北京2021年8月4日 /美通社/ -- 7月28日上午,在ISC 2021第九屆互聯(lián)網(wǎng)安全大會(huì)主題論壇上��,山石網(wǎng)科高級副總裁�����、首席戰(zhàn)略官(CSO)蔣東毅帶來了一場主題為《政企安全面臨的多重挑戰(zhàn)和未來趨勢》的演講�。在這場演講中,蔣東毅提到了在當(dāng)下數(shù)字世界下��,組織網(wǎng)絡(luò)安全防護(hù)面臨的幾大現(xiàn)狀�����、挑戰(zhàn)����、趨勢及應(yīng)對思考。
以零信任防控���、智能威脅治理���、數(shù)據(jù)生命周期安全治理三個(gè)框架為基礎(chǔ),以云端情報(bào)賦能��,云端運(yùn)營平臺支撐�,由安全運(yùn)營團(tuán)隊(duì)提供全方位專業(yè)化安全運(yùn)營,是山石網(wǎng)科提出新的應(yīng)對數(shù)字世界新挑戰(zhàn)的方法學(xué)��,也是對去年“可持續(xù)安全運(yùn)營技術(shù)理念”內(nèi)涵進(jìn)一步的延伸。
以下是演講實(shí)錄:
網(wǎng)絡(luò)連接矩陣復(fù)雜化��,安全防護(hù)框架需重構(gòu)
大家好�����,我是山石網(wǎng)科蔣東毅�。
數(shù)字化的本質(zhì)是讓人更方便的獲取信息,利用信息��,也就是構(gòu)建人與數(shù)字信息的連接�。但相比過去,數(shù)字接入的移動(dòng)性和服務(wù)的云化�,已經(jīng)讓人和業(yè)務(wù)之間的連接變得更加復(fù)雜。過去���,組織在網(wǎng)絡(luò)訪問上�,按照職能和功能�����,對辦公區(qū)和數(shù)據(jù)區(qū)進(jìn)行劃分�,訪問模式還是比較固定的。但現(xiàn)在���,移動(dòng)終端的普及��,人在居家�����、差旅�����、辦公區(qū)之間移動(dòng)切換�����,業(yè)務(wù)在私有云和公有云中部署和遷移�����,SaaS類業(yè)務(wù)也越來越多�,構(gòu)成了一個(gè)復(fù)雜的連接矩陣�。
可以很清晰地看到,連接矩陣的邊界趨于模糊且易變�,給組織帶來安全防護(hù)的極大挑戰(zhàn)。以往按照區(qū)域劃分�,區(qū)域之間配置安全策略的防控模式�����,已經(jīng)難以適應(yīng)復(fù)雜易變的連接矩陣了���。
如何應(yīng)對?山石網(wǎng)科認(rèn)為��,以身份為核心�,建立基于動(dòng)態(tài)最小授權(quán)策略的零信任安全防控框架,是應(yīng)對這個(gè)挑戰(zhàn)的最優(yōu)解�����。
可以這么理解����,安全防控的基本理念是出了問題可以控制在最小影響范圍,當(dāng)區(qū)域邊界變的模糊時(shí)���,我們需要看有什么是相對穩(wěn)定的��,那么可以基于一個(gè)相對穩(wěn)定的基礎(chǔ)構(gòu)建新的安全防控框架����。既然信息化的本質(zhì)是人與信息之間的連接,那么防控體系也可以從人出發(fā)進(jìn)行重構(gòu)�,也就是以身份為基礎(chǔ),建立動(dòng)態(tài)最小授權(quán)策略的零信任安全防控框架��。所謂動(dòng)態(tài)最小授權(quán)�����,除了根據(jù)身份之外�����,還需要結(jié)合接入設(shè)備的類型���、軟硬件合規(guī)要求、風(fēng)險(xiǎn)狀態(tài)等多重因素�,進(jìn)行訪問權(quán)限控制。
