“從人到組織到社會到國家,數字帶給人類的價值在哪里,網絡安全就應當出現在哪里,不僅如此,我們還要致力于更快速、更有效、更全面、更長遠地解決安全風險。”
人類社會從農業革命、工業革命、科學革命發展到現在的數字革命時代,生產力不斷提升,生存方式進行了多輪的演進。數字締造了新的生產關系與生活模式,使人類向更高的智慧物種更邁進了一步,數字的價值不言而喻——事物價值越高,存在的風險也越大,對數字的價值所面臨的風險進行控制,就是我們今天要討論的安全。
我們跨入數字時代是依托于技術的發展,但安全的本質卻不單單是技術問題,不能只從技術視角來探討。安全問題雖是由技術缺陷所引起的,卻是因為業務本身具有被攻擊和被利用的價值,才會形成真正的問題和事故并產生風險和危害。經濟利益、政治因素、人文思想都是產生安全問題產生的原因,所以安全不僅僅是技術問題,也是經濟問題、政治問題、人文問題,甚至是哲學問題。
了解了安全的本質,就不難衡量安全的重要性與解決安全問題的方法與思路了。在2017年伯克希爾哈撒韋公司股東大會上巴菲特曾說:“人類所面臨的最大的威脅是網絡攻擊”。伊朗的核設施被破壞,是關鍵基礎設施被網絡攻擊破壞的案例;個人隱私被泄露,造成網絡詐騙案件屢見不鮮,國內電商和直播平臺都遭受過黑客攻擊事件,谷歌德國GDPR違規損失五千萬歐元罰金,Uber全球規模的數據泄露所承擔1.5億美元罰金;還有一直聲稱被黑客操縱的美國2016年大選。從人到組織到社會到國家,數字帶給人類的價值在哪里,網絡安全問題也就出現在哪里。如何更快速、更有效、更全面、更長遠地解決安全風險,是我們這個行業的從業者要去解決的問題。
行業監管:合規與效果并重
由于數字時代帶來的更加嚴峻和更加多樣的網絡安全威脅,國家監管層面意識到了問題的重要性,近幾年密集出臺了多套組合型的法律法規和相關政策。《網絡安全法》作為安全行業基礎法,從維護保障網絡空間主權和國家安全,服務于國家網絡安全戰略和網絡強國建設,助力網絡空間治理護航“互聯網+”的戰略高度開展監管。在網絡安全法頒布之后,更多配套的法律法規從個人、企業、關鍵基礎設施、社會和國家等層面全方面組合管控,包括《中華人民共和國個人信息保護法(草案)》、《中華人民共和國數據安全法(草案)》、《中華人民共和國密碼法》、《網絡安全審查辦法》、網絡安全等級保護2.0制度等。還有許多各行業的網絡安全法規,在此不一一列舉。
安全合規是基礎,法律法規在督促著各類客戶走向合規。然而早期很多企業僅僅只是為滿足合規要求而購買安全產品和服務,而非重視安全產品和服務實際帶來的效用以及對企業切實的防護能力,更不要說完善企業安全防護機制了。而今,隨著形勢的演變,攻擊的紛繁復雜以及國家為安全防護做出的努力,使得這種“為合規而合規”的現象也有所改變。從2016年起,國家各級政府部門不斷加強對網絡攻防實戰的重視,全國掀起了網絡安全攻防實戰演習熱潮。在國家有關部門的合理推動,參演企業的配合下,將網絡攻防的嚴酷現實展現在大家面前,使得各級領導開始放棄幻想,真正重視網絡安全能力建設。網絡安全實網演習成為加強安全建設,提升安全能力的重要手段,驅動客戶從追求合規到追求合規和效果并重,意義深刻且具有前瞻性。因此,從管理上來說,要求企業從“機構”“制度”和“人員”三要素缺一不可,要實現安全的運維管理;技術上,從安全區域邊界,到安全計算環境,企業應從內到外實現整體防護,這種變化對市場產生了巨大影響,真正有效的安全產品和具有安全服務能力的廠商在市場競爭中已經得到顯現。
安全廠商:網絡安全創新
在網絡安全行業這個領域,創新的目的不是利潤最大化,而是為客戶創造出“新”的價值,把未被滿足的需求或潛在的需求轉化為機會,并創造出新的客戶滿意。
我們把創新分成了兩類,“解決一個沒有被解決的問題”是突破式創新,對應創造出增量市場,而“解決一個沒有被解決好的問題”是迭代式創新,對應在存量市場提升競爭力。創新的路上都是機會與風險并存,面臨的挑戰也會有一定差異。突破式創新性強,但風險也高,一方面是存在被成本效率更好的方案替代的可能,另一方面需要花費較長時間教育市場。迭代式創新是一種微創新,與突破式創新相比,市場接受度更高,但也將要面對存量市場的激烈競爭,市場能力強的頭部企業后續也會快速跟進。
