2024进入实施“十四五”规划的关键一年。多家国际金融机构普遍预计,新兴市场将在2024年重新迎来较快增长,并认为其加速复苏的重要动力就是中国经济的发展。
12月11日至12日召开的中央经济工作会议再次提出发展“数字经济”,至此已连续五年在中央经济工作会议中被提及,今年会议还大篇幅提及发展数字经济的各方面,包括加快推动人工智能发展、广泛运用数智技术、大力发展数字消费、支持新型基础设施、拓展数字贸易、认真解决数据跨境流动等,凸显出持续深化的数字化趋势与潮流,给网络安全行业提出了更高要求与责任。
2023年地缘政治冲突令网络空间紧张态势加剧,具有国家背景的网络攻击持续升级;同时,以“经济利益”为目的的勒索攻击持续高发。全球多家云服务商发生服务中断事件,凸显出数字基础设施的可靠性挑战。生成式人工智能成现象级技术,改变网络攻防的格局。
网络威胁、安全态势,以及攻防对抗力量的变化,推动网络安全技术持续创新。奇安信认为,2024年10大技术趋势将引领安全行业创新与发展。政企机构唯有积极拥抱新趋势,才能更好地适应应对网络威胁和保障数字经济稳定发展的需要。
趋势1 生成式AI重塑安全行业,利用与防护成热点
在Gartner发布的2024 年十大战略技术趋势中,生成式AI与大模型当仁不让占据了第一名的位置。Gartner预测,生成式AI或将迎来全民化时代,到2026年,将有超过80%的企业使用生成式AI的API或模型,或在生产环境中部署支持生成式AI的应用,而在2023年初这一比例还不到5%。
Gartner同时将“AI信任、风险和安全管理”摆在了第二的位置,可见,人工智能给网络安全带来的将是颠覆和机遇并存。生成式人工智能技术如何应用到安全攻防领域,以及大模型带来的安全防护问题,成为行业热点。
展望2024年,生成式AI将在几个方面持续发展,重塑安全行业。
首先是人工智能驱动安全运营与威胁分析成为趋势。
当前,企业网络安全普遍面临着告警疲劳、效率瓶颈、专家稀缺等三大问题,尤其是生成式AI如果被黑客用滥用在网络攻击领域,会给防护带来更加严峻的挑战。因此,将人工智能和机器学习集成到网络安全实践中变得越来越重要。
到2024年,预计人工智能驱动的安全运营与威胁分析将进一步发展,尤其是生成式人工智能技术将大量应用于智能威胁分析和响应领域。通过对网络流量、安全告警等大量数据进行深入&实时的安全分析,可以协助安全专家甄选出真实有效的威胁告警,并生成相应的响应策略,从而大大降低网络安全运营难度,提升安全运营效率,提高安全运营能力水平,让网络威胁处置更快一步。
其次是针对人工智能带来安全风险的防范技术,将进一步发展。
生成式AI风靡全球的同时,其带来的数据安全与隐私风险也受到业内的强烈关切。据统计,使用ChatGPT的员工中大多数会泄露数据,其中11%的数据为企业商业机密。Gartner也认为,AI的全民化使得对AI信任、风险和安全管理(AI TRiSM)的需求变得更加迫切和明确。在没有护栏的情况下,AI模型可能会迅速产生脱离控制的多重负面效应,抵消AI所带来的一切正面绩效和社会收益。
2024年,随着AI的普及,越来越多企业需要更先进的AI风险与安全管理工具,全面掌控大模型的使用情况;依托领先的大模型风险发现能力及风险检测库,可以检测大模型应用自身安全风险、服务商风险以及大模型使用过程产生的数据泄露风险、数据跨境风险、服务风险、用户及设备风险、业务安全风险等多维度安全风险,帮助企业及时感知大模型风险情况。因此,AI大模型风险管理将成为行业创新热点。
第三,打击人工智能网络诈骗的鉴伪、取证等技术,将进一步发展。
近年来,人工智能越来越成为网络诈骗、违法犯罪的工具,严重威胁公众利益。AI诈骗是利用AI技术模仿、伪造他人的声音、面孔、视频等信息,进行欺骗、敲诈、勒索等犯罪活动,令人防不胜防,并给鉴别取证带来了许多困难。
只有魔法才能打败魔法,2024年针对AI网络诈骗和违法犯罪的防御技术进一步发展,包括深度鉴伪、智能鉴别取证等,可以对海量涉网违法犯罪行为进行不断学习和训练,为识别网络诈骗提供工具,为电子取证提供技术支撑。
