断,但往往冗余度和纵深度不够。而欺骗式防御通过部署在平行仿真环境中的“高甜度”蜜罐,混淆真实目标,主动吸引攻击者进入逼真的而又虚假的平行仿真环境,最大限度扩大防守空间,通过冗余对抗机制来换取安全。
欺骗式防御,是一种变“被动”为“主动”的防守方式,其中“高甜度”蜜罐是核心。大潘介绍,逼真度、高甜度、监控能力、混淆度,这些都是判别一个优秀蜜罐系统的重要指标。
从用户的角度看,由于蜜罐的效果非常显著,让面临真实对抗、保障任务和演习压力的刚需被激发出来。蜜罐的部署对于业务系统的影响堪比旁路检测,部署副作用和成本都很低。蜜罐的误判率极低,让其不必经历IDS和SOC曾经面临的误报困境。蜜罐的应用具有极大的爆发潜力。
从厂商的角度看,有多种技术路线可以走向蜜罐产品技术,为拥有攻防技术、云技术、虚拟化技术、传统检测技术的厂商和研发团队都打开了门径,让这个新蓝海具有广泛的可达性。欺骗式防御是一种技术理念和对抗理念,能够与各种安全形态结合、孵化,具有极大的产品形态包容性。
大潘预言,蜜罐将是一个比IDS更大的一个产品大门类,是一个产业板块,一个产业蓝海。其产业增量规模将在几年内达到百亿规模。
3.情报式对抗 掌握攻防主动权
网络安全的对抗,未来更多的是情报的对抗,从这几年威胁情报的迅猛发展可见一斑。
大潘进一步解释,所谓“情报的对抗”,更多的是“知道和不知道”的对抗,即熵的对抗。要清楚地了解己方有哪些漏洞,对手有哪些利用方法,通过对这些情报的知晓,降低发生风险的不确定性。
例如加入了蜜罐引擎的态势感知系统,熵对抗的价值就极高。它不仅可以诱捕和发现高危攻击行为,大幅减少风险事件的误报率,同时还能清晰地显示出攻击者的攻击手法,让攻击者更容易失误,让防守方全面掌握攻击态势,变被动防守为主动处置,转化攻防优劣势的平衡。
这种在真实攻防环境中,掌控实时攻击情报的态势感知,可以让用户发现自己真正的“软肋”,从而补阙挂漏,让用户的安全体系更为完善和健壮。让攻击者走入错误的迷途,从而获得更好的防御纵深。
三、新蓝海重构新生态
大潘认为,当前产业需求已发生重大变化,传统的政企客户希望用新型的互联网技术,如云、大数据、SRC服务模式等,来加强自己的安全防护。同时从对装备、产品的安全赋能需求,逐渐兼顾对安全服务和人才的赋能需求。网络安全产业仅仅卖盒子、卖装备的时代已经过去,未来方向是通过靶场、蜜罐、态势感知为代表的检验性安全、欺骗式防御、情报式对抗。这三个技术路线就是通向产业新蓝海的入海口,所带来的都是百亿以上规模的蓝海空间。
这些新蓝海空间,将与边界安全网关、边界旁路检测、密码技术、身份技术、漏洞技术、恶意代码技术、网络安全管理等共同形成新的网络安全市场格局,一个更富生机的产业生态环境。这些新的发展趋势可以给整个安全产业带来极大的市场增量,值得整个产业一起去搭建新市场生态。
而永信至诚的三大核心支柱:人、攻防基因、平行仿真技术,正切合了网安产业新蓝海的发展趋势。大潘强调,永信至诚已经是一个向政企客户输出安全能力的企业,希望与整个产业协同合作,发挥各自优势,共同做大安全新蓝海,为业界创造更多可能,为用户带来更多安全感。(袁胜)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。