技術(shù)驅(qū)動(dòng)社會(huì)數(shù)字化加速，新的數(shù)字環(huán)境下，網(wǎng)絡(luò)安全進(jìn)入了攻擊復(fù)雜化、漏洞產(chǎn)業(yè)化、重保常態(tài)化等新常態(tài)。應(yīng)對(duì)數(shù)字世界新挑戰(zhàn)，網(wǎng)絡(luò)安全防護(hù)需要新的理論思考和方法論。

　　網(wǎng)絡(luò)連接矩陣復(fù)雜化、網(wǎng)絡(luò)泛攻擊化、數(shù)字資產(chǎn)持續(xù)沉淀化、攻防資源不對(duì)等化，這四個(gè)安全命題，在未來(lái)很長(zhǎng)一段時(shí)間，將是產(chǎn)業(yè)上下游都要思考的方向，也是未來(lái)安全防護(hù)最核心的原點(diǎn)。接下來(lái)，筆者從這四個(gè)趨勢(shì)，簡(jiǎn)單談?wù)勊伎己涂捶ā?/p>

　　趨勢(shì)一：網(wǎng)絡(luò)連接矩陣趨向復(fù)雜化

　　當(dāng)我們注意到人與物、物與物連接矩陣的邊界越來(lái)越模糊且多變的時(shí)候，安全防護(hù)框架就需要適應(yīng)變化重新構(gòu)建。

　　數(shù)字化的本質(zhì)是讓人更方便地獲取信息、利用信息，也就是構(gòu)建人與數(shù)字信息的連接。但相比過(guò)去，數(shù)字接入的移動(dòng)性和服務(wù)的云化，已經(jīng)讓人和業(yè)務(wù)之間的連接變得更加復(fù)雜。過(guò)去，組織在網(wǎng)絡(luò)訪問(wèn)上，按照職能和功能，對(duì)辦公區(qū)和數(shù)據(jù)區(qū)進(jìn)行劃分，訪問(wèn)模式還是比較固定的。但現(xiàn)在，移動(dòng)終端的普及，人在居家、差旅、辦公區(qū)之間移動(dòng)切換，業(yè)務(wù)在私有云和公有云中部署和遷移，SaaS類業(yè)務(wù)也越來(lái)越多，構(gòu)成了一個(gè)復(fù)雜的連接矩陣。

　　上圖就是一個(gè)很典型的對(duì)比案例?？梢院芮逦乜吹?，組織連接矩陣的邊界已經(jīng)是趨于模糊且易變。以往按照區(qū)域劃分，區(qū)域之間配置安全策略的防控模式，已經(jīng)難以適應(yīng)復(fù)雜易變的連接矩陣了。

　　這是產(chǎn)業(yè)共同面臨的問(wèn)題。以身份為核心，建立基于動(dòng)態(tài)最小授權(quán)策略的零信任安全防控框架，會(huì)是應(yīng)對(duì)這個(gè)挑戰(zhàn)的最優(yōu)解。

　　可以這么理解，安全防控的基本理念是出了問(wèn)題可以控制在最小影響范圍，當(dāng)區(qū)域邊界變的模糊時(shí)，我們需要看有什么是相對(duì)穩(wěn)定的，那么可以基于一個(gè)相對(duì)穩(wěn)定的基礎(chǔ)構(gòu)建新的安全防控框架。既然信息化的本質(zhì)是人與信息之間的連接，那么防控體系也可以從人出發(fā)進(jìn)行重構(gòu)，也就是以身份為基礎(chǔ)，建立動(dòng)態(tài)最小授權(quán)策略的零信任安全防控框架。這其中，所謂動(dòng)態(tài)最小授權(quán)，除了根據(jù)身份之外，還需要結(jié)合接入設(shè)備的類型、軟硬件合規(guī)要求、風(fēng)險(xiǎn)狀態(tài)等多重因素，進(jìn)行訪問(wèn)權(quán)限控制。

