北京2021年8月4日 /美通社/ -- 7月28日上午,在ISC 2021第九屆互聯(lián)網(wǎng)安全大會主題論壇上,山石網(wǎng)科高級副總裁、首席戰(zhàn)略官(CSO)蔣東毅帶來了一場主題為《政企安全面臨的多重挑戰(zhàn)和未來趨勢》的演講。在這場演講中,蔣東毅提到了在當(dāng)下數(shù)字世界下,組織網(wǎng)絡(luò)安全防護(hù)面臨的幾大現(xiàn)狀、挑戰(zhàn)、趨勢及應(yīng)對思考。
以零信任防控、智能威脅治理、數(shù)據(jù)生命周期安全治理三個框架為基礎(chǔ),以云端情報賦能,云端運(yùn)營平臺支撐,由安全運(yùn)營團(tuán)隊提供全方位專業(yè)化安全運(yùn)營,是山石網(wǎng)科提出新的應(yīng)對數(shù)字世界新挑戰(zhàn)的方法學(xué),也是對去年“可持續(xù)安全運(yùn)營技術(shù)理念”內(nèi)涵進(jìn)一步的延伸。
以下是演講實(shí)錄:
網(wǎng)絡(luò)連接矩陣復(fù)雜化,安全防護(hù)框架需重構(gòu)
大家好,我是山石網(wǎng)科蔣東毅。
數(shù)字化的本質(zhì)是讓人更方便的獲取信息,利用信息,也就是構(gòu)建人與數(shù)字信息的連接。但相比過去,數(shù)字接入的移動性和服務(wù)的云化,已經(jīng)讓人和業(yè)務(wù)之間的連接變得更加復(fù)雜。過去,組織在網(wǎng)絡(luò)訪問上,按照職能和功能,對辦公區(qū)和數(shù)據(jù)區(qū)進(jìn)行劃分,訪問模式還是比較固定的。但現(xiàn)在,移動終端的普及,人在居家、差旅、辦公區(qū)之間移動切換,業(yè)務(wù)在私有云和公有云中部署和遷移,SaaS類業(yè)務(wù)也越來越多,構(gòu)成了一個復(fù)雜的連接矩陣。
可以很清晰地看到,連接矩陣的邊界趨于模糊且易變,給組織帶來安全防護(hù)的極大挑戰(zhàn)。以往按照區(qū)域劃分,區(qū)域之間配置安全策略的防控模式,已經(jīng)難以適應(yīng)復(fù)雜易變的連接矩陣了。
如何應(yīng)對?山石網(wǎng)科認(rèn)為,以身份為核心,建立基于動態(tài)最小授權(quán)策略的零信任安全防控框架,是應(yīng)對這個挑戰(zhàn)的最優(yōu)解。
可以這么理解,安全防控的基本理念是出了問題可以控制在最小影響范圍,當(dāng)區(qū)域邊界變的模糊時,我們需要看有什么是相對穩(wěn)定的,那么可以基于一個相對穩(wěn)定的基礎(chǔ)構(gòu)建新的安全防控框架。既然信息化的本質(zhì)是人與信息之間的連接,那么防控體系也可以從人出發(fā)進(jìn)行重構(gòu),也就是以身份為基礎(chǔ),建立動態(tài)最小授權(quán)策略的零信任安全防控框架。所謂動態(tài)最小授權(quán),除了根據(jù)身份之外,還需要結(jié)合接入設(shè)備的類型、軟硬件合規(guī)要求、風(fēng)險狀態(tài)等多重因素,進(jìn)行訪問權(quán)限控制。
山石網(wǎng)科的iNGFW產(chǎn)品,在零信任管理中心的統(tǒng)一控制下,實(shí)現(xiàn)用戶接入場景的零信任防控。零信任防控除了針對用戶接入側(cè),還包括業(yè)務(wù)應(yīng)用側(cè)。業(yè)務(wù)應(yīng)用云化之后,部署和擴(kuò)展便捷了,但應(yīng)用之間的訪問控制容易被忽視,一旦某個應(yīng)用被攻破,很容易擴(kuò)散感染到其他應(yīng)用。山石網(wǎng)科針對云計算環(huán)境,以完整的云內(nèi)、云外一系列安全產(chǎn)品,來滿足東西、南北全方位全場景的微隔離,實(shí)現(xiàn)云計算環(huán)境的零信任防控。