IDC预测,2026年中国AI大模型市场规模将达到211亿美元,人工智能将进入大规模落地应用关键期。生成式AI对网络安全来是一把双刃剑:一方面,它将带来新的安全威胁,另一方面,它可以帮助企业安全体系提高威胁检测和响应能力,提高预测能力和安全运营效率。可以预见,2024年,围绕生成式AI的“攻防博弈”,将贯穿始终,并推动行业加速升级。
趋势2 数据要素撬动万亿市场,数据安全流通成技术趋势
回顾整个2023年,数据要素成为科技行业的高频热词。从年初的十六部门促进数据安全产业发展《指导意见》,到各地开通公共数据授权运营,“数据二十条”加速探索落地,以及国家数据局正式挂牌等等,数据要素、数据流通交易、数据安全等等无疑是贯穿全年的社会关注焦点。
从长远看,数据要素将为下一个30年黄金发展期打开一扇战略性的大门,国家发展改革委价格监测中心副主任王建冬曾表示,数据资产化催生的相关市场潜在规模有可能达到10万亿元级。
展望即将来到的2024年,至少有四大趋势,对数据要素高质量发展产生实质性的影响。
首先是数据要素基础制度完善,从顶层设计到细化落地,推动数据要素高质量发展。
“数据二十条”、数字中国建设整体布局规划是数据要素基础制度,数据要素全流程合规与监管体系的顶层设计,企业数据资源相关会计处理暂行规定 推动了数据资产入表的关键政策,也是数据要素资本化的重要的一步;各地方也在陆续推出数据要素市场化改革规范,数据基础制度综合改革先行先试,如:北京“数据二十条”,北京数据基础制度先行区启动等。
其次,构建多层次数据要素流通体系是未来的大趋势。
数据要素流通的路径多样化趋势明显,从数据的共享开放、开发利用到公共数据授权运营、数据交易、数据信托等,构建多层次数据要素流通体系是未来的大趋势,也是持续释放数据要素价值动力源。
第三,多层次、全生态的安全合规,是数据要素高质量发展的基础和保障。
只有构建数据要素生态,促进数据合规、高效的流通使用,才能充分赋能实体经济。数据要素生态需要多层次的安全和合规保障体系,其中底层主要是数据要素流通基础设施,如可信计算环境、传输网络、云平台、数据平台等,需要从端(服务器、终端主机等)、网、云、数等层面构筑对应的纵深安全防御体系;中间层主要是数据要素流通平台,如数据共享平台、开放平台、授权运营平台、交易平台、数据专区,需要进行隔离交换、API安全网关、WAAP、数据脱敏、数据集保护、API保护等安全保障;而最上层是数据要素流通活动,需要围绕数据供给、流通、使用等环节,需要匹配去标识化、分级分类、数据空间、可信计算、数据沙箱等安全技术,确保流通中的全过程安全与合规。
第四,数据安全合规新技术需要与新场景、新模式等做深度融合。
2023全球数商大会上提出的“数据要素×”行动,给技术型的数商企业带来了广阔机会。随着数据要素与其他要素的结合,新产业、新业态、新模式、新应用、新治理等不断被催生出来,而数商企业在开发数据产品以及数据产品上架时,就面临着各种合规和安全挑战。这意味着数据安全合规技术需要不断创新,如隐私计算、数据空间、区块链等等,能够与新业态、新场景、新模式等实现深度融合,适应数字基础设施建设和“数据要素×”行动的发展潮流,保障数字经济的合规有序发展。
随着国家数据局的正式挂牌,预计未来相关顶层设计指导文件也将陆续出台。同时,数据资产入表即将在2024年1月1日正式施行,为数据要素发展提供了更加完善的政策配套。预计2024年数据要素将进入政策密集推动期,相关数据流通交易、数据安全保障等市场将掀起新一轮增长浪潮。
趋势3 复杂性推动网络安全供应商与平台走向整合
复杂性成为网络安全的大敌。政企攻击面持续扩大,网络威胁日趋严峻,导致网络安全工具数量激增,对安全运营人员来说,理解、协调和统一众多的安全工具就充满挑战。推动安全供应商整合和安全工具平台化整合成为提升安全运营效率的现实需求。
Gartner发布的《2024年及未来中国网络安全七大趋势》认为,中国企业机构希望降低复杂性、简化运营并提高员工效率。精简供应商数量之后,企业机构可利用数量更少的产品降低运营复杂性、提升员工效率、实现更广泛的集成,并获得更多类型的功能。
对于组织的安全主管来说,未来不应部署新的单点产品,而应考虑从供应商采购技术,作为平台的一部分协同工作。
更多单点安全产品制造新漏洞、带来新挑战
