日前,在 2023网络安全运营技术峰会(SecOps 2023)上,数世咨询与华云安联合发布《原子化安全能力白皮书》,数世咨询创始人兼总经理李少鹏对白皮书进行独家解读。
安全概念的演变
疫情三年,全球经济和社会受到巨大冲击,网络安全行业也不例外。根据去年统计数据,安全行业整体产业的复合增长率是7%,这其中的增长更多是来源于集成。7%,这已是行业的业绩低点。尽管如此,我对安全行业的未来仍有比较乐观的预期。因为,数字化时代离不开数字安全。
在数字安全之前,我们先后经历的计算机安全、信息安全、网络安全的三个安全阶段的变迁:
• 计算机安全时代,1994年颁布的《中华人民共和国计算机信息系统安全保护条例》,开启了中国网络空间安全的序幕,主要以密码学和计算机病毒的防治为核心关注;1999年发布了我国第一个信息安全等级保护的国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》。
• 信息安全时代,2003年7月颁布的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),首次将“信息安全”上升为国家战略,明确了以信息安全等级保护和分级保护为发展核心的路径。2007年颁布实施的《信息安全技术信息系统安全等级保护基本要求》(即等保1.0)对信息安全的发展同样具有里程碑式的重要意义。
• 网络安全时代,2014年中央网络安全和信息化领导小组第一次会议上,确立了“没有网络安全就没有国家安全”的顶层战略,信息安全进化为网络安全,在等级保护制度的基础上,更多的在网络安全攻防领域加码。2017年6月1日,我国第一部全面规范网络空间安全管理方面问题的基础性法律-《中华人民共和国网络安全法》正式实施。2019年,《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》新版技术标准发布,开启了等保2.0工作新篇章。
从计算机安全到信息安全再到网络安全,每一次迭代不仅是技术上的变化、保护对象的变化、含义上的拓广,更为重要的是在国家的网络强国战略思想指引下,我国网络安全保障体系不断完善,防护能力水平明显提升。
今年3月,中共中央、国务院印发《数字中国建设整体布局规划》,其中再一次确立了“筑牢数字安全屏障“的战略意志,标志着我国网络安全正式升级为数字安全,安全产业的核心使命转变为在保证基础安全性和攻防能力的前提下,以促进数字经济发展为新的历史重任。数世咨询认为,数字世界的安全,即数字安全,内涵是以网络安全为基础手段,以数据安全为核心价值,来保障数字世界的稳定运行和活动秩序。
安全能力原子化
数字安全,要如何应对?在数世咨询与华云安的深度沟通后,我们认为未来的安全能力是需要原子化的。主要原因是源自数字世界所带来的复杂性,数字世界最核心的是数据。以网络为基础,以数据为核心我们叫数字世界。
在数字世界中,场景和需求众多,包括技术、AI、云、区块链,以及个性化的需求。在这种复杂情况下,安全能力如以往一样去做加固,或者希望所有的系统天生自带安全基因,内生和内嵌、原生化都是很难实现的,成本很高且无法做到完全与业务部门贴合。因此,我们提出要原子化,如同达芬奇所言简单是最终极复杂。从理论上来讲,原子化是解决未来多场景、多样化、多个性、多技术的解决方案。
安全能力原子化是符合人类社会和经济发展规律的必然趋势。综合来看,安全能力原子化的来源有两方面重要因素。一方面是因为互联网技术的发展改变了人类的生产与生活方式,但这种改变的决定性因素并不是互联网技术本身,而是人类对于多场景、多体验的需求。需求驱动了创新,创新带动了发展,发展催生了更多的需求。
另一方面是因为数字世界中安全威胁的发展与变化促使了安全防护的提质升级,传统的安全防护思路与产品正在经受着新型安全威胁的折磨,面临史无前例的巨大挑战。IT架构的变化、通讯协议的更替、终端设备的升级以及人类工作与生活方式、思维的转变,所有的事实都推动了传统安全向原生安全的进化。
数世咨询认为,安全能力原子化的核心思想是离散式制造、统一式交付、集中化管理、智能化应用的,而原子化安全是实现安全能力原子化的一种方式,它的终极目标是“简单、灵活、开放、智慧”,最终达到持续、动态的安全状态。
离散式制造可使安全能力颗粒化到最小,在安全能力离散式制造完成后,通过一个统一的平台以体系化的形式交付给客户。客户在使用过程中,依靠自动化和智能化的方式,根据业务需要和场景特性来动态编排安全能力使之完全匹配不同的流程需求。一体化解决方案最核心的内容是要集中化管理,而非烟囱式解决方案的分散。智能化应用,未来AI能够帮助网络安全实现智能化和自动化的应用。
从容器技术的诞生开始,云计算进入了云原生时代。云原生是原子化安全的承载环境,其支撑了原子化安全的实现,原子化安全又进一步增强了云原生的应用价值。所以云原生是现阶段原子化安全的完美载体,两者之间相辅相成。
具体到技术层面,SASE和安全网格是原子化能力的一个实现思路。从SASE核心思想安全即服务来看,就是安全计算能力的原子化。安全网格是身份定义边界。原子化亦是如此,持续将功能细粒度化。
华云安原子化安全能力实践
那么,我们来看看华云安如何来落地原子化安全能力?
根据原子化安全的思想,华云安基于云原生模式和技术,打造了一个面向未来的、基于攻击者视角的新一代安全防御体系。其核心思想是通过一个安全平台,提供各种原子化的安全能力,为客户提供集主动防御能力、情报协同能力、溯源反制能力为一体的云原生原子化安全能力平台。
华云安持续构建的云原生安全平台,以知识图谱的安全风险库和场景化人工智能引擎为核心关键技术,通过微服务的方式提供各种原子化安全能力,结合自动化编排和智能编排技术,将不断迭代的原子化安全能力交付给客户。基于微服务的原子化安全能力设计,充分考虑了弹性、冗余和高性能需求,原子化安全能力敏捷且易用。
华云安当前业务聚焦在威胁与暴露面管理,包括攻击面管理、安全验证和自动化防御等几个方面。构建的云原生原子化安全应用能力包括:检测发现能力、分析研判能力、情报预警能力和响应处置能力等四大方面:
检测发现:数字时代的资产与漏洞评估更加关注未知资产、影子资产及数字化安全弱点,聚焦正被用于攻击的漏洞,以攻击者的视角进行模拟攻击,绘制更完整的攻击面;
分析研判:网络安全的本质,是攻守两端人与人的较量。采用优先级技术评估漏洞的利用成本、资产价值,基于业务场景评估与判断漏洞的危害和制定响应策略;
情报预警:情报驱动、先于攻击的扩展威胁情报能力,从攻击者视角来思考和处理安全问题,通过识别外部攻击面来了解不断变化的攻击环境,先于攻击者发现漏洞;
响应处置:利用自动化技术对安全风险进行全生命周期的监控和运营。结合自动化编排,整合各种安全能力,实现攻击面的有效检测、分析、响应和监控。