企业动态

    本文4012字阅读约需11分钟

    2021RSAC开幕前，发生了不少大事。

    2021年5月7日，美国经历了近年来影响最大的科洛尼尔管道勒索攻击。科洛尼尔管道公司被迫关闭了长达5500英里的管道，并向黑客团伙支付440万美元赎金。攻击事件导致美国17个州和华盛顿特区进入紧急状态，数千万人受到影响。

    或许是叠加了新冠疫情、太阳风事件、科洛尼尔管道事件等多重叠加的“外力”影响，2021年5月RSAC的主题为——弹性（Resilience）。作为建立在弹性上的行业，网络安全行业经受住了前所未有的考验和复杂挑战。

    面对史无前例的网络攻击与严峻态势，仅仅是保持弹性还不够。一直保持改变、演进、变革的网络安全行业，面对瞬息万变的世界，仍需要持续变革。

    2022年RSAC大会主题定为——转型（Transform）。面对因动荡与攻击而影响的信心，网络安全将如何实现弹性，推进行业转型？

    2021“弹性”进程加速

    自2020年起，RSAC大会的议题便有了一个明显的转变，从单纯的技术展望转变成为了思考与探寻。

    2020年是“人的要素”，2021年是“弹性”。

    弹性，是指物体在“外力”作用下发生形变，当“外力”撤销后，能恢复成原来大小和形状的性质。不同领域的弹性含义不尽相同。若提起具有弹性的物体，可能大多数人想到的是弹簧。弹簧的应用，可以在一定程度上减少因惯性或外力改变导致的各种碰撞和损伤。

    根据NISTSP800-53修订版4中给出的定义认为，信息系统弹性包含两种持续的能力：1）在面对不利条件、压力，甚至是退化或衰弱的状态下持续运行、维持必要操作功能的能力；2）在达成任务所能容忍的时间内恢复到有效操作状态的能力。

    RSAC认为，网络的弹性，可以更好地应对变动与变化。网络安全的风险多样、复杂且不可预见，保证网络空间绝对的安全是不现实的，更加具有弹性的网络，要将网络安全的工作重点逐渐从阻止网络安全事件的发生转向缓解事件带来的危害。

    说得更通俗一些，为网络构筑“弹性”能力，可以将网络攻击的影响最小化，快速恢复组织的正常运营，从而为为互联网急速融入生产、生活，提供更先进、有效的安全保障。

    新冠疫情自2020年初迅速席卷全球，原本高速连通的世界停转，让更多人与人之间的沟通交流转到了网络空间；仅在去年这一年中，网络与各个领域的捆绑更加深入——

    新毒株奥密克戎席卷全球，拉高感染人数，进一步加深了人们对于网络的依赖——远程办公、远程旅行甚至远程问诊、远程签约都已经成为了常态；全球性冬奥会在北京如期举行，涉及上万台终端，最终以“零事故”为5G8k、云上科技的冬奥画上了圆满句号；将被载入历史的俄乌冲突爆发，网络领域也成为了俄乌对抗中的前沿阵地之一。

    勒索攻击数量随之快速上涨，据NCC最新数据统计，2021年勒索攻击数量较2020年上升高达92.7%，数量几乎翻倍。

    网络逐渐融入到了世界各个角落的这一年中，我们面临的风险也是前所未有的。需要提高“弹性”的地方，比想象的更多。

    一年内，“网络空间弹性”词条的谷歌搜索指数波动攀升。随着网络空间对抗的加深而进一步上涨。如今再回看“弹性”一词，确有预见。

    攻防对抗加强，

    如何实现“弹性”？

    网络安全的本质在于攻防对抗——“外力”与“弹力”本身的博弈，促进了行业的进化与发展。尽管网络安全投入持续加强，有效应对网络攻击的比例有显著的改善，但仍有将近半数的大型企业未能有效地进行网络攻击处置。

    根据埃森哲对网络弹性的持续调研显示，2020年，接近80%的企业无法有效针对网络攻击进行有效处置；到2021年，已有45%的大型企业能够实施有效的网络攻击防御、快速检测、响应和恢复以及减轻网络攻击损害。

    “外力”侧的压力并未减轻。埃森哲《2021年网络安全弹性状况》中，81%的受访者表示，在网络攻击方法不断演变的情况下，他们无法维持响应成本，高于去年的69%。此外，82%的受访者表示他们在过去一年中增加了对网络安全的投资，而每家公司未经授权访问数据、应用程序、服务、网络和设备的平均数量为270，比去年增加了31%。有67%的公司认为他们的生态系统是安全的，但间接攻击在过去一年中占网络攻击的61%，高于前一年的44%。

    提升网络弹性能力，成为各国相关方的发力方向。我国将网络安全视为新基建的基石。工信部承诺将“加大网络安全投入，推动提升在新型基础设施建设中的占比”，意味着网络安全正在告别事后补救式的建设，提升基础设施的弹性能力成为新基建的要求。

    2021年，美国政府发布了旨在改善国家网络安全的行政命令，强调联邦政府需要“做出大胆的改变和重大投资，以捍卫支撑美国生活方式的重要机构”。除了行政命令外，还引入了几项联邦和立法措施，优先考虑提高网络安全和运营弹性的门槛。2021年12月，英国政府发布了《国家网络空间战略2022版》，包括支撑战略的五大支柱——五项“优先行动”。其中第二项就是旨在建设有弹性和繁荣的数字英国。在传达了务实态度的同时，突显了网络弹性的重要地位。此外，英国正在计划制定新的法律，包括修改《2018年网络和信息系统(NIS)条例》，要求每个英国组织必须认真对待网络弹性。

