北京2021年8月4日 /美通社/ -- 7月28日上午,在ISC 2021第九屆互聯(lián)網(wǎng)安全大會(huì)主題論壇上,山石網(wǎng)科高級(jí)副總裁、首席戰(zhàn)略官(CSO)蔣東毅帶來(lái)了一場(chǎng)主題為《政企安全面臨的多重挑戰(zhàn)和未來(lái)趨勢(shì)》的演講。在這場(chǎng)演講中,蔣東毅提到了在當(dāng)下數(shù)字世界下,組織網(wǎng)絡(luò)安全防護(hù)面臨的幾大現(xiàn)狀、挑戰(zhàn)、趨勢(shì)及應(yīng)對(duì)思考。
以零信任防控、智能威脅治理、數(shù)據(jù)生命周期安全治理三個(gè)框架為基礎(chǔ),以云端情報(bào)賦能,云端運(yùn)營(yíng)平臺(tái)支撐,由安全運(yùn)營(yíng)團(tuán)隊(duì)提供全方位專業(yè)化安全運(yùn)營(yíng),是山石網(wǎng)科提出新的應(yīng)對(duì)數(shù)字世界新挑戰(zhàn)的方法學(xué),也是對(duì)去年“可持續(xù)安全運(yùn)營(yíng)技術(shù)理念”內(nèi)涵進(jìn)一步的延伸。
以下是演講實(shí)錄:
網(wǎng)絡(luò)連接矩陣復(fù)雜化,安全防護(hù)框架需重構(gòu)
大家好,我是山石網(wǎng)科蔣東毅。
數(shù)字化的本質(zhì)是讓人更方便的獲取信息,利用信息,也就是構(gòu)建人與數(shù)字信息的連接。但相比過(guò)去,數(shù)字接入的移動(dòng)性和服務(wù)的云化,已經(jīng)讓人和業(yè)務(wù)之間的連接變得更加復(fù)雜。過(guò)去,組織在網(wǎng)絡(luò)訪問(wèn)上,按照職能和功能,對(duì)辦公區(qū)和數(shù)據(jù)區(qū)進(jìn)行劃分,訪問(wèn)模式還是比較固定的。但現(xiàn)在,移動(dòng)終端的普及,人在居家、差旅、辦公區(qū)之間移動(dòng)切換,業(yè)務(wù)在私有云和公有云中部署和遷移,SaaS類業(yè)務(wù)也越來(lái)越多,構(gòu)成了一個(gè)復(fù)雜的連接矩陣。
可以很清晰地看到,連接矩陣的邊界趨于模糊且易變,給組織帶來(lái)安全防護(hù)的極大挑戰(zhàn)。以往按照區(qū)域劃分,區(qū)域之間配置安全策略的防控模式,已經(jīng)難以適應(yīng)復(fù)雜易變的連接矩陣了。
如何應(yīng)對(duì)?山石網(wǎng)科認(rèn)為,以身份為核心,建立基于動(dòng)態(tài)最小授權(quán)策略的零信任安全防控框架,是應(yīng)對(duì)這個(gè)挑戰(zhàn)的最優(yōu)解。
可以這么理解,安全防控的基本理念是出了問(wèn)題可以控制在最小影響范圍,當(dāng)區(qū)域邊界變的模糊時(shí),我們需要看有什么是相對(duì)穩(wěn)定的,那么可以基于一個(gè)相對(duì)穩(wěn)定的基礎(chǔ)構(gòu)建新的安全防控框架。既然信息化的本質(zhì)是人與信息之間的連接,那么防控體系也可以從人出發(fā)進(jìn)行重構(gòu),也就是以身份為基礎(chǔ),建立動(dòng)態(tài)最小授權(quán)策略的零信任安全防控框架。所謂動(dòng)態(tài)最小授權(quán),除了根據(jù)身份之外,還需要結(jié)合接入設(shè)備的類型、軟硬件合規(guī)要求、風(fēng)險(xiǎn)狀態(tài)等多重因素,進(jìn)行訪問(wèn)權(quán)限控制。