市場需求牽引了網絡安全產業創新的驅動力,至少有以下幾種:
一是技術革新驅動的創新。回看過去十年間全球范圍內的網絡安全初創企業,由基礎技術的升級帶動的創新基本是這些企業的共性。這類創新大部分都是用新的技術把市場上的舊的產品進行重做,例如SOC、 SIEM類的產品其實在15年前就已經存在了,由于大數據和人工智能技術的進步,利用大數據和人工智能技術將之前分析效率低的產品進行了重構,提升了產品的適用性和效率,這種迭代式創新用新技術為客戶提供更好的解決方案。在威脅檢測、行為分析、身份訪問控制、應用安全和數據安全等領域,人工智能技術也大大提升了安全防護的效果和安全產品的能力。
二是應用場景驅動的創新。過去十年間用戶應用場景最大的變化就是業務上云,原有針對數據中心的防護方案就失效了,云上的安全怎么做?這種新的需求帶動了新的市場,同時新的理念也被提出,零信任網絡架構正是為了解決在邊界泛化以后,動態邊界時代的網絡安全問題。另外隨著4G、5G網絡的發展,加上今年疫情的影響,移動辦公,遠程辦公的工作方式越來越普及,員工通過運營商網絡直接訪問內網鏈接和數據,在此應用場景下原有的解決方案也面臨失效問題,新的方案應運而生,例如SASE、CASB都是為了保障在企業遠程辦公或未來無邊界狀態的重要創新理念。未來5G時代的到來將會有更多的IOT設備接入網絡,對于安全來講都是重大挑戰,且5G也將會帶動新的應用場景的出現,與之相關的安全問題也需要重點關注。
還有一種驅動力是交付模式驅動的創新。十年前安全的交付形式以軟硬一體的網絡安全設備或者軟件為主,這種情況下產品只是工具,易用性較低,對人的要求較高。近些年國外網絡安全產業率先采用了軟件SaaS化交付形式,以WAF和抗DDos產品為例,原來硬件類設備的交付形式現在變成了云WAF和云抗DDoS,在歐美市場軟件SaaS化已經廣泛應用,例如身份認證即服務IDaaS(典型廠商OKTA),還有實現了終端安全軟件SaaS化交付的CrowdStrike等。國內由于應用場景的差異,進展稍微緩慢,但是WAF和抗DDoS類產品的SaaS化基本也已經完成,并且廣泛使用。另外為企業解決了網絡安全人力不足的問題,安全公司推出了托管式的安全運營服務,不再要求客戶具備很高的安全技術水平,將產品和服務融合為客戶提供更好的網絡安全保障,這種理念在國內已經得到了廣泛的市場認可,具備較大的市場空間。
客戶價值:讓客戶切實感受到安全的價值與作用
隨著產業的創新和發展,網絡安全產品在不斷的革新,易用性也在提升,但離非專業用戶也能很好使用網絡安全產品還有很大距離。真正做到真實有效的提升客戶業務風險的抵御能力,真正做到避險與控險,不僅要有好用的工具,更需要人的配合。產品的優化使得工具對人的要求在不斷的降低,雖然時間成本和管理成本在減少,隨著數字化進程出現的網絡安全人才缺口依然有擴大的趨勢,所以客戶真正需要的是安全產品加安全服務的聯合價值。網絡安全從業者只有幾十萬,但需要保護的企業數字達到千萬,解決這個矛盾的唯一途徑就是云化的安全服務。
安全服務的發展使網絡安全的價值被盤活,安全服務這項業務本身也在不斷地升級,逐漸走向“安全即服務”的趨勢。更加清晰的權責分配,更快速的應急響應,更準確的分析研判,更直觀的安全報告,更系統的安全運維,更有效的培訓認證以及更貼近真實場景的攻防靶場,使得安全工具的使用效果最大化,安全風險的御控能力最大化,業務得到最大化的保障,安全的價值也明顯的凸顯出來。
此外網絡安全意識培訓也是我們需要重點關注的話題,缺乏網絡安全知識的用戶會是網絡安全管理人員的噩夢,但能主動識別網絡攻擊的用戶會成為網絡安全管理人員的“情報員”,我們不期望每個人都成為網絡安全專家,但每年數小時的網絡安全意識培訓和釣魚測試就可以大大降低網絡攻擊,尤其是社會工程學攻擊的成功概率,并幫助我們及早發現正在進行中的攻擊。
數字時代已經來臨,數字化轉型無法逆轉,數字的價值已經凸顯,我們需要遵循事物發展的基本規律,僥幸的心態無法避免風險,要享受數字時代帶來的便利,就必須為保障它們的安全而做出行動。