安全大講堂 | 2022產(chǎn)業(yè)趨勢洞察：網(wǎng)絡(luò)安全的下一個十年

隨著產(chǎn)業(yè)數(shù)字化發(fā)展進入深水區(qū),網(wǎng)絡(luò)的邊界變得難以界定，數(shù)據(jù)分析如何應(yīng)用于網(wǎng)絡(luò)安全？隨著云原生應(yīng)用普及并開始承載企業(yè)核心生產(chǎn)系統(tǒng)，企業(yè)如何建構(gòu)自身云原生安全防護能力？網(wǎng)絡(luò)安全行業(yè)的機遇與挑戰(zhàn)潛藏何處？未來發(fā)展將去往何方？

騰訊安全云鼎實驗室「安全大講堂」邀請到北京派網(wǎng)軟件CEO孫朝暉、中國信息通信研究院云大所云計算部副主任陳屹力、數(shù)世咨詢創(chuàng)始人兼總經(jīng)理李少鵬、北京賽博英杰科技有限公司董事長譚曉生（按分享順序排序）四位資深安全專家，分別從網(wǎng)絡(luò)大數(shù)據(jù)分析、云原生安全、網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展和網(wǎng)絡(luò)安全行業(yè)的商業(yè)化四大話題切入，圍繞產(chǎn)業(yè)歷史沿革進行前瞻性的技術(shù)及行業(yè)趨勢分享，展望中國網(wǎng)絡(luò)安全的未來發(fā)展。

基于安全業(yè)務(wù)視角的

網(wǎng)絡(luò)大數(shù)據(jù)分析發(fā)展趨勢

孫朝暉：從網(wǎng)絡(luò)的角度看，傳統(tǒng)安全廠家僅關(guān)注HTTP、DNS、隧道協(xié)議、遠程控制協(xié)議等常用網(wǎng)絡(luò)協(xié)議，這部分流量的占比約為40%，只是網(wǎng)絡(luò)流量的冰山一角。在未來10年，可以說，全量數(shù)據(jù)是一切網(wǎng)絡(luò)安全分析的起點，即分析設(shè)備或者分析引擎要切切實實關(guān)注全流量，每一幀，每一個會話，每一個數(shù)據(jù)包。

數(shù)據(jù)分析有兩種建模方式：已知中尋找異常和未知中排除正常。異常的通信內(nèi)容隱蔽偽裝在常用協(xié)議中，是很多惡意應(yīng)用的常用手段，因此，已知中尋找異常也是安全廠商及安全解決方案中常用的方式，比如IDS告警、WAF告警等就屬于已知中尋找異常。而在現(xiàn)有的安全解決方案中，未知中排除正常相對比較少見，因為特別多的網(wǎng)絡(luò)流量會被各種識別引擎剔除出來，在未知中尋找正常，需要排除這些已知的應(yīng)用對安全的干擾。通常情況下，被識別引擎確定為未知的協(xié)議數(shù)據(jù)有三種：小眾協(xié)議、已知協(xié)議數(shù)據(jù)的漏識別以及廣泛使用的非正常協(xié)議。

我認為，網(wǎng)絡(luò)大數(shù)據(jù)分析在未來的3-4年內(nèi)，應(yīng)該更多地注重統(tǒng)計中間表的建立，比如ICMP、DNS、NTP等。這些能夠概括網(wǎng)絡(luò)基本屬性的統(tǒng)計中間表，都屬于多樣式的確定性規(guī)則，因此人工智能在網(wǎng)絡(luò)大數(shù)據(jù)識別處理上的應(yīng)用助力非常有限，但在域名、URI和FLOW三個方向上，人工智能則有很大的發(fā)揮空間。

云計算2.0

云原生安全發(fā)展現(xiàn)狀與趨勢判斷

陳屹力：云原生技術(shù)已經(jīng)成為企業(yè)基礎(chǔ)架構(gòu)主流的方案，但與此同時，安全性也成為企業(yè)用戶的最大顧慮，其中，容器和微服務(wù)安全是企業(yè)最關(guān)心的云原生安全問題。

