文 | 数说安全 王卓 宋圣 于江 清华大学网络科学与网络空间研究院 谭晓生
网络安全行业的一大特点,是新概念、新名词术语多,不仅以 Gartner 为代表的研究咨询机构每年要新定义很多新的产品品类、技术方向,众多安全企业也从营销的角度在“造词”。本文盘点 2022 年产业界关注度较高的“热词”,解析这些词背后的技术和产品的核心能力、应用场景和关键挑战。
一、扩展检测响应
(Extended Detection and Responsed,XDR)
XDR 在 2018 年由 Palo Alto Networks 提出,XDR 平台可以跨区域收集来自多种安全设施的检测数据,并对其进行统一的集成、关联和上下文等事件化分析,以全局视角进行威胁研判,从而获得更准确和全面的检测结果。XDR 旨在高效集成产品,打破信息孤岛,降低企业内的无效告警和安全运营成本,未来将吸引难以从安全响应中心(SOC)或安全信息和事件管理(SIEM)解决方案中获得价值的安全运营团队。
目前的 XDR 产品功能覆盖了网络防御矩阵(Cyber Defense Matrix)中的设备、网络和用户资产的检测及响应维度,未来会把应用程序和数据的检测及响应也包含进来。
XDR 的核心能力主要包括云/网/端的一体化威胁检测能力、ATT&CK 入侵知识库框架等攻击链覆盖与攻击溯源能力、多源数据整合与上下文关联分析能力、人工智能(AI)/机器学习(ML)/用户和实体行为分析技术(UEBA)等技术的利用与效率、应用程序编程接口(API)集成与自动化响应能力。
XDR 主要被用于 SOC 平台能力补充或直接被充当 SOC 使用,也有被用托管检测与响应服务(MDR)服务的工作平台,或被用在云地混合场景下的威胁检测响应。
XDR 面临的挑战在于整合能力,XDR 本质上是整合性方案,涉及多个安全领域,甚至将安全编排自动化与响应(SOAR)也当作组件之一,整合的技术难度较大。此外,还面临着 XDR 方案开销与客户现有安全投入的平衡、在云/多云/云地混合环境下 XDR 能力构建的挑战。
二、入侵与攻击模拟 BAS
(Breach and Attack Simulation)
传统的风险评估技术侧重于识别系统、网络和应用程序的漏洞,BAS 方案则更进一步。BAS 是指通过主动验证+(半)自动化的方式,使用攻击者的战术、技术和程序来模拟杀伤链的不同阶段,持续测试和验证现有网络整体的安全机制(包括各安全节点是否正常工作、安全策略与配置的有效性、检测/防护手段是否按预期运行等),对企业对抗外部威胁的能力进行量化评估,同时提供改进建议,推动企业安全体系走向成熟。如下表所示。
表 BAS与渗透测试和漏洞扫描的对比
BAS 的核心能力包括设备/策略/脆弱性多维安全有效性验证能力、量化评估与风险优先级识别能力、模拟入侵能力(包含入侵方法与数量/自动化能力/攻击载体类型/ATT&CK 框架匹配度等)以及对云/IoT/工控/移动应用等新场景的覆盖度。
BAS 主要用于基于内需驱动的高安全性网络环境,用于企业安全运营效率提升与安全防御体系优化以及安全服务中降低人工成本,量化服务价值。
所面临的关键挑战在于终端、边界、应用、数据等安全验证覆盖面能力,验证结果的可靠性与全面性,全场景匹配度与自身安全性保障以及产品部署成本、自动化程度与易用性。
三、攻击面管理
(Attack Surface Management,ASM)
攻击面是指企业所有可被利用的风险因素的集合,这些风险因素大多分布在物理面(例如端点、网络、服务器等设备漏洞)和数字面(例如企业数据泄漏、品牌侵权、个人隐私信息泄漏、网络钓鱼等)。攻击面管理旨在识别、分类这些风险因素,并对其进行优先级排序和持续监控。攻击面范围较为宽泛,按照企业管理者和外部攻击者两个不同视角(如图 1 所示),可分为网络资产攻击面管理(CAASM)和外部攻击面管理(EASM)以及数字风险保护服务(DRPS)三种。