山石網(wǎng)科的iNGFW產(chǎn)品�,在零信任管理中心的統(tǒng)一控制下,實(shí)現(xiàn)用戶接入場景的零信任防控��。零信任防控除了針對用戶接入側(cè)���,還包括業(yè)務(wù)應(yīng)用側(cè)����。業(yè)務(wù)應(yīng)用云化之后,部署和擴(kuò)展便捷了�����,但應(yīng)用之間的訪問控制容易被忽視�,一旦某個(gè)應(yīng)用被攻破,很容易擴(kuò)散感染到其他應(yīng)用����。山石網(wǎng)科針對云計(jì)算環(huán)境,以完整的云內(nèi)����、云外一系列安全產(chǎn)品,來滿足東西����、南北全方位全場景的微隔離,實(shí)現(xiàn)云計(jì)算環(huán)境的零信任防控���。
那未來零信任的方案應(yīng)該是什么樣的����?山石網(wǎng)科認(rèn)為,隨著SaaS業(yè)務(wù)和移動(dòng)辦公的推廣普及��,SASE作為零信任的運(yùn)營方案�,將為用戶帶來便捷安全的業(yè)務(wù)訪問。
SASE本質(zhì)是“SD-WAN + Security”�����,是基于云網(wǎng)的“企業(yè)網(wǎng)+安全”的運(yùn)營模式���,其產(chǎn)生的原因是分散的移動(dòng)辦公加上多點(diǎn)的云服務(wù)�����。傳統(tǒng)的接入模式:spoke-n-hub,不適應(yīng)現(xiàn)在的環(huán)境�����。SASE通過廣泛部署PoP點(diǎn)��,為分支機(jī)構(gòu)和在外辦公提供接入��,既提供路由選擇�、QoS等網(wǎng)絡(luò)優(yōu)化功能�����,也提供各類安全功能�,由專業(yè)的網(wǎng)絡(luò)安全公司提供安全的網(wǎng)絡(luò)接入和運(yùn)營���,保證了辦公的便捷性和安全性��。
目前來看�����,中國的SaaS用戶�����,主要還是中小企業(yè)�,SaaS業(yè)務(wù)的類型主要還是企業(yè)微信��、釘釘這樣的通用辦公類SaaS�����。SASE會(huì)從中小客戶開始,隨著客戶的成長�,與用戶使用習(xí)慣的培養(yǎng),未來的客戶群體會(huì)更加廣泛���。
對網(wǎng)安公司來說��,從賣產(chǎn)品����,到賣解決方案�,提供服務(wù),到提供一整套網(wǎng)絡(luò)與安全運(yùn)營��,是未來的趨勢之一���。
泛網(wǎng)絡(luò)攻擊時(shí)代來臨��,智能威脅治理框架需重構(gòu)
我們來看網(wǎng)絡(luò)攻擊的演進(jìn)方向,從以CIH�����、熊貓燒香�����、沖擊波等為主,主要是破壞操作系統(tǒng)穩(wěn)定性的炫技時(shí)代��;到以APT攻擊為代表的精準(zhǔn)攻擊�����,主要是竊取重要信息或破壞重要系統(tǒng)的定向攻擊時(shí)代�����;到如今���,以勒索�、挖礦為代表����,與蠕蟲結(jié)合,全網(wǎng)擼羊毛����,輕松又高效的泛網(wǎng)絡(luò)攻擊時(shí)代?��?梢钥吹?����,信息資產(chǎn)數(shù)量和價(jià)值的持續(xù)倍增�����,讓網(wǎng)絡(luò)空間進(jìn)入了泛網(wǎng)絡(luò)攻擊時(shí)代���。
網(wǎng)絡(luò)攻擊是為了獲利���,當(dāng)個(gè)人終端的信息資產(chǎn)也變的重要時(shí),勒索����,從一開始的郵件附件傳播,到后來利用高危漏洞����,與蠕蟲結(jié)合��,對黑客來說���,是一種極其高效的獲利方式��。當(dāng)前��,泛網(wǎng)絡(luò)攻擊在暗網(wǎng)上有完整的產(chǎn)業(yè)鏈支撐����,入門門檻低,從病毒的獲取��,加殼變形�����,病毒投放�����,獲利的收取等都有完整的服務(wù)鏈條����,只要幾千美金就可以開張起步,并可以在短時(shí)間內(nèi)收回成本并獲利����。
