Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:18742 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
谭晓生:数字时代 安全护航
本文来自公众号:数说安全   2021.02.23 12:08:33



“从人到组织到社会到国家,数字带给人类的价值在哪里,网络安全就应当出现在哪里,不仅如此,我们还要致力于更快速、更有效、更全面、更长远地解决安全风险。”


人类社会从农业革命、工业革命、科学革命发展到现在的数字革命时代,生产力不断提升,生存方式进行了多轮的演进。数字缔造了新的生产关系与生活模式,使人类向更高的智慧物种更迈进了一步,数字的价值不言而喻——事 物价值越高,存在的风险也越大,对数字的价值所面临的风险进行控制,就是我们今天要讨论的安全。

我们跨入数字时代是依托于技术的发展,但安全的本质却不单单是技术问题,不能只从技术视角来探讨。安全问题虽是由技术缺陷所引起的,却是因为业务本身具有被攻击和被利用的价值,才会形成真正的问题和事故并产生风险和危害。经济利益、政治因素、人文思想都是产生安全问题产生的原因,所以安全不仅仅是技术问题,也是经济问题、政治问题、人文问题,甚至是哲学问题。

了解了安全的本质,就不难衡量安全的重要性与解决安全问题的方法与思路了。在2017年伯克希尔哈撒韦公司股东大会上巴菲特曾说:“人类所面临的最大的威胁是网络攻击”。伊朗的核设施被破坏,是关键基础设施被网络攻击破坏的案例;个人隐私被泄露,造成网络诈骗案件屡见不鲜,国内电商和直播平台都遭受过黑客攻击事件,谷歌德国GDPR违规损失五千万欧元罚金,Uber全球规模的数据泄露所承担1.5亿美元罚金;还有一直声称被黑客操纵的美国2016年大选。从人到组织到社会到国家,数字带给人类的价值在哪里,网络安全问题也就出现在哪里。如何更快速、更有效、更全面、更长远地解决安全风险,是我们这个行业的从业者要去解决的问题。

行业监管:合规与效果并重

由于数字时代带来的更加严峻和更加多样的网络安全威胁,国家监管层面意识到了问题的重要性,近几年密集出台了多套组合型的法律法规和相关政策。《网络安全法》作为安全行业基础法,从维护保障网络空间主权和国家安全,服务于国家网络安全战略和网络强国建设,助力网络空间治理护航“互联网+”的战略高度开展监管。在网络安全法颁布之后,更多配套的法律法规从个人、企业、关键基础设施、社会和国家等层面全方面组合管控,包括《中华人民共和国个人信息保护法(草案)》、《中华人民共和国数据安全法(草案)》、《中华人民共和国密码法》、《网络安全审查办法》、网络安全等级保护2.0制度等。还有许多各行业的网络安全法规,在此不一一列举。

安全合规是基础,法律法规在督促着各类客户走向合规。然而早期很多企业仅仅只是为满足合规要求而购买安全产品和服务,而非重视安全产品和服务实际带来的效用以及对企业切实的防护能力,更不要说完善企业安全防护机制了。而今,随着形势的演变,攻击的纷繁复杂以及国家为安全防护做出的努力,使得这种“为合规而合规”的现象也有所改变。从2016年起,国家各级政府部门不断加强对网络攻防实战的重视,全国掀起了网络安全攻防实战演习热潮。在国家有关部门的合理推动,参演企业的配合下,将网络攻防的严酷现实展现在大家面前,使得各级领导开始放弃幻想,真正重视网络安全能力建设。网络安全实网演习成为加强安全建设,提升安全能力的重要手段,驱动客户从追求合规到追求合规和效果并重,意义深刻且具有前瞻性。因此,从管理上来说,要求企业从“机构”“制度”和“人员”三要素缺一不可,要实现安全的运维管理;技术上,从安全区域边界,到安全计算环境,企业应从内到外实现整体防护,这种变化对市场产生了巨大影响,真正有效的安全产品和具有安全服务能力的厂商在市场竞争中已经得到显现。

安全厂商:网络安全创新

在网络安全行业这个领域,创新的目的不是利润最大化,而是为客户创造出“新”的价值,把未被满足的需求或潜在的需求转化为机会,并创造出新的客户满意。

我们把创新分成了两类,“解决一个没有被解决的问题”是突破式创新,对应创造出增量市场,而“解决一个没有被解决好的问题”是迭代式创新,对应在存量市场提升竞争力。创新的路上都是机会与风险并存,面临的挑战也会有一定差异。突破式创新性强,但风险也高,一方面是存在被成本效率更好的方案替代的可能,另一方面需要花费较长时间教育市场。迭代式创新是一种微创新,与突破式创新相比,市场接受度更高,但也将要面对存量市场的激烈竞争,市场能力强的头部企业后续也会快速跟进。