云原生代表了一系列新技術(shù)，包括容器編排、微服務(wù)架構(gòu)、不可變基礎(chǔ)設(shè)施、聲明式API、基礎(chǔ)設(shè)施即代碼、持續(xù)交付/持續(xù)集成、DevOps等。因此，云原生的安全風險包含云原生基礎(chǔ)架構(gòu)自身的安全風險，以及上層應(yīng)用云原生化改造后新增和擴大的安全風險，容器化部署成為云原生計算環(huán)境風險輸入源，微服務(wù)細粒度切分增加云原生規(guī)模化應(yīng)用風險，Serverless靈活性帶來模型和平臺管控風險，以及DevOps提升研運流程和安全管理的防范難度、API爆發(fā)式增長催化分離管控和權(quán)限濫用風險。

在我看來，云原生安全應(yīng)遵循以下設(shè)計原則：

·第一，零信任。假設(shè)環(huán)境中隨時存在攻擊，不能存在任何的隱形信任。

·第二，安全左移。在云原生安全建設(shè)初期將安全投資更多地放到開發(fā)安全。

·第三，持續(xù)監(jiān)控和響應(yīng)。從被動轉(zhuǎn)為主動，從靜態(tài)轉(zhuǎn)為動態(tài)，持續(xù)地監(jiān)控云原生各個環(huán)節(jié)，建立持續(xù)響應(yīng)的防護機制，對攻擊進行迅速分析和處理。

·第四，工作負載可觀測性。通過可視化工具發(fā)現(xiàn)和記錄云原生架構(gòu)里應(yīng)用的行為，清晰地觀察到微服務(wù)和中間件調(diào)用關(guān)系。

從發(fā)展趨勢看，隨著企業(yè)云原生應(yīng)用的增多和云原生安全技術(shù)的發(fā)展，企業(yè)云原生安全能力建設(shè)將從早期聚焦容器安全向云原生安全體系化擴展，安全技術(shù)的主導(dǎo)力量也將從單邊走向多元合作。云原生安全需要云原生技術(shù)與安全技術(shù)的跨界融合，未來，云服務(wù)商與安全廠商勢必將加強深度合作，安全產(chǎn)品形態(tài)也將從粗暴上云轉(zhuǎn)向與平臺/應(yīng)用深度融合。

此外，傳統(tǒng)安全側(cè)重以人為主的防護策略將發(fā)生改變，以服務(wù)化為中心構(gòu)建的容器安全防護措施、持續(xù)監(jiān)控響應(yīng)模型、可視化平臺和一站式的安全運營，將成為云原生安全防護的主流方案。

安全落地方案也將走向輕量化、敏捷化、精細化。容器部署的環(huán)境越來越復(fù)雜，運行周期越來越短，這要求安全方案的反應(yīng)必須迅速敏捷，及時發(fā)現(xiàn)容器啟動，密切跟蹤容器行為，并在發(fā)現(xiàn)異常時迅速反應(yīng)。云原生提供的服務(wù)粒度越細，相應(yīng)的安全方案的防護粒度也需越來越細。

中國網(wǎng)絡(luò)安全產(chǎn)業(yè)

發(fā)展趨勢前瞻觀察

李少鵬：安全有著公共屬性或社會屬性，自身不安全會影響到他人，這種特殊屬性決定了為什么合規(guī)永遠是第一驅(qū)動力。從90年代到現(xiàn)在，在政策驅(qū)動下，中國網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展經(jīng)歷了3個時代——計算機安全、信息安全和網(wǎng)絡(luò)安全。未來，我們認為是數(shù)字世界的安全，也即是數(shù)字安全。如果說數(shù)字世界是萬物互聯(lián)和大數(shù)據(jù)，那數(shù)字安全就是網(wǎng)絡(luò)安全加數(shù)據(jù)安全。

