过去三年间,各行各业都面临充满挑战及不确定性。回顾过去,展望未来,网络安全和信息安全都有诸多新变化。推陈出新,一直是安全行业给大家的时髦印象。期中,安全事件层出不穷,不断制造话题,但这也一直是安全行业发展的驱动力。从未知到已知,从已知再到驾驭,安全行业也遵循着自然规律。
新技术,新模式,新常态,这些都算安全行业的燃料和灵感来源。因此,这个行业异常热闹和有趣,对抗和攻击永远存在,防止数据泄露和提升数据安全是这几年的热点,云和边缘计算带动安全新风向。
最近邮箱里不断看到各家媒体和安全厂商对 2023 年的预测,有很多预测类文章发布。这里,我也凑个热闹,分享一下自己对过去三年的总结和对未来的展望。仅个人观点,供大家讨论和交流,谢谢!
1. 近三年来,安全热点词汇观察。
在 2020 年, 看到热点词汇是 Resilence 弹性和 supply chain,供应链及软件组件物料管理,安全领域的供应商及弹性是热点话题。有各种各样的第三方风险和供应商风险,也有软件和漏洞方面的,来自外部的威胁和安全事件。移动办公场景的账户身份安全及数据安全,这一年,数据泄露和勒索软件成为组织安全团队面临的头号问题。
在 2021 年,看到热点词汇是身份认证和零信任, Zero Trust,Cloud Identity,Passwordless 及MFA(Multifactor Authentication),FIDO(Fast Identity Online),基于风险的动态身份认证。在身份管理和治理大潮下,组织开展很多基于角色和帐户的治理和一些有针对性安全提升(两步验证及动态口令)。
个人信息和数据安全成为组织合规部门的重点工作内容,企业和组织面临数据保护合规性和来自社会舆情的双重挑战。
在 2022 年,看到热点词汇是基于风险的评估和可持续性的安全。多云环境安全,数字化系统环境安全。安全产品和相关解决方案,围绕企业和组织的业务展开。针对混合云环境的资产梳理,配置及合规检查,影子 IT 系统的跟踪,资产及关键资产可视化提升,业务风险和安全风险汇总分析,业务连续性管理及计划。
工业及制造业中 OT 网络安全策略及远程访问控制策略调整,因为远程访问及办公场景增加,5G 和 WiFi6 的高速互联互通场景,改变企业之前网络及安全架构。组织更加关注暴露面和安全漏洞,开始重视防止勒索软件和防钓鱼邮件。同时,组织针对安全咨询和安全规划,安全架构设计等新项目陆续启动。
综合过去三年,安全行业在高速发展中,迎来百花齐鸣的阶段,我特意整理如下5 个方面的发现和观点。
1.1先看基于风险,Risk-Based 的安全产品和安全理念。谁是我的特权用户,那些资产是组织的关键基础服务,众多组织在过去几年种,完成安全评估。其中很多信息安全评估都会进行风险分析。在安全产品和安全框架考量中,也纷纷引入风险控制和风险分析。很多产品和解决方案也都基于风险进行计算和分析。以数据驱动数字化安全,风险量化已经深入组织,很多安全产品也支持通过财务模型进行风险量化分析,能够准确定义安全和风险价值,肯定会极大促进安全行业的发展和增长。
1.2再看持续性,Continuous。也许是因为疫情三年带来太多的不确定。组织在业务连续性方面积累很多经验和教训。安全部门和团队也紧贴业务需求,进行很多针对连续性设计和考虑。无论是基于业务方面,还是基于第三方供应商,供应链的连续性管理及预案。安全团队也针对安全可持续性进行重点设计和提升,或制定连续性计划和安全弹性能力计划。安全团队需要为保障业务及运营连续性添砖加瓦。
1.3数字信任,Digital Trust。媒体普遍观点表示,疫情之后,信心恢复是最艰难的和最漫长的。回顾安全行业,近年来安全事件层出不穷。面临风险如何缓解,有效治理确保稳定,组织如何表现出信任和信心,如何在安全性和可用性方面建立信心,在安全和隐私方面建立信任。因此,数字信任这个话题越来越重要。