山石網(wǎng)科的iNGFW產(chǎn)品,在零信任管理中心的統(tǒng)一控制下,實(shí)現(xiàn)用戶接入場(chǎng)景的零信任防控。零信任防控除了針對(duì)用戶接入側(cè),還包括業(yè)務(wù)應(yīng)用側(cè)。業(yè)務(wù)應(yīng)用云化之后,部署和擴(kuò)展便捷了,但應(yīng)用之間的訪問(wèn)控制容易被忽視,一旦某個(gè)應(yīng)用被攻破,很容易擴(kuò)散感染到其他應(yīng)用。山石網(wǎng)科針對(duì)云計(jì)算環(huán)境,以完整的云內(nèi)、云外一系列安全產(chǎn)品,來(lái)滿足東西、南北全方位全場(chǎng)景的微隔離,實(shí)現(xiàn)云計(jì)算環(huán)境的零信任防控。
那未來(lái)零信任的方案應(yīng)該是什么樣的?山石網(wǎng)科認(rèn)為,隨著SaaS業(yè)務(wù)和移動(dòng)辦公的推廣普及,SASE作為零信任的運(yùn)營(yíng)方案,將為用戶帶來(lái)便捷安全的業(yè)務(wù)訪問(wèn)。
SASE本質(zhì)是“SD-WAN + Security”,是基于云網(wǎng)的“企業(yè)網(wǎng)+安全”的運(yùn)營(yíng)模式,其產(chǎn)生的原因是分散的移動(dòng)辦公加上多點(diǎn)的云服務(wù)。傳統(tǒng)的接入模式:spoke-n-hub,不適應(yīng)現(xiàn)在的環(huán)境。SASE通過(guò)廣泛部署PoP點(diǎn),為分支機(jī)構(gòu)和在外辦公提供接入,既提供路由選擇、QoS等網(wǎng)絡(luò)優(yōu)化功能,也提供各類安全功能,由專業(yè)的網(wǎng)絡(luò)安全公司提供安全的網(wǎng)絡(luò)接入和運(yùn)營(yíng),保證了辦公的便捷性和安全性。
目前來(lái)看,中國(guó)的SaaS用戶,主要還是中小企業(yè),SaaS業(yè)務(wù)的類型主要還是企業(yè)微信、釘釘這樣的通用辦公類SaaS。SASE會(huì)從中小客戶開始,隨著客戶的成長(zhǎng),與用戶使用習(xí)慣的培養(yǎng),未來(lái)的客戶群體會(huì)更加廣泛。
對(duì)網(wǎng)安公司來(lái)說(shuō),從賣產(chǎn)品,到賣解決方案,提供服務(wù),到提供一整套網(wǎng)絡(luò)與安全運(yùn)營(yíng),是未來(lái)的趨勢(shì)之一。
泛網(wǎng)絡(luò)攻擊時(shí)代來(lái)臨,智能威脅治理框架需重構(gòu)
我們來(lái)看網(wǎng)絡(luò)攻擊的演進(jìn)方向,從以CIH、熊貓燒香、沖擊波等為主,主要是破壞操作系統(tǒng)穩(wěn)定性的炫技時(shí)代;到以APT攻擊為代表的精準(zhǔn)攻擊,主要是竊取重要信息或破壞重要系統(tǒng)的定向攻擊時(shí)代;到如今,以勒索、挖礦為代表,與蠕蟲結(jié)合,全網(wǎng)擼羊毛,輕松又高效的泛網(wǎng)絡(luò)攻擊時(shí)代??梢钥吹?,信息資產(chǎn)數(shù)量和價(jià)值的持續(xù)倍增,讓網(wǎng)絡(luò)空間進(jìn)入了泛網(wǎng)絡(luò)攻擊時(shí)代。
網(wǎng)絡(luò)攻擊是為了獲利,當(dāng)個(gè)人終端的信息資產(chǎn)也變的重要時(shí),勒索,從一開始的郵件附件傳播,到后來(lái)利用高危漏洞,與蠕蟲結(jié)合,對(duì)黑客來(lái)說(shuō),是一種極其高效的獲利方式。當(dāng)前,泛網(wǎng)絡(luò)攻擊在暗網(wǎng)上有完整的產(chǎn)業(yè)鏈支撐,入門門檻低,從病毒的獲取,加殼變形,病毒投放,獲利的收取等都有完整的服務(wù)鏈條,只要幾千美金就可以開張起步,并可以在短時(shí)間內(nèi)收回成本并獲利。
