随着产业数字化发展进入深水区,网络的边界变得难以界定,数据分析如何应用于网络安全?随着云原生应用普及并开始承载企业核心生产系统,企业如何建构自身云原生安全防护能力?网络安全行业的机遇与挑战潜藏何处?未来发展将去往何方?

腾讯安全云鼎实验室「安全大讲堂」邀请到北京派网软件CEO孙朝晖、中国信息通信研究院云大所云计算部副主任陈屹力、数世咨询创始人兼总经理李少鹏、北京赛博英杰科技有限公司董事长谭晓生(按分享顺序排序)四位资深安全专家,分别从网络大数据分析、云原生安全、网络安全产业发展和网络安全行业的商业化四大话题切入,围绕产业历史沿革进行前瞻性的技术及行业趋势分享,展望中国网络安全的未来发展。

基于安全业务视角的

网络大数据分析发展趋势

孙朝晖:从网络的角度看,传统安全厂家仅关注HTTP、DNS、隧道协议、远程控制协议等常用网络协议,这部分流量的占比约为40%,只是网络流量的冰山一角。在未来10年,可以说,全量数据是一切网络安全分析的起点,即分析设备或者分析引擎要切切实实关注全流量,每一帧,每一个会话,每一个数据包。

数据分析有两种建模方式:已知中寻找异常和未知中排除正常。异常的通信内容隐蔽伪装在常用协议中,是很多恶意应用的常用手段,因此,已知中寻找异常也是安全厂商及安全解决方案中常用的方式,比如IDS告警、WAF告警等就属于已知中寻找异常。而在现有的安全解决方案中,未知中排除正常相对比较少见,因为特别多的网络流量会被各种识别引擎剔除出来,在未知中寻找正常,需要排除这些已知的应用对安全的干扰。通常情况下,被识别引擎确定为未知的协议数据有三种:小众协议、已知协议数据的漏识别以及广泛使用的非正常协议。

我认为,网络大数据分析在未来的3-4年内,应该更多地注重统计中间表的建立,比如ICMP、DNS、NTP等。这些能够概括网络基本属性的统计中间表,都属于多样式的确定性规则,因此人工智能在网络大数据识别处理上的应用助力非常有限,但在域名、URI和FLOW三个方向上,人工智能则有很大的发挥空间。

云计算2.0

云原生安全发展现状与趋势判断

陈屹力:云原生技术已经成为企业基础架构主流的方案,但与此同时,安全性也成为企业用户的最大顾虑,其中,容器和微服务安全是企业最关心的云原生安全问题。

云原生代表了一系列新技术,包括容器编排、微服务架构、不可变基础设施、声明式API、 基础设施即代码、持续交付/持续集成、DevOps等。因此,云原生的安全风险包含云原生基础架构自身的安全风险,以及上层应用云原生化改造后新增和扩大的安全风险,容器化部署成为云原生计算环境风险输入源,微服务细粒度切分增加云原生规模化应用风险,Serverless灵活性带来模型和平台管控风险,以及DevOps提升研运流程和安全管理的防范难度、API爆发式增长催化分离管控和权限滥用风险。

在我看来,云原生安全应遵循以下设计原则:

•  第一,零信任。假设环境中随时存在攻击,不能存在任何的隐形信任。

•  第二,安全左移。在云原生安全建设初期将安全投资更多地放到开发安全。

•  第三,持续监控和响应。从被动转为主动,从静态转为动态,持续地监控云原生各个环节,建立持续响应的防护机制,对攻击进行迅速分析和处理。

•  第四,工作负载可观测性。通过可视化工具发现和记录云原生架构里应用的行为,清晰地观察到微服务和中间件调用关系。

从发展趋势看,随着企业云原生应用的增多和云原生安全技术的发展,企业云原生安全能力建设将从早期聚焦容器安全向云原生安全体系化扩展,安全技术的主导力量也将从单边走向多元合作。云原生安全需要云原生技术与安全技术的跨界融合,未来,云服务商与安全厂商势必将加强深度合作,安全产品形态也将从粗暴上云转向与平台/应用深度融合。

