网络安全行业观察之回顾与展望|安全村

admin 2023年1月3日12:00:40评论16 views字数 6176阅读20分35秒阅读模式

 网络安全行业观察之回顾与展望|安全村

过去三年间,各行各业都面临充满挑战及不确定性。回顾过去,展望未来,网络安全和信息安全都有诸多新变化。推陈出新,一直是安全行业给大家的时髦印象。期中,安全事件层出不穷,不断制造话题,但这也一直是安全行业发展的驱动力。从未知到已知,从已知再到驾驭,安全行业也遵循着自然规律。


新技术,新模式,新常态,这些都算安全行业的燃料和灵感来源。因此,这个行业异常热闹和有趣,对抗和攻击永远存在,防止数据泄露和提升数据安全是这几年的热点,云和边缘计算带动安全新风向。


最近邮箱里不断看到各家媒体和安全厂商对 2023 年的预测,有很多预测类文章发布。这里,我也凑个热闹,分享一下自己对过去三年的总结和对未来的展望。仅个人观点,供大家讨论和交流,谢谢!





1. 近三年来,安全热点词汇观察。




在 2020 年, 看到热点词汇是 Resilence 弹性和 supply chain,供应链及软件组件物料管理,安全领域的供应商及弹性是热点话题。有各种各样的第三方风险和供应商风险,也有软件和漏洞方面的,来自外部的威胁和安全事件。移动办公场景的账户身份安全及数据安全,这一年,数据泄露和勒索软件成为组织安全团队面临的头号问题。


在 2021 年,看到热点词汇是身份认证和零信任, Zero Trust,Cloud Identity,Passwordless 及MFA(Multifactor Authentication),FIDO(Fast Identity Online),基于风险的动态身份认证。在身份管理和治理大潮下,组织开展很多基于角色和帐户的治理和一些有针对性安全提升(两步验证及动态口令)。


个人信息和数据安全成为组织合规部门的重点工作内容,企业和组织面临数据保护合规性和来自社会舆情的双重挑战。


在 2022 年,看到热点词汇是基于风险的评估和可持续性的安全。多云环境安全,数字化系统环境安全。安全产品和相关解决方案,围绕企业和组织的业务展开。针对混合云环境的资产梳理,配置及合规检查,影子 IT 系统的跟踪,资产及关键资产可视化提升,业务风险和安全风险汇总分析,业务连续性管理及计划。


工业及制造业中 OT 网络安全策略及远程访问控制策略调整,因为远程访问及办公场景增加,5G 和 WiFi6 的高速互联互通场景,改变企业之前网络及安全架构。组织更加关注暴露面和安全漏洞,开始重视防止勒索软件和防钓鱼邮件。同时,组织针对安全咨询和安全规划,安全架构设计等新项目陆续启动。


综合过去三年,安全行业在高速发展中,迎来百花齐鸣的阶段,我特意整理如下5 个方面的发现和观点。


1.1先看基于风险,Risk-Based 的安全产品和安全理念。谁是我的特权用户,那些资产是组织的关键基础服务,众多组织在过去几年种,完成安全评估。其中很多信息安全评估都会进行风险分析。在安全产品和安全框架考量中,也纷纷引入风险控制和风险分析。很多产品和解决方案也都基于风险进行计算和分析。以数据驱动数字化安全,风险量化已经深入组织,很多安全产品也支持通过财务模型进行风险量化分析,能够准确定义安全和风险价值,肯定会极大促进安全行业的发展和增长。


1.2再看持续性,Continuous。也许是因为疫情三年带来太多的不确定。组织在业务连续性方面积累很多经验和教训。安全部门和团队也紧贴业务需求,进行很多针对连续性设计和考虑。无论是基于业务方面,还是基于第三方供应商,供应链的连续性管理及预案。安全团队也针对安全可持续性进行重点设计和提升,或制定连续性计划和安全弹性能力计划。安全团队需要为保障业务及运营连续性添砖加瓦。