在這種以快、廣、狠為主要特點(diǎn)的泛網(wǎng)絡(luò)攻擊時(shí)代,基于特征匹配的傳統(tǒng)檢測(cè)技術(shù)已難以應(yīng)對(duì)新的網(wǎng)絡(luò)攻擊挑戰(zhàn)。威脅檢測(cè)技術(shù)從原理上分為特征匹配和異常行為兩大類,特征匹配由于檢測(cè)結(jié)果誤報(bào)率低,解釋性好,檢出問(wèn)題有明確的處置建議,因此一直是網(wǎng)安產(chǎn)品的主流檢測(cè)技術(shù),但面對(duì)漏洞越來(lái)越多,攻擊數(shù)量多、易變種的局面,僅僅有特征匹配檢測(cè)已難以應(yīng)對(duì)。
如何應(yīng)對(duì)?山石網(wǎng)科認(rèn)為,多維檢測(cè)、精準(zhǔn)分析、聯(lián)動(dòng)響應(yīng)、情報(bào)賦能,構(gòu)建新形勢(shì)下的智能威脅治理框架。
面對(duì)新形勢(shì)下的攻擊態(tài)勢(shì),首先要在端、網(wǎng)、邊、云,建立特征匹配與異常行為的多維檢測(cè)。由于檢測(cè)點(diǎn)和檢測(cè)技術(shù)多,產(chǎn)生的威脅數(shù)據(jù)量大,需要建設(shè)基于大數(shù)據(jù)技術(shù)的精準(zhǔn)分析平臺(tái),匯總?cè)z測(cè)數(shù)據(jù),綜合應(yīng)用人工智能分析技術(shù),將威脅與資產(chǎn)結(jié)合,幫助管理員聚焦于高置信度失陷風(fēng)險(xiǎn);進(jìn)而與端、網(wǎng)、邊、云的防控體系實(shí)現(xiàn)聯(lián)動(dòng)響應(yīng),運(yùn)用SOAR技術(shù),自動(dòng)化專家分析處置經(jīng)驗(yàn),快速實(shí)現(xiàn)威脅檢測(cè)、分析、響應(yīng)閉環(huán)。同時(shí),通過(guò)云端威脅情報(bào)的賦能,使政企組織可以實(shí)時(shí)獲取全網(wǎng)威脅情報(bào)數(shù)據(jù),實(shí)現(xiàn)更大范圍的檢測(cè)、分析、響應(yīng)閉環(huán)。
在攻擊泛化的趨勢(shì)下,防御應(yīng)對(duì)措施也有新的方向。山石網(wǎng)科認(rèn)為,攻防的本質(zhì)始終是基于成本的對(duì)抗,SaaS化是智能XDR+SOAR系統(tǒng)的未來(lái)趨勢(shì)。不管如何演進(jìn),攻防的本質(zhì)始終不變,是基于成本的對(duì)抗。像密碼學(xué)的設(shè)計(jì)原則并不是永遠(yuǎn)破解不了最好,而是破解的成本高于被保護(hù)的信息價(jià)值即可。攻擊方是黑客利用工具,防守方僅僅部署產(chǎn)品是不夠的,需要有專業(yè)的安全管理人員。
對(duì)于中小組織,面對(duì)越來(lái)越廣泛并且專業(yè)的攻擊,通過(guò)本地部署安全控制點(diǎn),將安全數(shù)據(jù)上報(bào)到安全SaaS平臺(tái),安全管理托管于專業(yè)廠家的專業(yè)人員,可以有效的降低成本。對(duì)于大型組織,安全管理投入也是有限的,參照安全成熟度高的歐美地區(qū),自有安全管理人員+專業(yè)安全運(yùn)營(yíng)托管的趨勢(shì)非常明顯。
數(shù)據(jù)資產(chǎn)持續(xù)沉淀,數(shù)據(jù)安全治理框架需重構(gòu)