在這種以快�、廣��、狠為主要特點(diǎn)的泛網(wǎng)絡(luò)攻擊時(shí)代��,基于特征匹配的傳統(tǒng)檢測技術(shù)已難以應(yīng)對新的網(wǎng)絡(luò)攻擊挑戰(zhàn)��。威脅檢測技術(shù)從原理上分為特征匹配和異常行為兩大類���,特征匹配由于檢測結(jié)果誤報(bào)率低��,解釋性好��,檢出問題有明確的處置建議�,因此一直是網(wǎng)安產(chǎn)品的主流檢測技術(shù)���,但面對漏洞越來越多�����,攻擊數(shù)量多����、易變種的局面���,僅僅有特征匹配檢測已難以應(yīng)對�。
如何應(yīng)對�?山石網(wǎng)科認(rèn)為,多維檢測����、精準(zhǔn)分析、聯(lián)動(dòng)響應(yīng)���、情報(bào)賦能��,構(gòu)建新形勢下的智能威脅治理框架��。
面對新形勢下的攻擊態(tài)勢����,首先要在端�、網(wǎng)、邊�����、云����,建立特征匹配與異常行為的多維檢測��。由于檢測點(diǎn)和檢測技術(shù)多�����,產(chǎn)生的威脅數(shù)據(jù)量大�,需要建設(shè)基于大數(shù)據(jù)技術(shù)的精準(zhǔn)分析平臺����,匯總?cè)z測數(shù)據(jù),綜合應(yīng)用人工智能分析技術(shù)�,將威脅與資產(chǎn)結(jié)合,幫助管理員聚焦于高置信度失陷風(fēng)險(xiǎn)��;進(jìn)而與端�、網(wǎng)、邊���、云的防控體系實(shí)現(xiàn)聯(lián)動(dòng)響應(yīng)�,運(yùn)用SOAR技術(shù)�����,自動(dòng)化專家分析處置經(jīng)驗(yàn),快速實(shí)現(xiàn)威脅檢測����、分析����、響應(yīng)閉環(huán)。同時(shí)����,通過云端威脅情報(bào)的賦能,使政企組織可以實(shí)時(shí)獲取全網(wǎng)威脅情報(bào)數(shù)據(jù)��,實(shí)現(xiàn)更大范圍的檢測����、分析、響應(yīng)閉環(huán)���。
在攻擊泛化的趨勢下��,防御應(yīng)對措施也有新的方向��。山石網(wǎng)科認(rèn)為�����,攻防的本質(zhì)始終是基于成本的對抗��,SaaS化是智能XDR+SOAR系統(tǒng)的未來趨勢�����。不管如何演進(jìn)�,攻防的本質(zhì)始終不變,是基于成本的對抗���。像密碼學(xué)的設(shè)計(jì)原則并不是永遠(yuǎn)破解不了最好�����,而是破解的成本高于被保護(hù)的信息價(jià)值即可���。攻擊方是黑客利用工具,防守方僅僅部署產(chǎn)品是不夠的���,需要有專業(yè)的安全管理人員�����。
對于中小組織���,面對越來越廣泛并且專業(yè)的攻擊���,通過本地部署安全控制點(diǎn),將安全數(shù)據(jù)上報(bào)到安全SaaS平臺��,安全管理托管于專業(yè)廠家的專業(yè)人員�,可以有效的降低成本�。對于大型組織,安全管理投入也是有限的��,參照安全成熟度高的歐美地區(qū)�,自有安全管理人員+專業(yè)安全運(yùn)營托管的趨勢非常明顯。
數(shù)據(jù)資產(chǎn)持續(xù)沉淀�,數(shù)據(jù)安全治理框架需重構(gòu)
隨著新興技術(shù)不斷發(fā)展,數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)的核心生產(chǎn)要素�����,正成為科技創(chuàng)新的突破口����,但現(xiàn)實(shí)情況是數(shù)據(jù)安全防護(hù)水平參差不齊�,數(shù)據(jù)安全問題層出不窮���,個(gè)人隱私泄露����、非法數(shù)據(jù)交易等頻發(fā)��,國外咨詢機(jī)構(gòu)Verizon發(fā)布的2020年數(shù)據(jù)泄露報(bào)告中�����,統(tǒng)計(jì)2020年全球數(shù)據(jù)泄露事件同比增長了96%�,醫(yī)療、金融和制造業(yè)排名前三�。