7月28日上午,在ISC 2021第九屆互聯網安全大會主題論壇上,山石網科高級副總裁、首席戰略官(CSO)蔣東毅帶來了一場主題為《政企安全面臨的多重挑戰和未來趨勢》的演講。在這場演講中,蔣東毅提到了在當下數字世界下,組織網絡安全防護面臨的幾大現狀、挑戰、趨勢及應對思考。
以零信任防控、智能威脅治理、數據生命周期安全治理三個框架為基礎,以云端情報賦能,云端運營平臺支撐,由安全運營團隊提供全方位專業化安全運營,是山石網科提出新的應對數字世界新挑戰的方法學,也是對去年“可持續安全運營技術理念”內涵進一步的延伸。
以下是演講實錄:
網絡連接矩陣復雜化,安全防護框架需重構
大家好,我是山石網科蔣東毅。
數字化的本質是讓人更方便的獲取信息,利用信息,也就是構建人與數字信息的連接。但相比過去,數字接入的移動性和服務的云化,已經讓人和業務之間的連接變得更加復雜。過去,組織在網絡訪問上,按照職能和功能,對辦公區和數據區進行劃分,訪問模式還是比較固定的。但現在,移動終端的普及,人在居家、差旅、辦公區之間移動切換,業務在私有云和公有云中部署和遷移,SaaS類業務也越來越多,構成了一個復雜的連接矩陣。
可以很清晰地看到,連接矩陣的邊界趨于模糊且易變,給組織帶來安全防護的極大挑戰。以往按照區域劃分,區域之間配置安全策略的防控模式,已經難以適應復雜易變的連接矩陣了。
如何應對?山石網科認為,以身份為核心,建立基于動態最小授權策略的零信任安全防控框架,是應對這個挑戰的最優解。
可以這么理解,安全防控的基本理念是出了問題可以控制在最小影響范圍,當區域邊界變的模糊時,我們需要看有什么是相對穩定的,那么可以基于一個相對穩定的基礎構建新的安全防控框架。既然信息化的本質是人與信息之間的連接,那么防控體系也可以從人出發進行重構,也就是以身份為基礎,建立動態最小授權策略的零信任安全防控框架。所謂動態最小授權,除了根據身份之外,還需要結合接入設備的類型、軟硬件合規要求、風險狀態等多重因素,進行訪問權限控制。
山石網科的iNGFW產品,在零信任管理中心的統一控制下,實現用戶接入場景的零信任防控。零信任防控除了針對用戶接入側,還包括業務應用側。業務應用云化之后,部署和擴展便捷了,但應用之間的訪問控制容易被忽視,一旦某個應用被攻破,很容易擴散感染到其他應用。山石網科針對云計算環境,以完整的云內、云外一系列安全產品,來滿足東西、南北全方位全場景的微隔離,實現云計算環境的零信任防控。
那未來零信任的方案應該是什么樣的?山石網科認為,隨著SaaS業務和移動辦公的推廣普及,SASE作為零信任的運營方案,將為用戶帶來便捷安全的業務訪問。
SASE本質是“SD-WAN + Security”,是基于云網的“企業網+安全”的運營模式,其產生的原因是分散的移動辦公加上多點的云服務。傳統的接入模式:spoke-n-hub,不適應現在的環境。SASE通過廣泛部署PoP點,為分支機構和在外辦公提供接入,既提供路由選擇、QoS等網絡優化功能,也提供各類安全功能,由專業的網絡安全公司提供安全的網絡接入和運營,保證了辦公的便捷性和安全性。
目前來看,中國的SaaS用戶,主要還是中小企業,SaaS業務的類型主要還是企業微信、釘釘這樣的通用辦公類SaaS。SASE會從中小客戶開始,隨著客戶的成長,與用戶使用習慣的培養,未來的客戶群體會更加廣泛。
對網安公司來說,從賣產品,到賣解決方案,提供服務,到提供一整套網絡與安全運營,是未來的趨勢之一。
泛網絡攻擊時代來臨,智能威脅治理框架需重構
