网络安全的十字路口：向架构化转移

针对上述这些问题，在这段时间里，安全技术供应商推出了许多技术解决方案，比如SIEM、SOAR、XDR、UEBA等，但新产品的推出并未使得安全态势有所好转，许多问题依然存在，这导致了市场动态的变化和动荡。

Oltsik说，就在最近，思科收购了Splunk，同时Exabeam与LogRhythm合并，IBM和Palo Alto Networks合作并将QRadar云客户迁移到了XSIAM。从现实来看，其他供应商也陷入了困境，很多乙方正在寻找出路。“这一切都预示着安全运营将发生巨大变化。需要明确的是，我并不是在谈论因生成式AI发展而引起的产品变化，我说的是根本性的安全架构变化。”

在未来几年里，大型组织必须从以产品为中心的安全运营模式转变为架构化的安全态势。需要明确的是，没有哪个供应商能提供整个解决方案。因此，首席信息安全官（CISOs）必须让团队专注于架构组件。

首先就是云架构组件。Oltsik表示，不是所有组织都是亚马逊、谷歌或微软，大多数组织没有足够的计算、网络或存储能力来满足安全运营的要求，这意味着拥有本地系统的组织必须尽快规划云迁移。“请注意，我所说的并不是‘lift and shift’。相反，安全运营系统必须建立在现代云原生技术之上，比如容器、无服务器函数、基础设施即代码和API，这些技术可在未来几年内实现容量的指数级扩展。”

数据方面，Oltsik指出，将所有数据迁移到一个存储库中的观念已经完全过时，这是因为数据量会越来越庞大，而且它们还会不断变化。因此，未来的安全运营必须遵循联合数据模型。“当然，仍有一些数据需要实时传输、移动或处理，所以组织需要改进数据管道技术，比如可以考虑网络安全领域的CRIBL（Cybersecurity Resource Integration and Behavior Language）技术。”

Oltsik表示，开放网络安全框架（OCSF）和STIX/TAXII这样的数据标准将变得更加重要，大型组织应该坚持要求供应商遵守这些标准。“当下许多组织正在实现Databricks和Snowflake等数据湖技术的标准化，我也看到了亚马逊安全湖等技术的作用。虽然这在今天看来很适用，但未来市场上会出现更强大的新型数据管理平台。因此，企业安全运营架构必须具有在未来能迁移或集成数据的灵活性。”

在互联网世界，所有系统之间都必须通过API、传输协议和行业标准才能进行链接。因此，Oltsik指出，在API方面，其必须具备良好的文档记录，同时要为了灵活的使用案例而构建，而不是基于供应商的黑箱。

Oltsik说，与其事后将自动化嵌入到工具中，不如事先将所有可以自动化的环节都先自动化。这尤其适用于一些基本操作，比如查找IP地址、将资产与所有者关联、使用威胁情报丰富警报，以及使用VirusTotal检查文件样本等。

除此之外，安全运营系统必须配备灵活的工作流和运行手册，这些工作流和运行手册有助于安全分析师更好地调整运营状态。Oltsik表示，适合的流程、制度、指南可以轻松定制与IT服务管理工具或CI/CD管道相关的集成。“对于架构化的安全态势来说，制定工作流和运行手册的通用语言标准是非常必要的。”

另一方面，正如许多人所建议的那样，当下的安全分析师结构从根本上来说存在一定的问题。Oltsik对此表示：“我们需要的不是那些只会观察屏幕的角色，而是需要真正能操作键盘的人才。作为其中的一部分，持续检测工程/检测即代码等至关重要。此过程应该与持续的红队测试相结合，目标是建立以MITRE ATT&CK框架等为指导，并能基于威胁的防御。”

Oltsik指出，“将所有安全信号整合起来，以弄清混合IT基础设施中正在发生什么”的想法是错误的。“我们应该尽可能在本地通过CASB、EDR、ITDR、NDR和SSE等技术解决问题，同时在整个架构中共享数据。为了做好网络攻击调查，我们需要某种类似于Palantir的链接分析技术层，来查看庞大、分散且看似不相关的数据集。”

这是一个大主题，Oltsik研究了多年，但他并未公开所有的总结，只阐述了一些他个人的想法。“大多数组织可能没有资源来构建、维护这种类型的安全运营架构，所以他们会转而去寻求托管安全服务提供商（MSSP）来完善自己内部的安全态势。然而，我们需要记住的是，MSSP们将需要重新构建自己的架构，以具备能服务客户群体就规模、智能和自动化方面的能力。我需要再次强调，并非所有MSSP都能为组织带来积极的改变，CISO对此必须谨慎选择。”

至于生成式AI，在Oltsik看来，其更像是一把双刃剑，一方面生成式AI有助于提高分析师的知识和效率，另一方面，威胁行为者同样能利用生成式AI为网络攻击做出更好的布局，比如勒索软件攻击、数据盗窃等。

Oltsik表示，“集体防御”将是另一个流行趋势，而其正好是生成式AI可以大显身手的领域，通过监控多个组织的威胁和响应，生成式AI可自动在客户群中分享最佳实践。“当然，MSSP在此领域中也具有明显优势。就我个人而言，非常希望MSSP们能在整个网络安全社区中，分享他们从已安装基础中所学到的经验。”