随着新型攻击的出现,安全团队急于保护其组织免受新威胁的侵害,第一本能是采用任何“最好”的安全技术来防范最新的威胁,部署旨在解决特定攻击向量或增强特定平台安全性的单点安全产品,无论这一产品是来自现有供应商还是新供应商。
当安全基础设施由不同供应商的孤立产品混合而成时,就会带来新的挑战。例如,不同供应商的产品难以协同工作,就会出现安全漏洞,使组织成为攻击的目标。面对过多的单点安全产品,安全团队面临信息过载的问题。每个安全工具独立运行,生成自己的警报,很难共享信息和有效协调团队对潜在安全事件进行响应,从而导致容易错过网络攻击的基本指标。
Gartner 调查显示 ,75% 的组织正寻求整合所使用的网络安全供应商的数量。在当前的宏观经济环境下,组织寻求整合并与数量较少的供应商合作,这是可以理解的。不仅可以减少潜在成本并使供应商关系更易于管理,还可获得更有利的议价地位。
正如Gartner所指出的,供应商整合可能导致风险集中,但这一顾虑并不能削弱组织对供应商整合和集成的需求。整合和减少供应商有助于简化组织的业务流程,由于接触的供应商更少,可以获得一站式采购流程,不仅可以提高效率,还可能会降低总体成本。
需要指出的是,成本或采购因素并不是整合的主要驱动力。65%的受访组织希望通过整合改善其整体风险状况。只有 29% 的受访者预计支出会减少。
推动供应商与工具同时整合, 才能让安全运营更加高效
推动供应商整合,并不意味着从单一供应商采购依然孤立的单点安全产品。只有当组织同时考虑供应商整合和工具整合时,这种整合协同才会有效。如果让安全运营人员依然去管理分散、集成度差的工具,单一整合供应商就没有什么价值。
简而言之,没有集成平台的供应商整合或不同工具的紧密集成,并不会让网络安全运营变得更轻松。它可能会提高采购的效率,但同时会增加开支,降低安全操作的效率,反而会使企业面临更大的网络攻击风险。
目前,组织安全团队面临着管理孤立漏洞监控工具,应付过载警告,以及被动式安全响应策略的挑战。为了提高安全性的有效性和效率,许多企业正在尝试合并单点产品,大型集成自动化平台是实现这一目标的手段。通过整合供应商和单点产品并构建集成的网络安全平台,对其网络安全战略采取更全面的方法,可以提供组织急需的整体可见性、加强威胁识别和响应的自动化能力,在日常安全运营中提升效率,对企业提供更好的保护,并提高组织的合规水平。
值得注意的是,网络安全整合不是一次性的项目,而是一个持续的过程。因此,将供应商和产品整合到网络安全平台中并不是一朝一夕的事。第一步是致力推动构建集成平台,并与在产品开发设计时考虑到集成和自动化的供应商合作。理想情况下,组织应该寻找方法来整合两个或三个集成平台,而不是数十个孤立的产品。
整合过程可以从端点、云或网络安全整合平台开始。也还可以从网络安全运营中心的整合开始,目标是减少到只有两个或三个平台。
趋势4 2024零信任:持续演进,持续向前
2023年零信任市场持续火热,少了一些泡沫,多了一些务实,正在逐步褪去浮华,聚焦场景和价值。
从全球市场情况来看,零信任已经成为现代企业的安全架构蓝图。Forrester2022年安全调查显示,88%的安全负责人表示他们的高层领导已承诺推动企业组织采用零信任安全战略。在零信任架构体系中,已经相对产品标准化的ZTNA市场份额也在不断攀升,据Gartner数据显示,在2021年至2022年间,中国ZTNA市场的终端用户支出增长了86%,并预测在2022年至2023年间将增长54%。
在中国,许多行业代表性企业也已经将“零信任”作为重要的网络安全体系建设方向,列入企业长远规划。具体表现在,零信任能力供应不断丰富,产品联动能力正在同步提升。例如,目前,国内有近50家企业提供零信任集成产品,超半数企业的零信任产品支持与客户已有的安全运营中心、态势感知、威胁情报等安全分析系统联动,占比53.6%。零信任和终端安全的联动也在持续深入。
不难发现,企业安全负责人已经不会再问“什么是零信任”的问题,转而专注于“怎么实现零信任”的问题。当然,大多数企业选择了远程访问作为实现零信任的第一步,零信任的产品也主要集中在ZTNA领域,应用场景略微不足,价值体现以“可信接入”为主。