此外,传统安全侧重以人为主的防护策略将发生改变,以服务化为中心构建的容器安全防护措施、持续监控响应模型、可视化平台和一站式的安全运营,将成为云原生安全防护的主流方案。

安全落地方案也将走向轻量化、敏捷化、精细化。容器部署的环境越来越复杂,运行周期越来越短,这要求安全方案的反应必须迅速敏捷,及时发现容器启动,密切跟踪容器行为,并在发现异常时迅速反应。云原生提供的服务粒度越细,相应的安全方案的防护粒度也需越来越细。

中国网络安全产业

发展趋势前瞻观察

李少鹏:安全有着公共属性或社会属性,自身不安全会影响到他人,这种特殊属性决定了为什么合规永远是第一驱动力。从90年代到现在,在政策驱动下,中国网络安全产业发展经历了3个时代——计算机安全、信息安全和网络安全。未来,我们认为是数字世界的安全,也即是数字安全。如果说数字世界是万物互联和大数据,那数字安全就是网络安全加数据安全。

数世咨询认为,网络安全行业没有寡头,只有诸侯。因为网络安全的服务本质、商业本质、对抗本质等,决定了网络安全是个碎片化的行业。企业之间应该是良性竞争,共同把网络安全的创新环境打造好,共同促进未来的发展。在人才方面,作为朝阳产业,网络安全行业同样缺乏高端人才。

资本投资层面,我们总结了9字方针,多赛道、长持有、共成长。网络安全是个阶梯状的市场,我们不仅需要高端的信息科技、网络安全、人工智能技术,我们也需要最基础的安全网关、防火墙和杀毒引擎,网络安全行业仍存在着许多市场空白待发展。

未来网络安全的终局是怎样的?我的判断是走向国有,走向“医疗化”。网络安全是关系国计民生的大事情,作为特殊行业国有化比例加重是必然的。而医院有专科医院,也有综合型的医院,未来网络安全行业也会形成类似的分化。

简而言之,安全运营、场景化是未来。安全运营五要素,中间是人,组织管理、流程机制、平台体系、产品工具等其他要素围绕着人,根据应用场景,根据业务需求,根据行业属性,来进行更好的运营管理。

网络安全商业化的机遇探索

谭晓生:网络安全市场有三大驱动力:合规驱动力、业务风险驱动力和技术驱动力。

合规性驱动市场在今后很长一段时间都会是网络安全最主要的驱动力。其中,具有较大市场机会的,我认为有以下几方面:

•  第一个是数据安全。当前处于数字化转型时代,数据成为重要生产力,数据安全与国家安全密切相关,在《个人信息保护法》之外,未来必将还有一系列相关的法律法规出台,完善数据安全监管。

•  第二,等级保护,尤其等保2.0之后,等保市场、整改市场都有比较快速的扩大。

•  第三,是“关基”保护的市场。

企业业务经营过程中,如果遇到网络安全事件,将承受重大损失,因此,企业会购买相应的安全防御产品,即使这些产品不在等保基本要求范围之内,这便是风险驱动市场。如网络空间资源测绘,欺骗防御,攻击面防御,EDR、NDR、XDR等各种各样的检测和响应,安全运营自动化方面的产品,开发安全,从ASD、DSD、SASD到软件成分分析SDA等软件测试工具以及MSS和MBR等,都存在较大的市场机会。

技术驱动,则是在新技术产生、落地、广泛应用的过程中,推动行业提出针对性的解决方案。当前,最主要的技术驱动市场,是万物互联下带来的安全问题,以及基础架构云化,云原生安全、零信任等新理念产生,冲击着传统安全解决架构——基于IT技术的向前演变带来新的商业机会。

以上是本次「安全大讲堂」四位讲师的观点精华整理,详细的分享内容将持续呈现,敬请留意关注。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。