安全大講堂 | 2022產(chǎn)業(yè)趨勢(shì)洞察：網(wǎng)絡(luò)安全的下一個(gè)十年

隨著產(chǎn)業(yè)數(shù)字化發(fā)展進(jìn)入深水區(qū),網(wǎng)絡(luò)的邊界變得難以界定，數(shù)據(jù)分析如何應(yīng)用于網(wǎng)絡(luò)安全？隨著云原生應(yīng)用普及并開(kāi)始承載企業(yè)核心生產(chǎn)系統(tǒng)，企業(yè)如何建構(gòu)自身云原生安全防護(hù)能力？網(wǎng)絡(luò)安全行業(yè)的機(jī)遇與挑戰(zhàn)潛藏何處？未來(lái)發(fā)展將去往何方？

騰訊安全云鼎實(shí)驗(yàn)室「安全大講堂」邀請(qǐng)到北京派網(wǎng)軟件CEO孫朝暉、中國(guó)信息通信研究院云大所云計(jì)算部副主任陳屹力、數(shù)世咨詢(xún)創(chuàng)始人兼總經(jīng)理李少鵬、北京賽博英杰科技有限公司董事長(zhǎng)譚曉生（按分享順序排序）四位資深安全專(zhuān)家，分別從網(wǎng)絡(luò)大數(shù)據(jù)分析、云原生安全、網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展和網(wǎng)絡(luò)安全行業(yè)的商業(yè)化四大話題切入，圍繞產(chǎn)業(yè)歷史沿革進(jìn)行前瞻性的技術(shù)及行業(yè)趨勢(shì)分享，展望中國(guó)網(wǎng)絡(luò)安全的未來(lái)發(fā)展。

基于安全業(yè)務(wù)視角的

網(wǎng)絡(luò)大數(shù)據(jù)分析發(fā)展趨勢(shì)

孫朝暉：從網(wǎng)絡(luò)的角度看，傳統(tǒng)安全廠家僅關(guān)注HTTP、DNS、隧道協(xié)議、遠(yuǎn)程控制協(xié)議等常用網(wǎng)絡(luò)協(xié)議，這部分流量的占比約為40%，只是網(wǎng)絡(luò)流量的冰山一角。在未來(lái)10年，可以說(shuō)，全量數(shù)據(jù)是一切網(wǎng)絡(luò)安全分析的起點(diǎn)，即分析設(shè)備或者分析引擎要切切實(shí)實(shí)關(guān)注全流量，每一幀，每一個(gè)會(huì)話，每一個(gè)數(shù)據(jù)包。

數(shù)據(jù)分析有兩種建模方式：已知中尋找異常和未知中排除正常。異常的通信內(nèi)容隱蔽偽裝在常用協(xié)議中，是很多惡意應(yīng)用的常用手段，因此，已知中尋找異常也是安全廠商及安全解決方案中常用的方式，比如IDS告警、WAF告警等就屬于已知中尋找異常。而在現(xiàn)有的安全解決方案中，未知中排除正常相對(duì)比較少見(jiàn)，因?yàn)樘貏e多的網(wǎng)絡(luò)流量會(huì)被各種識(shí)別引擎剔除出來(lái)，在未知中尋找正常，需要排除這些已知的應(yīng)用對(duì)安全的干擾。通常情況下，被識(shí)別引擎確定為未知的協(xié)議數(shù)據(jù)有三種：小眾協(xié)議、已知協(xié)議數(shù)據(jù)的漏識(shí)別以及廣泛使用的非正常協(xié)議。

我認(rèn)為，網(wǎng)絡(luò)大數(shù)據(jù)分析在未來(lái)的3-4年內(nèi)，應(yīng)該更多地注重統(tǒng)計(jì)中間表的建立，比如ICMP、DNS、NTP等。這些能夠概括網(wǎng)絡(luò)基本屬性的統(tǒng)計(jì)中間表，都屬于多樣式的確定性規(guī)則，因此人工智能在網(wǎng)絡(luò)大數(shù)據(jù)識(shí)別處理上的應(yīng)用助力非常有限，但在域名、URI和FLOW三個(gè)方向上，人工智能則有很大的發(fā)揮空間。

云計(jì)算2.0

云原生安全發(fā)展現(xiàn)狀與趨勢(shì)判斷

陳屹力：云原生技術(shù)已經(jīng)成為企業(yè)基礎(chǔ)架構(gòu)主流的方案，但與此同時(shí)，安全性也成為企業(yè)用戶(hù)的最大顧慮，其中，容器和微服務(wù)安全是企業(yè)最關(guān)心的云原生安全問(wèn)題。