2024年,基于客户已经构建的零信任能力基础,未来零信任的应用场景和价值呈现会进一步深化,场景方面将从单一的远程接入场景进化到全面的数字化工作场景,在价值方面,将进一步凸显零信任在数据安全方面的价值。
首先,未来零信任将兼顾提升数字化工作生产力和保护企业数据资产安全。
业务发展和安全需要相辅相成、协同并进。当基础的远程接入问题已经得到了有效的解决后,如何持续提升企业面向数字化工作业态的生产力同时保护企业数据资产安全,将是未来持续关注的问题。甲方将需要一套基于零信任理念的一体化工作系统,真正构建身份可信、行为合规,实现数据安全保护、工作敏捷开展,完善数字化工作基础设施。
其次,零信任在数据安全方面的价值呈现也将变得更迫切。
零信任在诞生之初,就摒弃了一些相对滞后、固化的安全思维,强调以数据保护为中心去思考安全风险以及安全机制的建立,这使得其在数据安全方面具有先天优势。因此,零信任架构本来就是以数据资产为中心的安全体系,数据保护一直是零信任的核心目标。展望2024年,随着数据安全受到越来越多客户组织的关注与重视,如何实现面向数据的动态策略管控是基于零信任构建数据安全能力的关键。
最后,零信任将提供更高效的集中管理功能并提高用户体验。
许多供应商都声称提供集中管理的功能,但供应商们很少提供覆盖多个零信任组件的统一用户界面。Forrester认为,多个零信任组建的合并,不仅可以创建统一的控制平面,还可以提供原生工具和服务来帮助、训练并提高对网络安全意识,并提升用户体验。从趋势来看,集成化、统一化、协同化的用户界面,可创造更轻便、一站式工作体验,实现业务访问简便易用,业务协同高效便捷,跨终端、跨系统实现无缝兼容,最终让企业的数字化工作拥抱轻简、效率倍增。
总之,零信任的核心价值是可信访问和数据安全,其落地关键是和业务场景的聚合,当然,这也是零信任落地实践的深水区,2024年,供给双方都会往这个方向稳步迈进。
趋势5 云原生安全向全生命周期扩展
云原生产业联盟(CNIA)在《2020 年云原生发展白皮书》指出,2019 年中国云原生市场规模已达 350.2 亿元。云原生市场的快速发展有赖于其相对传统云技术的重要优势。从技术特征来看,云原生拥有极致的弹性能力、服务自治、故障自愈能力和大规模可复制能力;从应用价值方面来看,云原生异构资源标准化,加速了数字基础设施解放生产力,提升业务应用的迭代速度,在赋能业务创新方面有重要价值;从产业效用来看,云原生极大地释放了云的红利,成为驱动业务的重要引擎。
随着云计算大步迈向“云原生”,云上快速迭代、弹性伸缩、海量数据处理等特征要求安全防护体系相应升级,为动态变化、复杂多元的运行环境提供有效的安全防护。为此,面向云的安全也在悄然发生变革。越来越多的云基础设施从虚拟机、云主机转变为容器,越来越多的安全需求从云旁挂安全转向云原生安全,传统开发、运维、安全分离的状态转向DevSecOps体系流程。
为什么会有这样的转变?这主要是因为,在以前的云计算时代,安全和云平台的结合不算紧密,大部分以安全资源池这种外挂形式来实现云安全,而云原生安全需要安全能力和云原生平台紧密结合,真正成为内生安全,这将是云安全的巨大挑战和机遇。
从大量实践中可以看出,云原生安全主要体现出三方面的价值:
全链路风险可视可控。将安全和合规要求贯穿软件生产和服务全链路,及时扫描检查关键环节,避免后期处置造成被动,最大程度降低整体风险管控成本。
基础设施安全运营闭环高效。安全防护功能融合化,可以实现异常事件响应处置流程的闭环管理;策略 执行自动化,可减少对安全运营人员的依赖,降低误操作概率;同时,自动阻断机制可以为应对攻击和修复争取更充分的时间。
云上客户资产全面保障。帮助客户全面、实时监测各类数据资产;在身份验证、配置管理、应用运行时监控、数据安全保护等方面提供多元化、灵活调用的安全服务。
不过,云原生安全正面临来自监管和实战的双重挑战,这就对云原生使用场景下的安全防护能力提出了新的需求。目前云原生环境的安全风险主要存在于容器环境的风险暴露面增加、业务开发运行模式的变化带来的安全挑战、云原生应用全流程的供应链风险、全流量安全检测存在困难等。