图1 攻击面管理的攻击者视角和管理者视角
攻击面管理产品的核心能力是资产发现能力与全局风险优先级评估能力,包括对互联网资产、云资产、影子 IT 资产、数字资产、个人隐私等未知资产的发现能力,对自动化安全评估、漏洞优先级 VPT 等技术的利用,以及对威胁、漏洞、暗网/深网等情报数据的体系化利用。
攻击面管理的主要客户是 IT 资产庞杂、对外且分散,亟待缩小互联网暴露面的大中型企业,主要用于互联网、消费者企业数字资产保护与安全运营,以及重要或关键业务场景的主动防御能力提升,以实现高风险判定和攻击面收敛。它面临的主要挑战是海量数据采集、关联分析和风险研判的能力,支持测绘的攻击面的类型和数量。云生态发展对云资产可视化与风险评估的影响也是未来挑战之一。
四、安全运营服务(Security Operation Services)
安全运营服务是目前适用于我国实际国情的新型安全服务形态,按照目标客群、服务范围、能力边界不同,分为传统 MSS 服务(托管式安全服务)和新型 MDR 服务(托管式检测与响应服务),如图 2 所示。MSS 服务侧重于管理和维护与安全相关的技术和产品,以保障企业 IT 基础设施稳定运行为目标,MDR 服务则以更高的视角聚焦攻击与威胁,通过云网端数据共享与分析,提升企业在威胁检测与响应处置方面的能力。目前 MSS 与 MDR 服务商已呈现融合趋势,未来随着市场服务型需求持续释放,这种融合趋势将进一步加深。
图2 安全运营服务的分类
安全运营作为一种服务,其核心能力在于人、技术、流程的高效整合,需要有一定数量的中高级安全专家,并且实现专家资源的高效复用。同时提供安全分析平台,实现自动化工作流,要有集成利用威胁情报能力的能力,提供 7x24 小时全天候安全监控与报警,有完善的应急响应机制,可输出准确全面的安全分析报告。
安全运营服务的主要客户包括有合规要求但无安全基础的中小企业,部署多种安全设备但安全运营效率低下中大型企事业单位,多分支、管理成本较高的连锁型企业。具体场景包括攻防演练、重保、风险评估等事件驱动下的阶段性使用。
安全运营服务当前的主要挑战是对安全事件分析的准确性与响应速度,软件即服务(SaaS)的程度,如何提高人效比的能力,以及对云、工控、物联网等新场景下服务能力的覆盖。
五、软件供应链安全与开发安全
(Software Supply Chain Security & DevSecOps)
受“太阳风”(SolarWinds)等软件被植入后门的安全事件驱动、国际形势加剧(贸易摩擦、技术封锁、网络战)等因素叠加影响,近年来软件供应链安全概念持续升温。软件供应链的安全风险来自于软件全生命周期,除了源头的软件开发环节,还包括软件上线发布和软件运行使用等环节。开发安全不完全等同于软件供应链安全,但开发安全却是保障软件供应链安全最重要的起点,安全“左移”是大势所趋。开发安全运营一体化(DevSecOps)未来或将由场景型技术转变为普适性技术,引领新一轮安全技术的演进。
软件供应链安全与开发安全的核心能力包括软件生产生命周期中全阶段的安全缺陷发现能力、防护能力以及与软件开发流程进行高效融合的能力。安全缺陷发现能力包括如代码审计的代码级检测分析能力、静态应用安全测试(SAST),开源治理能力如软件成分安全分析(SCA)、应用安全检测能力如交互式应用程序安全测试(IAST)、动态应用程序安全测试(DAST)、模糊测试(Fuzzing),防护能力主要有运行时应用程序自保护(RASP)能力,最后通过开发安全一体化管理平台实现 DevSecOps 的流程管理。
软件供应链安全与开发安全的应用场景主要有软件开发生命周期(SDLC)安全赋能、软件供应链风险评估、云原生应用程序安全开发与运营、国产化场景下软件物料清单(SBOM)梳理与自主可控评估。其面临的主要挑战首先是产品技术与开发流程无缝集成的能力,其次是漏洞风险优先级评估与补救能力、产品自动化程度与易用性等技术能力,然后还面临相关技术标准与市场驱动力的构建,商业路径规划与目标客群触达能力等问题。
