“對MSS和MDR這兩個服務(wù)我們是非常堅定地看好，實際上開展相關(guān)業(yè)務(wù)的公司的經(jīng)營效益也很好。”

　　“網(wǎng)絡(luò)安全領(lǐng)域沒有一放出來就能解決所有問題的‘獨門大招’?！?/p>

　　“在人類技術(shù)進(jìn)步的過程中，提高自動化水平，減少對人力的消耗是我們追求的終極目標(biāo)，尤其是在安全人員遠(yuǎn)遠(yuǎn)不足的當(dāng)下，只有通過提高自動化和智能水平，才能減少對于人的消耗。”

　　——譚曉生

　　近20年間中國的網(wǎng)絡(luò)安全產(chǎn)業(yè)經(jīng)歷了翻天覆地的快速變化，無數(shù)技術(shù)的創(chuàng)新與迭代支撐著整個行業(yè)產(chǎn)品、服務(wù)、模式像時間的指針一樣不斷向前發(fā)展。8月28日，在2021北京網(wǎng)絡(luò)安全大會上，北京賽博英杰科技有限公司董事長譚曉生進(jìn)行了《網(wǎng)絡(luò)安全技術(shù)趨勢分析》分享，以下為分享全文：

　　今天我來給大家分享一下我們對網(wǎng)絡(luò)安全技術(shù)趨勢的分析。

　　#網(wǎng)絡(luò)安全基礎(chǔ)框架

　　我從事了30多年的軟件開發(fā)和網(wǎng)絡(luò)安全相關(guān)工作，今天首先為大家輸出的是一個網(wǎng)絡(luò)安全研究框架（如圖）。我們把網(wǎng)絡(luò)安全分成六大基礎(chǔ)安全領(lǐng)域，分別是端點安全、網(wǎng)絡(luò)與基礎(chǔ)架構(gòu)安全、應(yīng)用安全、數(shù)據(jù)安全、身份與訪問管理以及安全管理。這六大基礎(chǔ)安全領(lǐng)域基本上是以安全產(chǎn)品形式提供。

　　但單是提供產(chǎn)品，用戶并不能很好的做好安全，所以通過安全方案與集成、風(fēng)險評估、安全運維、滲透測試、應(yīng)急響應(yīng)，紅藍(lán)對抗、攻防實訓(xùn)與靶場、培訓(xùn)與認(rèn)證，安全意識教育與安全眾測這十大安全服務(wù)來輔助用戶把安全工作做好。

　　同時和產(chǎn)品、服務(wù)相交的還有四大通用技術(shù)理念，分別是威脅情報、數(shù)據(jù)安全與治理、零信任與開發(fā)安全，他們應(yīng)用在各個基礎(chǔ)安全領(lǐng)域并貫穿在安全服務(wù)之中。

　　同樣，現(xiàn)階段還有四大新興的應(yīng)用場景，分別是云安全、工控安全、移動安全和物聯(lián)網(wǎng)安全。

　　六大基礎(chǔ)安全領(lǐng)域、十大安全服務(wù)、四大通用技術(shù)理念、四大新興場景最終要解決的是各個行業(yè)的安全問題。在過去這20年中國的網(wǎng)絡(luò)安全市場里面形成了六大行業(yè)，他們是安全的主要客戶，分別是運營商、金融、能源、醫(yī)療、衛(wèi)生、教育和公檢法司。

　　#端點安全

　　下面我們逐一來看，首先是端點安全。端點安全最近這些年有什么變化？

　　首先端點的類型逐漸變多，從過去的桌面電腦逐漸有了移動終端，到現(xiàn)在萬物互聯(lián)有了很多物聯(lián)網(wǎng)終端。最初的終端安全是從殺毒開始的，上個世紀(jì)90年代有各種各樣的殺毒產(chǎn)品，最近幾年開始由EPP演化到EDR。原因是什么呢？在移動終端里面裝殺毒效果就大打折扣，要在物聯(lián)網(wǎng)終端里面裝殺毒軟件這事兒簡直無從做起，所以這時候基于終端的檢測和響應(yīng)（EDR）就能夠去幫助大家解決終端的問題。端點上的探測、云端協(xié)同的終端安全檢測和相應(yīng)的處置，都在逐步被解決。

