时间:2021-10-27
本文7201字阅读约需21分钟
彩虹鸡尾酒,因色彩如彩虹般缤纷绚丽而独树一帜,其原理是利用比重差异实现分层,进而调制出色彩丰富、多彩多姿的鸡尾酒。调制彩虹酒是一项技术活,须严格按顺序一层层调制,慢工出细活,才能调成一杯稳定的“七色彩虹”。
如今,数字化转型如火如荼,新技术趋势层出不穷,政企客户却经常在网络安全建设“打基础”和“拔尖子”之间难以兼顾和取舍。奇安信与Gartner最新发布的《数字化转型需要内生的安全框架》,就是结合国际网络安全技术新趋势和国内建设现状,给出的落地建议和参考。
本文基于政企数字化转型的差异化现状,提出了一种兼顾“体系化建设网络安全”及“有效应用安全新技术”的思路。通过分析Gartner历年网络安全技术成熟度曲线(Hypecycle)和趋势预测报告的内容,在内生安全框架的整合下,给出适应我国数字化转型的“网络安全鸡尾酒”思路,力求让“打基础”和“拔尖子”两者兼得。
一、乱花渐欲迷人眼,浅草才能没马蹄
白居易在《钱塘湖春行》中写道:
“乱花渐欲迷人眼,浅草才能没马蹄。最爱湖东行不足,绿杨阴里白沙堤。”
诗意是,纷繁的春花渐渐要迷住人的眼睛,浅浅的春草刚刚能够遮没马蹄。我最喜爱西湖东边的美景,可是无法跨过去,只好在掩映于绿杨浓阴下的白沙堤上看着。
当前,全球数字化技术这朵繁花发展不断演进,推动企业利用新技术实施数字化转型。数字化转型的一个重要特征,是将各类新老信息化技术与政企生产及管理业务进行结合,促进传统产业向数字化升级,更能发挥数字要素价值,从而实现降本增效。数字化转型依赖“云大物移智”等数字化技术,各类新型数字化平台技术的兴起,在全球构成了一副欣欣向荣的春天美景。
从网络安全从业者的视角来看,则是忧(兴)心(高)忡(采)忡(烈)的看到了数字化时代,网络威胁进一步加剧和复杂化的局面。
Gartner在2020年就提出[1]:数字经济时代,技术安全人员的短缺、向云计算的快速迁移、法规遵从性要求以及威胁的演变,是当前面临的主要挑战。网络安全攻击的速度和创造性继续增长。攻击者将继续利用各种工具、战术和技术来攻击日益多样化的目标。所有这些都进一步降低了组织预测和防止安全故障的能力。
2021年,Gartner研究人员进一步提到出安全和风险领导人面临其他的重大挑战[2]:包括复杂的地缘政治形势,越来越多的全球法规,攻击环境出现变化,尤其是勒索软件和商业电子邮件入侵带来挑战。
网络安全与信息化的发展,以及信息化对业务的深度融合紧密相关,这才是网络安全发展的主脉络。随着信息化对业务的重要性越来越大,相应的安全威胁也会逐步升级,合规监管也日趋严格,所以网络安全产业呈现井喷式增长。
2005~2014:先发展后治理阶段
2005年~2014年,信息化开始跟业务结合,网络安全随着合规和威胁升级变得越来越重要。安全问题开始显性化,比如政府网站被控,影响国家形象乃至国家安全;企业财务系统感染病毒,会影响生产经营。
在等保合规和应对威胁驱动下,网络安全产业开始加速,年产业规模开始超过250亿,10年间保持两位数的复合增长率。
在这阶段,网络安全的整体思路还是先发展后治理。
2015~2020:同步发展、同步治理
2015年到2020年,随着全面数字化转型,信息化与业务深度融合,信息化操作跟业务行动不可分离,信息系统的安全与业务稳定运行高度相关。这时候,黑客组织发现了信息化对业务系统的重要影响,采用更加高级的手段针对信息化系统进行攻击,比如APT组织通过攻击重要系统,窃取关键业务数据或机密信息。
2014年,习总书记指出:“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”。国家先后出台了“国家网络安全战略”和《网络安全法》,完成了网络安全的顶层设计,以《网络安全法》为核心开始建立和健全网络安全法律法规、标准规范、监督检查机制等网络安全治理体系。