那未來零信任的方案應(yīng)該是什么樣的?山石網(wǎng)科認(rèn)為,隨著SaaS業(yè)務(wù)和移動辦公的推廣普及,SASE作為零信任的運(yùn)營方案,將為用戶帶來便捷安全的業(yè)務(wù)訪問。
SASE本質(zhì)是“SD-WAN + Security”,是基于云網(wǎng)的“企業(yè)網(wǎng)+安全”的運(yùn)營模式,其產(chǎn)生的原因是分散的移動辦公加上多點(diǎn)的云服務(wù)。傳統(tǒng)的接入模式:spoke-n-hub,不適應(yīng)現(xiàn)在的環(huán)境。SASE通過廣泛部署PoP點(diǎn),為分支機(jī)構(gòu)和在外辦公提供接入,既提供路由選擇、QoS等網(wǎng)絡(luò)優(yōu)化功能,也提供各類安全功能,由專業(yè)的網(wǎng)絡(luò)安全公司提供安全的網(wǎng)絡(luò)接入和運(yùn)營,保證了辦公的便捷性和安全性。
目前來看,中國的SaaS用戶,主要還是中小企業(yè),SaaS業(yè)務(wù)的類型主要還是企業(yè)微信、釘釘這樣的通用辦公類SaaS。SASE會從中小客戶開始,隨著客戶的成長,與用戶使用習(xí)慣的培養(yǎng),未來的客戶群體會更加廣泛。
對網(wǎng)安公司來說,從賣產(chǎn)品,到賣解決方案,提供服務(wù),到提供一整套網(wǎng)絡(luò)與安全運(yùn)營,是未來的趨勢之一。
泛網(wǎng)絡(luò)攻擊時代來臨,智能威脅治理框架需重構(gòu)
我們來看網(wǎng)絡(luò)攻擊的演進(jìn)方向,從以CIH、熊貓燒香、沖擊波等為主,主要是破壞操作系統(tǒng)穩(wěn)定性的炫技時代;到以APT攻擊為代表的精準(zhǔn)攻擊,主要是竊取重要信息或破壞重要系統(tǒng)的定向攻擊時代;到如今,以勒索、挖礦為代表,與蠕蟲結(jié)合,全網(wǎng)擼羊毛,輕松又高效的泛網(wǎng)絡(luò)攻擊時代??梢钥吹剑畔①Y產(chǎn)數(shù)量和價值的持續(xù)倍增,讓網(wǎng)絡(luò)空間進(jìn)入了泛網(wǎng)絡(luò)攻擊時代。
網(wǎng)絡(luò)攻擊是為了獲利,當(dāng)個人終端的信息資產(chǎn)也變的重要時,勒索,從一開始的郵件附件傳播,到后來利用高危漏洞,與蠕蟲結(jié)合,對黑客來說,是一種極其高效的獲利方式。當(dāng)前,泛網(wǎng)絡(luò)攻擊在暗網(wǎng)上有完整的產(chǎn)業(yè)鏈支撐,入門門檻低,從病毒的獲取,加殼變形,病毒投放,獲利的收取等都有完整的服務(wù)鏈條,只要幾千美金就可以開張起步,并可以在短時間內(nèi)收回成本并獲利。
在這種以快、廣、狠為主要特點(diǎn)的泛網(wǎng)絡(luò)攻擊時代,基于特征匹配的傳統(tǒng)檢測技術(shù)已難以應(yīng)對新的網(wǎng)絡(luò)攻擊挑戰(zhàn)。威脅檢測技術(shù)從原理上分為特征匹配和異常行為兩大類,特征匹配由于檢測結(jié)果誤報率低,解釋性好,檢出問題有明確的處置建議,因此一直是網(wǎng)安產(chǎn)品的主流檢測技術(shù),但面對漏洞越來越多,攻擊數(shù)量多、易變種的局面,僅僅有特征匹配檢測已難以應(yīng)對。
如何應(yīng)對?山石網(wǎng)科認(rèn)為,多維檢測、精準(zhǔn)分析、聯(lián)動響應(yīng)、情報賦能,構(gòu)建新形勢下的智能威脅治理框架。
面對新形勢下的攻擊態(tài)勢,首先要在端、網(wǎng)、邊、云,建立特征匹配與異常行為的多維檢測。由于檢測點(diǎn)和檢測技術(shù)多,產(chǎn)生的威脅數(shù)據(jù)量大,需要建設(shè)基于大數(shù)據(jù)技術(shù)的精準(zhǔn)分析平臺,匯總?cè)z測數(shù)據(jù),綜合應(yīng)用人工智能分析技術(shù),將威脅與資產(chǎn)結(jié)合,幫助管理員聚焦于高置信度失陷風(fēng)險;進(jìn)而與端、網(wǎng)、邊、云的防控體系實(shí)現(xiàn)聯(lián)動響應(yīng),運(yùn)用SOAR技術(shù),自動化專家分析處置經(jīng)驗(yàn),快速實(shí)現(xiàn)威脅檢測、分析、響應(yīng)閉環(huán)。同時,通過云端威脅情報的賦能,使政企組織可以實(shí)時獲取全網(wǎng)威脅情報數(shù)據(jù),實(shí)現(xiàn)更大范圍的檢測、分析、響應(yīng)閉環(huán)。
