乐趣区

阿里云安全肖力:从RSA2019看安全技术发展的十个机遇

又一年 RSA 大会归来。每一年参会,总会有一些不同的感悟,或是发现全球安全行业的新趋势,或是找到志同道合的新伙伴,或是看到很多人也相信我们相信的安全技术新方向。今天在回国的航班上提笔写下我的感悟和判断,希望对安全领域里的产品和技术同学们有所启发。

回顾每一年 RSA 的主题都有寓意。2017 年的主题“Power of Opportunity”,2018 年的主题是“Now Matters”。2017 年我印象深刻的是大家都在讨论数据智能及 AI 对安全的影响,所以主题讲的是机遇(Opportunity)。2018 年数据安全及 GDPR 对产业的影响很深,大会主题便强调安全迫在眉睫,强调此时此刻。今年的主题是“Better“,也寓含全球整个安全市场的爆发和安全产品技术的成熟,大家一起 to get better。

1.Cloud SIEM 成为云服务提供商和安全厂商的必争之地
Azure 和 Google 在 RSA 期间都发布了 Cloud SIEM 的产品,可以让用户基于云端安全能力从云上覆盖云下的业务。这意味着企业在混合云状态下,可以从一个更全局的视角来进行安全管理运营。此外,Google 近日也发布了一款网络安全产品“Backstory”,堪称威胁态势版“Google”,因其“无限扩展”能力,以及使用了构造 Google 基础设施核心的威胁分析引擎而引人注目。同时我也发现今年各大安全厂商也将 SIEM 来作为自己的主打产品。基于企业各项数据通过用户行为分析(UEBA),基于设备的威胁检测,基于 IP 和域名告警来实现全局安全智能分析。
不论是云服务提供商还是安全厂商现在都希望通过抢占 SIEM(安全信息与事件管理平台) 市场。我认为本质还是大家都知道在数据时代谁拥有数据就拥有更多可能。随着 Cloud SIEM 的成熟,也许未来企业用户会在安全管理平台内集成多家厂商的威胁检测及响应引擎来尽可能提升效果。
2. 创新沙盒的冠军让我们看到安全基础建设的重要性
今年 RSA 创新沙盒的冠军 Axonius。其核心优势在于解决了企业资产管理不全的痛点。Axonius 可以帮助企业降低攻击面并能与其他安全产品进行联动。这个概念并不超前。我们看到在过去的一年里,无论是有广泛市场需求的数据安全领域还是机器学习及 AI 在安全领域的应用,安全技术上没有出现突破性 / 颠覆性的创新。当谈到云上安全的最佳实践,企业安全体系重要的不仅仅是梳理资产,减少攻击面。我认为更重要的是 1. 建立统一的身份认证授权体系、2. 安全基线的运营、3. 全局漏洞管理、4. 默认安全流程策略、5. 敏感数据加密。这个组合拳才是整个企业安全的基石。在这些基础领域之上提升 6. 威胁检测、7. 事件调查、8. 自动化响应、9. 安全溯源能力才能让整个体系更稳固。
3. 零信任安全的背后是身份认证将成为企业新的边界
今年零信任理念也是热点之一。各厂商纷纷推出各种零信任安全产品。大部分零信任安全产品的背后将身份认证作为核心,因为身份认证将成为企业新的边界。
我认为随着企业使用大量的 SAAS 服务、移动互联网 BYOD 带来的影响,大量企业应用上云,原来企业安全体系以网络边界为核心的防御理念将随之变化。身份认证将成为企业新的安全边界。基于统一的身份认证,制定不同的安全策略,建立分层授权体系,全面实时的安全智能分析能力将构建未来每个企业安全的基石。
4. 数据安全领域蓄势待发
企业越来越重视数据安全,但因为数据安全领域横跨各个安全技术领域,导致各项数据安全方案成熟度不足。
过去的一年里无论是在加密计算领域,还是在 SGX 可信计算领域,数据安全技术还没有大的创新突破。即便是去年创新沙盒的冠军 BigID 仍然是以合规驱动为主。过去一年从企业数据泄漏事件来看,数据安全技术和方案还需要提升成熟度。之前数据安全领域主要以 DLP(数据防泄漏)技术为主,这两年有越来越多的数据安全厂商开始把用户行为分析、数据防泄漏、数据加密、数据流分析多种技术相结合来提升数据泄漏的检测防御效果。
但我认为数据安全涉及各个领域,也不仅仅依赖于检测和响应,身份认证授权也是关键。而未来待加密计算和可信计算技术的成熟,数据安全领域也会有更大的突破创新。
5.DevSecOps 将得到越来越多企业的重视
安全工作不能总是在事中或事后,安全工作越前置企业所付出的成本越低。
阿里在 2005 年安全体系建设初期就开始构建 SDL(安全开发流程),这也有效的降低安全漏洞数量及各项安全风险。
越来越多的企业已经意识到安全评估、自动化检测必须内嵌在整个产品开发生命周期中才能确保业务及代码的安全。而今年我们看到越来越多安全厂商通过黑白盒自动化检测、RASP(运行态应用防护技术)相结合来构建 DevSecOps 安全方案。我相信接下来的 1 - 2 年 DevSecOps 安全开发流程会被更多的企业接受,整体安全方案成熟性也会逐步提升。
6. 安全厂商产品融合趋势明显,自动化响应建立完整安全闭环
安全涉及所有技术领域导致安全产品非常碎片化,安全厂商细分领域众多。例如涉及网络安全就有 DDoS 防御、WAF、防火墙、IPS、RASP 等多款安全产品,如果在客户场景部署就像“羊肉串”。这对用户运维管理、网络稳定性、安全运营都提出了很大的挑战。
今年安全厂商趋势,试图通过多个产品融合来重新定义安全产品,提供用户更完整的安全产品。这个趋势在今年各家厂商推出的产品形态上非常明显。例如原来做终端 EDR 的厂商尝试将 DLP 技术整合至产品中。当前热门的 SDP(软件定义边界)领域,厂商就结合 SDWAN 技术打造云端 All in one 安全产品来给用户进行集中流量清洗及防护。
Palo Alto Networks 原来是以网络防火墙为核心产品的厂商。近年来通过投资并购,产品领域已成扇形扩展,已覆盖终端安全、威胁情报、XDR(云端威胁检测及响应)。整个公司战略方向很明确,希望覆盖企业全局安全管理平台,我相信 SEIM 产品也会不久推出。
另一方面自动化响应成今年各安全厂商产品形态又一个明显的变化趋势。我们看到安全厂商的共性:统一数据收集 / 全局威胁检测 / 自动化事件调查 / 自动化响应几乎大部分 Top 安全厂商都在努力实现这样的完整安全闭环。前几年大家都很关注安全的 Visibility,因此态势感知成为安全焦点。但是检测、Visibility 能力只是原来的痛点,今年各大厂商产品都在往自动化响应闭环发展。当然这也对安全智能、事件关联分析技术和产品 API 化提出更高的要求。
7. 云安全成为最热焦点
今年 42% 安全厂商涉及云安全,云安全成为各厂商最热点话题。主要原因是越来越多厂商推出“云安全产品”,基于本地化部署的系统上传安全数据至云端进行分析,共享云端威胁情报的能力,从而提供精准的安全决策。
我还发现多家 MSSP(安全服务提供商)推出基于多云的安全管理平台,可以集成 AWS、Azure 云安全中心的威胁检测结果,也可以集成各家安全厂商产品数据结果,最终用户可以在混合云的情况下,实现安全一站式的管理,统一安全视角。
随着企业越来越多的上云,如何通过数据及 AI 的能力解决原来企业安全痛点,是各家厂商努力的方向。另外有一点非常有意思,海外的安全厂商几乎没有私有云的安全解决方案,云安全产品主要面向各家公共云场景。这个是当前云计算发展国内与海外最大的不同。
8. 构建基于 API 的安全生态
我认为海外安全厂商的产品默认 API 化做的很好,可以方便给其他安全厂商进行集成,也让企业用户易于整合管理。这是海外和国内安全厂商差异所在。海外安全厂商专注在一个技术点的公司比比皆是,而国内安全公司大部分产品策略是以做多做全为主。我相信这其中也体现了国内市场和厂商的无奈。所以国外安全厂商产品天然需要和其他安全产品进行整合,自身产品就非常重视 API 化。
随着云安全不断发展,云服务提供商和安全厂商也开始进行融合。当前全球多家安全厂商通过云产品 API 来构建基于云平台的安全产品。云服务提供商也集成安全厂商的 API 来提供云安全产品服务更多的用户。云服务提供商的安全产品 API 也被安全厂商集成到线下产品来提升能力。
我相信用户最终需要的是能够集成各家核心安全能力,打造最佳的防御体系来应对网络安全对业务所带来的风险。
9. 安全厂商的品牌价值凸显
如果说技术代表的是厂商的核心竞争力,那品牌展示则更清晰表达出其定位和差异化。我收集了一些安全厂商的标语,这些标语里面也体现了各家安全厂商的核心优势、品牌理念及市场定位。例如 Chronicle 强调安全智能、McAfee 强调协同、VMware 强调云原生安全和智能、AWS 强调云上能够提升企业安全性。
我个人更喜欢 IBM Security 的标语:“我们并不需要更多的安全工具,我们需要新的安全规则”。我相信互联网安全环境越来越好也一定离不开政策、法律、合作、技术创新。