这一阶段的发展思路是同步发展同步治理;在信息化发展的同时,开展网络安全治理。
在政策驱动和信息化发展的多重因素驱动下,网络安全高速成长了多年。如今数字化大潮的到来,使得网络安全真正成为了一种业务的内在需求,而不仅仅是政策合规以及乙方卖货的驱动。不过时至今日,网络安全这丛“浅草”依旧无法完全匹配信息化发展的高度,两者之间依旧存在着不对等的局面,包括安全能力与信息化发展水平的不对等,国内外网络安全发展的基础环境不对等,以及国内政企各领域内安全能力建设和发展阶段的不对等。
相比国外发达国家,我国的网络安全建设,包括在网络安全基础结构、安全管理、安全运营的成熟度等方面均处于构建和打基础阶段,安全技术的研究和应用情况存在很大差别。我国网络安全建设既要打基础,又要紧盯国外新技术的发展,“吃着碗里看着锅里”,尚且没有完成网络安全能力的基础积累,这是我国数字化转型的现实挑战。
2021开始:治理先行
2021年开始,“十四五”时期到来,数字化开始贯穿于经济社会发展的全领域、各层级,成为国家治理、经济发展和社会运行的核心驱动力,数字化对于国家、企业和每个人都真正是生死攸关。
国家在“十四五”规划中提出数字化发展战略的同时,也提出要统筹安全与发展。2021年以来,先后密集出台了《数据安全法》、《关基保护条例》、《个人信息保护法》、《网络安全审查办法》修订版等法律法规、政策制度和监管手段,这些法规和手段都是超前的,强调的是治理先行。
从先发展后治理、同步发展和治理到治理先行,这是从信息化视角看网络安全的巨大转折,网络安全迎来了发展新拐点:即对网络安全必须予以同等的投入匹配,才能以确保数字经济有强有力的、不可或缺的安全能力支撑。
处在新拐点,首先,我们必须转换视角,从业务保障看信息化,从信息化保障看安全,最终实现业务保障视角来看网络安全;其次,要转换理念,坚持治理先行,为业务高质量发展营造健康环境;最后,我们还要转换发展模式,用系统化和工程化的思想来发展以能力为导向的、信息化跟网络安全深度融合的建设模式。
二、兰陵美酒郁金香,玉碗盛来琥珀光
李白在《客中行》中写道:
“兰陵美酒郁金香,玉碗盛来琥珀光。但使主人能醉客,不知何处是他乡。”
诗意是,兰陵美酒甘醇,就像郁金香芬芳四溢。兴来盛满玉碗,泛出琥珀光晶莹迷人。主人端出如此好酒,定能醉倒他乡之客。最后哪能分清,何处才是家乡?
在全球日益复杂的网络安全大环境中,Gartner的网络安全研究素来被誉为网络安全行业的一杯“兰陵美酒”,一定程度上展示并指引了全球安全市场及技术的方向和趋势,在业内备受追捧。
年度安全与风险:方向与数字经济安全挑战吻合。
面对数字化转型的安全新挑战,早在2020年,Gartner发布了年度安全和风险管理趋势[3],它们是主流组织对这些长期外部趋势的响应。趋势强调的是安全生态系统中正在进行、尚未被广泛认识的战略转变,但预计将对行业产生广泛影响,并具有巨大的潜力。
到2025年,与这些趋势相关的技术和战略将达到成熟水平,为领导者提供有价值的能力,以确保数字化业务的安全。
2020年的九大安全技术趋势分别是:
趋势1:扩展检测和响应能力出现,以提高准确性和生产力
趋势2:安全过程自动化正在出现以消除重复的任务
趋势3:人工智能为保护数字业务和安全工具以及防御基于人工智能的攻击创造了新的安全责任
趋势4:部署数字空间-物理空间系统的领先组织正在设立一个企业级CSO,以整合多个面向安全的竖井
趋势5:隐私正成为一种越来越有影响力和明确的要求
趋势6:各机构正在创建一个数字信任和安全团队,以专注于维护消费者与品牌互动的完整性
趋势7:从关注本地部署模型到SASE的网络安全转变
趋势8:保护云原生动态需求的全生命周期方法
趋势9:零信任网络访问技术开始替代VPN
从这些技术趋势可以看出,Gartner的研究方向与新出现的数字经济安全挑战及其需求相吻合。