　　技術(shù)上有什么變化？

　　第一，引擎的變化。和傳統(tǒng)的殺毒相比，現(xiàn)在的引擎從“基于規(guī)則”發(fā)展到了“基于AI”。2009年在全世界開始出現(xiàn)基于AI的引擎，比如360的qvm、趨勢科技的引擎等。經(jīng)過十幾年的發(fā)展，現(xiàn)在基本所有的安全公司都在采用AI引擎。

　　第二，判定方式的升級。從過去基于代碼特征來殺毒，現(xiàn)在逐漸變成基于用戶行為進(jìn)行惡意判定；從由本地判定，到云和端結(jié)合來判定，再結(jié)合威脅情報來進(jìn)行防護(hù)。

　　第三，過去20年發(fā)展起來的終端安全管理市場（包括準(zhǔn)入、各種三合一的管控等），這些也歸入到終端安全管理的范疇之內(nèi)?，F(xiàn)在我們已經(jīng)把終端安全管理擴展到了移動終端和物聯(lián)網(wǎng)終端層。

　　第四、主機安全曾經(jīng)是一個很古老的細(xì)分領(lǐng)域，叫主機加固，最近幾年隨著云的流行出現(xiàn)了越來越多的HIDS，HIPS這方面的應(yīng)用，比如像青藤云、椒圖、安全狗都是這方面的新興供應(yīng)商。

　　第五，可信計算終于到了落地的時候，尤其在物聯(lián)網(wǎng)終端，我們需要標(biāo)識身份，并對它們之間的通信進(jìn)行加密。

　　第六，終端側(cè)的漏洞管理。在過去，出現(xiàn)漏洞我們都簡單地告訴用戶打補丁，但實際上用戶在很多時候很難對他的系統(tǒng)打補丁，尤其是物聯(lián)網(wǎng)終端，終端側(cè)的漏洞管理技術(shù)會給客戶提供智能化的管理，很好的解決了這個問題。

　　#網(wǎng)絡(luò)安全

　　第二個大領(lǐng)域是網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全是在終端安全出現(xiàn)之后的第二個大市場，一直到現(xiàn)在它都是網(wǎng)絡(luò)安全市場主要的收入構(gòu)成部分。那么從防火墻到下一代防火墻，IPS、IDS、各種各樣的全流量采集和分析設(shè)備、SDWAN/SASE這種服務(wù)模式的出現(xiàn)，到DNS安全的興起、蜜罐的復(fù)興……這些產(chǎn)品逐漸演化的過程中，技術(shù)是如何發(fā)展的？

　　首先，從最早防火墻的第三層檢測和防護(hù)，發(fā)展到應(yīng)用層（第七層）的檢測與防護(hù)，這是第一個技術(shù)進(jìn)步。第二，VPN正在面臨升級和換代，零信任網(wǎng)絡(luò)就是可以替代VPN的下一代的產(chǎn)品，下一代VPN產(chǎn)品就是基于零信任思想的網(wǎng)絡(luò)安全控制手段。第三，在網(wǎng)絡(luò)安全方面也存在由規(guī)則引擎到基于大數(shù)據(jù)AI引擎的技術(shù)變化。第四，過去防火墻都基于靜態(tài)的本地規(guī)則去做，今天采用了協(xié)同聯(lián)動和威脅情報去進(jìn)行封堵。