Chronicle : Global Secruity Intelligence(全球化的安全智能);
IBM Security:We don’t need more tools. We need new rules(不安全的世界,需要的并不是更多的安全工具,而是新的安全规则);
McAfee : Together is Power(产品协同,所有人齐心协力才是最大的力量);
VMware:Intrinsic Security,Intelligent Protection(原生安全,智能保护);
AWS:Elevate the security(云上提升安全性)。

10. 展望其他安全技术领域
1、在今年 RSA 大会上业务风控的公司不多,主要以防 Bot 厂商为主。但我相信随着黑灰产的发展,黑产变现方式不止局限于 DDoS 攻击、挖矿这类事件。未来黄牛党、广告点击欺诈、防撞库等业务安全问题会对企业业务有更多影响,而业务安全领域也将逐渐成为安全市场主流需求。
2、随着 Cloud SEIM 的兴起以及这两年部分厂商推出 MDR(可管理的检测及响应服务),我相信 MSSP(安全托管服务)会被越来越多的用户所接受。而这个前提条件就是安全 SAAS 服务的兴起,国内目标在 SAAS 服务上用户接受度还不足,我预期随着云计算的发展接下来几年一定会有更大的爆发。
3、今年 IoT 和移动安全厂商非常少,尤其是过去几年大家都很看好的 IoT 安全领域。这也说明整个 IoT 市场还在混沌阶段,我也相信 IoT 安全市场发展要取决于 IoT OS 之战。从移动互联网走到云时代再到 IoT 万物互联的时代,不同时代操作系统的安全水位决定了安全市场的大小和走向。
我也期待着在云计算和万物互联时代真正到来时,我们能让用户及企业在互联网上更安全无忧的发展业务,帮助他们服务全球用户。

本文作者:云安全专家阅读原文
本文为云栖社区原创内容,未经允许不得转载。

退出移动版