　　那未來(lái)零信任的方案應(yīng)該是什么樣的？SASE將會(huì)成為主流。從SaaS業(yè)務(wù)和移動(dòng)辦公的推廣普及的趨勢(shì)來(lái)看，SASE作為零信任的運(yùn)營(yíng)方案，將能為用戶帶來(lái)便捷安全的業(yè)務(wù)訪問(wèn)。

　　SASE 本質(zhì)是“SD-WAN + Security”， 是基于云網(wǎng)的“企業(yè)網(wǎng)+安全”的運(yùn)營(yíng)模式，其產(chǎn)生的原因是分散的移動(dòng)辦公加上多點(diǎn)的云服務(wù)。傳統(tǒng)的接入模式：spoke-n-hub，不適應(yīng)現(xiàn)在的環(huán)境。SASE通過(guò)廣泛部署PoP點(diǎn)，為分支機(jī)構(gòu)和在外辦公提供接入，既提供路由選擇、QoS等網(wǎng)絡(luò)優(yōu)化功能，也提供各類安全功能，由專業(yè)的網(wǎng)絡(luò)安全公司提供安全的網(wǎng)絡(luò)接入和運(yùn)營(yíng)，也保證了辦公的便捷性和安全性。

　　目前來(lái)看，中國(guó)的SaaS用戶，主要還是中小企業(yè)，SaaS業(yè)務(wù)的類型主要還是企業(yè)微信、釘釘這樣的通用辦公類SaaS。SASE會(huì)從中小客戶開(kāi)始，隨著客戶的成長(zhǎng)，與用戶使用習(xí)慣的培養(yǎng)，未來(lái)的客戶群體會(huì)更加廣泛。

　　另外也可以看到，對(duì)網(wǎng)安公司來(lái)說(shuō)，從賣產(chǎn)品，到賣解決方案，提供服務(wù)，到提供一整套網(wǎng)絡(luò)與安全運(yùn)營(yíng)，也是未來(lái)的趨勢(shì)之一。

　　趨勢(shì)二：泛網(wǎng)絡(luò)攻擊時(shí)代已經(jīng)到來(lái)

　　網(wǎng)絡(luò)攻擊的演進(jìn)也已經(jīng)到了下一個(gè)時(shí)代。早些年，以CIH、熊貓燒香、沖擊波等為主的攻擊，主要是破壞操作系統(tǒng)穩(wěn)定性；后來(lái)到以APT攻擊為代表的精準(zhǔn)攻擊，主要是竊取重要信息或破壞重要系統(tǒng)，是一種定向攻擊；到如今，以勒索、挖礦為代表，與蠕蟲(chóng)結(jié)合，全網(wǎng)擼羊毛，網(wǎng)絡(luò)攻擊已經(jīng)進(jìn)入到了輕松又高效的泛網(wǎng)絡(luò)攻擊時(shí)代。

　　信息資產(chǎn)數(shù)量和價(jià)值的持續(xù)倍增，讓網(wǎng)絡(luò)空間進(jìn)入了泛網(wǎng)絡(luò)攻擊時(shí)代。網(wǎng)絡(luò)攻擊是為了獲利，當(dāng)個(gè)人終端的信息資產(chǎn)也變的重要時(shí)，勒索，從一開(kāi)始的郵件附件傳播，到后來(lái)利用高危漏洞，與蠕蟲(chóng)結(jié)合，對(duì)黑客來(lái)說(shuō)，是一種極其高效的獲利方式。當(dāng)前，泛網(wǎng)絡(luò)攻擊在暗網(wǎng)上有完整的產(chǎn)業(yè)鏈支撐，入門門檻低，從病毒的獲取，加殼變形，病毒投放，獲利的收取等都有完整的服務(wù)鏈條，只要幾千美金就可以開(kāi)張起步，并可以在短時(shí)間內(nèi)收回成本并獲利。