我們來看網絡攻擊的演進方向,從以CIH、熊貓燒香、沖擊波等為主,主要是破壞操作系統穩定性的炫技時代;到以APT攻擊為代表的精準攻擊,主要是竊取重要信息或破壞重要系統的定向攻擊時代;到如今,以勒索、挖礦為代表,與蠕蟲結合,全網擼羊毛,輕松又高效的泛網絡攻擊時代。可以看到,信息資產數量和價值的持續倍增,讓網絡空間進入了泛網絡攻擊時代。
網絡攻擊是為了獲利,當個人終端的信息資產也變的重要時,勒索,從一開始的郵件附件傳播,到后來利用高危漏洞,與蠕蟲結合,對黑客來說,是一種極其高效的獲利方式。當前,泛網絡攻擊在暗網上有完整的產業鏈支撐,入門門檻低,從病毒的獲取,加殼變形,病毒投放,獲利的收取等都有完整的服務鏈條,只要幾千美金就可以開張起步,并可以在短時間內收回成本并獲利。
在這種以快、廣、狠為主要特點的泛網絡攻擊時代,基于特征匹配的傳統檢測技術已難以應對新的網絡攻擊挑戰。威脅檢測技術從原理上分為特征匹配和異常行為兩大類,特征匹配由于檢測結果誤報率低,解釋性好,檢出問題有明確的處置建議,因此一直是網安產品的主流檢測技術,但面對漏洞越來越多,攻擊數量多、易變種的局面,僅僅有特征匹配檢測已難以應對。
如何應對?山石網科認為,多維檢測、精準分析、聯動響應、情報賦能,構建新形勢下的智能威脅治理框架。
面對新形勢下的攻擊態勢,首先要在端、網、邊、云,建立特征匹配與異常行為的多維檢測。由于檢測點和檢測技術多,產生的威脅數據量大,需要建設基于大數據技術的精準分析平臺,匯總全息檢測數據,綜合應用人工智能分析技術,將威脅與資產結合,幫助管理員聚焦于高置信度失陷風險;進而與端、網、邊、云的防控體系實現聯動響應,運用SOAR技術,自動化專家分析處置經驗,快速實現威脅檢測、分析、響應閉環。同時,通過云端威脅情報的賦能,使政企組織可以實時獲取全網威脅情報數據,實現更大范圍的檢測、分析、響應閉環。
在攻擊泛化的趨勢下,防御應對措施也有新的方向。山石網科認為,攻防的本質始終是基于成本的對抗,SaaS化是智能XDR+SOAR系統的未來趨勢。不管如何演進,攻防的本質始終不變,是基于成本的對抗。像密碼學的設計原則并不是永遠破解不了最好,而是破解的成本高于被保護的信息價值即可。攻擊方是黑客利用工具,防守方僅僅部署產品是不夠的,需要有專業的安全管理人員。
對于中小組織,面對越來越廣泛并且專業的攻擊,通過本地部署安全控制點,將安全數據上報到安全SaaS平臺,安全管理托管于專業廠家的專業人員,可以有效的降低成本。對于大型組織,安全管理投入也是有限的,參照安全成熟度高的歐美地區,自有安全管理人員+專業安全運營托管的趨勢非常明顯。
數據資產持續沉淀,數據安全治理框架需重構
隨著新興技術不斷發展,數據作為數字經濟的核心生產要素,正成為科技創新的突破口,但現實情況是數據安全防護水平參差不齊,數據安全問題層出不窮,個人隱私泄露、非法數據交易等頻發,國外咨詢機構Verizon發布的2020年數據泄露報告中,統計2020年全球數據泄露事件同比增長了96%,醫療、金融和制造業排名前三。另一方面隨著云大物移智等新興技術發展,國家也相應配套了相關法律法規,網絡安全法強調了對個人信息保護的責任,數據安全法確立了數據分類分級、風險評估、應急處置等基本制度,明確了開展數據處理活動的組織、個人的數據保護義務等。
目前來看,組織內數據多樣、海量、復雜,留存周期長,與業務關聯緊密,數據安全治理不能僅靠產品和技術;數據越來越多樣性,數據庫數據、大數據文件、非結構化文檔等數據種類豐富,很多數據因為業務原因,需要長期留存。同時,數據的安全威脅也多樣化,如數據泄露、數據的破壞、隱私的泄露、數據失控、數據的泛濫、數據的損害或丟失等。