另一方面隨著云大物移智等新興技術(shù)發(fā)展,國家也相應(yīng)配套了相關(guān)法律法規(guī)�,網(wǎng)絡(luò)安全法強(qiáng)調(diào)了對個(gè)人信息保護(hù)的責(zé)任,數(shù)據(jù)安全法確立了數(shù)據(jù)分類分級�����、風(fēng)險(xiǎn)評估��、應(yīng)急處置等基本制度,明確了開展數(shù)據(jù)處理活動(dòng)的組織���、個(gè)人的數(shù)據(jù)保護(hù)義務(wù)等�����。
目前來看����,組織內(nèi)數(shù)據(jù)多樣���、海量��、復(fù)雜,留存周期長����,與業(yè)務(wù)關(guān)聯(lián)緊密,數(shù)據(jù)安全治理不能僅靠產(chǎn)品和技術(shù)���;數(shù)據(jù)越來越多樣性�,數(shù)據(jù)庫數(shù)據(jù)���、大數(shù)據(jù)文件���、非結(jié)構(gòu)化文檔等數(shù)據(jù)種類豐富����,很多數(shù)據(jù)因?yàn)闃I(yè)務(wù)原因�����,需要長期留存��。同時(shí)���,數(shù)據(jù)的安全威脅也多樣化�,如數(shù)據(jù)泄露�����、數(shù)據(jù)的破壞���、隱私的泄露�����、數(shù)據(jù)失控��、數(shù)據(jù)的泛濫��、數(shù)據(jù)的損害或丟失等�����。
復(fù)雜的數(shù)據(jù)問題讓我們看到���,數(shù)據(jù)安全治理不僅僅是部署產(chǎn)品和技術(shù)�����,是一個(gè)系統(tǒng)工程�����,需要自頂向下進(jìn)行設(shè)計(jì):
- 法律法規(guī)的梳理,對業(yè)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)分析���,明確數(shù)據(jù)安全治理的實(shí)際需求�����;
- 數(shù)據(jù)安全治理的組織管理體系支撐��;
- 數(shù)據(jù)的分類分級和梳理���,辨別哪些數(shù)據(jù)需要保護(hù),這些需要保護(hù)的數(shù)據(jù)在哪些位置��,哪些人正在使用這些數(shù)據(jù)�����,在使用過程中是否合理�����;
- 制定適合的相關(guān)安全策略�;
- 對數(shù)據(jù)安全治理進(jìn)行有效監(jiān)測和審計(jì),及時(shí)發(fā)現(xiàn)存在的問題與隱患�,才能對數(shù)據(jù)安全治理工作進(jìn)行持續(xù)改進(jìn)。
如何應(yīng)對�?山石網(wǎng)科認(rèn)為,面對復(fù)雜的數(shù)據(jù)問題����,需要建立彈性可擴(kuò)展�,業(yè)務(wù)自適應(yīng)的數(shù)據(jù)生命周期安全治理框架����。
山石網(wǎng)科針對數(shù)據(jù)安全治理��,圍繞數(shù)據(jù)流程過程��,從數(shù)據(jù)安全運(yùn)營和數(shù)據(jù)安全管理兩個(gè)維度���,構(gòu)建了全場景、云池化����、可感知、可持續(xù)的數(shù)據(jù)生命周期安全治理體系��,可以實(shí)現(xiàn):
- 數(shù)據(jù)資產(chǎn)全面安全管控���;
- 數(shù)據(jù)安全一站感知處置;
- 數(shù)據(jù)安全資源云化供?�?;
- 提供可持續(xù)的數(shù)據(jù)安全運(yùn)營能力���。
攻防資源難以對等,構(gòu)建可持續(xù)安全運(yùn)營體系