趋势1和2是对安全自动化和安全数据聚合分析等方面指引了技术方向。安全趋势3、7、8、9关注了云、移动办公、人工智能、软件定义网络等新一代IT技术带来的安全挑战,而趋势4、5关注了数字化转型下安全人员组织和能力的需求。这些都是为了给组织机构的管理者提供了参考建议,以支撑他们采取相应的技术措施和行动,使得组织机构能适应于更复杂、规模更庞大、价值更高的数字经济的安全需求。
2021年,Gartner继续提出了新的年度安全和风险管理领域八大趋势。这些趋势分别是:
趋势一:网络安全网格
趋势二:身份优先的安全
趋势三:远程工作得到安全支持
趋势四:通晓网络安全的董事会
趋势五:安全供应商合并
趋势六:增强隐私的计算
趋势七:泄密和攻击模拟
趋势八:管理机器身份
从上述技术趋势可以看出,Gartner的研究方向与新出现的数字经济安全挑战及其需求相吻合。
趋势1和2为安全自动化和安全数据聚合分析等指引了技术方向;安全趋势3、7、8、9关注了云、移动办公、人工智能、软件定义网络等新一代IT技术带来的安全挑战;趋势4、5关注了数字化转型下安全人员组织和能力的需求。
这些都是为了给组织机构的管理者提供了参考建议,以支撑他们采取相应的技术措施和行动,使得组织机构能适应于更复杂、规模更庞大、价值更高的数字经济的安全需求。
Gartner认为[4],在详细探讨这些趋势时,必须指出它们并非孤立存在。相反,它们是领先组织对安全和风险管理(SRM)团队无法控制的长期外部趋势的响应。这些全球安全和风险趋势是更广泛、更长期的趋势,正在影响总体安全和风险格局。
应注意到,Gartner在趋势1中提出,XDR能从多个安全产品自动收集和关联数据,以改进威胁检测和提供事件响应能力。这代表着安全数据的集中和规范化的趋势,强调在安全防御逐渐体系化和规范化的今天,安全系统之间的协同可以提高检测精度,并提高安全操作效率和生产力;趋势4中,企业级CSO的出现,要打通安全竖井,甚至还可以在某些情况下支持企业业务。CSO将IT安全性、OT安全性、物理安全性、供应链安全性、产品管理安全性等都聚合为核心机构和治理模型,这说明企业级安全工作正在需要协同联动和流程打通,企业安全防御要扩大它的联动范围,并走向体系化和实战化。
安全项目:实施安全项目须具备基础安全能力
2020年,Gartner研究人员从项目维度,发布了2020-2021年度的十大安全项目[5]。
这十大安全项目分别是:
项目1:远程员工安全防护,尤指零信任网络访问(ZTNA)技术
项目2:基于风险的弱点管理,重点是基于风险来对弱点分级
项目3:基于平台方式的检测与响应,扩展检测与响应(XDR)技术
项目4:云安全配置管理CSPM
项目5:简化云访问控制,特指云访问安全代理(CASB)技术
项目6:基于DMARC协议的邮件安全防护
项目7:无密码认证
项目8:数据分类与保护
项目9:员工胜任力评估
项目10:安全风险评估自动化
从Gartner发布的安全技术趋势和安全项目来看,这两者之间存在很多的相互联系。它们都关注零信任网络与安全访问、扩展检测与响应、云安全、个人隐私及数据安全、安全人员能力等领域。Gartner更是在2020年度的十大安全项目中发布了候选安全项目清单,其中包括了自动化威胁猎捕、生物特征凭据检测与保护、基于聊天机器人的安全意识培训与教育等安全项目,这些也顺应了全球数字化的发展浪潮。
需要注意到,Gartner在其2020-2021的10大安全工程的报告中特别强调[6],客户在考虑实施十大项目之前,一定要考虑到先期的基础安全建设,这些项目都需要建构在基础安全能力具备的情况下。如基本的端点防护能力、日志监控、备份/恢复能力、各种边界安全控制等方面。
技术成熟度曲线:技术演进依赖于原有基础累积。
纵观Gartner历年的Hypecycle(技术成熟度曲线),我们也可以看到Gartner在每一个领域提出的安全技术都覆盖了从成熟技术到热门技术,并呈现出不断演进的过程。Hypecycle提到的许多安全技术已经不是热门,却是该领域的基础安全能力。