　　#應(yīng)用安全

　　應(yīng)用安全過去大家講的比較多的都是Web安全，除此之外，其實還有郵件安全、API安全等領(lǐng)域。應(yīng)用安全上，WAF是一個存在了10多年的產(chǎn)品，長亭科技在WAF近些年的發(fā)展是一個很好的例子，在WAF這個紅海市場里他開辟了一個新的體驗點，主要是由WAF過去表達(dá)式的防護(hù)到基于語義分析的防護(hù)，效果可以說是做到了全球領(lǐng)先的水平，這是一個技術(shù)進(jìn)步帶動老產(chǎn)品更新很好的案例。

　　在最近兩年API安全又開始被提出來， API的未來其實在今天還沒有完全的被確定下來，API安全既可以用于解決攻防問題，也可以用來解決數(shù)據(jù)安全之類的合規(guī)問題。我個人預(yù)測API安全到未來的幾年時間會具體的落地，具體會落到什么樣的領(lǐng)域，解決什么樣的問題，我們還需要拭目以待。

　　#數(shù)據(jù)安全

　　數(shù)據(jù)安全是一個非常大的品類，我們從數(shù)據(jù)安全和數(shù)據(jù)安全治理這兩個角度來看。

　　數(shù)據(jù)安全現(xiàn)有的產(chǎn)品大多是基于數(shù)據(jù)審計和數(shù)據(jù)加密方面，但是今天我們所面臨的數(shù)據(jù)安全問題其實遠(yuǎn)遠(yuǎn)超過這些領(lǐng)域。在這里我簡單列了一下，比如數(shù)據(jù)脫敏問題，數(shù)據(jù)要發(fā)揮更大的價值在于共享，這里就會涉及隱私等數(shù)據(jù)安全問題，數(shù)據(jù)脫敏以及隱私計算都是用于解決數(shù)據(jù)共享問題的產(chǎn)品。

　　數(shù)據(jù)訪問的時候有各種的權(quán)限控制問題，這個在講身份控制的部分也會涉及。還有大數(shù)據(jù)平臺的安全性，大數(shù)據(jù)平臺基于各種各樣開源系統(tǒng)，在設(shè)計初期沒有考慮太多安全問題，一般認(rèn)為只要數(shù)據(jù)能“算”就可以了，但在數(shù)據(jù)變得越來越敏感的時候，大數(shù)據(jù)平臺的各種安全機制就變成了一個強需求。還有像數(shù)據(jù)備份與恢復(fù)，就是對付WannaCry這種勒索攻擊的一種手段。

　　在數(shù)據(jù)安全領(lǐng)域的技術(shù)進(jìn)步也有很多，比如在隱私計算方面。昨天安全創(chuàng)客匯我們就講到現(xiàn)在至少有15家新的創(chuàng)業(yè)是在做隱私計算這個方向，有做聯(lián)邦計算、多方計算、同態(tài)加密等等。

　　#身份與訪問管理

　　身份與訪問管理其實也是一個傳統(tǒng)的大市場。

　　我們先看IAM。在過去的這些年，IAM首先用的是用戶名口令這種傳統(tǒng)的手段，大家都知道這種方案效率低，對用戶不友好，但是到今天我們其實還沒有辦法完全地拋掉用戶名和口令。后來我們有了多因子認(rèn)證，現(xiàn)在零信任網(wǎng)絡(luò)架構(gòu)也試圖從一定的角度去解決這個問題。

　　那么從PAM權(quán)限管理這個角度，我們經(jīng)歷了從IBAC（基于身份的權(quán)限訪問控制）到RBAC（基于角色的訪問控制），到ABAC（基于屬性的安全訪問控制）。在今天這個產(chǎn)品仍然在逐漸的完善過程中。

　　還有在云服務(wù)越來越多的情況下，IDaaS也變成了世界上非常主流的一個潮流，雖然中國和國外之間的發(fā)展趨勢會略不一樣。

　　還有這兩年非?；鸬牧阈湃危阈湃卧趪鴥?nèi)是一個熱詞，很多的創(chuàng)業(yè)公司都要打零信任的標(biāo)簽，零信任有一個非常重要的部分就是和身份訪問管理有關(guān)的，他很大程度上解決的也是身份和訪問控制的權(quán)限問題。