隨著新興技術(shù)不斷發(fā)展,數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)的核心生產(chǎn)要素,正成為科技創(chuàng)新的突破口,但現(xiàn)實(shí)情況是數(shù)據(jù)安全防護(hù)水平參差不齊,數(shù)據(jù)安全問(wèn)題層出不窮,個(gè)人隱私泄露、非法數(shù)據(jù)交易等頻發(fā),國(guó)外咨詢機(jī)構(gòu)Verizon發(fā)布的2020年數(shù)據(jù)泄露報(bào)告中,統(tǒng)計(jì)2020年全球數(shù)據(jù)泄露事件同比增長(zhǎng)了96%,醫(yī)療、金融和制造業(yè)排名前三。另一方面隨著云大物移智等新興技術(shù)發(fā)展,國(guó)家也相應(yīng)配套了相關(guān)法律法規(guī),網(wǎng)絡(luò)安全法強(qiáng)調(diào)了對(duì)個(gè)人信息保護(hù)的責(zé)任,數(shù)據(jù)安全法確立了數(shù)據(jù)分類分級(jí)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急處置等基本制度,明確了開展數(shù)據(jù)處理活動(dòng)的組織、個(gè)人的數(shù)據(jù)保護(hù)義務(wù)等。
目前來(lái)看,組織內(nèi)數(shù)據(jù)多樣、海量、復(fù)雜,留存周期長(zhǎng),與業(yè)務(wù)關(guān)聯(lián)緊密,數(shù)據(jù)安全治理不能僅靠產(chǎn)品和技術(shù);數(shù)據(jù)越來(lái)越多樣性,數(shù)據(jù)庫(kù)數(shù)據(jù)、大數(shù)據(jù)文件、非結(jié)構(gòu)化文檔等數(shù)據(jù)種類豐富,很多數(shù)據(jù)因?yàn)闃I(yè)務(wù)原因,需要長(zhǎng)期留存。同時(shí),數(shù)據(jù)的安全威脅也多樣化,如數(shù)據(jù)泄露、數(shù)據(jù)的破壞、隱私的泄露、數(shù)據(jù)失控、數(shù)據(jù)的泛濫、數(shù)據(jù)的損害或丟失等。
復(fù)雜的數(shù)據(jù)問(wèn)題讓我們看到,數(shù)據(jù)安全治理不僅僅是部署產(chǎn)品和技術(shù),是一個(gè)系統(tǒng)工程,需要自頂向下進(jìn)行設(shè)計(jì):
如何應(yīng)對(duì)?山石網(wǎng)科認(rèn)為,面對(duì)復(fù)雜的數(shù)據(jù)問(wèn)題,需要建立彈性可擴(kuò)展,業(yè)務(wù)自適應(yīng)的數(shù)據(jù)生命周期安全治理框架。
山石網(wǎng)科針對(duì)數(shù)據(jù)安全治理,圍繞數(shù)據(jù)流程過(guò)程,從數(shù)據(jù)安全運(yùn)營(yíng)和數(shù)據(jù)安全管理兩個(gè)維度,構(gòu)建了全場(chǎng)景、云池化、可感知、可持續(xù)的數(shù)據(jù)生命周期安全治理體系,可以實(shí)現(xiàn):
攻防資源難以對(duì)等,構(gòu)建可持續(xù)安全運(yùn)營(yíng)體系
物理世界的攻擊距離是有限的,跨地域作案很難。哪怕就是傳染性強(qiáng)的病毒,其擴(kuò)散速度也與人的交通速度有關(guān),比如目前全球傳播最廣的新冠病毒Delta變種,是從去年10月就出現(xiàn)的。