架构化网络安全方案相较于传统网络安全方案，其优势主要体现在以下几个方面：

首先是全局性和系统性。架构化方案采用全局视角，将网络安全视为一个整体系统，而不仅仅是分散的安全工具或技术。

传统的网络安全方案往往关注于单个的安全点，如防火墙、入侵检测等，而架构化方案则通过整合这些工具和技术，形成一个协同工作的安全体系。

其次是灵活性和可扩展性。架构化方案具有更高的灵活性和可扩展性，能够根据企业的实际需求和业务变化进行调整和扩展。

在高效威胁处置方面，架构化方案通过安全工具集成，加强了安全数据采集和预测分析之间的协作，能够更快速、准确地获取安全态势，及时发现并应对安全威胁。这大大提高了对违规和攻击事件的响应处置能力，有助于企业减少安全事件的损失。

就像Oltsik说的那样，架构化的安全态势可应对更为复杂的环境，比如混合云和多云等复杂环境中的资产保护。另一方面，架构化方案通过统一的管理平台能对网络安全进行实时监控，实现对网络安全的全局掌控，这有助于企业及时发现和处理潜在的安全风险，保障业务的安全稳定运行。

至于成本效益，虽然架构化方案的初期投入会高，但从长期来看，其能够降低企业的整体安全成本。比如，通过统一的管理和监控，可减少人工干预的需求，降低了维护成本；同时，高效的威胁处置能力也减少了因安全事件导致的损失。

对于企业网络安全产品是否应该转向架构化，之后的趋势又是什么，国内安全专家如此建议。

西卡（上海）安全负责人童元表示，企业网络安全产品必然要转向架构化，其有两个重要的变化推动了这一趋势。

首先是来自安全观的演变，从最早的终端防御，态势感知，到整合了威胁情报的SOC可知，对可视化、及时性，甚至预见性的要求越来越高，而要达到这些能力必须要求安全解决方案既能从垂直方向覆盖组织每个角落，并获取各种状态数据，同时还要横向及时掌握最新的威胁信息，最后还要有能整合，分析全部数据信息并给出响应的能力和机制。要做到这些，只依靠部署各类解决单一问题的安全产品，即便品类非常齐全也是无法实现的。

其次，来自组织信息安全边界的不断打破，甚至消失，对于业务持续发展，并且没有特殊行业限制的组织来说，高度灵活的云解决方案是唯一合理的选择。然后当高度依赖单一云资源后，通过多云异构来保护企业业务持续性又成为另一个合理的选择。而每一次的选择都意味着原有安全边界的打破。在此情况下，信息安全解决方案需要同时覆盖云上云下环境，甚至是多个云上环境加多个云下环境，如此复杂的情况也是安全运营架构化的重要推力。

童元说：“其实西卡（上海）早在两年前就完成了整体信息安全防护体系的重构，安全运营设计就是从体系化出发，并且对后期增加的安全组件与已有架构的兼容性、整合性的考虑都融入了设计当中。建议还未出发的企业，在后续安全解决方案的选择上，要首先考察其是否支持软部署或云化部署。其次要考虑系统延展性，比如安全运营中心解决方案，不仅要考察其可向下整合的能力，比如可否整合终端安全解决方案，可否整合流量安全解决方案。还要考察其是否可以向上整合。比如可否成为更大的安全运营中心的一个数据源。

此外，中国移动上海产业研究院高级安全专家唐双林认为，网络安全产品及方案向架构化转变是未来的趋势。近年来国内各类网络安全攻防演习暴露的问题，说明了单点的安全防护和简单的纵深防御防御手段已经无法抵御可能的网络攻击和网络渗透行为。随着AIGC、5G-A/6G、算力网络、元宇宙等新兴技术的引入，传统数据安全的边界也变得越来越模糊，亟需一种架构化的体系方案来保障网络安全可控，数据安全可信，从而实现安全可管，可控，可信的目标。

唐双林介绍，中国移动以号卡优势，提出了一体化全程可信的安全解决方案，并逐渐应用于人工智能、算力网络、工业互联网、车联网等战略性新兴产业。中国移动上海产业研究院基于此提炼的“3+3+3”的数据安全监测与溯源立体方案，通过引入零信任、行业模型数据分类分级、API数据安全管控等技术，有效解决了数据量大且复杂、API接口管理缺失、数据流动难以追踪等数据安全问题，缓解了工业互联网及车联网应用的数据安全风险，成功入选了2023年度上海市“浦江护航”数据安全十大典型案例及工信部2023年度电信和互联网领域典型案例。

另一方面，某金融科技公司安全专家蔚晨表示，安全产品架构化的趋势就如同基础设施云化以及应用容器化的趋势一样，都是必然会发展的方向。现如今，基础设施的云化，从主机组件、网络组件、中间件组件，以及存储组件都已经进入软件定义的阶段，如果安全产品还仍然采用异构低耦合方式进行运营，这必然是不能满足IT架构的要求的。

蔚晨说：“尽管如此，我仍然认为按照现在国内IT发展的速度，以及对应匹配的安全内生需求现状，谈架构化还为时尚早。安全产品的全面架构化必然是一个极其漫长的变化过程，首先可以先从监测端做起，因为应用安全监测、数据安全监测必须适时匹配应用及数据扩展的变更需要，将相关监测工具的架构化，与应用数据进行紧耦合式适配，将极大的降低安全运营的难度，同时提高响应的及时性，对重点应用及关键数据的安全监测提升效率，提高准确度，同时监测端安全产品嵌入应用程度低，不会对实际业务产生较大影响。然后才是控制端的安全产品架构化替换升级，这对企业安全技术、安全管理、安全运营人员的能力提出了很高的要求，企业还要在成本和效率间做好平衡。在如今企业对于安全的投入还处于合规以及基本业务安全需求的阶段，这种大投入其实是比较困难的，只能说长路漫漫，我们还需要不断努力和前进！”