我们在云安全、网络安全、应用安全、数据安全等领域,将Gartner在不同分析报告中所提到的主要技术能力,按照SANS的网络安全滑动标尺模型维度进行了汇聚,得到了下图的状态。
图1:Gartner所提及的部分领域安全技术集合
以云安全领域为例,Gartner在2020年的云安全技术成熟度曲线[7]中提到了CSPM(CloudSecurityPostureManagement)、CASB(CloudAccessSecurityBroker)、CWPP(CloudWorkloadProtectionPlatforms)等代表性技术,同时也提出了基于硬件安全、OAuth、云管理平台、微分段、容器安全、云数据备份、SaaS交付的IAM等能力,加上Gartner在历年十大工程所强调的作为工程实施前提的系统防护(SystemProtection)、用户控制(UserControls)、基础设施安全(SecurityInfrastructure)等基础要求[7],构建了较为完整地云安全能力基础,这才有了CSPM及CASB等技术的有效应用。
图2:2020年云安全技术成熟度曲线
回顾Gartner在2017年的云安全技术成熟度曲线[7],我们看到云安全评估、云应用发现、云数据备份、云工作负载CWPP等技术都有了不同程度的成熟和发展,它们成了云安全整体能力的一部分。虚拟机(VM)备份与恢复、IaaS卷加密等技术在2020年被移出了HypeCycle,这并不代表它们没有作用了,相反是因为它们已经成为主流技术[8],是云安全基础能力,不需要在HypeCycle中继续提及。
从每年度技术成熟度曲线的横向技术趋势以及从不同年度的技术成熟度曲线的技术内容变化来看,任何安全技术的演进都是依赖于原有的基础累积的,新技术要基于基础安全能力建设,通过建设获得能力并通过运行取得效果。对于想要紧跟前沿技术的组织来说,有一个工作是必须要做的,那就是要关注如何建设完成这些基础积累。
三、中国口味的“网络安全鸡尾酒”
如果把网络安全体系建设形容成是调制一杯彩虹鸡尾酒,建设安全体系的基础积累就是这一杯鸡尾酒的基酒。
调制彩虹鸡尾酒需要用基酒把不同口味的酒和饮料配搭起来,变换出多彩的色彩,再赋予不同的美丽动听的名字。鸡尾酒虽然千变万化,却有一定的公式可循。选择合适的基酒,然后附在基酒上一层又一层的不同味道、不同色彩的调味酒,就像是Gartner每年所推出的新技术和新工程,一层一层累加。
图3:网络安全建设就像调制彩虹鸡尾酒
我国信息化环境及网络安全建设的差异性,更是需要一杯中国口味的网络安全鸡尾酒。
Gartner的研究基础主要是欧美市场,与我国网络安全建设情况存在较大的差异。Gartner每年报告所描绘的网络安全技术趋势,是站在了国外那杯鸡尾酒已经调制大体完成的情况下,不断去的发展新风味。而我国政企机构的网络安全建设基础不牢,体系不足,能力缺失,实战不足,数字化环境更是差异明显。如果想要获得最后的美酒滋味,看到体系化防御最终成效,显然也需要按照顺序一层层调制,而不是只饮最后添加的那一口味道,否则就会得到灾难性的体验。
图4:应用安全新技术的基础需要牢固
在我国数字化转型、“新基建”建设等国家战略背景下,奇安信全面分析了国内外网络安全态势和我国政企面临的网络安全挑战,吸收最新网络安全技术研究成果,在2019年提出了“内生安全”理念,在2020年提出面向“十四五”期间的内生安全框架,给出了新型网络安全体系建设的落地框架指引。并在2021年提出了“经营安全,安全经营”,说明如何利用内生安全框架,在大量实际的大型机构中的落地经验,做到安全的动态掌控,保障核心业务的经营平稳运行。奇安信与Gartner联合发布的《数字化转型需要内生的安全框架》对数字化转型中网络安全的三部曲,进行了详细论述。
内生安全框架是一个方法论,关注的是如何在中国当今的信息化环境中建设实现体系化的安全能力,而不是提出某个前沿的技术方向。
