7月28日上午,在ISC 2021第九届互联网安全大会主题论坛上,山石网科高级副总裁、首席战略官(CSO)蒋东毅带来了一场主题为《政企安全人生的多重挑战和未来》趋势》的演讲。
以零信任疑虑、智能威胁治理、数据生命生命安全治理三个框架为基础,以云端情报能力,云端运营平台支持,由安全运营团队提供全方位专业化安全运营,是山石网科提出的新的数字世界新挑战的方法学,也是对去年“可持续安全运营技术理念”的进一步延伸。
以下是演讲实录:
大家好,我是山石网科蒋东毅。
数字化的本质是让人更方便的获取信息,利用信息,也就是构建人与数字信息的连接。但相比过去,数字接入的移动性和服务的云化,已经让人和业务之间的连接变得更加复杂。过去,组织在网络访问上,按照职能和功能,对办公区和数据区进行划分,访问模式还是比较固定的。但现在,移动终端的普及,人在居家、差旅、办公区之间移动切换,业务在私有云和公有云中部署和迁移,SaaS类业务也越来越多,构成了一个复杂的连接矩阵。
可以很清晰的看到,连接矩阵的边界趋于模糊且易变,给组织带来安全防护的极大挑战。以往按照区域划分,区域之间配置安全策略的防控模式,已经难以适应复杂易变的连接矩阵了。
如何应对?山石网科认为,以身份为核心,建立基于动态最小授权策略的零信任安全防控框架,是应对这个挑战的最优解。
可以这么理解,安全防控的基本理念是出了问题可以控制在最小影响范围,当区域边界变的模糊时,我们需要看有什么是相对稳定的,那么可以基于一个相对稳定的基础构建新的安全防控框架。既然信息化的本质是人与信息之间的连接,那么防控体系也可以从人出发进行重构,也就是以身份为基础,建立动态最小授权策略的零信任安全防控框架。所谓动态最小授权,除了根据身份之外,还需要结合接入设备的类型、软硬件合规要求、风险状态等多重因素,进行访问权限控制。
山石网科的iNGFW产品,在零信任管理中心的统一控制下,实现用户接入场景的零信任防控。零信任防控除了针对用户接入侧,还包括业务应用侧。业务应用云化之后,部署和扩展便捷了,但应用之间的访问控制容易被忽视,一旦某个应用被攻破,很容易扩散感染到其他应用。山石网科针对云计算环境,以完整的云内、云外一系列安全产品,来满足东西、南北全方位全场景的微隔离,实现云计算环境的零信任防控。
那未来零信任的方案应该是什么样的。山石网科认为,随着SaaS业务和移动办公的推广普及,SASE作为零信任的运营方案,将为用户带来便捷安全的业务访问。
SASE 本质是“SD-WAN + Security”, 是基于云网的“企业网+安全”的运营模式,其产生的原因是分散的移动办公加上多点的云服务。传统的接入模式:spoke-n-hub,不适应现在的环境。SASE通过广泛部署PoP点,为分支机构和在外办公提供接入,既提供路由选择、QoS等网络优化功能,也提供各类安全功能,由专业的网络安全公司提供安全的网络接入和运营,保证了办公的便捷性和安全性。
目前来看,中国的SaaS用户,主要还是中小企业,SaaS业务的类型主要还是企业微信、钉钉这样的通用办公类SaaS。SASE会从中小客户开始,随着客户的成长,与用户使用习惯的培养,未来的客户群体会更加广泛。
对网安公司来说,从卖产品,到卖解决方案,提供服务,到提供一整套网络与安全运营,是未来的趋势之一。
我们来看网络攻击的演进方向,从以CIH、熊猫烧香、冲击波等为主,主要是破坏操作系统稳定性的炫技时代;到以APT攻击为代表的精准攻击,主要是窃取重要信息或破坏重要系统的定向攻击时代;到如今,以勒索、挖矿为代表,与蠕虫结合,全网撸羊毛,轻松又高效的泛网络攻击时代。可以看到,信息资产数量和价值的持续倍增,让网络空间进入了泛网络攻击时代。
网络攻击是为了获利,当个人终端的信息资产也变的重要时,勒索,从一开始的邮件附件传播,到后来利用高危漏洞,与蠕虫结合,对黑客来说,是一种极其高效的获利方式。当前,泛网络攻击在暗网上有完整的产业链支撑,入门门槛低,从病毒的获取,加壳变形,病毒投放,获利的收取等都有完整的服务链条,只要几千美金就可以开张起步,并可以在短时间内收回成本并获利。
在这种以快、广、狠为主要特点的泛网络攻击时代,基于特征匹配的传统检测技术已难以应对新的网络攻击挑战。威胁检测技术从原理上分为特征匹配和异常行为两大类,特征匹配由于检测结果误报率低,解释性好,检出问题有明确的处置建议,因此一直是网安产品的主流检测技术,但面对漏洞越来越多,攻击数量多、易变种的局面,仅仅有特征匹配检测已难以应对。
如何应对?山石网科认为,多维检测、精准分析、联动响应、情报赋能,构建新形势下的智能威胁治理框架。
面对新形势下的攻击态势,首先要在端、网、边、云,建立特征匹配与异常行为的多维检测。由于检测点和检测技术多,产生的威胁数据量大,需要建设基于大数据技术的精准分析平台,汇总全息检测数据,综合应用人工智能分析技术,将威胁与资产结合,帮助管理员聚焦于高置信度失陷风险;进而与端、网、边、云的防控体系实现联动响应,运用SOAR技术,自动化专家分析处置经验,快速实现威胁检测、分析、响应闭环。同时,通过云端威胁情报的赋能,使政企组织可以实时获取全网威胁情报数据,实现更大范围的检测、分析、响应闭环。