云原生代表了一系列新技術(shù)，包括容器編排、微服務(wù)架構(gòu)、不可變基礎(chǔ)設(shè)施、聲明式API、基礎(chǔ)設(shè)施即代碼、持續(xù)交付/持續(xù)集成、DevOps等。因此，云原生的安全風(fēng)險(xiǎn)包含云原生基礎(chǔ)架構(gòu)自身的安全風(fēng)險(xiǎn)，以及上層應(yīng)用云原生化改造后新增和擴(kuò)大的安全風(fēng)險(xiǎn)，容器化部署成為云原生計(jì)算環(huán)境風(fēng)險(xiǎn)輸入源，微服務(wù)細(xì)粒度切分增加云原生規(guī)?；瘧?yīng)用風(fēng)險(xiǎn)，Serverless靈活性帶來(lái)模型和平臺(tái)管控風(fēng)險(xiǎn)，以及DevOps提升研運(yùn)流程和安全管理的防范難度、API爆發(fā)式增長(zhǎng)催化分離管控和權(quán)限濫用風(fēng)險(xiǎn)。

在我看來(lái)，云原生安全應(yīng)遵循以下設(shè)計(jì)原則：

·第一，零信任。假設(shè)環(huán)境中隨時(shí)存在攻擊，不能存在任何的隱形信任。

·第二，安全左移。在云原生安全建設(shè)初期將安全投資更多地放到開(kāi)發(fā)安全。

·第三，持續(xù)監(jiān)控和響應(yīng)。從被動(dòng)轉(zhuǎn)為主動(dòng)，從靜態(tài)轉(zhuǎn)為動(dòng)態(tài)，持續(xù)地監(jiān)控云原生各個(gè)環(huán)節(jié)，建立持續(xù)響應(yīng)的防護(hù)機(jī)制，對(duì)攻擊進(jìn)行迅速分析和處理。

·第四，工作負(fù)載可觀測(cè)性。通過(guò)可視化工具發(fā)現(xiàn)和記錄云原生架構(gòu)里應(yīng)用的行為，清晰地觀察到微服務(wù)和中間件調(diào)用關(guān)系。

從發(fā)展趨勢(shì)看，隨著企業(yè)云原生應(yīng)用的增多和云原生安全技術(shù)的發(fā)展，企業(yè)云原生安全能力建設(shè)將從早期聚焦容器安全向云原生安全體系化擴(kuò)展，安全技術(shù)的主導(dǎo)力量也將從單邊走向多元合作。云原生安全需要云原生技術(shù)與安全技術(shù)的跨界融合，未來(lái)，云服務(wù)商與安全廠商勢(shì)必將加強(qiáng)深度合作，安全產(chǎn)品形態(tài)也將從粗暴上云轉(zhuǎn)向與平臺(tái)/應(yīng)用深度融合。

此外，傳統(tǒng)安全側(cè)重以人為主的防護(hù)策略將發(fā)生改變，以服務(wù)化為中心構(gòu)建的容器安全防護(hù)措施、持續(xù)監(jiān)控響應(yīng)模型、可視化平臺(tái)和一站式的安全運(yùn)營(yíng)，將成為云原生安全防護(hù)的主流方案。

安全落地方案也將走向輕量化、敏捷化、精細(xì)化。容器部署的環(huán)境越來(lái)越復(fù)雜，運(yùn)行周期越來(lái)越短，這要求安全方案的反應(yīng)必須迅速敏捷，及時(shí)發(fā)現(xiàn)容器啟動(dòng)，密切跟蹤容器行為，并在發(fā)現(xiàn)異常時(shí)迅速反應(yīng)。云原生提供的服務(wù)粒度越細(xì)，相應(yīng)的安全方案的防護(hù)粒度也需越來(lái)越細(xì)。

中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)

發(fā)展趨勢(shì)前瞻觀察

李少鵬：安全有著公共屬性或社會(huì)屬性，自身不安全會(huì)影響到他人，這種特殊屬性決定了為什么合規(guī)永遠(yuǎn)是第一驅(qū)動(dòng)力。從90年代到現(xiàn)在，在政策驅(qū)動(dòng)下，中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展經(jīng)歷了3個(gè)時(shí)代——計(jì)算機(jī)安全、信息安全和網(wǎng)絡(luò)安全。未來(lái)，我們認(rèn)為是數(shù)字世界的安全，也即是數(shù)字安全。如果說(shuō)數(shù)字世界是萬(wàn)物互聯(lián)和大數(shù)據(jù)，那數(shù)字安全就是網(wǎng)絡(luò)安全加數(shù)據(jù)安全。

數(shù)世咨詢(xún)認(rèn)為，網(wǎng)絡(luò)安全行業(yè)沒(méi)有寡頭，只有諸侯。因?yàn)榫W(wǎng)絡(luò)安全的服務(wù)本質(zhì)、商業(yè)本質(zhì)、對(duì)抗本質(zhì)等，決定了網(wǎng)絡(luò)安全是個(gè)碎片化的行業(yè)。企業(yè)之間應(yīng)該是良性競(jìng)爭(zhēng)，共同把網(wǎng)絡(luò)安全的創(chuàng)新環(huán)境打造好，共同促進(jìn)未來(lái)的發(fā)展。在人才方面，作為朝陽(yáng)產(chǎn)業(yè)，網(wǎng)絡(luò)安全行業(yè)同樣缺乏高端人才。