六、数据安全平台
(Data Security Platform)
数据安全平台是以数据为中心,面向数据全生命周期构建的安全管理与防护体系,其核心是在数据风险防护与合规监管的推动下,根据具体的业务处理场景和生命周期各个环节,以数据发现和数据分类分级为基础,以数据流转监控及数据风险评估为目标,融合了多种数据安全技术来实现平台化数据安全防护。随着数据安全场景需求和产品技术的不断发展,数据安全运营平台、零信任数据安全平台、数据安全监测平台等解决方案正逐步成为各安全厂商在数据安全领域所聚焦的方向。
数据安全平台的核心能力包括对各场景业务与数据流转的全面梳理能力、对数据全生命周期安全防护和监测能力、数据安全平台与能力单元智能化联动能力、敏感数据自动发现及大数据分析能力。数据安全平台主要应用于客户侧全局数据资产管理与风险监测、主管与监管单位对全行业数据安全态势掌控、数据安全行为动态控制、数据安全流转可视化监测、数据安全合规性检验。
数据安全平台面临的关键挑战主要是业务与安全威胁/合规/风险容忍度的平衡,包括各行业、地区重要数据的定义和差异,业务变化后数据持续优化和保障的能力,数据识别技术的覆盖率、效率和准确率。
七、云原生应用保护平台
(Cloud-Native Application Protection Platform,CNAPP)
CNAPP 是一套集成安全性和合规性功能,旨在保护云原生应用程序的开发和生产过程。CNAPP 整合了多种云原生安全工具和技术,包括:容器扫描、云安全态势管理(CSPM)、基础设施即代码扫描、云基础设施授权管理(CIEM)和运行时云工作负载保护平台(CWPP),如图 3 所示。它可以保护从系统代码到业务开展的整个应用程序开发生命周期的安全,提高对云工作负载的可见性,增强对云环境中安全性和合规性风险的控制。
图3 云原生应用保护平台
CNAPP 主要用在对云原生工作负载运行时的可疑行为检测及保护、云原生基础设施合规性和完整性验证、云原生工作负载及开发过程漏洞扫描和管理、云原生应用(包括 WEB 及 API)的安全防护。
CNAPP 面临的挑战主要有云原生应用和工作负载的可见性和全面识别能力,云原生应用和工作负载从 DevOps 过渡到 DevSecOps 的投入成本及复杂性,与客户现网中云防护系统功能重叠情况下的能力评估及技术联动。
八、安全访问服务边缘
(Secure Access Service Edge,SASE)
SASE 是 2019 年由 Gartner 提出的概念,作为一个安全框架,旨在实现安全和快速的云应用,并帮助用户和设备在任何地点、任何时间对应用程序、数据和服务进行安全的云访问。它以支持数字企业的动态、安全访问需求为目标,融合了全面的广域网功能和网络安全功能。SASE 模型包括全球和云本地服务中的网络安全解决方案,让用户以灵活、经济高效和可扩展的方式轻松连接到企业网络并受到保护。
SASE 服务的核心能力在于采用云原生架构,可控制服务成本,通过高覆盖度的边缘云节点提升服务质量,以及基于零信任的身份授权和访问接入能力,完整的网络即服务和安全即服务能力,一体化安全管控及威胁感知能力。如图 4 所示。
图4 安全访问服务边缘模型
SASE 的主要应用场景包括远程办公、多分支机构安全互联、企业安全合规建设与物联网安全防护。目前所面临的挑战包括:缺少统一的技术要求及能力评估标准;构建一套完整的 SASE 服务体系所消耗的资源较多及安全运营难度较大;企业数字化转型和业务上云的内驱力、复杂度及时间周期。
九、API 安全防护
(Application Programming Interface Security)
