2023年尾对安全市场和技术发展的十个观点

距离2022年9月发出最后一篇小作文过去了一年多，想想冯小刚都已经为13年前的《非诚勿扰2》拍出第三集并即将放映，看看国内安全市场和技术，有必要说点什么，避免留下一整年不动手的空白。

十个观点，不是对未来技术发展的系统化预测，仅仅希望对行业发展给一点建议。

1. 需要清醒认识甲方和乙方在产品、方案设计方面的出发点存在巨大差异

初创型公司往往从市场热点、自身技术特长、启动资金规模（很多时候这直接影响了公司的技术研发决策）出发，启动自身产品规划、研发、市场推广，在提升发展规模的阶段，会向技术相关性高度相关、建设生态方向扩展，提高价值、客户粘性。因此，他们的产品往往不是甲方安全技术体系中的有机组成部分，而是不上不下、不左不右，有价值、但与其它技术交叠，能从某个角度解决部分问题，但不一定从根本上用最优的方式解决问题。比如，某些公司所谓为弥补用户现有平台技术不足而推出的独立于SIEM、态感的SOAR，重复获取安全告警等数据，而不是从现有技术升级的角度推出产品；某些公司仅仅从关注事件应急角度推出狭义化的SOAR，并将安全运营内涵局限在其中，而不能从“风险管理”、“生命周期管理”、“预防为主、应急为辅”的角度给出全面的安全管理自动化解决方案，系统思考风险要素采集、检测分析、处置指令生成、驱动风险姿态改变等各个组件的合理化规划和建设。

综合性公司一般具备了综合性解决方案、一站式产品提供能力，但也只有那些真正完成了按照甲方高效、低成本建设需求和安全技术自身发展规律进行了产品体系规划升级、而不仅仅是通过并购或者OEM等方式搭建成品线的极其优秀的公司才可能为用户提供对路的产品。在国内不健康的市场环境下，很显然，能够发挥技术引领作用、而不仅仅是用炒作概念收割市场的公司远远没有达到甲方预期。

在甲方按照国家法律法规要求和自身安全防护要求进入综合考虑网络安全、数据安全、内容安全整体解决方案的年代，特别是在云、虚拟化、容器技术日益普及，安全策略管理粒度日益精细的时期，甲方需要充分认识到网络安全、数据安全、内容安全既有侧重，但更是互相依赖、互为影响，解决方案自然需要统筹规划，而不是重复建设。

在甲方从三大件、五大件的采购阶段进入通过综合防护追求效能、通过系统运营发挥价值的阶段时，需要抛弃某些机构繁杂、重叠的产品、技术分类影响，抛弃太多的乙方因为自己有什么而进行疯狂市场营销的影响，通过顶层设计、有序引入适合的产品、技术，引导这个不健康的行业走向良性发展。

2. 零信任之路即将进入摩擦期

毫无疑问，从降低非法攻击入口、对正常用户进行持续检测以规避滥权的角度来说，零信任技术理念当然是正确的。但从其技术要点来说，SPA、PD、CE、PE等逻辑组件的发展并不是处于相同的成熟度，因此，甲方需要对市场上的过度营销保持高度警觉。

隐身技术、简单且高度准确的验证技术、加密技术能够立刻体现零信任理念的好处，但是所谓通过UEBA、态势感知、SIEM等检测类平台实现持续检测和授权控制的技术，则因为国内太多公司在UEBA、态感、SIEM这些概念上的持续炒作而并没有在每个时代彻底解决其根本问题的现象广泛存在，高误报率是不可能被实时访问的用户所接受的，高漏报率、误报率决策也不可能为零信任技术提供宣称的价值。

将零信任技术和身份管理技术对立化甚至孤立并存的现象也是广泛存在，而忘记了在零信任架构下以身份为核心建立持续验证的核心内涵。

在大量的用户为解决南北向访问、引入网络隐身及部分精细策略实施控制的能力之后，由于不成熟的多维度验证能力陷入停滞、应用发布、用户访问易用性等问题凸显，零信任从最初的狂热进入冷静期。

详细的观点在之前的文章中进行了叙述，不再赘述。

3. 甲方、乙方的安全视角不同

白客甚至黑客创建安全公司是高概率事件，因此大多数安全公司是从“外部”攻击者视角看待安全并提出解决方案。从安全攻防的角度似乎没有什么问题，但从有“非对称战争”的角度看，则问题重重。

甲方在安全攻防中掌握的防护对象信息和攻击视角下所能掌握的信息量存在天壤之别，因此在掌握丰富的资产对象、运维环境信息条件下，甲方的预防、应急技术能力建设必须从这个基点出发。