　　而目前主流的威脅檢測(cè)技術(shù)從原理上分為特征匹配和異常行為兩大類，特征匹配由于檢測(cè)結(jié)果誤報(bào)率低，解釋性好，檢出問(wèn)題有明確的處置建議，因此一直是網(wǎng)安產(chǎn)品的主流檢測(cè)技術(shù)，但面對(duì)漏洞越來(lái)越多，攻擊數(shù)量多、易變種的局面，僅僅有特征匹配檢測(cè)已難以應(yīng)對(duì)。

　　可以看到，在這種以快、廣、狠為主要特點(diǎn)的泛網(wǎng)絡(luò)攻擊時(shí)代，基于特征匹配的傳統(tǒng)檢測(cè)技術(shù)已難以應(yīng)對(duì)新的網(wǎng)絡(luò)攻擊挑戰(zhàn)。新形勢(shì)下智能威脅治理框架需要重新構(gòu)建，且該框架應(yīng)該具備多維檢測(cè)、精準(zhǔn)分析、聯(lián)動(dòng)響應(yīng)、情報(bào)賦能四個(gè)基本要點(diǎn)。

　　面對(duì)新形勢(shì)下的攻擊態(tài)勢(shì)，首先要在端、網(wǎng)、邊、云，建立特征匹配與異常行為的多維檢測(cè)。由于檢測(cè)點(diǎn)和檢測(cè)技術(shù)多，產(chǎn)生的威脅數(shù)據(jù)量大，需要建設(shè)基于大數(shù)據(jù)技術(shù)的精準(zhǔn)分析平臺(tái)，匯總?cè)z測(cè)數(shù)據(jù)，綜合應(yīng)用人工智能分析技術(shù)，將威脅與資產(chǎn)結(jié)合，幫助管理員聚焦于高置信度失陷風(fēng)險(xiǎn)；進(jìn)而與端、網(wǎng)、邊、云的防控體系實(shí)現(xiàn)聯(lián)動(dòng)響應(yīng)，運(yùn)用SOAR技術(shù)，自動(dòng)化專家分析處置經(jīng)驗(yàn)，快速實(shí)現(xiàn)威脅檢測(cè)、分析、響應(yīng)閉環(huán)。同時(shí)，通過(guò)云端威脅情報(bào)的賦能，使政企組織可以實(shí)時(shí)獲取全網(wǎng)威脅情報(bào)數(shù)據(jù)，實(shí)現(xiàn)更大范圍的檢測(cè)、分析、響應(yīng)閉環(huán)。

　　在攻擊泛化的趨勢(shì)下，防御應(yīng)對(duì)措施也有新的方向。我認(rèn)為，攻防的本質(zhì)始終是基于成本的對(duì)抗，SaaS化是智能XDR+SOAR系統(tǒng)的未來(lái)趨勢(shì)。不管如何演進(jìn)，攻防的本質(zhì)始終不變，是基于成本的對(duì)抗。像密碼學(xué)的設(shè)計(jì)原則并不是永遠(yuǎn)破解不了最好，而是破解的成本高于被保護(hù)的信息價(jià)值即可。攻擊方是黑客利用工具，防守方僅僅部署產(chǎn)品是不夠的，需要有專業(yè)的安全管理人員。

　　對(duì)于中小組織，面對(duì)越來(lái)越廣泛并且專業(yè)的攻擊，通過(guò)本地部署安全控制點(diǎn)，將安全數(shù)據(jù)上報(bào)到安全SaaS平臺(tái)，安全管理托管于專業(yè)廠家的專業(yè)人員，可以有效的降低成本。對(duì)于大型組織，安全管理投入也是有限的，參照安全成熟度高的歐美地區(qū)，自有安全管理人員+專業(yè)安全運(yùn)營(yíng)托管的趨勢(shì)非常明顯。