　　#安全管理

　　在安全管理這方面，在過去這幾年我們解決了幾大問題。一個是數(shù)字資產(chǎn)的發(fā)現(xiàn)與管理，一個是從2015年國內(nèi)安全行業(yè)開始建設(shè)的威脅態(tài)勢感知，可以說是完成了從SIEM到提前感知的進(jìn)程跨越。

　　還有SOC，可以說過去很長一段時間里，把SOC這個產(chǎn)品做成功的公司特別少，到今天SOC的自動化水平得到了極大地提升?，F(xiàn)在我們也能看到SOAR的演進(jìn)，SOAR在目前還不能算是一個獲得成功的產(chǎn)品，但在未來我們對它給予很大的希望，因為在人類技術(shù)進(jìn)步的過程中，提高自動化水平，減少對人力的消耗是我們追求的終極目標(biāo)，尤其是在安全人員遠(yuǎn)遠(yuǎn)不足的當(dāng)下，只有通過提高自動化和智能水平，才能減少對于人的消耗。

　　在漏洞管理方面，漏洞管理以往的方式是打補丁，但是很多用戶系統(tǒng)很難去打補丁，這種情況下，漏洞化管理成為了一種新的方式，通過訪問權(quán)限的控制，通過一些防火墻的規(guī)則設(shè)置可以去解決打補丁的問題，什么時候該裝補??？什么時候可以采用其他方法去解決？這都屬于安全管理方面我們獲得的一些進(jìn)步。

　　#安全服務(wù)

　　安全服務(wù)一開始大家都比較容易接受的首先是滲透測試服務(wù)，過去安全公司都會準(zhǔn)備一個滲透測試團(tuán)隊，先上去把用戶打穿了，然后再賣產(chǎn)品進(jìn)去。到今天我們有專業(yè)的安全公司的安服人員，還有各種眾測公司，包括最近國家信息安全測評中心搞了一個眾測的項目。

　　還有像MSS和MDR這種安全托管服務(wù)，在2021年各大安全上市公司的年報里面都會提到自己要做MSS或者M(jìn)DR，這里面的原因主要是我們整個社會都在做數(shù)字化轉(zhuǎn)型，需要保護(hù)的系統(tǒng)和財產(chǎn)越來越多，但是我們的網(wǎng)絡(luò)安全人員一年只能培養(yǎng)出來幾萬個，離安全教職委說的“我們需要140萬-150萬的安全人員”這個數(shù)差距太大，很長時間都難以去滿足這個要求。另外人員設(shè)置也是要花錢去養(yǎng)護(hù)團(tuán)隊的，通過安全的云服務(wù)方式，才是能夠低成本為用戶解決問題的一個手段。所以對MSS和MDR這兩個服務(wù)我們是非常堅定地看好，實際上開展相關(guān)業(yè)務(wù)的公司的經(jīng)營效益也很好。

　　電子取證其實也是非常重要的一個安全服務(wù)，系統(tǒng)遭到入侵了之后，有專門的安全取證團(tuán)隊能幫你做取證服務(wù)，最終能夠變成“呈堂證供”。

　　#四大通用技術(shù)理念

　　剛才說到了四大通用技術(shù)理念，首先要提的就是零信任。零信任現(xiàn)在的基礎(chǔ)組件其實就是一個微隔離，一個SDN，一個IAM?，F(xiàn)在各種創(chuàng)業(yè)大賽里面號稱是做零信任的公司特別多，其實零信任是一個思維方式，它會應(yīng)用到很多傳統(tǒng)的安全產(chǎn)品甚至服務(wù)里面去。比如現(xiàn)在非常熱的SASE里面也包含了零信任的應(yīng)用。