4. 安全公司生存问题

有博文谈到安全公司生存不易，除那些引入具有客户资源的战略投资方的安全公司之外，大多数处在亏损的边缘，提出了通过控制成本活下去的结论。

面对维护一系列高不成、低不就的产品，面对维护无数的可能压根儿入不敷出的版本，内部人员没有共享机制的重复劳动，最低端的价格战恶性竞争，成本控制当然重要。但是，在建立真正攻克某一方面安全问题的技术壁垒、满足甲方需求的产品前提下，共同推动用户成熟、市场规则更加监看，降低成本这一永恒主题才会帮助公司行稳致远。

技术不行的公司只能依靠关系、概率生存一时。

5. 安全运营概念逐步清晰但技术核心亟需突破

通过近期腾讯云安全解决方案发布会、几个头部安全公司的产品介绍，可以看到国内安全厂商对安全运营概念的认识在不断提升。两个主要印象，一是从炒作侧重事件检测应急到关注整体风险，也就是面向资产及其脆弱性管控和事件应急在内的全面检测应急，二是从静态的少数脚本支撑到系统化的基于AI、大模型理念，并提出人、流程、原子能力自动化协同调度的自适应技术升级。

个人判断，这只是开始。只有关注甲方围绕风险管理、合规要求等日常安全工作的全面内容进行的安全运营才是真正的安全运营；只有解决甲方常态化风险要素检测、变更管理、重保及接访、层级管理等多场景的解决方案才是真正的安全运营；只有全面支持面向全生命周期安全管理的人、流程、原子能力自动化协同调度等技术能力，才是一站式的安全运营技术。

AI特别是大模型，在投喂现有技术储备的情况下，可能难以达成所愿。特定的安全攻击方式的不确定性、防护对象脆弱性的不确定性，并不等于攻防方法论的不确定，因此才有了ATT&CK框架。因此，在寻求解决方案时，首先基于ATT&CK、安全自适应等已有的成果，在全面建立运营流程的前提下，通过引入较为成熟的RPA（机器人流程自动化）、AI等技术，就能够大幅度提升安全水平。

6. 国内阉割ATT&CK行为大行其道的恶果

ATT&CK是一个优秀的从攻击、防护两个视角进行系统化梳理的技术框架，从部署监测探针、攻击拦截、风险消除或者抑制不同层面给出了解决方案。也只有同时推进不同层面的建设，ATT&CK才能发挥作用。

这些年来，国内推动ATT&CK落地往往发生在态感平台建设过程当中，而没有或者很少有乙方主动帮助甲方、或者甲方基于系统规划主动构建其赖以生存的底层安全能力，怎么可能单纯由SIEM、态感对标ATT&CK？

最终的结果就是ATT&CK很好，而底层能力千疮百孔、平台能力或者缺斤短两或者成为无源之水、无本之木。

7. “内生安全”内涵不可以恶俗

在安全技术体系当中，由信息系统自身具备安全能力、减少安全脆弱性是安全基石之一，与必须外挂的安全能力、综合安全平台相得益彰。

但是，刻意将外部能力、运营能力归到内生安全而可以解释，就有点搞乱安全技术体系的嫌疑了。内生安全不可以泛化，与“市场的归市场”是一个道理。

个人理解，内生安全技术将重点在实现方式、能力方面实现突破，如引入机器学习机制在相对确定性环境下建立访问关系、行为白名单的动态分析与控制技术，引入更强的访问控制能力，引入一定的蜜罐密网技术能力等等。

8. 安全体系规划咨询更加重要

在强化技术原子能力协同、动态安全攻防、综合考虑网络安全、数据安全、内容安全的时代，在运营为王的时代，单点式、拍脑袋的技术部署已经完全不能适应要求。

引入独立于安全产品厂商的第三方进行系统化、一体化规划设计，是确保降低成本、有序发展的最佳方式，详细观点请参考上一篇《短评快语：在乙方依靠贩卖热词续命的环境中，甲方如何保持冷静》。

9. 超级终端安全组件加速到来

在传统防病毒、木马客户端技术基础上，随着EDR技术的兴起，客户端能力逐步增强，从攻击检测、应急响应角度进行了全面提升。从安全管理“资产、脆弱性、威胁”三要素来看，需要进一步整合、提升客户端在支撑集中化安全资产管理、合规性检测、与SIEM、运营平台之间的交互等方面的能力，构建一体化的安全客户端，降低用户为实现安全管理而带来的给类客户端的部署成本、维护成本，提升上层平台需要的安全数据获取能力。