　　趨勢(shì)三：數(shù)據(jù)資產(chǎn)將持續(xù)沉淀

　　隨著新興技術(shù)不斷發(fā)展，數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)的核心生產(chǎn)要素，正成為科技創(chuàng)新的突破口，但現(xiàn)實(shí)情況是數(shù)據(jù)安全防護(hù)水平參差不齊，數(shù)據(jù)安全問(wèn)題層出不窮，個(gè)人隱私泄露、非法數(shù)據(jù)交易等頻發(fā)，國(guó)外咨詢機(jī)構(gòu)Verizon發(fā)布的2020年數(shù)據(jù)泄露報(bào)告中統(tǒng)計(jì)2020年全球數(shù)據(jù)泄露事件同比增長(zhǎng)了96%，醫(yī)療、金融和制造業(yè)排名前三。另一方面隨著云大物移智等新興技術(shù)發(fā)展，國(guó)家也相應(yīng)配套了相關(guān)法律法規(guī)，網(wǎng)絡(luò)安全法強(qiáng)調(diào)了對(duì)個(gè)人信息保護(hù)的責(zé)任，數(shù)據(jù)安全法確立了數(shù)據(jù)分類分級(jí)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急處置等基本制度，明確了開(kāi)展數(shù)據(jù)處理活動(dòng)的組織、個(gè)人的數(shù)據(jù)保護(hù)義務(wù)等。

　　目前來(lái)看，組織內(nèi)數(shù)據(jù)多樣、海量、復(fù)雜，留存周期長(zhǎng)，與業(yè)務(wù)關(guān)聯(lián)緊密，數(shù)據(jù)安全治理不能僅靠產(chǎn)品和技術(shù)；數(shù)據(jù)越來(lái)越多樣性，數(shù)據(jù)庫(kù)數(shù)據(jù)、大數(shù)據(jù)文件、非結(jié)構(gòu)化文檔等數(shù)據(jù)種類豐富，很多數(shù)據(jù)因?yàn)闃I(yè)務(wù)原因，需要長(zhǎng)期留存。同時(shí)，數(shù)據(jù)的安全威脅也多樣化，如數(shù)據(jù)泄露、數(shù)據(jù)的破壞、隱私的泄露、數(shù)據(jù)失控、數(shù)據(jù)的泛濫、數(shù)據(jù)的損害或丟失等。

　　復(fù)雜的數(shù)據(jù)問(wèn)題讓我們看到，數(shù)據(jù)安全治理不僅僅是部署產(chǎn)品和技術(shù)，是一個(gè)系統(tǒng)工程，需要自頂向下進(jìn)行設(shè)計(jì)，可以從以下五個(gè)方面考慮：

　　1、法律法規(guī)的梳理，對(duì)業(yè)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)分析，明確數(shù)據(jù)安全治理的實(shí)際需求；

　　2、數(shù)據(jù)安全治理的組織管理體系支撐；

　　3、數(shù)據(jù)的分類分級(jí)和梳理，辨別哪些數(shù)據(jù)需要保護(hù)，這些需要保護(hù)的數(shù)據(jù)在哪些位置，哪些人正在使用這些數(shù)據(jù)，在使用過(guò)程中是否合理；

　　4、制定適合的相關(guān)安全策略；

　　5、對(duì)數(shù)據(jù)安全治理進(jìn)行有效監(jiān)測(cè)和審計(jì)，及時(shí)發(fā)現(xiàn)存在的問(wèn)題與隱患，才能對(duì)數(shù)據(jù)安全治理工作進(jìn)行持續(xù)改進(jìn)。

　　針對(duì)數(shù)據(jù)安全治理，可以圍繞數(shù)據(jù)流程過(guò)程，從數(shù)據(jù)安全運(yùn)營(yíng)和數(shù)據(jù)安全管理兩個(gè)維度出發(fā)，來(lái)構(gòu)建彈性可擴(kuò)展，業(yè)務(wù)自適應(yīng)的數(shù)據(jù)生命周期安全治理體系，以實(shí)現(xiàn)：

　　1、數(shù)據(jù)資產(chǎn)全面安全管控。

　　2、數(shù)據(jù)安全一站感知處置。

　　3、數(shù)據(jù)安全資源云化供取。

　　4、提供可持續(xù)的數(shù)據(jù)安全運(yùn)營(yíng)能力。

　　趨勢(shì)四：攻防資源難以對(duì)等程度加劇

　　物理世界的攻擊距離是有限的，跨地域作案很難。哪怕就是傳染性強(qiáng)的病毒，其擴(kuò)散速度也與人的交通速度有關(guān)，比如目前全球傳播最廣的新冠病毒Delta變種，是從去年10月就出現(xiàn)的。