在攻击泛化的趋势下,防御应对措施也有新的方向。山石网科认为,攻防的本质始终是基于成本的对抗,SaaS化是智能XDR+SOAR系统的未来趋势。不管如何演进,攻防的本质始终不变,是基于成本的对抗。像密码学的设计原则并不是永远破解不了最好,而是破解的成本高于被保护的信息价值即可。攻击方是黑客利用工具,防守方仅仅部署产品是不够的,需要有专业的安全管理人员。
对于中小组织,面对越来越广泛并且专业的攻击,通过本地部署安全控制点,将安全数据上报到安全SaaS平台,安全管理托管于专业厂家的专业人员,可以有效的降低成本。对于大型组织,安全管理投入也是有限的,参照安全成熟度高的欧美地区,自有安全管理人员+专业安全运营托管的趋势非常明显。
随着新兴技术不断发展,数据作为数字经济的核心生产要素,正成为科技创新的突破口,但现实情况是数据安全防护水平参差不齐,数据安全问题层出不穷,个人隐私泄露、非法数据交易等频发,国外咨询机构Verizon发布的2020年数据泄露报告中统计2020年全球数据泄露事件同比增长了96%,医疗、金融和制造业排名前三。另一方面随着云大物移智等新兴技术发展,国家也相应配套了相关法律法规,网络安全法强调了对个人信息保护的责任,数据安全法确立了数据分类分级、风险评估、应急处置等基本制度,明确了开展数据处理活动的组织、个人的数据保护义务等。
目前来看,组织内数据多样、海量、复杂,留存周期长,与业务关联紧密,数据安全治理不能仅靠产品和技术;数据越来越多样性,数据库数据、大数据文件、非结构化文档等数据种类丰富,很多数据因为业务原因,需要长期留存。同时,数据的安全威胁也多样化,如数据泄露、数据的破坏、隐私的泄露、数据失控、数据的泛滥、数据的损害或丢失等。
复杂的数据问题让我们看到,数据安全治理不仅仅是部署产品和技术,是一个系统工程,需要自顶向下进行设计:
1、法律法规的梳理,对业务数据风险分析,明确数据安全治理的实际需求;
2、数据安全治理的组织管理体系支撑;
3、数据的分类分级和梳理,辨别哪些数据需要保护,这些需要保护的数据在哪些位置,哪些人正在使用这些数据,在使用过程中是否合理;
4、制定适合的相关安全策略;
5、对数据安全治理进行有效监测和审计,及时发现存在的问题与隐患,才能对数据安全治理工作进行持续改进。
如何应对?山石网科认为,面对复杂的数据问题,需要建立弹性可扩展,业务自适应的数据生命周期安全治理框架。
山石网科针对数据安全治理,围绕数据流程过程,从数据安全运营和数据安全管理两个维度,构建了全场景、云池化、可感知、可持续的数据生命周期安全治理体系,可以实现:
1、数据资产全面安全管控。
2、数据安全一站感知处置。
3、数据安全资源云化供取。
4、提供可持续的数据安全运营能力。
物理世界的攻击距离是有限的,跨地域作案很难。哪怕就是传染性强的病毒,其扩散速度也与人的交通速度有关,比如目前全球传播最广的新冠病毒Delta变种,是从去年10月就出现的。
但是,网络空间中,信息的传播是近乎光速的,全球的攻击者可以攻击任意地点的组织,但组织只能基于自身资源来应对,不管是甲方还是乙方,面对全球黑客可以从任何地点发起的攻击,资源都是有限的。网络空间的光速可达属性,注定了攻防双方资源难以对等,这是所有组织都在面临的终极挑战。
如何应对?山石网科认为,构建全球威胁情报生态,让威胁情报及时可达,赋能可持续安全运营体系。
应对全球发起的攻击,需要开展全球威胁情报生态合作。360作为山石网科战略合作伙伴,双方已经全面开展产品、技术侧战略合作。包括山石网科智能下一代防火墙也是采取360云端情报赋能,同时,未来双方还将就零信任等多个领域展开深入合作。360安全大脑,为山石网科的可持续安全运营体系,提供全面、及时、精准的情报赋能,同时,也从情报的实际落地中,得到反馈,增强优化情报,形成良性循环。
可持续安全运营体系,是山石网科去年用户大会提出的技术理念,今年我们进一步延伸了其内涵:以零信任防控、智能威胁治理、数据生命周期安全治理三个框架为基础,以云端情报赋能,云端运营平台支撑,由安全运营团队提供全方位专业化安全运营,为您的安全竭尽全力!
昨天在ISC大会上,山石网科发布了新一代智能下一代防火墙,该产品具备零信任、intelligent智能感知、intelligence情报集成、IOT融合防护等特点。
变种攻击,山科网iNGFW 可进行本地或联动云端情报来进行安全防范威胁行为,来未知检测检测以及防护;防护正在从“个体或个别组织”的防护,转变为安全“驱动”的信息共享、集体集体的方式,同时终点锁定不等于全网防护,在情报的加持下,山石网科iNGFW提供迎接“攻击前、中、攻击后”等三个关键节点的全生命周期定期安全防护解决方案,包括360个威胁情报也包括时间的情报中心的威胁情报供应商的资助;在万物互联时代,防护在变化,防护不全面,山石网科新一代智能防护防火墙可以识别网络摄像头等物联网设备,同时具备对物联网设备的安全与合规管控能力,利用客户综合网络的体验。