　　再看數(shù)據(jù)安全治理與隱私保護(hù)，其實數(shù)據(jù)安全治理是解決數(shù)據(jù)安問題的一個有效方法，他首先有數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)，我要先知道我有什么樣的數(shù)據(jù)資產(chǎn)，其次能對我的數(shù)據(jù)去進(jìn)行分類和分級，然后再去做各種權(quán)限控制；還要對數(shù)據(jù)進(jìn)行加密，讓別人入侵之后也無法拿走；數(shù)據(jù)分享的過程中還要脫敏，再加上傳統(tǒng)的數(shù)據(jù)庫審計防護(hù)、數(shù)據(jù)防泄漏等等方面的需求。其實數(shù)據(jù)安全治理是一個非常復(fù)雜多樣的工作，在內(nèi)部他可以再分成很多細(xì)分內(nèi)容，而在數(shù)據(jù)安全整個的工作中，今天的解決方案都處于非常早期的階段，所以我們認(rèn)為數(shù)據(jù)安全未來會是一個非常大的賽道。

　　數(shù)據(jù)安全技術(shù)主要的發(fā)展變化來自于從一開始是對數(shù)據(jù)進(jìn)行靜態(tài)的防范，今天我們要對于流轉(zhuǎn)的數(shù)據(jù)去做安全管控，因為數(shù)據(jù)不流動起來，它的價值無法真正的發(fā)揮。第二點我們由過去的明文計算，到現(xiàn)在有了各種隱私計算，不管是聯(lián)邦學(xué)習(xí)、安全多方計算還是同態(tài)加密，都是用來解決隱私計算問題的一種方法。還有我們在過去對數(shù)據(jù)標(biāo)密的時候采用人工標(biāo)密，現(xiàn)在隨著數(shù)據(jù)量的膨脹人工已經(jīng)無法滿足需求，這就產(chǎn)生了數(shù)據(jù)的自動分類和分級。

　　在高級威脅發(fā)現(xiàn)方面，最近的兩年各種解決方案和產(chǎn)品的大賽里我們看到非常大的比例是基于全流量分析的方案。2020年我們做市場分析的時候發(fā)現(xiàn)做IPS/IDS這兩款產(chǎn)品的提供商在減少，但是基于全量分析的NTA廠商在非?？焖俚脑黾?，并且應(yīng)用了人工智能技術(shù)、沙箱技術(shù)等。從基于引擎的掃描到基于沙箱的檢測，從人工的日志分析到AI的全流量分析，這都是在高級威脅發(fā)現(xiàn)方面的技術(shù)進(jìn)步。

　　開發(fā)安全是隨著開發(fā)左移的思想發(fā)展的，意思就是人們解決安全問題不是在產(chǎn)品最終要提交的時候再交給安全團(tuán)隊去測試，而是在開發(fā)過程之中就采用各種各樣的交互式自動化的工具支撐來幫助開發(fā)者盡早發(fā)現(xiàn)漏洞。像懸鏡安全、默安科技，都號稱自己是一個DevSecOps公司，提供SAST、IAST、DAST、SCA等等各種管理工具，分別解決靜態(tài)安全掃描、動態(tài)的安全掃描、交互式安全掃描和源代碼的成分分析等。

　　還有一個是Fuzzing，F(xiàn)uzzing其實是上個世紀(jì)80年代末學(xué)術(shù)界提出來的，但最近幾年開始越來越廣地得到了安全界人士的應(yīng)用?，F(xiàn)在Fuzzing到的一個問題就是要從專業(yè)人士應(yīng)用變成普通開發(fā)者就能用，怎么形成自動化的漏洞挖掘工具，在開發(fā)過程中能幫助客戶去找出來協(xié)議上和代碼上的漏洞，這類產(chǎn)品的整個發(fā)展還是要有自動化的工具來落地和支撐。