　　但是，網(wǎng)絡(luò)空間中，信息的傳播是近乎光速的，全球的攻擊者可以攻擊任意地點(diǎn)的組織，但組織只能基于自身資源來(lái)應(yīng)對(duì)，不管是甲方還是乙方，面對(duì)全球黑客可以從任何地點(diǎn)發(fā)起的攻擊，資源都是有限的。所以說(shuō)，網(wǎng)絡(luò)空間的光速可達(dá)屬性，是攻防雙方資源難以對(duì)等的一個(gè)挑戰(zhàn)。而攻防資源不對(duì)等，這是所有組織都在面臨的終極挑戰(zhàn)。

　　網(wǎng)絡(luò)空間的安全對(duì)抗日趨激烈，傳統(tǒng)的安全技術(shù)不能全面滿足安全防護(hù)的需要?，F(xiàn)階段的安全防護(hù)，不僅僅是要做好防御，還需要持續(xù)地檢測(cè)和響應(yīng)，而要想做到持續(xù)有效的檢測(cè)與快速的響應(yīng)，威脅情報(bào)必不可少。

　　應(yīng)對(duì)全球發(fā)起的攻擊，需要產(chǎn)業(yè)生態(tài)伙伴有意識(shí)的開(kāi)展全球威脅情報(bào)生態(tài)合作。威脅情報(bào)作為網(wǎng)絡(luò)空間治理的重要一環(huán)，需要政府部門、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專家等各方形成情報(bào)協(xié)同、數(shù)據(jù)協(xié)同、能力協(xié)同，共同構(gòu)建網(wǎng)絡(luò)空間治理與協(xié)同防御能力體系，推動(dòng)全球威脅情報(bào)共享，構(gòu)建全球威脅情報(bào)生態(tài)，攜手共建網(wǎng)絡(luò)空間命運(yùn)共同體，助力可持續(xù)安全運(yùn)營(yíng)。

　　總結(jié)來(lái)看，針對(duì)以上四個(gè)安全命題，解決問(wèn)題的思路可以是以身份為核心，建立基于動(dòng)態(tài)最小授權(quán)策略的零信任安全防控框架，應(yīng)對(duì)網(wǎng)絡(luò)連接矩陣復(fù)雜化；以多維檢測(cè)、精準(zhǔn)分析、聯(lián)動(dòng)響應(yīng)、情報(bào)賦能的智能威脅治理框架，應(yīng)對(duì)網(wǎng)絡(luò)泛攻擊化；以彈性可擴(kuò)展、業(yè)務(wù)自適應(yīng)的數(shù)據(jù)生命周期安全治理框架，應(yīng)對(duì)數(shù)字資產(chǎn)持續(xù)沉淀化；以構(gòu)建全球威脅情報(bào)生態(tài)，應(yīng)對(duì)攻防資源不對(duì)等化。

　　當(dāng)今世界正經(jīng)歷百年未有之大變局，新一輪科技革命和產(chǎn)業(yè)變革加速演進(jìn)，而隨著數(shù)字經(jīng)濟(jì)重要性、活躍度的不斷提升，網(wǎng)絡(luò)安全的作用也不斷凸顯。近年來(lái)，我國(guó)網(wǎng)絡(luò)安全發(fā)展取得顯著成效，但也面臨新問(wèn)題、新挑戰(zhàn)，我們應(yīng)準(zhǔn)確研判未來(lái)網(wǎng)絡(luò)安全發(fā)展的形勢(shì)并進(jìn)行超前布局，更好地迎接未來(lái)網(wǎng)絡(luò)安全發(fā)展的機(jī)遇，應(yīng)對(duì)未來(lái)網(wǎng)絡(luò)安全面臨的嚴(yán)峻挑戰(zhàn)。