随着网络应用的互联互通变得越来越普遍,API 接口逐渐与 Web 应用、移动互联网、物联网以及 SaaS 服务融为一体。特别在几次重大数据泄露事件发生后,API 安全开始得到高度重视。API 安全是一种贯穿于 API 的设计、开发、使用和维护阶段的全链路风险管控,关注 API 资产识别、防护控制、威胁分析以及开发安全,目的是降低针对 API 特有的安全漏洞风险所带来的损失。如图 5 所示。
图5 API 安全场景
API 安全的核心能力包括自动化、即时化的 API 资产识别能力、零信任安全原则的 API 授权控制能力、在线/旁路部署下的 API 威胁检测能力、持续模拟攻击的 API 安全测试能力、依托 AI 与 ML 技术的 API 监控分析能力、自动化修复与溯源的 API 审计响应能力、贯穿 API 安全生命周期的开发运营能力。
API 安全主要应用在三个场景:数据安全场景,通过 API 数据流转监测,黑灰产数据窃取监测;云原生安全场景,大规模分布式 API 通信安全场景,包括 Bots 自动化攻击防护。
当前 API 安全的关键挑战包括:在应用程序开发过程中,从需求设计到人员意识都缺少对 API 安全能力的构建及重视;多应用开放互联的发展与降低 API 应用暴露面和攻击面的平衡;云原生场景带来的 API 所暴露的攻击面呈指数级加剧;新引入的东西向流量成为防护重点。
十、商用密码应用与管理
(Commercial Cryptography Application and Management)
密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。作为保障信息和网络安全最核心、最有效的技术,密码产业涵盖了密码基础算法与协议研究、密码算力产品与应用、密码服务与解决方案、密码应用安全检测与评估等多个领域。目前,我国密码产业呈现政策与技术双驱动态势:在政策层面,《密码法》《商用密码管理条例》《商用密码应用安全性评估管理办法(试行)》的颁布实施,进一步规范了密码的使用与管理,密码安全保护有法可依;在技术创新方面,SM2、SM3、SM4、ZUC、SM9 等自主设计国密算法陆续进入国际标准,隐私计算、同态加密、量子密码、可信计算等密码学新技术持续发展,云计算、物联网、车联网、5G 安全、区块链等新场景下密码泛在化应用不断拓展,同时,信创产业的发展为密码应用提供了广阔的机遇。以上多种因素叠加,未来我国密码产业将进入全面、快速、高质量发展的新阶段。
商用密码应用与管理的核心能力主要包括密码算法与算力的持续性优化、密码中间件对密码能力复用的提升、国密算法替代过程中对应用改造的能力、云环境下密码应用与管理能力的构建四个方面。
商用密码的应用场景主要在电子认证与服务行业,金融、能源、电信等强监管行业,国家关键基础设施行业安全防护,信创产业与技术发展,传统安全建设与 IT 基础设施保护以及物联网、V2X 车联网等新场景。
商用密码应用与管理所面临的关键挑战主要在丰富密码技术与产品的场景适应性以应对日益上升的密码应用泛在化趋势、进一步提升密码全产业链自主可控能力,加速国密替代和信创发展进程,以及密码人才培养与能力建设。
十一、结 语
2022 年,中国网络安全的创新方向依然较为碎片化,与用户现阶段网络安全的刚性需求密切相关。安全运营服务和 SASE 两个服务创新方向,反映的是中小企业乃至地方政府数字化转型中对安全的强劲需求,以及 IT 基础设施云化后的防御困境;其他创新方向,反映了用户上云后的安全防护、数据安全合规、供应链安全求、攻防技术演进等方面的需求。可喜的是,推出这些创新方向产品的大多数是安全创业公司,虽然产品与解决方案的成熟度依然需要时间,但未来可期。
(本文刊登于《中国信息安全》杂志2023年第2期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。