　　總結(jié)：下五洋捉鱉 上九天攬月

　　最后從總體上總結(jié)一下網(wǎng)絡(luò)安全技術(shù)發(fā)展的趨勢，在這里我放上了一張?zhí)珮O圖。在RSAC等各大全球安全會議上，老外在演講的時候也經(jīng)常拿中國的太極圖舉例子，雖然我不知道他是不是真正理解太極圖的意思。

　　在過去幾年間我們看到有幾個趨勢，一個是安全的管理越來越細(xì)，從過去管一個終端的安全，然后到網(wǎng)絡(luò)邊界上的安全，再逐漸深入到代碼的運行過程做了什么行為，再到后來的比如API安全關(guān)注到每一次的系統(tǒng)接口的調(diào)用，越來越細(xì)節(jié)。對數(shù)據(jù)也是，我們從過去用一臺服務(wù)器做權(quán)限控制，到在服務(wù)器內(nèi)部去分清楚它是哪個數(shù)據(jù)庫，到現(xiàn)在要能分出哪條記錄。這種越來越細(xì)的趨勢，我們把它叫做“下五洋捉鱉”。

　　第二個就是“上九天攬月”，意思就是說雖然基于細(xì)節(jié)的管理我們的能力確實在提升，但依然是不夠的。比如像這次的新冠病毒，我們正好可以看出來中醫(yī)和西醫(yī)之間的區(qū)別，西醫(yī)就是越搞越細(xì)，細(xì)到這個病毒的表面蛋白是什么，分子結(jié)構(gòu)是什么，它到底是怎么感染人體的，該用什么樣的疫苗，用什么樣的藥物去治療它。但是這樣越往下剖得越細(xì)其實工作負(fù)荷是很大的，病毒這個東西是不是真的能被解決也是存疑的，比如很快就出現(xiàn)變異病毒了。那么中醫(yī)的玩法不同，類似于不管你什么病毒，在中醫(yī)看來都是癔癥，中醫(yī)通過把你的身體的機制調(diào)動起來，提高免疫力，讓你身體的免疫力自己去把病毒干掉，不管是什么病通過這樣的方式都可以來進(jìn)行一定程度的防御。

　　像在網(wǎng)絡(luò)安全里面，我們從更宏觀的角度去看，不管是態(tài)勢感知還是UEBA，都是試圖跳出細(xì)節(jié)，在掌握更大信息量的基礎(chǔ)之上，通過找到一個更高層的規(guī)律來解決問題。

　　另外我們在講網(wǎng)絡(luò)安全的趨勢的時候，我們要知道網(wǎng)絡(luò)安全領(lǐng)域沒有一放出來就能解決所有問題的“獨門大招”，且往往需要一個很長的過程。拿Fuzzing來做例子，在1989年的時候就有學(xué)者提出來這個概念，但在后面將近20年時間里都沒有得到非常廣泛的認(rèn)同和應(yīng)用。直到最近10來年時間高效Fuzzing工具的出現(xiàn)能夠讓專業(yè)人士開始用起來，今天我們再把它變得能讓更普通的用戶能夠使用，整個過程從創(chuàng)意到產(chǎn)品應(yīng)用要花費幾年的時間。在這幾年時間之內(nèi)，大廠會不斷的跟進(jìn)，創(chuàng)業(yè)公司也會不斷的跟進(jìn)，最后往往會形成一個新技術(shù)，但它不是誰家的獨門武器，而是多家公司都會具備這樣的這種技術(shù)。所以在網(wǎng)絡(luò)安全的技術(shù)演進(jìn)上面，我們看到的是一個漸進(jìn)的趨勢，從一個創(chuàng)意最終到變成用戶真正能用的產(chǎn)品，再快也得兩三年時間，而且最后往往是逐漸迭代式的演進(jìn)的這樣一個過程。

　　今天和大家分享的就是這些，謝謝大家。