尼葛洛庞帝在《数字化生存》一书中写道,数字不再只和计算机有关,它决定我们的生存。
当人类真正进入到数字化时代,数字化浪潮为全球产业发展变革带来了巨大的变化,数据交换已经成为全球普遍的态势,且快速产业化。
任何数字化创新创造,都有可能发生跨行业、跨领域的“级联效应(由一个动作影响系统而导致一系列意外事件发生的效应)”。
尤其是数字化与传统行业的融合,为产业提出了前所未有的安全挑战。 近日,人民邮电报、中国信息安全、腾讯安全联合实验室、腾讯研究院联合发布的《2022产业互联网安全十大趋势》指出,传统的安全模式已经难以匹配以创新为主要内核、快速发展变化、大量新要素叠加的数字经济发展。
2022年,业界有必要在巩固现有安全技术和防御思路、体系以及产业链的同时,突破现有的网络安全边界,重建产业安全定位。
当数字创新“级联效应”打破传统安全边界,基于数据深度应用的产业互联网该如何应对更复杂的安全挑战?围绕数据应用,又有哪些相关的产业安全技术和趋势值得关注?
1.数据访问:零信任走向落地反对泛化、滥化、概念化
数字化时代,传统的物理边界被彻底打破,作为无边界化趋势下的新安全理念,零信任正在走上神坛。 据知名咨询机构Gartner发布的“2021年企业网络技术成熟度曲线”显示,零信任已走过了低谷期,进入了稳步爬升的光明期。
Gartner预测,到2023年,60%企业会逐步淘汰虚拟专用网(VPN)方式,采用零信任网络访问来进行远程方案。 简单而言,零信任的本质在于以“人”为中心进行访问控制。 目前,多云混合模式下远程办公和移动办公常态化,使网络攻击者开始瞄准身份和访问管理功能以实现长期潜伏。
因此,零信任崇尚在不可信的网络环境中,以身份为核心,基于认证和授权的访问控制管理重构可信的、安全的网络框架,满足异构网络的安全需求,解决因网络环境开放,用户角色复杂引发的各种身份安全风险、设备安全风险和行为安全风险。 在零信任理念的引导下,安全体系架构正在从“网络中心化”走向“身份中心化”,并通过持续的动态评估手段不断分析整个网络访问的安全态势,动态授予访问者权限。 作为一种标志性的安全理念,零信任无疑拥有广阔的市场前景。
全球众多安全厂商都已推出了零信任相关的解决方案和产品,如:谷歌、微软、思科等欧美IT企业领衔布局零信任;国内腾讯安全、奇安信、深信服、网宿科技等相继围绕零信任重磅加码,零信任有望成为产业安全下一轮爆发点。 爆红的零信任,也吸引了大批资本入场。过去几年,海外已有多家零信任SaaS公司登陆资本市场。
其中的龙头企业Okta,股价五年成长超10倍,市值从2017年上市首日的21亿美元,达到如今的263亿美元。 在国内,据不完全统计,2021年国内零信任市场已完成近十起大额投融资,包括派拉软件、绎云、持安科技、数鹏科技、数安行、易安联、芯盾时代、多鹏科技、数蓬科技等在内的多家创新企业,获得了从数千万到数亿元的大笔融资。 尽管零信任得到了业界的一致认可,但是对于大多数企业来说,零信任架构的落地时机和方法依然存在诸多疑虑和争议。
据Forrester最新发布的《New Tech: 2021年第二季度零信任网络访问》报告称,零信任实施过程的各种坑点和布置难度,仍让不少人望而却步。 事实上,“条条大道通罗马”的零信任,有着多种框架和实现路径。
对于不同行业、规模和需求的企业来说,如何理解零信任概念方法,如何选择适合自己的零信任道路,如何提高安全技术和投资的有效性,都是眼下企业用户最关切的话题。 由于零信任尚未实现大规模应用,在部分场景中的应用难度较高,因此行业中的零信任应用也呈现出“鱼龙混杂”的特性。
基于客户对新概念、新趋势的欢迎,大量安全服务商采取“新瓶装旧酒”的手段,将一些旧产品冠以零信任的概念重新打包兜售,实际上并未为行业提供增量服务价值和产品、技术创新。 对此,《2022产业互联网安全十大趋势》指出,2022年,基于零信任思路的产品化探索,会基于客户的需求更重实效,以解决现实诉求为目标获取市场。行业共同反对零信任的泛化、滥化和概念化将会成为共识。
2.数据使用:隐私计算逐步完善让数据安全有序流通