數(shù)世咨詢認為，網(wǎng)絡(luò)安全行業(yè)沒有寡頭，只有諸侯。因為網(wǎng)絡(luò)安全的服務(wù)本質(zhì)、商業(yè)本質(zhì)、對抗本質(zhì)等，決定了網(wǎng)絡(luò)安全是個碎片化的行業(yè)。企業(yè)之間應(yīng)該是良性競爭，共同把網(wǎng)絡(luò)安全的創(chuàng)新環(huán)境打造好，共同促進未來的發(fā)展。在人才方面，作為朝陽產(chǎn)業(yè)，網(wǎng)絡(luò)安全行業(yè)同樣缺乏高端人才。

資本投資層面，我們總結(jié)了9字方針，多賽道、長持有、共成長。網(wǎng)絡(luò)安全是個階梯狀的市場，我們不僅需要高端的信息科技、網(wǎng)絡(luò)安全、人工智能技術(shù)，我們也需要最基礎(chǔ)的安全網(wǎng)關(guān)、防火墻和殺毒引擎，網(wǎng)絡(luò)安全行業(yè)仍存在著許多市場空白待發(fā)展。

未來網(wǎng)絡(luò)安全的終局是怎樣的？我的判斷是走向國有，走向“醫(yī)療化”。網(wǎng)絡(luò)安全是關(guān)系國計民生的大事情，作為特殊行業(yè)國有化比例加重是必然的。而醫(yī)院有?？漆t(yī)院，也有綜合型的醫(yī)院，未來網(wǎng)絡(luò)安全行業(yè)也會形成類似的分化。

簡而言之，安全運營、場景化是未來。安全運營五要素，中間是人，組織管理、流程機制、平臺體系、產(chǎn)品工具等其他要素圍繞著人，根據(jù)應(yīng)用場景，根據(jù)業(yè)務(wù)需求，根據(jù)行業(yè)屬性，來進行更好的運營管理。

網(wǎng)絡(luò)安全商業(yè)化的機遇探索

譚曉生：網(wǎng)絡(luò)安全市場有三大驅(qū)動力：合規(guī)驅(qū)動力、業(yè)務(wù)風險驅(qū)動力和技術(shù)驅(qū)動力。

合規(guī)性驅(qū)動市場在今后很長一段時間都會是網(wǎng)絡(luò)安全最主要的驅(qū)動力。其中，具有較大市場機會的，我認為有以下幾方面：

·第一個是數(shù)據(jù)安全。當前處于數(shù)字化轉(zhuǎn)型時代，數(shù)據(jù)成為重要生產(chǎn)力，數(shù)據(jù)安全與國家安全密切相關(guān)，在《個人信息保護法》之外，未來必將還有一系列相關(guān)的法律法規(guī)出臺，完善數(shù)據(jù)安全監(jiān)管。

·第二，等級保護，尤其等保2.0之后，等保市場、整改市場都有比較快速的擴大。

·第三，是“關(guān)基”保護的市場。

企業(yè)業(yè)務(wù)經(jīng)營過程中，如果遇到網(wǎng)絡(luò)安全事件，將承受重大損失，因此，企業(yè)會購買相應(yīng)的安全防御產(chǎn)品，即使這些產(chǎn)品不在等?；疽蠓秶畠?nèi)，這便是風險驅(qū)動市場。如網(wǎng)絡(luò)空間資源測繪，欺騙防御，攻擊面防御，EDR、NDR、XDR等各種各樣的檢測和響應(yīng)，安全運營自動化方面的產(chǎn)品，開發(fā)安全，從ASD、DSD、SASD到軟件成分分析SDA等軟件測試工具以及MSS和MBR等，都存在較大的市場機會。

技術(shù)驅(qū)動，則是在新技術(shù)產(chǎn)生、落地、廣泛應(yīng)用的過程中，推動行業(yè)提出針對性的解決方案。當前，最主要的技術(shù)驅(qū)動市場，是萬物互聯(lián)下帶來的安全問題，以及基礎(chǔ)架構(gòu)云化，云原生安全、零信任等新理念產(chǎn)生，沖擊著傳統(tǒng)安全解決架構(gòu)——基于IT技術(shù)的向前演變帶來新的商業(yè)機會。

以上是本次「安全大講堂」四位講師的觀點精華整理。