1.3数字信任,Digital Trust。媒体普遍观点表示,疫情之后,信心恢复是最艰难的和最漫长的。回顾安全行业,近年来安全事件层出不穷。面临风险如何缓解,有效治理确保稳定,组织如何表现出信任和信心,如何在安全性和可用性方面建立信心,在安全和隐私方面建立信任。因此,数字信任这个话题越来越重要。


职业道德与廉政正直,透明度和诚信负责,稳定性和弹性代表组织的信誉与品牌。数据和隐私、人工智能、网络安全,代表着组织对这些数字技术是否有足够的投入和关注,客观反映组织安全建设能力及体现客户期望值;管理和控制数字技术带来的风险和收益,是未来一段时间,组织建立数字信任和高速发展的基石。


1.4供应链安全和开源软件的安全性,外采软件也需要安全团队持续跟踪安全威胁及漏洞。组织中涉及第三方的软件安全,已经在过去三年内中引起足够多的重视;安全漏洞及威胁,始终持续监测;数据泄露和勒索软件事件,持续防护;软件组成及物料管理,一直是过去三年的热点话题。


1.5数据和隐私,将会是组织在未来几年面临的一个挑战,跨境数据及大数据安全,将会是 2023 年的热门项目。基于数据生命周期的全链路监控,数据分级分类及标签标识,数据加密及存储,数据脱敏及隐私计算,数据防泄漏及访问控制。隐私保护及数据合规,更多合规和风控团队的介入,以及律所等专业法律团队的辅助,安全团队快速追上业务发展,持续合规。


网络安全行业观察之回顾与展望|安全村





2.对过去的感触




安全团队面临的最大挑战可能不再是技能,而回到最初始的财务问题上,没有充足的预算,没有足够的经费,没有财务的支持和底气。从技能开始,到工具及自动化,安全理念和安全原则公理可能是初心。


2.1技能改造,Learning。面对安全团队技能提升也包括业务影响分析能力,业务影响分析business impact analysis (BIA) ,让安全团队更懂业务,更加融入业务。业务连续性管理(Business Continuity Management)安全团队需要学习和理解,业务连续性中那些大安全方面的经验和技能。


2.2云安全,Cloud Security。云安全和新兴技术的结合,容器化和边缘计算技术带来新的安全挑战。混合云CIEM(Cloud Infrastructure Entitlement Management) & Dynamic Resource Entitlement & Access Management (DREAM)。云环境的配置错综复杂,新技术采用更为广泛,确保基础的配置正确和安全有效。容器及 API 访问安全,会是安全团队新技能的重点学习方向。


2.3响应,Response。近两年来,几乎所有安全产品和技术,都在提升响应的理念。安全团队,不仅仅是要防守。不近是检测和预防,需要继续提升响应能力。XDR 技术的出现,帮助组织快速发现和响应及处置安全事件。无论是 ITDR(Identity Threat Detection and Response) 还是 TDIR(threat detection investigation and response)。ITPR 基于身份的检测能力已经很强,借助 AI 人工智能的帮助,帐户行为已经很容易识别和防御。安全公司开始关注 prevent防御及之后的Remediation 修复。能够快速进行修复和响应,是身份及账户安全的一个新趋势。


2.4深度防御,defense-in-depth。其实这原本是一个很老的安全设计原则。但是今天来看,依然是安全团队的核心战略。希望,更多的安全团队,不忘初心,回到这个原始概念上。这里借用 Gartner 定义,以人,技术和运营能力,三位一体,跨越组织多层,建立可变的安全屏障。


无论技术如何变化,无论产品如何堆叠,防守一方,一直在补断完善和加固组织的纵深防御能力。安全团队,针对暴露面威胁分析Threat to Exposure Management,将组织资产和暴露面进行分析,并集成威胁情报进行威胁分析,更加精准的防御。


网络安全行业观察之回顾与展望|安全村

继续向北




3.对未来的预期




又是一年的年度预测时间段,不同于跨年演讲,不需要激情演说。虽然,在安全圈似乎新的技术和新的突破不多。但是,在未来的新兴技术中,安全已经成为标配或者基座,例如 5G,区块链和量子计算。在过去三年里,我们还是看到很多零信任和风险的话题,数据泄露和勒索软件等,2023 年这些热点还将会延续和继续。