    只要有外力的存在，在发展“弹性”的进程中，没有松懈、没有休息、没有终点。网络安全行业的使命要求，始终在以类似“弹簧”螺旋上升的形态中变化提升。网络空间弹性面对的不仅仅是行业生存的需求，更是行业转型与发展的需要。

    百年未有之大“变”局下的转型趋势

    2022年RSAC的主题为“Transform”——“转变”或者称为“转型”。RSAC官方表示，随着世界变得更加数字化，我们首先会寻求保护和响应。

    世界层面，网络安全行业在转型，网络空间的“弹性”在逐渐增强。“弹性”与“转型”对行业的重要性在这一年中显露无疑。

    经济的预判，受国际环境、经济周期、行业发展等因素影响。网络安全的行业转型是何趋势？

    这一年中，有太多变动与挫折，世界形势的变化，比想象中更让人始料未及——

    远程沟通的需求已深刻改变了人们的沟通交流方式，数字化场景需求增多；

    全球性会议的5G8k、云上传播已成为标准之一；

    在意识形态冲突加剧背景下，网络对抗有升级趋势，导致各个将网络空间的技术研发、军备投入增加。

    有需求，就有新型商业化发展——利用数字化发展，用更深度的数字化赋能竞争，网络安全将不仅仅与IT行业深度捆绑，而将与全领域各行各业进行深度链接。

    行业将向更加适应新技术，在适应数字化转型下进行横向延伸。

    趋势一、从细分、垂直领域进行横向延伸

    网络安全曾几何时一度被认为是极度具有垂直属性的行业，与IT行业的深度捆绑，让大多数人群并不了解这个行业。

    随着数字化进程的加深，网络安全将在继续深耕自身领域的同时，持续横向拓展。网络安全将从IT的附属行业逐渐形成——网络安全、数字化与各行业的三权分立关系。

    据IDC发布的2022年全球IT行业10大预测中提到，全球一半以上的经济将基于数字化或受数字化影响，网络安全、数字优先成为核心驱动力。另据预测，全球网络安全产业在2021-2025年将达到约9.4%的年复合增长率，相关硬件、软件、服务总投资规模将在2025年突破2,000亿美元。

    在北京冬奥会中，首次设立网络安全赞助商中可以看出，在数字化的进程中，网络安全将成为为各个行业做好底盘保护的不可或缺的一大三角。

    趋势二、新场景迭代快，新技术需要快速适应市场想象力

    网络安全的技术迭代速度将突破以往，以适应不断发展中安全需求。

    科技场景在快速发展，火爆一年的“元宇宙”便是一大证明。未来，Web3、量子技术、数据虚拟化、人工智能、加密技术、机器学习等等，都将成为科技发展下的数字化新场景。

    根据中国互联网络信息中心(CNNIC)发布的第49次《中国互联网络发展状况统计报告》显示，截至2021年12月，中国网民规模达10.32亿，较2020年12月增长4296万，互联网普及率达73.0%。

    未来网络安全的趋势，更需要跳出IT行业之内，站在更高的全球视角去观察。

    趋势三、由合规合法驱动，转向实战需求驱动

    最近的网络安全研究中发现，从2022年2月23日到4月8日，至少有6个黑客组织对乌克兰发起了超200次的网络攻击，其中包含38次破坏性攻击，这些攻击行动破坏和削弱了乌克兰政府的执政能力和军事能力，并破坏了民众对于政府机构的信任。

    基建、供应链、金融等行业，对国家、国民的生产、生活、生存都具有重要作用。当这些关键行业逐渐数字化后，更大的暴露面无疑成为了黑客攻击的目标和标的。

    网络安全行业转型需要更加注重在攻防中总结出的有效实践经验与成果。

    趋势四、数据、科技的主权成为争夺重点

    有位华人科学家在解释回国的动因时说：科学没有国界，科学家却是有祖国的。数字经济不断壮大，数据成为重要的生产要素和重要资源，数据作为搭载重要的市场、生产生活、文化资源、个人隐私、国家重要信息等的载体，数据确权、数据归属必将成为政治在科技领域的前沿冲突阵地。

    网络安全作为数字经济的基石，将成为守住数据安全、数据底盘、数字经济的信心来源。各国除了法律法规的建设，如欧盟GDPR、我国《数据安全法》等，还都在加强数据安全防护能力提升和建设行动。

    世界在转变，行业在转型

    弹性进程继续

    在新冠疫情的背景下，俄乌战争的冲击、供应链安全危机，导致全球日益割裂，层出不穷的网络攻击也在蚕食着人们的安全感以及对未来的信心。

    根据马斯洛需求层次理论,安全的需求是最基本的需求。若无安全感，便无从谈信心与发展。

    据调研报告显示，50%的首席信息安全官认为所在的公司没有准备好应对网络攻击，56%的受访者认为人为错误是最大的网络漏洞，既定的远程工作模式和辞职潮给企业的信息保护带来了新的挑战。

    在经济、市场的双重影响且无法确定的未来之下，如何提升行业用户的信心、提升用户的安全能力，将成为安全公司和安全从业者面临的挑战。

    在Web1.0和2.0时代，用户对互联网平台信任不足。近期大火的Web3核心价值，就是要建立一个安全可信的价值互联网。

    IDC发布的2022年中国未来信任预测提到，数字化转型与安全的结合、快速部署和统一安全的能力等演化的趋势。

    在数字化发展时代，网络安全显然需要不断的演进，以筑牢数字时代的安全基础，赋予各行各业数字化建设以安全感和信心。

    2022RSAC将于6月6日启幕。这一次的会议，或许将为经历了一年疫情、战争等多维变化与挑战的网络安全业界，带来更多的思考与展望。

    关于作者

    包世玉虎符智库研究员