数据时代,一方面国家要建设数字经济社会,支持数据开放共享、互联互通;但另一方面,数据开放共享带来的安全问题受到高度关注。
近年来,跨领域、跨行业、跨地域之间的数据流通,大大加速了数据泄露的安全问题。
据Canalys统计报告,2020年数据泄露呈现爆发式增长,一年内的泄露记录超过过去十五年总和。 在产业互联网数据泛滥的大背景下,如何解决数据要素流通和数据隐私泄露之间的矛盾,成为释放数据市场价值的关键。
隐私计算以其“数据可用不可见”的特性,打开了这一问题的技术突破口。 隐私计算是在保护数据本身不对外泄露的前提下,实现数据的分析计算。
针对不同的应用场景、信任环境和需求,将不同技术、算法、接口集成在一个平台上,并结合人工智能、机器学习、区块链等跨学科技术,隐私计算为用户提供综合的解决方案,使得“不分享数据、但分享数据的价值”成为可能。 目前,隐私计算领域主流的技术路线包括三类,即多方安全计算(MPC)、联邦学习、可信执行环境(TEE)。
其中,前两种方式主要是在软件和算法层面实现隐私计算,而可信执行环境则是基于硬件实现。 随着《中华人民共和国民法典》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律的陆续出台,国内对于数据安全的合规监管日趋严格,进一步推动了隐私计算市场的爆发。
根据中国信通院测算,国内隐私计算市场规模将在三年内年触达200亿的技术服务营收空间,撬动千亿级别的数据平台运营收入空间。 巨大的增量市场,意味着新赛道的诞生。目前,头部互联网企业、金融机构、区块链公司、初创型科技公司等各类玩家已纷纷入局,探索隐私计算技术。
如:腾讯、蚂蚁金服、百度等头部互联网公司均已加快隐私计算领域的布局,形成了跨业务、多团队、强支撑的发展态势。 巨头之外,初创型科技公司正在成为隐私计算赛道的主力选手。
据不完全统计,从2020年至今,至少已有8家隐私计算企业获得融资,如:洞见科技、星云Clustar、融数联智等。 政策、技术、资本一系列的“组合拳”下来,极大地推动了基于“隐私计算”的数据共享产品的应用落地。目前隐私计算技术主要应用于金融、医疗、政务等领域场景。
首先,金融业以其天然的数字化基因和科技创新的先行者角色,最先开始结合隐私计算技术对实际业务融合探索,重点试点业务包括:信贷风控,反欺诈和反洗钱等场景。 相比于传统业务解决方案模型的低效率、低准确性、低实时性和低数据维度,隐私计算带来的的高质量数据价值,在各个金融场景都为金融机构带来了大幅度的效果提升。 例如腾讯建立的一套惠企平台,在参与主体数据不离开本地、保护隐私的前提下实现联合建模,得出对小微企业资质的精准画像。
在合法合规、保护隐私和数据安全的前提下,充分激活各方数据的生产力,通过优化业务流程、实现精准普惠服务。 其次,医疗行业也成为隐私计算关注重点。隐私计算能够有效助力医学影像识别、疾病筛查、AI辅助诊疗、智能问诊咨询等。
例如多家医疗机构可以通过横向联邦学习联合构建目标检测模型,用于辅助通过医疗图像的疾病检查(如肺部X光片检查等)。 最后,政务行业有望成为隐私计算下一个应用重点。隐私计算提供了政府数据与电信企业、互联网企业等社会数据融合的解决方案,有助于政府数据开放,实现精准施策。 例如在某地,通过腾讯安全提供的联邦学习平台,实现了政务、银行、企业的三方的协作建模。
在疫情期间对小微企业进行了精准画像,模型的AUC提升了40%,实现了企业综合评估、银行授信和政府贴息全闭环,大大降低了信息不对称导致的成本,提升了资金流转的效率,促进了产业政策精准落地。 有业内分析人士指出,隐私计算正处于“大规模应用的前夜”,慢慢地从技术阶段向应用阶段过渡。
越来越多的隐私计算招标项目,尤其是在2021年下半年出现了迅猛增长。 随着市场教育的日渐完善和隐私计算项目大规模的应用落地,《2022产业互联网安全十大趋势》认为,隐私计算各厂商在未来也会逐步完善算法协议安全基础,搭建合规基准框架和管理制度;优化计算通信性能需求,降低隐私计算技术使用成本;搭建统一算法协议兼容平台,降低互联互通成本