3.1写这篇文章的同时,旁观各安全公司针对 2023 年的观察。粗浅总结如下
1.未来几年法规、监管、隐私、数据安全,成为全人类的命运共同体。合规驱动还是安全行业的主动轮。
2.风险和真相,组织如何面对和缓解风险,其中事件的真相是什么,更多人期望了解其真相,增加可见性。
3.疫情之后的世界经济下滑,针对工业数字化场景下的OT 安全;如何保护关键基础设施,万物互联时代下的汽车及物联网各种互联设备,他们的安全是如何保障。
4.未来还会有更多的攻击和勒索事件,特别是那些针对移动和云环境,如何确保帐户安全,多因素认证 MFA,API安全也应该得到广泛的关注和重视。
5. 安全分析能力提升,利用人工智能和机器学习的技术,将会对安全事件和威胁的分析更加成熟。
组织可以将威胁情报和暴露面分析相结合。数字品牌保护及监测,攻击面梳理和暴露面梳理,精准资产梳理加漏洞跟踪,最大化消费威胁情报场景。
6.利用第三方供应链进行攻击,那些来自供应商的代码安全,那些开源工具带来的风险和漏洞。
7. 数据驱动业务及安全,组织如何进行风险决策。
8. 组织中安全团队的转型和升级,从安全工具到安全文化。
9. 组织中安全团队的响应和弹性,整体安全防护及处置的自动化程度。

10.组织中安全团队的Cost预算和人力资源,内部沟通和跨部门协作,技能提升。


以上,仅是汇总和整理,并未详加分析,也并未进行合理的排序和MECE分类。感谢理解!


3.2 对安全服务之观察

对未来的预期,也应该从单纯技术视角轻微转移一下,这节关注安全服务化,下一节考虑安全产品。安全服务是最贴合组织的现状,并且迎合组织的风险偏好,在服务领域还有很多值得期望和更多空间。


3.2.1客户对安全服务的需求:

客户需求并不是一成不变的,不是只买货或者买人力服务。需要安全服务商能够看到,组织中信息安全管理 Information security 和 安全产品运维cyber security 之间的那个结合部(三不管地带)。


通常,客户会请安全咨询公司来看 Information security,请国内厂商和代理商,来外包和运维安全产品。其实,我可以理解还有一个空间,是安全咨询,security consultant,安全架构和 安全风险及治理,这部分,需要有安全专家和行业经验,帮助客户从制度落地到安全策略有效性进行 管理和治理。如果放到,安全成熟度,就是从产品到运营,从交付到有序管理,需要有自我不断服务提升和完善的一个闭环或者驱动。


前者,Information security信息安全 主要完成 合规性和制度完善,满足监管一切要求。从管理和治理的角度提升安全控制,缓解安全风险和合规遵从性。


后者,就是服务水平协议SLA(Service Level Agreement)体现,考验安全产品有效性和运维人员动手去管理和配置安全产品。利用安全产品和技术,进行防御和主动性检测及保护。


其实,我们看起来,二者结合之中间这个部分,原先都是组织中安全团队来亲自管理。但是从专业性来看,还需要做基于风险的评估和管理,同时需要基于有效性的验证和检查,最终需要闭环的自适应和持续性提升。更多组织中安全团队还兼顾考虑业务弹性和业务连续性,安全团队也需要安全的弹性和连续性以配合业务进行。


3.2.2客户对安全服务的预期和期望:

我目前接触的几个客户都遇到,云原生带来的安全挑战,集中化管理,策略及颗粒度一致性,新旧环境的现代化,逃避老系统和老环境的安全薄弱环境。抓新放旧。传统安全厂商产品上云和云厂商基于云环境打造安全产品。


