人类社会从农业革命、工业革命、科学革命发展到现在的数字革命时代,生产力不断提升,生存方式进行了多轮的演进。数字缔造了新的生产关系与生活模式,使人类向智能时代又迈进了一步。数字的价值不言而喻——事物价值越高,存在的风险也越大,对数字的价值所面临的风险进行控制,就是我们今天要讨论的安全。
我们跨入数字时代是依托于技术的发展,但安全的本质却不单单是技术问题,不能只从技术视角来探讨。安全问题虽是由技术缺陷所引起的,却是因为业务本身具有被攻击和被利用的价值,才会形成真正的问题和事故并产生风险和危害。经济利益、政治因素、人文思想都是产生安全问题的原因,所以安全不仅仅是技术问题,也是经济问题、政治问题、人文问题,甚至是哲学问题。
了解了安全的本质,就不难衡量安全的重要性与解决安全问题的方法与思路了。在2017年伯克希尔哈撒韦公司股东大会上巴菲特曾说:“人类所面临的最大的威胁是网络攻击”。核设施被破坏,是关键基础设施被网络攻击破坏的案例;个人隐私被泄露,造成网络诈骗案件屡见不鲜,国内电商和直播平台都遭受过黑客攻击事件,谷歌德国GDPR违规损失5000万欧元罚金,Uber全球规模的数据泄露承担了1.5亿美元罚金;还有一直声称被黑客操纵的美国2016年大选。从人到组织到社会到国家,数字带给人类的价值在哪里,网络安全问题也就出现在哪里。如何更快速、更有效、更全面、更长远地解决安全风险,是我们这个行业的从业者要去解决的问题。
行业监管:合规与效果并重
由于数字时代带来的更加严峻和更加多样的网络安全威胁,国家监管层面意识到问题的重要性,近几年密集出台了多套组合型的法律法规和相关政策。《网络安全法》作为安全行业基础法,从维护保障网络空间主权和国家安全,服务于国家网络安全战略和网络强国建设,助力网络空间治理护航“互联网+”的战略高度开展监管。在网络安全法颁布之后,更多配套的法律法规从个人、企业、关键基础设施、社会和国家等层面全方面组合管控,包括《中华人民共和国个人信息保护法(草案)》、《中华人民共和国数据安全法(草案)》、《中华人民共和国密码法》、《网络安全审查办法》、网络安全等级保护2.0制度等。还有许多各行业的网络安全法规,在此不一一列举。
安全合规是基础,法律法规在督促着各类客户走向合规。然而早期很多企业仅仅只是为满足合规要求而购买安全产品和服务,而非重视安全产品和服务实际带来的效用以及对企业切实的防护能力,更不要说完善企业安全防护机制了。而如今,随着形势的演变,攻击的纷繁复杂以及国家为安全防护做出的努力,使得这种“为合规而合规”的现象也有所改变。 从2016年起,国家各级政府部门不断加强对网络攻防实战的重视,全国掀起了网络安全攻防实战演习热潮。在国家有关部门的合理推动、参演企业的配合下,将网络攻防的严酷现实展现在大家面前,使得各级领导开始放弃幻想,真正重视网络安全能力建设。网络安全实网演习成为加强安全建设,提升安全能力的重要手段,驱动客户从追求合规到追求合规和效果并重,意义深刻且具有前瞻性。因此,从管理上来说,要求企业 “机构”“制度”和“人员”三要素缺一不可,要实现安全的运维管理;技术上,从安全区域边界到安全计算环境,企业应从内到外实现整体防护,这种变化对市场产生了巨大影响,真正有效的安全产品和具有安全服务能力的厂商在市场竞争中已经得到显现。
安全厂商:网络安全创新
在网络安全行业这个领域,创新的目的不是利润最大化,而是为客户创造出“新”的价值,把未被满足的需求或潜在的需求转化为机会,并创造出新的客户满意度。我们把创新分成了两类,“解决一个没有被解决的问题”是突破式创新,对应创造出增量市场,而“解决一个没有被解决好的问题”是迭代式创新,对应在存量市场提升竞争力。创新的路上都是机会与风险并存,面临的挑战也会有一定差异。突破式创新性强,但风险也高,一方面是存在被成本效率更好的方案替代的可能,另一方面需要花费较长时间教育市场。迭代式创新是一种微创新,与突破式创新相比,市场接受度更高,但也将要面对存量市场的激烈竞争,市场能力强的头部企业后续也会快速跟进。
市场需求成为了网络安全产业创新的驱动力,至少体现在以下几方面:
一是技术革新驱动的创新。回看过去十年间全球范围内的网络安全初创企业,由基础技术的升级带动的创新基本是这些企业的共性。这类创新大部分都是用新的技术对市场上旧的产品进行优化升级,例如SOC、SIEM类的产品其实在15年前就已经存在了,由于大数据和人工智能技术的进步,利用大数据和人工智能技术将之前分析效率低的产品进行重构,提升产品的适用性和效率,这种迭代式创新用新技术为客户提供了更好的解决方案。在威胁检测、行为分析、身份访问控制、应用安全和数据安全等领域,人工智能技术也大大提升了安全防护的效果和安全产品的能力。
二是应用场景驱动的创新。过去十年间用户应用场景最大的变化就是业务上云,原有针对数据中心的防护方案逐渐失效,而云上的安全怎么做?这种新的需求带动了新的市场,同时新的理念也被提出,零信任网络架构正是为了解决在边界泛化以后,动态边界时代的网络安全问题。另外随着4G、5G网络的发展,加上疫情的影响,移动办公、远程办公的工作方式越来越普及,更多的员工通过运营商网络直接访问内网链接和数据,原有的解决方案也面临失效问题,新的方案应运而生,例如SASE、CASB都是为了保障在企业远程办公或未来无边界状态的重要创新理念。未来5G时代的到来将会有更多的IoT设备接入网络,对于安全来讲都是重大挑战,且5G也将会带动新的应用场景的出现,与之相关的安全问题也需要重点关注。
还有一种驱动力是交付模式驱动的创新。十年前安全的交付形式以软硬一体的网络安全设备或者软件为主,这种情况下产品只是工具,易用性较低,对人的要求较高。近些年国外网络安全产业率先采用了软件SaaS化交付形式,以WAF和抗DDoS产品为例,原来硬件类设备的交付形式现在变成了云WAF和云抗DDoS。在欧美市场软件SaaS化已经广泛应用,例如身份认证即服务IDaaS(典型厂商OKTA),还有实现了终端安全软件SaaS化交付的CrowdStrike等。国内由于应用场景的差异,进展稍微缓慢,但是WAF和抗DDoS类产品的SaaS化基本也已经完成,并且广泛使用。另外为企业解决网络安全人力不足的问题,安全公司推出了托管式的安全运营服务,不再要求客户具备很高的安全技术水平,将产品和服务融合为客户提供更好的网络安全保障,这种理念在国内已经得到了广泛的市场认可,具备较大的市场空间。
客户价值:让客户切实感受到安全的价值与作用
随着产业的创新和发展,网络安全产品在不断的革新,易用性也在提升,但离非专业用户也能很好使用网络安全产品还有很大的距离。真正做到真实有效地提升客户业务风险的抵御能力,真正做到避险与控险,不仅要有好用的工具,更需要人的配合。产品的优化使得工具对人的要求不断降低,虽然时间成本和管理成本在减少,但随着数字化进程出现的网络安全人才缺口依然有扩大的趋势,所以客户真正需要的是安全产品加安全服务的联合价值。网络安全从业者只有几十万,但需要保护的企业数量达到千万,解决这个矛盾的唯一途径就是云化的安全服务。
安全服务的发展使网络安全的价值被盘活,安全服务这项业务本身也在不断地升级,逐渐走向“安全即服务”的趋势。更加清晰的权责分配、更快速的应急响应、更准确的分析研判、更直观的安全报告、更系统的安全运维、更有效的培训认证以及更贴近真实场景的攻防靶场,使得安全工具的使用效果最大化,安全风险的御控能力最大化,业务得到最大化的保障,安全的价值也明显地凸显出来。
此外网络安全意识培训也是我们需要重点关注的话题,缺乏网络安全知识的用户会是网络安全管理人员的噩梦,而能主动识别网络攻击的用户会成为网络安全管理人员的“情报员”。我们不期望每个人都成为网络安全专家,但每年数小时的网络安全意识培训和钓鱼测试就可以大大降低网络攻击带来的威胁,尤其是降低了社会工程学攻击的成功概率,并帮助我们及早发现正在进行中的攻击。
观点
数字时代已经来临,数字化转型无法逆转,数字的价值已经凸显,我们需要遵循事物发展的基本规律。侥幸的心态无法避免风险,想要享受数字时代带来的便利,就必须为保障它们的安全而做出行动。
谭晓生:北京赛博英杰科技有限公司董事长、正奇学院创始人