基于云原生环境目前存在的风险、痛点和需求,需要设计一整套云原生安全防护体系和运营体系,确保云原生应用全生命周期的安全可靠,这就是全生命周期云原生安全的由来。
未来一段时间内,全生命周期的云原生安全服务,将更好的适应多云架构,帮助客户构建覆盖混合架构、全链路、动态精准的安全防护体系。其核心包括:建立向开发左移的云原生安全体系;提供面向云原生基础设施的云原生安全防护能力;提供与云原生运行环境深入融合的运行安全防护能力;构建覆盖开发、测试与运行阶段的一体化安全运营平台等若干方向。
趋势6 安全运营走向知识驱动,降本增效加速实质落地
企业平均每年面临44起重大网络事件,但检测和响应较慢,有四分之三的企业需要六个月或更长时间才能检测和响应事件。在过去五年中,已知的网络攻击数量增加了约75%。
安永发布的《2023全球网络安全领导力洞察研究》显示,尽管网络攻击威胁不断增加,对网络安全方面的投资也在持续增长,但只有1/5的首席信息安全官(CISO)和高管团队认为他们的网络安全措施在目前是有效的,并为未来做好了充分的准备。更多的企业组织对无处不在的网络攻击依然是准备不足,企业的安全运营之路依然任重而道远。
Gartner指出,构建安全运营中心(SOC)是一个永无止境的旅程,因为需求不断变化。它需要持续的增长和分析来确保SOC的性能不会下降并且其成本不会超出预算。展望2024年,降本增效的紧迫性将更加强烈,作为一个知识高度密集的领域,安全运营未来呈现以下三大趋势。
首先是从数据驱动走向知识驱动。
长时间以来,数据一直是驱动安全运营的核心,它强调数据、系统和人联动的安全运营,通过将数据的安全价值赋能设备和人,驱动设备协同联动的同时,让人更智能,进而全方位提升防御内外部安全威胁和业务风险的能力。
时至今日,由于攻防对抗的不断升级和变化,仅仅依靠数据和技术平台已经不够,没有专业的安全知识积累,就无从谈起检测、研判、调查、响应等。因此,安全运营逐渐从数据驱动迈向了数据+知识双驱动。
知识驱动安全运营的核心,是依托强大的行业专家系统,以及大量经过实战检验的领域知识、专业经验,实现由专家经验模型和人工智能模型共同驱动。通过专业知识的赋能,SOC在对于海量告警的自动化分析和处理,解除分析师告警疲劳,快速聚焦高价值威胁,以及专业的安全知识问答,辅助研判等具有显著优势。
其次是从关注告警到关注事件。
处理海量告警是安全运营的基础,但要保证企业的“零事故”、“零通报”,还需要依赖于事件调查与响应。这就如同公安部门不仅要接受报警、调查和发现线索,还需要完整的案件侦办和破获。
从关注告警到关注事件,是安全运营自动化跨越的一大步。未来的安全运营中心(SOC)需要将相关联告警自动汇聚形成完整事件卷宗,自动补充上下文证据,自动映射攻击者战术和技术,自动解读攻击者意图、自动识别关键攻击痕迹、自动评估影响面并计算处置对象,即使是复杂事件,也能轻松看懂事件的来龙去脉和完整信息,最终完成安全事件的快速闭环。
最后是从人员堆砌到AI提效。
国外安全机构的一项调查报告显示,有超过八成的安全运营团队正在遭受告警疲劳的折磨。尤其是随着生成式AI的普及,如果被黑客用滥用在网络攻击领域,会给防护带来更加严峻的挑战,告警疲劳现象会更加严重,企业的运营人员短缺愈发矛盾。
未来,安全运营中心将更广泛的集成AI功能,依托AI大模型,知识库等,为运营人员提供专业的安全知识问答,辅助研判、辅助处置,大幅提升运营效率,缓解分析师压力,让响应流程有章可循,实现安全事件的快速闭环。
可以预见,通过AI的赋能,安全运营中心很大程度上解决了工作难度大、重复性高、人力不足、专业人才匮乏,专业知识要求高等业界难题,实现真正的降本增效。
趋势7 攻击面持续扩大,持续威胁暴露管理成安全建设重点
研究机构Gartner公司发布的《2024年十大顶级战略技术趋势》报告,持续威胁暴露管理(CTEM)位列第二。与传统的网络安全战略不同,持续威胁暴露管理(CTEM)的目的是从攻击者的视角来管理企业暴露风险面。
攻击面持续扩大,推动威胁暴露管理需求