合规驱动,数据和隐私安全的合规要求,来自国家和监管的要求,来自外部安全威胁的挑战,针对内部的安全意识培训,组织的安全团队,需要借助来自外部的安全服务商,提供有价值的参考意见。对法规和行业的理解,对安全能力摸排和提升能力,对组织安全团队现有工作开展的指导和参与治理及测评。


3.2.3安全服务市场的独角兽,或者说隐形冠军:

安全服务创业团队,未来会将自身拥有的安全经验和知识,转化到产品化,服务化。

安全架构和规划能力,安全服务不再局限于合规遵从和体系治理,从公司战略到组织架构,从业务架构到安全架构,从业务能力到安全能力。组织和企业需要更多既能够懂业务和流程,还能懂风险控制和安全设计的专家,帮助组织在合规落地和安全建设方面,持续改进,持续提升,持续防护。


3.3 对安全产品之观察

安全产品方面永远有新的场景和新的赛道,安全产品碎片化依然很严重,技术堆叠和场景繁杂。好用的产品和技术并不矛盾,但是产品稳定性和前瞻性代表安全服务商的综合实力,云服务化、SaaS 化,服务化都在影响和改变着产品的交付形态和业务模式。好的安全产品一定是效率和性能的最佳平衡点,叫好还得卖座。专注单一场景还是通用场景,各有利弊,安全产品需要专、精、深,也需要抬头看看场景和客户对服务的需求。


目前看到,安全公司更加注重提升安全咨询和顾问服务的能力,协同作战。不但将产品体系化,解决方案化,还为客户提供端到端的交付方案和一站式服务。
产品之间的耦合和开放性,已经有很多安全产品支持标准的接口和协议,开放式或者平台化安全产品集成能力,更能吸引客户的关注和青睐。


网络安全行业观察之回顾与展望|安全村

冬日




4.总结




如冬日暖阳一般,阳光已经渐渐洒满树梢,接下来就是树枝和树干。回顾过去,展望未来,冬去春来,广袤的大地上,又会是一片欣欣向荣之境。周而复始,安全行业也在探索未知的世界,不断涌现新的技术和领域。知识和经验的积累,不断试错和纠错,放下已知,拥抱未知,寻根究底。


技术绝不是万能的百花筒,管理也不是灵丹妙药。结合我多年以来的工作经验,使用工具,确实会帮助组织和企业快速定位问题和解决问题。尤其注意的是,工具和领先的技术并不一定高效和完美,从成本角度来看,安全团队在极其有限的预算空间下,需要平衡性能和价值。但是,抵触工具和自动化,更多使用人工和廉价劳动力,最大化使用开源或者免费的工具,这似乎又走入另一个极端。


其实,安全没有银弹,并没有它山之石和苦口良药,大部分组织都是寻求一种平衡和多样性,我也看到过很多朴素的技术和管理,知行合一,不断提升效率和成熟度。有些人喜欢下苦功夫,有些人喜欢抓重点突破,有些人喜欢最求新技术,新理念,新框架。所有这些都是推动安全行业和技术发展的源泉和动力。


最后,安全产品和服务并行,咨询和落地实施并举。希望大家继续多听,多看,多交流。任何一个行业都可以数字化重塑,任何一个安全事件都值得反思,任何一个安全从业者都应该受到尊重。


郑磊于2022年12月



作者介绍

郑磊,熟悉安全产品技术及服务,十五年售前工作经验。熟悉安全体系架构,从大型系统集成商,到外企厂商。面向客户,扎根销售一线,持续跟踪客户需求及市场变化。对新兴技术及咨询服务有浓厚兴趣,关注并长期接触新技术。


RECOMMEND


往期回顾

实战演练下安全团队能力演进|证券行业专刊·安全村
研发型企业的产品安全实践之路|科技创新型企业专刊·安全村
可持续的网络安全运营实践|证券行业专刊·安全村

关于 安全村

安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]

原文始发于微信公众号(SecUN安全村):网络安全行业观察之回顾与展望|安全村

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月3日12:00:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全行业观察之回顾与展望|安全村http://cn-sec.com/archives/1494703.html

发表评论

匿名网友 填写信息