物理世界的攻擊距離是有限的����,跨地域作案很難。哪怕就是傳染性強(qiáng)的病毒�����,其擴(kuò)散速度也與人的交通速度有關(guān)�����,比如目前全球傳播最廣的新冠病毒Delta變種,是從去年10月就出現(xiàn)的����。
但是,網(wǎng)絡(luò)空間中��,信息的傳播是近乎光速的��,全球的攻擊者可以攻擊任意地點(diǎn)的組織,但組織只能基于自身資源來應(yīng)對�����,不管是甲方還是乙方����,面對全球黑客可以從任何地點(diǎn)發(fā)起的攻擊�,資源都是有限的。網(wǎng)絡(luò)空間的光速可達(dá)屬性���,注定了攻防雙方資源難以對等�,這是所有組織都在面臨的終極挑戰(zhàn)��。
如何應(yīng)對�����?山石網(wǎng)科認(rèn)為�����,構(gòu)建全球威脅情報(bào)生態(tài),讓威脅情報(bào)及時(shí)可達(dá)���,賦能可持續(xù)安全運(yùn)營體系。
應(yīng)對全球發(fā)起的攻擊��,需要開展全球威脅情報(bào)生態(tài)合作�。360作為山石網(wǎng)科戰(zhàn)略合作伙伴,雙方已經(jīng)全面開展產(chǎn)品���、技術(shù)側(cè)戰(zhàn)略合作���。包括山石網(wǎng)科智能下一代防火墻也是采取360云端情報(bào)賦能,同時(shí)����,未來雙方還將就零信任等多個(gè)領(lǐng)域展開深入合作。360安全大腦�����,為山石網(wǎng)科的可持續(xù)安全運(yùn)營體系�,提供全面、及時(shí)���、精準(zhǔn)的情報(bào)賦能�,同時(shí),也從情報(bào)的實(shí)際落地中���,得到反饋��,增強(qiáng)優(yōu)化情報(bào)�,形成良性循環(huán)����。
可持續(xù)安全運(yùn)營體系,是山石網(wǎng)科去年用戶大會(huì)提出的技術(shù)理念�����,今年我們進(jìn)一步延伸了其內(nèi)涵:以零信任防控�、智能威脅治理、數(shù)據(jù)生命周期安全治理三個(gè)框架為基礎(chǔ)�,以云端情報(bào)賦能,云端運(yùn)營平臺支撐��,由安全運(yùn)營團(tuán)隊(duì)提供全方位專業(yè)化安全運(yùn)營��,為用戶的安全竭盡全力�。
昨天在ISC大會(huì)上����,山石網(wǎng)科發(fā)布了新一代智能下一代防火墻����,該產(chǎn)品具備零信任、intelligent智能感知��、intelligence情報(bào)集成�����、IOT融合防護(hù)等特點(diǎn)���。
面對變種攻擊,山石網(wǎng)科iNGFW可進(jìn)行本地或聯(lián)動(dòng)云端來感知惡意威脅行為�����,來進(jìn)行未知防御檢測以及防護(hù)��;安全防護(hù)正在從“個(gè)體或單個(gè)組織”的防護(hù)�����,轉(zhuǎn)變?yōu)椤鞍踩閳?bào)驅(qū)動(dòng)”的信息共享、集體協(xié)作的方式�,同時(shí)邊界封堵不等于全網(wǎng)防護(hù),在第三方情報(bào)的加持下�,山石網(wǎng)科iNGFW提供貫穿“攻擊前、攻擊中�、攻擊后”三個(gè)關(guān)鍵節(jié)點(diǎn)的全生命周期安全防護(hù)解決方案,其中威脅情報(bào)也來自包括360威脅情報(bào)中心在內(nèi)的國內(nèi)外優(yōu)秀威脅情報(bào)供應(yīng)商的賦能��;在萬物互聯(lián)時(shí)代�����,防護(hù)對象在變化��,主機(jī)防護(hù)不等于全面防護(hù)���,山石網(wǎng)科新一代智能下一代防火墻可以識別網(wǎng)絡(luò)攝像頭等物聯(lián)網(wǎng)設(shè)備���,同時(shí)具備對物聯(lián)網(wǎng)設(shè)備的安全防護(hù)與合規(guī)管控能力,可為客戶打造融合網(wǎng)絡(luò)的防護(hù)體驗(yàn)��。