在攻擊泛化的趨勢下,防御應(yīng)對措施也有新的方向。山石網(wǎng)科認(rèn)為,攻防的本質(zhì)始終是基于成本的對抗,SaaS化是智能XDR+SOAR系統(tǒng)的未來趨勢。不管如何演進(jìn),攻防的本質(zhì)始終不變,是基于成本的對抗。像密碼學(xué)的設(shè)計原則并不是永遠(yuǎn)破解不了最好,而是破解的成本高于被保護(hù)的信息價值即可。攻擊方是黑客利用工具,防守方僅僅部署產(chǎn)品是不夠的,需要有專業(yè)的安全管理人員。
對于中小組織,面對越來越廣泛并且專業(yè)的攻擊,通過本地部署安全控制點(diǎn),將安全數(shù)據(jù)上報到安全SaaS平臺,安全管理托管于專業(yè)廠家的專業(yè)人員,可以有效的降低成本。對于大型組織,安全管理投入也是有限的,參照安全成熟度高的歐美地區(qū),自有安全管理人員+專業(yè)安全運(yùn)營托管的趨勢非常明顯。
數(shù)據(jù)資產(chǎn)持續(xù)沉淀,數(shù)據(jù)安全治理框架需重構(gòu)
隨著新興技術(shù)不斷發(fā)展,數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)的核心生產(chǎn)要素,正成為科技創(chuàng)新的突破口,但現(xiàn)實(shí)情況是數(shù)據(jù)安全防護(hù)水平參差不齊,數(shù)據(jù)安全問題層出不窮,個人隱私泄露、非法數(shù)據(jù)交易等頻發(fā),國外咨詢機(jī)構(gòu)Verizon發(fā)布的2020年數(shù)據(jù)泄露報告中,統(tǒng)計2020年全球數(shù)據(jù)泄露事件同比增長了96%,醫(yī)療、金融和制造業(yè)排名前三。另一方面隨著云大物移智等新興技術(shù)發(fā)展,國家也相應(yīng)配套了相關(guān)法律法規(guī),網(wǎng)絡(luò)安全法強(qiáng)調(diào)了對個人信息保護(hù)的責(zé)任,數(shù)據(jù)安全法確立了數(shù)據(jù)分類分級、風(fēng)險評估、應(yīng)急處置等基本制度,明確了開展數(shù)據(jù)處理活動的組織、個人的數(shù)據(jù)保護(hù)義務(wù)等。
目前來看,組織內(nèi)數(shù)據(jù)多樣、海量、復(fù)雜,留存周期長,與業(yè)務(wù)關(guān)聯(lián)緊密,數(shù)據(jù)安全治理不能僅靠產(chǎn)品和技術(shù);數(shù)據(jù)越來越多樣性,數(shù)據(jù)庫數(shù)據(jù)、大數(shù)據(jù)文件、非結(jié)構(gòu)化文檔等數(shù)據(jù)種類豐富,很多數(shù)據(jù)因?yàn)闃I(yè)務(wù)原因,需要長期留存。同時,數(shù)據(jù)的安全威脅也多樣化,如數(shù)據(jù)泄露、數(shù)據(jù)的破壞、隱私的泄露、數(shù)據(jù)失控、數(shù)據(jù)的泛濫、數(shù)據(jù)的損害或丟失等。
復(fù)雜的數(shù)據(jù)問題讓我們看到,數(shù)據(jù)安全治理不僅僅是部署產(chǎn)品和技術(shù),是一個系統(tǒng)工程,需要自頂向下進(jìn)行設(shè)計:
如何應(yīng)對?山石網(wǎng)科認(rèn)為,面對復(fù)雜的數(shù)據(jù)問題,需要建立彈性可擴(kuò)展,業(yè)務(wù)自適應(yīng)的數(shù)據(jù)生命周期安全治理框架。