随着数字化转型的深化,新的系统与应用快速增加,组织增加更多面向互联网的资产,导致暴露面和攻击面以指数级的速度扩大持续扩大:据哈佛商业评论的报告,组织通常使用 130 个 SaaS应用,高于五年前的 16 个应用;此外,网络组织的攻击手段与能力持续提升,网络攻击者已在使用自动化工具来发现资产、识别漏洞并发起攻击,组织面临应对数字资产风险的严峻挑战。
面对不断扩大的攻击面和持续恶化的安全形势,目前很多机构的安全建设重心却仍聚焦安全事件的快速响应和处置上,但这种期望通过提升安全响应能力,减少网络威胁和降低安全事件影响的被动策略,既不能降低企业面对的安全风险,也不能减少网络攻击事件的发生。
因此,各类组织除了增加被监管部门通报的压力,甚至还面临遭受入侵和数据泄露的高危风险。
在此背景下, Gartner于2022年提出持续威胁暴露管理(CTEM)。可以说,威胁暴露管理源于对漏洞管理日益增长的挫败感,是对传统补丁管理缺点的回应,以及对主动进行风险管理、提升网络弹性的需求。
作为集成的安全策略,持续威胁暴露管理(CTEM)整合了网络安全多个要素,包括攻击面管理 (ASM)、基于风险的漏洞管理 (RBVM)、第三方风险管理 (TPRM)、网络威胁情报和安全评级。其中,暴露面与攻击面管理是其主要要素,成为网络安全的重要支柱和首道防线。
威胁暴露管理推动组织网络安全工作的重心从事件响应转向主动威胁管理。因此,CTEM 关注广泛的未知威胁,通过持续监控和管理其面临的潜在攻击,从而增强整体安全防御能力。
奇安信认为,作为威胁暴露管理主要环节,目前攻击面管理主要存在四个明显问题:一是资产梳理不清晰、缺乏统一的管理视图;二是暴露面无法实时全面监测;三是攻击面难以全面发现,四是资产安全管理的意识有待建立。
CTEM成未来五年安全管理趋势
Gartner将持续暴露管理(CTEM)称为“务实和系统持续调整网络安全优先级的方法。”。通过采用这种积极主动、具有成本效益的方法,资源有限的团队可以专注于对其业务至关重要的风险。
这种以动态主动防御思路去解决安全问题,向网络弹性的范式转变可以降低数据泄露、身份盗窃和数据泄露的风险,同时确保业务连续性和信息安全。Gartner认为,到 2026 年,根据 CTEM 计划进行安全投资的组织,其遭受的入侵和数据泄露事件将减少三分之二。
业内人士预计,2024 年持续暴露管理(CTEM)将广泛集成到业务实践中。为此需要将CTEM与目前安全管理保持一致,将其视为整个组织安全策略的组成部分,需要结合管理者和攻击者不同视角,利用多源资产数据,实现高效的资产信息安全运营。
因此,奇安信认为,作为CTEM主要环节的攻击面管理,政企用户在推进建设时可参考如下步骤:一是重视攻击面管理的价值;二是确定攻击面管理目标,建立相关运营流程;三是确定攻击面管理能力建设顺序;四是建设攻击面管理核心能力;五是开展攻击面运营服务。
最终实现有效提升资产可见性,最小化资产暴露面,持续发现攻击面,并提供高效的收敛方案,能指导用户收敛攻击面,快速应急响应等诸多能力。
Gartner将持续暴露管理(CTEM)分为Scoping(资产范围界定)、Discovery(资产和风险发现)、Prioritization(风险优先级排序)、Validation(风险验证)、Mobilization(修复动员)等5个阶段。
持续暴露管理(CTEM)以动态主动防御的思路去解决安全问题,将会成为是未来五年的企业安全管理的趋势,尽早进行规划,将会有助于政企消除风险和提升网络弹性。
趋势8 专用SASE,助力政府企业网络安全架构演进
在信息数字化转型和业务上云的大趋势下,越来越多的政府企业面临多云互通难、边缘接入能力弱、多分支安全管理难、数据防泄露难等问题,网络和安全融合产品SASE以简洁统一的服务形式能够为政府企业解决这些问题,满足办公环境随时随地安全访问互联网和应用的要求。据Gartner统计显示,2022年SASE全球市场规模已达到66亿美元,未来五年市场规模将以36%的复合年增长率高速增长,预计到2025年,全球SASE市场规模将达到150亿美元,亚太区市场规模将达到23亿美元,将有80%的企业将会制定明确的战略采用SASE架构。