职业道德与廉政正直,透明度和诚信负责,稳定性和弹性代表组织的信誉与品牌。数据和隐私、人工智能、网络安全,代表着组织对这些数字技术是否有足够的投入和关注,客观反映组织安全建设能力及体现客户期望值;管理和控制数字技术带来的风险和收益,是未来一段时间,组织建立数字信任和高速发展的基石。
1.4供应链安全和开源软件的安全性,外采软件也需要安全团队持续跟踪安全威胁及漏洞。组织中涉及第三方的软件安全,已经在过去三年内中引起足够多的重视;安全漏洞及威胁,始终持续监测;数据泄露和勒索软件事件,持续防护;软件组成及物料管理,一直是过去三年的热点话题。
1.5数据和隐私,将会是组织在未来几年面临的一个挑战,跨境数据及大数据安全,将会是 2023 年的热门项目。基于数据生命周期的全链路监控,数据分级分类及标签标识,数据加密及存储,数据脱敏及隐私计算,数据防泄漏及访问控制。隐私保护及数据合规,更多合规和风控团队的介入,以及律所等专业法律团队的辅助,安全团队快速追上业务发展,持续合规。
2.对过去的感触
安全团队面临的最大挑战可能不再是技能,而回到最初始的财务问题上,没有充足的预算,没有足够的经费,没有财务的支持和底气。从技能开始,到工具及自动化,安全理念和安全原则公理可能是初心。
2.1技能改造,Learning。面对安全团队技能提升也包括业务影响分析能力,业务影响分析business impact analysis (BIA) ,让安全团队更懂业务,更加融入业务。业务连续性管理(Business Continuity Management)安全团队需要学习和理解,业务连续性中那些大安全方面的经验和技能。
2.2云安全,Cloud Security。云安全和新兴技术的结合,容器化和边缘计算技术带来新的安全挑战。混合云CIEM(Cloud Infrastructure Entitlement Management) & Dynamic Resource Entitlement & Access Management (DREAM)。云环境的配置错综复杂,新技术采用更为广泛,确保基础的配置正确和安全有效。容器及 API 访问安全,会是安全团队新技能的重点学习方向。
2.3响应,Response。近两年来,几乎所有安全产品和技术,都在提升响应的理念。安全团队,不仅仅是要防守。不近是检测和预防,需要继续提升响应能力。XDR 技术的出现,帮助组织快速发现和响应及处置安全事件。无论是 ITDR(Identity Threat Detection and Response) 还是 TDIR(threat detection investigation and response)。ITPR 基于身份的检测能力已经很强,借助 AI 人工智能的帮助,帐户行为已经很容易识别和防御。安全公司开始关注 prevent防御及之后的Remediation 修复。能够快速进行修复和响应,是身份及账户安全的一个新趋势。
2.4深度防御,defense-in-depth。其实这原本是一个很老的安全设计原则。但是今天来看,依然是安全团队的核心战略。希望,更多的安全团队,不忘初心,回到这个原始概念上。这里借用 Gartner 定义,以人,技术和运营能力,三位一体,跨越组织多层,建立可变的安全屏障。
无论技术如何变化,无论产品如何堆叠,防守一方,一直在补断完善和加固组织的纵深防御能力。安全团队,针对暴露面威胁分析Threat to Exposure Management,将组织资产和暴露面进行分析,并集成威胁情报进行威胁分析,更加精准的防御。
继续向北
3.对未来的预期
又是一年的年度预测时间段,不同于跨年演讲,不需要激情演说。虽然,在安全圈似乎新的技术和新的突破不多。但是,在未来的新兴技术中,安全已经成为标配或者基座,例如 5G,区块链和量子计算。在过去三年里,我们还是看到很多零信任和风险的话题,数据泄露和勒索软件等,2023 年这些热点还将会延续和继续。
10.组织中安全团队的Cost预算和人力资源,内部沟通和跨部门协作,技能提升。
以上,仅是汇总和整理,并未详加分析,也并未进行合理的排序和MECE分类。感谢理解!