山石網(wǎng)科針對數(shù)據(jù)安全治理,圍繞數(shù)據(jù)流程過程,從數(shù)據(jù)安全運(yùn)營和數(shù)據(jù)安全管理兩個維度,構(gòu)建了全場景、云池化、可感知、可持續(xù)的數(shù)據(jù)生命周期安全治理體系,可以實(shí)現(xiàn):
攻防資源難以對等,構(gòu)建可持續(xù)安全運(yùn)營體系
物理世界的攻擊距離是有限的,跨地域作案很難。哪怕就是傳染性強(qiáng)的病毒,其擴(kuò)散速度也與人的交通速度有關(guān),比如目前全球傳播最廣的新冠病毒Delta變種,是從去年10月就出現(xiàn)的。
但是,網(wǎng)絡(luò)空間中,信息的傳播是近乎光速的,全球的攻擊者可以攻擊任意地點(diǎn)的組織,但組織只能基于自身資源來應(yīng)對,不管是甲方還是乙方,面對全球黑客可以從任何地點(diǎn)發(fā)起的攻擊,資源都是有限的。網(wǎng)絡(luò)空間的光速可達(dá)屬性,注定了攻防雙方資源難以對等,這是所有組織都在面臨的終極挑戰(zhàn)。
如何應(yīng)對?山石網(wǎng)科認(rèn)為,構(gòu)建全球威脅情報生態(tài),讓威脅情報及時可達(dá),賦能可持續(xù)安全運(yùn)營體系。
應(yīng)對全球發(fā)起的攻擊,需要開展全球威脅情報生態(tài)合作。360作為山石網(wǎng)科戰(zhàn)略合作伙伴,雙方已經(jīng)全面開展產(chǎn)品、技術(shù)側(cè)戰(zhàn)略合作。包括山石網(wǎng)科智能下一代防火墻也是采取360云端情報賦能,同時,未來雙方還將就零信任等多個領(lǐng)域展開深入合作。360安全大腦,為山石網(wǎng)科的可持續(xù)安全運(yùn)營體系,提供全面、及時、精準(zhǔn)的情報賦能,同時,也從情報的實(shí)際落地中,得到反饋,增強(qiáng)優(yōu)化情報,形成良性循環(huán)。
可持續(xù)安全運(yùn)營體系,是山石網(wǎng)科去年用戶大會提出的技術(shù)理念,今年我們進(jìn)一步延伸了其內(nèi)涵:以零信任防控、智能威脅治理、數(shù)據(jù)生命周期安全治理三個框架為基礎(chǔ),以云端情報賦能,云端運(yùn)營平臺支撐,由安全運(yùn)營團(tuán)隊提供全方位專業(yè)化安全運(yùn)營,為用戶的安全竭盡全力。
昨天在ISC大會上,山石網(wǎng)科發(fā)布了新一代智能下一代防火墻,該產(chǎn)品具備零信任、intelligent智能感知、intelligence情報集成、IOT融合防護(hù)等特點(diǎn)。
面對變種攻擊,山石網(wǎng)科iNGFW可進(jìn)行本地或聯(lián)動云端來感知惡意威脅行為,來進(jìn)行未知防御檢測以及防護(hù);安全防護(hù)正在從“個體或單個組織”的防護(hù),轉(zhuǎn)變?yōu)椤鞍踩閳篁?qū)動”的信息共享、集體協(xié)作的方式,同時邊界封堵不等于全網(wǎng)防護(hù),在第三方情報的加持下,山石網(wǎng)科iNGFW提供貫穿“攻擊前、攻擊中、攻擊后”三個關(guān)鍵節(jié)點(diǎn)的全生命周期安全防護(hù)解決方案,其中威脅情報也來自包括360威脅情報中心在內(nèi)的國內(nèi)外優(yōu)秀威脅情報供應(yīng)商的賦能;在萬物互聯(lián)時代,防護(hù)對象在變化,主機(jī)防護(hù)不等于全面防護(hù),山石網(wǎng)科新一代智能下一代防火墻可以識別網(wǎng)絡(luò)攝像頭等物聯(lián)網(wǎng)設(shè)備,同時具備對物聯(lián)網(wǎng)設(shè)備的安全防護(hù)與合規(guī)管控能力,可為客戶打造融合網(wǎng)絡(luò)的防護(hù)體驗(yàn)。