SASE架构将”网络+安全”相融合,通过统一安全管理和运营服务平台,集成SD-WAN、FWaaS、SWG、ZTNA等多种安全防护能力,构筑“云网边端”安全防护体系。当前业内大多数SASE服务供应商采用的方案是将企业的业务访问流量牵引到供应商提供的安全公有云上,在供应商提供的安全云里进行网络优化和各种安全检测、防御。这种将内部业务访问的流量牵引到公有云上的方式,有助于企业客户方便快捷的接入SASE安全访问服务,但是对于一些重点单位,如政府、央国企及业务数据敏感的企业而言,还是会考虑到企业的业务隐私、数据安全等因素,对采用SASE架构持观望态度。换个角度,如果不考虑把安全能力集中在公有云上执行,而是将企业业务流量以及安全数据相关的功能都保留在客户的自治可控环境中,即在企业级私有数据中心建设专有SASE,就可以避免以上公有SASE存在的问题。
专有SASE不是一系列独立的技术或功能,而是集成式安全和网络融合服务平台,SASE服务平台支持对专有POP安全资源池的安全能力的编排、安全策略统一管理,状态监测和运行管理;支持对专有POP安全资源池的流量进行统一监测和安全日志收集,在满足监管部门日志留存合规要求的同时,还能有效对出入流量的安全告警数据进行挖掘并分析,从而实现深度运营,及时分析和处置安全风险,并针对安全事件进行通告。专有SASE成为主流应用技术,可以帮助信息化管理团队减轻安全和网络运行压力,已成为客户基础设施的一部分。
Q-SASE为奇安信推出的SASE架构的解决方案,针对大中型企业或者政府机构多分支、移动办公场景下的互联网访问、私有云和公有云应用访问的统一安全防护水平、统一安全访问策略、统一安全管理运营的需求,以SDN(软件定义网络)和SDS(软件定义安全)为技术体系基础,为客户提供分布式部署的安全资源池防护能力,支持以上安全能力 按需订阅、弹性扩容、多租户分权分域、可视化监控等功能,并在多个大中型央国企、民营企业、政府机构得以实践落地。
随着人工智能、大数据分析等技术发展,SASE作为数字基础设施一部分,出现了新的发展趋势,包括:
1)建立云端大数据分析平台,支持SASE访问数据的智能分析,做到资产、安全威胁深度可视可预警;
2)将AI用于安全事件异常检测及分类,加快检测速度,减少误报,实现自动化运营;
3)通过访问控制、数据加密、网络防御等功能,保护应用系统和数据免受恶意攻击和泄露,提升应用访问的安全性;
4)新建或扩容资产运营平台,做好网络资产、终端资产、云上资产等全量资产发现和风险发现,利用多个自动化技术组合实现威胁持续性监测,让安全分析更全面。
趋势9 身份窃取成重要攻击手段,无密码验证技术受追捧
密码目前依然是安全链的薄弱环节,往往是数据泄露和网络攻击的根本原因。根据美国运营商威瑞森《2022年数据泄露调查报告》,81%与黑客有关的数据泄露事件都归因于身份窃取和登录凭据不够强大。
生成式人工智能的引入将网络钓鱼攻击推向新的高度,可以大幅度提高钓鱼邮件的点击率;与此同时,借助AI的加持,攻击者可以实施社工攻击,轻松绕过身份验证措施。
据访问管理公司SecureAuth 的调查,当前最具代表性的访问管理和身份验证形式仍然是传统的多重身份验证(80%),其次是单点登录(79%)和双因素身份验证(60%)。
无密码身份验证技术进入拐点,包括大型银行和零售商在内的大企业正在推进部署。在过去三年,埃森哲公司已将超过 60万名员工转为无密码身份验证方式。过去埃森哲要求员工每 75 天重置一次密码,给员工制造了不少的混乱和麻烦。在该公司将关键资产转移到云端后,就开始转向了无密码验证。
无密码身份验证是一种能够保护企业免受身份验证攻击影响的解决方案,它消除了用户摩擦的根本原因和安全体系中最薄弱的环节,是网络安全领域最重要的范式转变之一。
无密码身份验证抹掉了记住、存储和传输密码及在设置或重置密码时遵守复杂规则的挑战,消除了从凭证信息获取到网络钓鱼攻击等一长串攻击媒介,提供了一个没有密码的世界,与传统的 PIN 码、密码短语和密码相比,具有更高的安全性和更好的用户体验。
这项技术在行业内的势头正在不断增强。2022年以来,谷歌、苹果和微软陆续宣布支持FIDO联盟和W3C联盟的无密码身份验证标准,逐步在所有主流平台上实现无密码登录体验。Transmit Security、Beyond Identity、SecureW2、Descope等初创公司获得了千万乃至数亿美元的巨额融资。据市场研究机构MarketsandMarkets预测,到2027年无密码身份验证市场规模将达212亿美元,年复合增速率为26.2%。
