如果说2022年的关键词是“不确定性”的话,那么2023年的关键词就是“解构”。
过去十年积累的一些行业公论第一次受到了挑战,一些理念在崩塌、一些风光的企业在凹陷,这让我们也明白了一个道理:科技公司的使命是科技创新,而不是做成百年老店,当不能创新时,退出是必然且安详的,不该是一种悲壮。
创新的本质就是“一本正经地胡思乱想”,因此创新的过程就是“不断地试错”。试对了,梦想成真,拥有一片属于自己的天空;试错了,梦想清零,成为万马奔腾后的尘埃。
因此,科技创新浪潮来时无法阻挡,只能拥抱;去时无法挽留,只能追忆。所以,有的老板开始著书,有的则要当网红,因为大家都很清楚,虽然科技的发展是一种必然,但是科技的成功却是一种偶然,不是你创造了历史,而是历史选择了你。要想长久,需要绑定一种长期主义。
当“礼崩乐坏”时,必然是新秩序的产生,我们已经准备好了产生,那么新秩序呢?
世界著名科技与商业咨询公司Gartner自创了一门“武功”,叫“炒作周期(Hyper Cycle)”,国内也叫“技术成熟度曲线”。
如果我们把安全行业里的所有炒作周期都拼在一起,则看到了一张“Hype Cycle安全领域全景图”。
共有网络安全(Network Security)、终端安全(Endpoint Security)、云安全(Cloud Security)、应用安全(Application Security)、身份与访问管理(Identity and Access Management)、数据安全(Data Security)、安全运营(Security Operations)、网络与IT风险管理(Cyber and IT Risk Management)、隐私(Privacy)、物理安全(Physical Security)等十大安全领域。
领域即赛道,但是其中网络与IT风险管理、隐私、物理安全三个图上标红的领域,由于目前规模较小,在国内还没有成为一个独立的赛道。
单看Hyper Cycle安全领域全景图,除了能看到十大安全领域、五个创新阶段以及每个阶段的关键技术点之外,你看不到任何规律与趋势,于是锐安全做了一个视觉转换和逻辑梳理。
【2】
当用一个空间轴把Gartner炒作周期十大领域拼在一起,再加上国内的一些习惯,你就可以看到一个“Hype Cycle安全产业三维图”。
在“Hype Cycle安全产业三维图”里,有三个切面和三个切面的演进逻辑。
这三个切面是:X轴的安全切面、Y轴的业务切面和Z轴的运维切面,在企业中,分别对应三个主责部门:安全部门、业务部门、信息化部门(IT)。
其中的演进逻辑是:安全切面会沿着全局化与智能化方向演进;业务切面会沿着应用与业务方向演进、运维切面会沿着新IT环境方向演进。
我们结合一下国情,于是在2023年,就得到了安全发展的五大趋势。
【3】
趋势一:安全外移
趋势二:安全系统化
趋势三:安全内生
当安全沿着“业务切面”开始爬升时,就必然会出现安全内生的趋势,安全内生的趋势是一种“流程演进趋势”。
趋势四:安全下沉
当安全与甲方视角相结合、向“需求侧”爬升时,就必然会出现安全下沉的趋势,即“场景化演进趋势”。
趋势五:安全集约
当安全与甲方视角相结合、向“使用侧”爬升时,就会出现安全集约化趋势,即“集成化演进趋势”。
如果我们把2023年发生的新事物继续往产业三维图上拼,就能看到2024年安全发展的四大演变与四大建设目标。
【4】
数据安全成为2023年的强势合规赛道,原因是它暗合国家的数字化发展战略,并且与安全切面、管理切面、运维切面都会产生关系,是一个全局变量。
于是将数据安全单独抽离出来,就得到了四大安全切面:管理切面、业务切面、运维切面、数据切面。
如果我们把一些大安全概念往这四大切面上叠加,就会看到:
-
安全运营中心(Security Operations Center,SOC)与安全托管运营服务(Managed Security Services,MSS)是管理切面的大概念;
-
持续威胁暴露管理(Continuous Threat Exposure Management,CTEM)和Web应用与API保护(WAAP, Cloud Web Application and API Protection)是业务切面的大概念;
-
扩展检测与响应(Extended Detection and Response,XDR)是运维切面的大概念;
-
数据安全能力成熟度模型(Data Security Capability Maturity Model,DSMM)和数据安全态势管理(Data security posture management,DSPM)是数据切面的大概念。
如果我们分析一下这四个大概念的产生逻辑,就能发现一个现象:“一体化”是未来安全发展的总趋势,再细分一下,就会看到四大演变趋势:
-
演变一:威胁一体化
XDR产生之初是想将威胁情报(TI)、NDR、EDR统一协同起来,形成一个企业环境下的威胁处理闭环,但是由于跟客户需求绑定太深,就容易做成“安全运营”的属性。
锐安全的观点是:XDR只是安全运营的一环,不能成为安全运营的平台。
-
演变二:管理一体化
SOC是这几年重新激活的安全大概念,而MSS是这几年产生的新的安全大概念,这标志着安全管理开始向着一体化进程迈进。
锐安全的观点是:安全运营会从流程化转向平台化,即MSSP,所以安全运营未来需要的不是流程集成而是能力集成。
-
演变三:风险一体化
去年产业里最大的变化就是存续了几十年的“漏洞管理”概念被CTEM概念代替;存续了几十年的“WAF”概念被WAAP大概念替代。这说明应用与业务侧的安全随着数字化兴起将要进入一个新的发展阶段:风险一体化阶段。
锐安全的观点是:在数字经济的大框架下,安全理念必然要从“聚焦威胁”走向“聚焦风险”;安全视角必然要从“合规视角”走向“实战视角”;安全规划必然要从“IT驱动”走向“组织驱动”。
-
演变四:数据一体化
数据安全的尴尬之处在于:它即没有独立技术又没有独立需求,而且又无处不在,因此投入高、见效慢、易出事儿。事实上没有合规驱动,就没有数据安全建设的动力。
锐安全的观点是:随着数字化兴起,数据安全必然要从“IT侧需求”转向“业务侧需求”最终到“组织侧需求”。
根据上述演变趋势,自然能得到四个安全建设新目标:统一威胁管理、统一运营管理、统一风险管理、统一数据管理。
最后说点儿题外话,最近OpenAI的Sora发布了,可以用提示词生成一分钟的连续视频,且场景连续、人物清晰、运镜专业,于是有人惊呼:电影不存在了。具有讽刺意味的是:当AI技术发展到人类不可理解的地步时,AI竟然可以理解人类了。
好奇心是人类自我迭代的底层逻辑,所以愈恐惧、愈兴奋;愈兴奋、愈恐惧,一起期待吧!
参考资料:
[1]锐安全.2023年,我看到安全发展的5大底层逻辑,2023-01-09.https://mp.weixin.qq.com/s/D4w3iCYDcRse02jcygpHHw
[2]锐安全.2024年展望:繁花散尽,安全行业该如何破茧重生?,2024-01-29.https://mp.weixin.qq.com/s/fw3Z3Yw8YCB7fPGH0BmSIg
[3]锐安全.世界最牛咨询公司Gartner到底有些啥?,2023-12-21.https://mp.weixin.qq.com/s/JkDq9NQU34mj54ooc7kMjA
[4]Gartner.Hype Cycle for Data Security, 2022,2022-08-04
题图:画江湖
题图创作者:晓兵与AI小助手
算法提供:SDXL
原文始发于微信公众号(河南等级保护测评):2024年,我看到安全行业发展的四大演变
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论