復雜的數據問題讓我們看到,數據安全治理不僅僅是部署產品和技術,是一個系統工程,需要自頂向下進行設計:
1.法律法規的梳理,對業務數據風險分析,明確數據安全治理的實際需求;
2.數據安全治理的組織管理體系支撐;
3.數據的分類分級和梳理,辨別哪些數據需要保護,這些需要保護的數據在哪些位置,哪些人正在使用這些數據,在使用過程中是否合理;
4.制定適合的相關安全策略;
5.對數據安全治理進行有效監測和審計,及時發現存在的問題與隱患,才能對數據安全治理工作進行持續改進。
如何應對?山石網科認為,面對復雜的數據問題,需要建立彈性可擴展,業務自適應的數據生命周期安全治理框架。
山石網科針對數據安全治理,圍繞數據流程過程,從數據安全運營和數據安全管理兩個維度,構建了全場景、云池化、可感知、可持續的數據生命周期安全治理體系,可以實現:
1.數據資產全面安全管控;
2.數據安全一站感知處置;
3.數據安全資源云化供取;
4.提供可持續的數據安全運營能力。
攻防資源難以對等,構建可持續安全運營體系
物理世界的攻擊距離是有限的,跨地域作案很難。哪怕就是傳染性強的病毒,其擴散速度也與人的交通速度有關,比如目前全球傳播最廣的新冠病毒Delta變種,是從去年10月就出現的。
但是,網絡空間中,信息的傳播是近乎光速的,全球的攻擊者可以攻擊任意地點的組織,但組織只能基于自身資源來應對,不管是甲方還是乙方,面對全球黑客可以從任何地點發起的攻擊,資源都是有限的。網絡空間的光速可達屬性,注定了攻防雙方資源難以對等,這是所有組織都在面臨的終極挑戰。
如何應對?山石網科認為,構建全球威脅情報生態,讓威脅情報及時可達,賦能可持續安全運營體系。
應對全球發起的攻擊,需要開展全球威脅情報生態合作。360作為山石網科戰略合作伙伴,雙方已經全面開展產品、技術側戰略合作。包括山石網科智能下一代防火墻也是采取360云端情報賦能,同時,未來雙方還將就零信任等多個領域展開深入合作。360安全大腦,為山石網科的可持續安全運營體系,提供全面、及時、精準的情報賦能,同時,也從情報的實際落地中,得到反饋,增強優化情報,形成良性循環。
可持續安全運營體系,是山石網科去年用戶大會提出的技術理念,今年我們進一步延伸了其內涵:以零信任防控、智能威脅治理、數據生命周期安全治理三個框架為基礎,以云端情報賦能,云端運營平臺支撐,由安全運營團隊提供全方位專業化安全運營,為用戶的安全竭盡全力。
昨天在ISC大會上,山石網科發布了新一代智能下一代防火墻,該產品具備零信任、intelligent智能感知、intelligence情報集成、IOT融合防護等特點。
面對變種攻擊,山石網科iNGFW可進行本地或聯動云端來感知惡意威脅行為,來進行未知防御檢測以及防護;安全防護正在從“個體或單個組織”的防護,轉變為“安全情報驅動”的信息共享、集體協作的方式,同時邊界封堵不等于全網防護,在第三方情報的加持下,山石網科iNGFW提供貫穿“攻擊前、攻擊中、攻擊后”三個關鍵節點的全生命周期安全防護解決方案,其中威脅情報也來自包括360威脅情報中心在內的國內外優秀威脅情報供應商的賦能;在萬物互聯時代,防護對象在變化,主機防護不等于全面防護,山石網科新一代智能下一代防火墻可以識別網絡攝像頭等物聯網設備,同時具備對物聯網設備的安全防護與合規管控能力,可為客戶打造融合網絡的防護體驗。