市场需求牵引了网络安全产业创新的驱动力,至少有以下几种:

一是技术革新驱动的创新。 回看过去十年间全球范围内的网络安全初创企业,由基础技术的升级带动的创新基本是这些企业的共性。这类创新大部分都是用新的技术把市场上的旧的产品进行重做,例如SOC、 SIEM类的产品其实在15年前就已经存在了,由于大数据和人工智能技术的进步,利用大数据和人工智能技术将之前分析效率低的产品进行了重构,提升了产品的适用性和效率,这种迭代式创新用新技术为客户提供更好的解决方案。在威胁检测、行为分析、身份访问控制、应用安全和数据安全等领域,人工智能技术也大大提升了安全防护的效果和安全产品的能力。

二是应用场景驱动的创新。 过去十年间用户应用场景最大的变化就是业务上云,原有针对数据中心的防护方案就失效了,云上的安全怎么做?这种新的需求带动了新的市场,同时新的理念也被提出,零信任网络架构正是为了解决在边界泛化以后,动态边界时代的网络安全问题。另外随着4G、5G网络的发展,加上今年疫情的影响,移动办公,远程办公的工作方式越来越普及,员工通过运营商网络直接访问内网链接和数据,在此应用场景下原有的解决方案也面临失效问题,新的方案应运而生,例如SASE、CASB都是为了保障在企业远程办公或未来无边界状态的重要创新理念。未来5G时代的到来将会有更多的IOT设备接入网络,对于安全来讲都是重大挑战,且5G也将会带动新的应用场景的出现,与之相关的安全问题也需要重点关注。

还有一种驱动力是交付模式驱动的创新。 十年前安全的交付形式以软硬一体的网络安全设备或者软件为主,这种情况下产品只是工具,易用性较低,对人的要求较高。近些年国外网络安全产业率先采用了软件SaaS化交付形式,以WAF和抗DDos产品为例,原来硬件类设备的交付形式现在变成了云WAF和云抗DDoS,在欧美市场软件SaaS化已经广泛应用,例如身份认证即服务IDaaS(典型厂商OKTA),还有实现了终端安全软件SaaS化交付的CrowdStrike等。国内由于应用场景的差异,进展稍微缓慢,但是WAF和抗DDoS类产品的SaaS化基本也已经完成,并且广泛使用。另外为企业解决了网络安全人力不足的问题,安全公司推出了托管式的安全运营服务,不再要求客户具备很高的安全技术水平,将产品和服务融合为客户提供更好的网络安全保障,这种理念在国内已经得到了广泛的市场认可,具备较大的市场空间。

客户价值:让客户切实感受到安全的价值与作用

随着产业的创新和发展,网络安全产品在不断的革新,易用性也在提升,但离非专业用户也能很好使用网络安全产品还有很大距离。真正做到真实有效的提升客户业务风险的抵御能力,真正做到避险与控险,不仅要有好用的工具,更需要人的配合。产品的优化使得工具对人的要求在不断的降低,虽然时间成本和管理成本在减少,随着数字化进程出现的网络安全人才缺口依然有扩大的趋势,所以客户真正需要的是安全产品加安全服务的联合价值。网络安全从业者只有几十万,但需要保护的企业数字达到千万,解决这个矛盾的唯一途径就是云化的安全服务。

安全服务的发展使网络安全的价值被盘活,安全服务这项业务本身也在不断地升级,逐渐走向“安全即服务”的趋势。更加清晰的权责分配,更快速的应急响应,更准确的分析研判,更直观的安全报告,更系统的安全运维,更有效的培训认证以及更贴近真实场景的攻防靶场,使得安全工具的使用效果最大化,安全风险的御控能力最大化,业务得到最大化的保障,安全的价值也明显的凸显出来。

此外网络安全意识培训也是我们需要重点关注的话题,缺乏网络安全知识的用户会是网络安全管理人员的噩梦,但能主动识别网络攻击的用户会成为网络安全管理人员的“情报员”,我们不期望每个人都成为网络安全专家,但每年数小时的网络安全意识培训和钓鱼测试就可以大大降低网络攻击,尤其是社会工程学攻击的成功概率,并帮助我们及早发现正在进行中的攻击。

数字时代已经来临,数字化转型无法逆转,数字的价值已经凸显,我们需要遵循事物发展的基本规律,侥幸的心态无法避免风险,要享受数字时代带来的便利,就必须为保障它们的安全而做出行动。

(本文为谭晓生先生为新华三《数字化领航》第22期投稿文章)