奇安信与Gartner联合发布的《数字化转型需要内生的安全框架》认为,在我国的网络安全建设发展阶段存在差异的情况下,政企组织需要先建好自身的网络安全底座,补足网络安全必要能力的缺失;再根据自身信息化建设及数字化转型的需要,统筹选择应用最新的安全技术。比如,内生安全框架所提出的“十大工程五大任务”综合考虑了各类基础能力、先进技术的体系化组合和应用,重点在于对中国安全建设现状的适应,指导建设网络安全基础。
就比如,XDR扩展的安全检测与响应。内生安全框架在数字化终端安全工程、重构网络纵深防御工程中,要求构建好网络、终端等各领域如安全区域划分、边界访问控制、入侵保护、安全检测、安全日志收集及处理等基础能力的基础,然后将终端、网络等领域的能力和数据接口进行了体系化的设计和预留,保持了对扩展检测与相应(XDR)等技术的扩展能力,才能让组织机构有基础进一步开展相关建设和扩展,以利用数据驱动能力将各种检测与响应方法进行协同,最终达到XDR所描绘的那个愿景。
使用内生安全框架指引规划设计,可以为新技术的持续引入提供扩展支撑,为技术创新提供了“土壤”,帮助构建网络安全的彩虹鸡尾酒,使新技术的效能在体系化的网络安全环境得到充分发挥。内生安全框架在设计之初考虑了对新技术的融合,将相关基础能力和新技术能力融合到了内生安全框架的能力体系中加以应用。同时内生安全框架采用体系化、系统工程的思维,在各个领域中设计预置了扩展的能力,从而确保了能对前沿技术的有效引用。
目前,内生安全框架已经在上百个大型的能源、央企、部委、数字城市、金融、民航、交通、医疗卫生等行业的十四五网络安全规划与建设中得以应用,为我国众多行业的数字化转型进行保驾护航。
结语
晚来天欲雪,能饮一杯无?
过去十几年来,网络安全跟随在信息化的身后,一直以落后半步的姿态默默守护。
在数字化转型大潮汹涌而来的时刻,网络安全显然会迎来改变身份的契机。以十四五为契机,网络安全这杯鸡尾酒可以同步为数字化转型暖身,保驾护航,强身健体。
当前产业和数字化技术日趋融合,网络安全本身就是数字化转型的一部分。内生于数字化的安全框架,则是调制好网络安全这杯彩虹鸡尾酒,实现身份逆袭的探索手段。
附注:
[1]Gartner《TopSecurityandRiskManagementTrends》
[2]Gartner《Topsecurityandriskmanagementtrendsfor2021》
[3]Gartner《TopSecurityandRiskManagementTrends》,Published:27February2020。Analyst(s):PeterFirstbrook,NeilMacDonald,LawrenceOrans,MariodeBoer,KatellThielemann,BartWillemsen,AkifKhan,MichaelKranawetter.
[4]Gartner《TopSecurityProjectsfor2020to2021》,2020,BrianReed
[5]Gartner《HypeCycleforCloudSecurity,2020》,2020,SteveRiley,JayHeiser,TomCroll
[6]Gartner《TopSecurityProjectsfor2020to2021》,2020,BrianReed
[7]Gartner《HypeCycleforCloudSecurity,2017》,2017,JayHeiser,
[8]Gartner《HypeCycleforCloudSecurity,2020》,2020,SteveRiley,JayHeiser,TomCroll
关于作者
林玉波,虎符智库专家,奇安信集团战略咨询规划部,高级咨询总监,曾参与编制国家金融数据安全标准、公安部新一代网络安全规范等安全标准,专注在数字化转型、数字城市、电子政务、能源等领域的网络安全研究和咨询规划等。