3.数据整合与分析:XDR引领趋势提升安全运营效率
数字化时代,传统安全系统面临着更加隐蔽、更加智能、更具破坏性的新一代网络攻击。
尤其在威胁检测方面,企业面临的安全挑战越来越大,高级威胁的发现越来越难以通过单一的安全能力来实现,企业急需寻找一种新的信息安全防护措施,加固云上安全防线。 在此背景下,XDR(扩展检测和响应)应运而生。作为一种将多个安全产品整合为统一安全事件检测和响应平台的技术,XDR能够提高整体的检测和响应效率。
具体而言,XDR在SIEM、SOAR、EDR、NDR等基础能力和安全理念的基础上进行了整合与升级,将企业安全运营团队、工具和流程通过数据集成、能力编排、自动化等技术整合在一起,提供统一的操作工作台和和更广泛的安全可见性,实现跨环境、跨攻击途径的威胁检测与响应能力,从而构建人工介入少、检测精准、响应及时的企业安全运营体系。
XDR的诞生,很大程度上解决了企业安全运营能力不足、安全支出成本居高不下的难题。 《2022产业互联网安全十大趋势》指出,目前安全专业人才存在严重缺口,直接导致中小企业难以获得高水平人才,即使是大企业也困于维持稳定的高水平安全团队。
与此同时,多数企业在数字化升级的过程也加强了对网络安全工具/平台的投入与建设,但是多年来依赖多家安全供应商烟囱式的服务模式,导致企业的安全团队疲于处置大量重复性、误报率高的告警,让本来就缺少人力的安全工作雪上加霜,严重影响了企业安全运营效率和威胁应对的效果。
正因为XDR切中了当下网络攻击防护的实际需求,Gartner将XDR列入2020年-2021年十大安全项目,在有科技产业界风向标之称的Hype Cycle(技术成熟度曲线)中,端点安全和安全运维两个Hype Cycle也都提及了XDR技术,前景相当可期。 鉴于XDR技术的上述优势,国外厂商通过相互合作,积极探索XDR前进方向。
目前,网络安全厂商Crowd Strike已牵头发起XDR联盟以打造集成XDR解决方案、设立行业标准;同时,思科、微软、Check Point等实力雄厚的大型厂商都在整合单个产品以构建XDR套件,加大投资研发力度。 据Grand View Research研究显示,到2028年,XDR市场规模预计将达到20.6亿美元,2021-2028年的复合年增长率将达到19.9%。
在中国,XDR市场的发展前景也十分广阔。以腾讯安全、亚信安全、奇安信、深信服、绿盟为代表的大型安全厂商纷纷入局XDR赛道,积极围绕以XDR为代表的威胁情报技术及商业模式展开探索。 以腾讯安全为例,其XDR方案可面向云环境和私有化环境分别提供针对性方案,同时其云原生方案集成度高、部署成本极低、SaaS化服务即申请即使用,还可凭借云上各种基础设施针对用户访问等场景进行威胁检测与分析,拥有包括云上成熟的大数据和机器学习能力、安全算力算法在内的诸多优势。 从实践落地上来看,目前使用腾讯云上XDR方案的客户,可将公有云上失陷事件的MTTD时间减到分钟级。
依靠云原生XDR方案和SIEM结合的方式,客户得以实现各类IT环境下的统一威胁运营。依托自身成熟的云上安全能力,腾讯安全率先在国内拓展云上XDR方案,并对私有化场景进行赋能,为云上XDR探索提供了参考模板。
总体而言,产业安全已经进入检测与响应时代,XDR获得了市场发展的绝佳时机,在研发投入与创新动力方面都将迎来一波高潮,但XDR的实际应用效果和产品技术成熟度仍有待提高。
4.结语
未来相当长一段时间内,数字化新模式、新业态、新行业的探索与发展,都将基于数据的深度应用,继而产生新的管理模式、运营模式。
因此,未来数据安全的防护思路,将会把重点放在数据资产的访问保护、共享保护上,并由静态逐渐建立起动态、流通的安全防护过程。 在此背景下爆发的零信任、隐私计算、XDR等安全理念,都在一定程度上解决了传统静态安全防御思路的缺陷,对基于数据安全和数据交易的动态平衡进行了诸多探索。
2022年,这些安全趋势还将继续演进,以突破现有的网络安全边界,重新定义产业安全,匹配快速发展变化的数字经济发展。