資本投資層面，我們總結(jié)了9字方針，多賽道、長(zhǎng)持有、共成長(zhǎng)。網(wǎng)絡(luò)安全是個(gè)階梯狀的市場(chǎng)，我們不僅需要高端的信息科技、網(wǎng)絡(luò)安全、人工智能技術(shù)，我們也需要最基礎(chǔ)的安全網(wǎng)關(guān)、防火墻和殺毒引擎，網(wǎng)絡(luò)安全行業(yè)仍存在著許多市場(chǎng)空白待發(fā)展。

未來(lái)網(wǎng)絡(luò)安全的終局是怎樣的？我的判斷是走向國(guó)有，走向“醫(yī)療化”。網(wǎng)絡(luò)安全是關(guān)系國(guó)計(jì)民生的大事情，作為特殊行業(yè)國(guó)有化比例加重是必然的。而醫(yī)院有專(zhuān)科醫(yī)院，也有綜合型的醫(yī)院，未來(lái)網(wǎng)絡(luò)安全行業(yè)也會(huì)形成類(lèi)似的分化。

簡(jiǎn)而言之，安全運(yùn)營(yíng)、場(chǎng)景化是未來(lái)。安全運(yùn)營(yíng)五要素，中間是人，組織管理、流程機(jī)制、平臺(tái)體系、產(chǎn)品工具等其他要素圍繞著人，根據(jù)應(yīng)用場(chǎng)景，根據(jù)業(yè)務(wù)需求，根據(jù)行業(yè)屬性，來(lái)進(jìn)行更好的運(yùn)營(yíng)管理。

網(wǎng)絡(luò)安全商業(yè)化的機(jī)遇探索

譚曉生：網(wǎng)絡(luò)安全市場(chǎng)有三大驅(qū)動(dòng)力：合規(guī)驅(qū)動(dòng)力、業(yè)務(wù)風(fēng)險(xiǎn)驅(qū)動(dòng)力和技術(shù)驅(qū)動(dòng)力。

合規(guī)性驅(qū)動(dòng)市場(chǎng)在今后很長(zhǎng)一段時(shí)間都會(huì)是網(wǎng)絡(luò)安全最主要的驅(qū)動(dòng)力。其中，具有較大市場(chǎng)機(jī)會(huì)的，我認(rèn)為有以下幾方面：

·第一個(gè)是數(shù)據(jù)安全。當(dāng)前處于數(shù)字化轉(zhuǎn)型時(shí)代，數(shù)據(jù)成為重要生產(chǎn)力，數(shù)據(jù)安全與國(guó)家安全密切相關(guān)，在《個(gè)人信息保護(hù)法》之外，未來(lái)必將還有一系列相關(guān)的法律法規(guī)出臺(tái)，完善數(shù)據(jù)安全監(jiān)管。

·第二，等級(jí)保護(hù)，尤其等保2.0之后，等保市場(chǎng)、整改市場(chǎng)都有比較快速的擴(kuò)大。

·第三，是“關(guān)基”保護(hù)的市場(chǎng)。

企業(yè)業(yè)務(wù)經(jīng)營(yíng)過(guò)程中，如果遇到網(wǎng)絡(luò)安全事件，將承受重大損失，因此，企業(yè)會(huì)購(gòu)買(mǎi)相應(yīng)的安全防御產(chǎn)品，即使這些產(chǎn)品不在等?；疽蠓秶畠?nèi)，這便是風(fēng)險(xiǎn)驅(qū)動(dòng)市場(chǎng)。如網(wǎng)絡(luò)空間資源測(cè)繪，欺騙防御，攻擊面防御，EDR、NDR、XDR等各種各樣的檢測(cè)和響應(yīng)，安全運(yùn)營(yíng)自動(dòng)化方面的產(chǎn)品，開(kāi)發(fā)安全，從ASD、DSD、SASD到軟件成分分析SDA等軟件測(cè)試工具以及MSS和MBR等，都存在較大的市場(chǎng)機(jī)會(huì)。

技術(shù)驅(qū)動(dòng)，則是在新技術(shù)產(chǎn)生、落地、廣泛應(yīng)用的過(guò)程中，推動(dòng)行業(yè)提出針對(duì)性的解決方案。當(dāng)前，最主要的技術(shù)驅(qū)動(dòng)市場(chǎng)，是萬(wàn)物互聯(lián)下帶來(lái)的安全問(wèn)題，以及基礎(chǔ)架構(gòu)云化，云原生安全、零信任等新理念產(chǎn)生，沖擊著傳統(tǒng)安全解決架構(gòu)——基于IT技術(shù)的向前演變帶來(lái)新的商業(yè)機(jī)會(huì)。

以上是本次「安全大講堂」四位講師的觀點(diǎn)精華整理。