对未来的预期,也应该从单纯技术视角轻微转移一下,这节关注安全服务化,下一节考虑安全产品。安全服务是最贴合组织的现状,并且迎合组织的风险偏好,在服务领域还有很多值得期望和更多空间。
客户需求并不是一成不变的,不是只买货或者买人力服务。需要安全服务商能够看到,组织中信息安全管理 Information security 和 安全产品运维cyber security 之间的那个结合部(三不管地带)。
通常,客户会请安全咨询公司来看 Information security,请国内厂商和代理商,来外包和运维安全产品。其实,我可以理解还有一个空间,是安全咨询,security consultant,安全架构和 安全风险及治理,这部分,需要有安全专家和行业经验,帮助客户从制度落地到安全策略有效性进行 管理和治理。如果放到,安全成熟度,就是从产品到运营,从交付到有序管理,需要有自我不断服务提升和完善的一个闭环或者驱动。
前者,Information security信息安全 主要完成 合规性和制度完善,满足监管一切要求。从管理和治理的角度提升安全控制,缓解安全风险和合规遵从性。
后者,就是服务水平协议SLA(Service Level Agreement)体现,考验安全产品有效性和运维人员动手去管理和配置安全产品。利用安全产品和技术,进行防御和主动性检测及保护。
其实,我们看起来,二者结合之中间这个部分,原先都是组织中安全团队来亲自管理。但是从专业性来看,还需要做基于风险的评估和管理,同时需要基于有效性的验证和检查,最终需要闭环的自适应和持续性提升。更多组织中安全团队还兼顾考虑业务弹性和业务连续性,安全团队也需要安全的弹性和连续性以配合业务进行。
我目前接触的几个客户都遇到,云原生带来的安全挑战,集中化管理,策略及颗粒度一致性,新旧环境的现代化,逃避老系统和老环境的安全薄弱环境。抓新放旧。传统安全厂商产品上云和云厂商基于云环境打造安全产品。
合规驱动,数据和隐私安全的合规要求,来自国家和监管的要求,来自外部安全威胁的挑战,针对内部的安全意识培训,组织的安全团队,需要借助来自外部的安全服务商,提供有价值的参考意见。对法规和行业的理解,对安全能力摸排和提升能力,对组织安全团队现有工作开展的指导和参与治理及测评。
安全服务创业团队,未来会将自身拥有的安全经验和知识,转化到产品化,服务化。
安全架构和规划能力,安全服务不再局限于合规遵从和体系治理,从公司战略到组织架构,从业务架构到安全架构,从业务能力到安全能力。组织和企业需要更多既能够懂业务和流程,还能懂风险控制和安全设计的专家,帮助组织在合规落地和安全建设方面,持续改进,持续提升,持续防护。
安全产品方面永远有新的场景和新的赛道,安全产品碎片化依然很严重,技术堆叠和场景繁杂。好用的产品和技术并不矛盾,但是产品稳定性和前瞻性代表安全服务商的综合实力,云服务化、SaaS 化,服务化都在影响和改变着产品的交付形态和业务模式。好的安全产品一定是效率和性能的最佳平衡点,叫好还得卖座。专注单一场景还是通用场景,各有利弊,安全产品需要专、精、深,也需要抬头看看场景和客户对服务的需求。
目前看到,安全公司更加注重提升安全咨询和顾问服务的能力,协同作战。不但将产品体系化,解决方案化,还为客户提供端到端的交付方案和一站式服务。
产品之间的耦合和开放性,已经有很多安全产品支持标准的接口和协议,开放式或者平台化安全产品集成能力,更能吸引客户的关注和青睐。
冬日
4.总结
如冬日暖阳一般,阳光已经渐渐洒满树梢,接下来就是树枝和树干。回顾过去,展望未来,冬去春来,广袤的大地上,又会是一片欣欣向荣之境。周而复始,安全行业也在探索未知的世界,不断涌现新的技术和领域。知识和经验的积累,不断试错和纠错,放下已知,拥抱未知,寻根究底。
技术绝不是万能的百花筒,管理也不是灵丹妙药。结合我多年以来的工作经验,使用工具,确实会帮助组织和企业快速定位问题和解决问题。尤其注意的是,工具和领先的技术并不一定高效和完美,从成本角度来看,安全团队在极其有限的预算空间下,需要平衡性能和价值。但是,抵触工具和自动化,更多使用人工和廉价劳动力,最大化使用开源或者免费的工具,这似乎又走入另一个极端。
其实,安全没有银弹,并没有它山之石和苦口良药,大部分组织都是寻求一种平衡和多样性,我也看到过很多朴素的技术和管理,知行合一,不断提升效率和成熟度。有些人喜欢下苦功夫,有些人喜欢抓重点突破,有些人喜欢最求新技术,新理念,新框架。所有这些都是推动安全行业和技术发展的源泉和动力。
最后,安全产品和服务并行,咨询和落地实施并举。希望大家继续多听,多看,多交流。任何一个行业都可以数字化重塑,任何一个安全事件都值得反思,任何一个安全从业者都应该受到尊重。
郑磊于2022年12月
作者介绍
RECOMMEND
还没有评论,来说两句吧...