不过,Gartner表示,虽然无密码身份验证前景广阔,但它并不是一项独立的技术或市场。无密码身份验证目前只是一种愿景,而非一个目标。身份领域的领导厂商们并不确定,无密码身份验证实际上应该是什么样的。
对于企业而言,部署会产生新的成本、部分用户不愿放弃密码登录,是横亘在无密码身份验证面前的难题。企业需要采购新的软件或硬件,并对内部员工开展配置,还要考虑软件迁移、维护等意外费用。有部分用户由于习惯了使用密码登录,特别是容易记住的密码,切换到无密码身份验证可能看起来不太方便,企业会认为改用无密码会对用户体验产生负面影响甚至破坏生产力。
因此,Gartner提出了一套“三步走”的指南,通过制定灵活的路线图、最大限度缩短价值实现时间、为普遍采用做好准备等步骤,以指导企业更好地实现无密码身份验证。Gartner认为,到2025年,超过50%的员工和超过20%的客户身份验证交易将实现无密码。
趋势10 一体化UES将成为终端安全的标配
Gartner曾预测,预计在2024年,超过50%的终端安全产品将支持统一终端安全 (UES) 框架。
提到终端安全,脑子里第一反应是什么?是反病毒?是威胁检测与响应?还是桌面终端管控或者其他什么?显然,这些都是终端安全的“必选项。”随着网络威胁的不断演进,任何单一的产品或者技术都无法独立承担起终端安全的重任,这其中包含两个方面的原因。
其一,威胁的多样化倒逼防御技术的多样化。网络安全没有“银弹”,不可能做到一招鲜吃遍天,任何一项新的攻击技术或者战术的出现,都倒逼着防守方采用新的技术去应对。譬如,过去做终端安全只需要做好病毒查杀一件事就可以了;但现在高超水平的攻击者能够利用多个漏洞组合攻击、可以利用凭证窃取绕过身份认证、可以通过社工渗透甚至近源攻击穿透内网,这并非单一能力可以解决,而是需要多种不同安全能力的深度融合。
其二,IT系统的复杂化、BYOD的兴起倒推动了终端多样化。随着云计算、移动互联、物联网的发展,传统PC终端、虚拟终端、移动终端以及新型的物联网终端逐渐走进了工作生活中的各个角落。与此同时,BYOD的兴起让使用自有设备办公成为主流,各种搭载不同平台的终端,都可能成为攻击者入侵的目标。此前各类终端安全产品都有自己的“一亩三分地”,自扫门前雪,不能兼容其他平台,这给防守方带来了很大的压力。
因此,市场对于终端安全方面的需求也越来越清晰,那就是为了应对层出不穷的终端安全风险、安全态势以及适应性的安全风险管理,将采用统一的终端安全方案,也就是UES,Unified endpoint security,直译为统一终端安全或者终端安全一体化。显然,这非常符合组织对于网络安全的需求,对于大部分普通用户来说,都希望只用一套客户端,就覆盖绝大部分终端安全需求,否则只会陷入到多个不同的客户段之中而无法自拔,同时也是对计算和网络资源的浪费。
根据Gartner的定义,UES是将终端保护平台(EPP)、威胁检测与响应(EDR)、移动威胁防御(MTD)功能单一的控制台整合到一个统一的平台下,从而提供更好的安全概况和更简单的管理,这符合客户对于简化安全的强烈需求。
但值得注意的是,UES并非简单的“all in one”策略,而是一整套完善的终端安全体系,否则只是单纯的产品或者能力堆砌,相互之间不能形成合力,无法起到“组合”的作用。就像砌墙,如果攻防们只是把砖头堆成一堵墙,那么这堵墙一推就倒;因此砖头之间需要用水泥,消除不同砖块之间的缝隙,让砖块能够更加紧密地结合在一起。
通常情况下,UES主要包含两个部分,即能力一体化和终端一体化。能力一体化基于“一套客户端与一套管理平台”,深度整合系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等各项安全能力,为客户提供体系化的终端安全能力;终端一体化则强调对Windows、Linux、macOS以及各类移动终端的全面覆盖,提供一致的终端安全体验。
本文执笔:张少波 魏开元 李建平 王彪