但是,網(wǎng)絡(luò)空間中,信息的傳播是近乎光速的,全球的攻擊者可以攻擊任意地點(diǎn)的組織,但組織只能基于自身資源來(lái)應(yīng)對(duì),不管是甲方還是乙方,面對(duì)全球黑客可以從任何地點(diǎn)發(fā)起的攻擊,資源都是有限的。網(wǎng)絡(luò)空間的光速可達(dá)屬性,注定了攻防雙方資源難以對(duì)等,這是所有組織都在面臨的終極挑戰(zhàn)。
如何應(yīng)對(duì)?山石網(wǎng)科認(rèn)為,構(gòu)建全球威脅情報(bào)生態(tài),讓威脅情報(bào)及時(shí)可達(dá),賦能可持續(xù)安全運(yùn)營(yíng)體系。
應(yīng)對(duì)全球發(fā)起的攻擊,需要開展全球威脅情報(bào)生態(tài)合作。360作為山石網(wǎng)科戰(zhàn)略合作伙伴,雙方已經(jīng)全面開展產(chǎn)品、技術(shù)側(cè)戰(zhàn)略合作。包括山石網(wǎng)科智能下一代防火墻也是采取360云端情報(bào)賦能,同時(shí),未來(lái)雙方還將就零信任等多個(gè)領(lǐng)域展開深入合作。360安全大腦,為山石網(wǎng)科的可持續(xù)安全運(yùn)營(yíng)體系,提供全面、及時(shí)、精準(zhǔn)的情報(bào)賦能,同時(shí),也從情報(bào)的實(shí)際落地中,得到反饋,增強(qiáng)優(yōu)化情報(bào),形成良性循環(huán)。
可持續(xù)安全運(yùn)營(yíng)體系,是山石網(wǎng)科去年用戶大會(huì)提出的技術(shù)理念,今年我們進(jìn)一步延伸了其內(nèi)涵:以零信任防控、智能威脅治理、數(shù)據(jù)生命周期安全治理三個(gè)框架為基礎(chǔ),以云端情報(bào)賦能,云端運(yùn)營(yíng)平臺(tái)支撐,由安全運(yùn)營(yíng)團(tuán)隊(duì)提供全方位專業(yè)化安全運(yùn)營(yíng),為用戶的安全竭盡全力。
昨天在ISC大會(huì)上,山石網(wǎng)科發(fā)布了新一代智能下一代防火墻,該產(chǎn)品具備零信任、intelligent智能感知、intelligence情報(bào)集成、IOT融合防護(hù)等特點(diǎn)。
面對(duì)變種攻擊,山石網(wǎng)科iNGFW可進(jìn)行本地或聯(lián)動(dòng)云端來(lái)感知惡意威脅行為,來(lái)進(jìn)行未知防御檢測(cè)以及防護(hù);安全防護(hù)正在從“個(gè)體或單個(gè)組織”的防護(hù),轉(zhuǎn)變?yōu)椤鞍踩閳?bào)驅(qū)動(dòng)”的信息共享、集體協(xié)作的方式,同時(shí)邊界封堵不等于全網(wǎng)防護(hù),在第三方情報(bào)的加持下,山石網(wǎng)科iNGFW提供貫穿“攻擊前、攻擊中、攻擊后”三個(gè)關(guān)鍵節(jié)點(diǎn)的全生命周期安全防護(hù)解決方案,其中威脅情報(bào)也來(lái)自包括360威脅情報(bào)中心在內(nèi)的國(guó)內(nèi)外優(yōu)秀威脅情報(bào)供應(yīng)商的賦能;在萬(wàn)物互聯(lián)時(shí)代,防護(hù)對(duì)象在變化,主機(jī)防護(hù)不等于全面防護(hù),山石網(wǎng)科新一代智能下一代防火墻可以識(shí)別網(wǎng)絡(luò)攝像頭等物聯(lián)網(wǎng)設(shè)備,同時(shí)具備對(duì)物聯(lián)網(wǎng)設(shè)備的安全防護(hù)與合規(guī)管控能力,可為客戶打造融合網(wǎng)絡(luò)的防護(hù)體驗(yàn)。