本文作者:恒天軟件副總裁 祝曉春 刊登于《杭州科技》雜志第四期
導言 近年來,物聯網發展迅速。2018年12月中央經濟會議,更是明確把5G、人工智能、工業互聯網、物聯網定義為“新型基礎設施建設”;新基建,這一名詞正式進入大眾視野。今年3月份,中共中央政治局常務委員會召開會議提出,加快5G網絡、數據中心等新型基礎設施建設進度,更是意味著新基建進入了發展快車道。根據Strategy Analytics發布的最新研究報告《全球聯網和物聯網設備預測更新》指出,截至2018年底,全球聯網設備數量達到220億,同時預測2030年聯網設備數量將達到500億規模。 一方面,這為中國的經濟發展和技術應用提供一個更扎實的基礎平臺;另一方面,也帶來一些新問題,尤其是網絡安全方面的挑戰。根據世界經濟論壇《2020年全球風險報告》,2019年網絡犯罪總收入約為1.28萬億美元,同時2020年有迅速上升趨勢,僅勒索病毒規模上半年的同比增長為26%;一些巨頭企業也遭遇巨大安全事件,比如2020年6月份,甲骨文公司數據管理平臺BlueKai數十億網絡數據記錄外泄、本田在48小時內遭受了慘烈的勒索病毒攻擊、美國主要移動運行商均遭到大規模DDos攻擊等。中國也面臨嚴峻的網絡安全威脅,2019年病毒感染量躍居全球榜首,成為全球網絡攻擊重災區。 萬物互聯浪潮下,網絡安全的新挑戰 新基建的核心是數據和算力,極大地依賴計算機、網絡等資源。由于計算機的脆弱性,新基建環境下,各政府和企業的生產和運營安全保障將會面臨更大的挑戰。 新基建需要依賴物理設備和其他基礎設施,這些基礎環境和基礎軟硬件存在不可避免的故障和老化問題,因此維持基礎設施的穩定和安全成為一個必須面對的課題。以數據中心為例,即使以阿里云、華為云等的運維服務能力和投入,依然不免會有因為服務器故障、光纜電力事故等問題導致的區域性服務失效。 人為因素,哪怕是無意偶然的失誤,也會帶來很大的隱患。人工智能、物聯網應用等深度依賴于嵌入其中的各類計算程序,而程序員總會犯錯;同時,全自動化生產實現以前,所有的系統依然離不開人為操作,操作人員也會犯錯。而在信息化和智能化環境下,單一錯誤的帶來的影響往往是聯動的,因此帶來的傷害程度也很難預測。 萬物互聯為人類提供便利的同時,也打破了傳統的物理安全邊界,安全區域已不復存在,任何一個網絡聯系渠道也意味著一條黑客攻擊渠道。隨著連通的設備和服務量級提升,事故帶來的影響力和破環力也越來越大。 此外,整個網絡世界中,聯網設備快速增加,意味著對安全風險識別和防護的代價也相應增加。安全防護本身的計算規模將會指數級增長,對資源要求也是一大挑戰。 數字化時代,網絡安全防護理念的探討 網絡安全已經成為無法回避的課題,各個國家在網絡安全上的重視程度幾乎都上升至國家戰略級別。事實上,網絡安全防護并不是一個新的概念,世紀初的殺毒軟件大戰已經給當時的計算機用戶一個非常好的教育。而今,大眾對網絡安全的認知也更加立體,但是業界依然缺乏對于數字化時代網絡安全系統性的理論指導。 基于行業的知識、團隊的實踐經驗和思考,我們對于新時代的網絡安全趨勢和建設理念進行了一些思考,借此拋轉引玉。 我們認為早年的防護理念主要為工具防護,其典型的例子為殺毒軟件,發現具體的問題,去尋找解決該單點問題的防御方案,比如針對性的防御工具。這個理念對于防護主體來說決策簡單,且對于熱點的大概率突出問題有很好的應對。但是,確定是無法處理復雜的網絡體系,當面臨立體式的攻擊時,這種被動的防御策略會演化成機械式的工具堆積,在防御效率和性價比方面存在嚴重的不足。
圖1:網新安服 - 網絡安全防護三階段理論圖
而到了當前時節,行業更接受和推崇的為體系防護理念,無論是現在流行的零信任體系,還是國內各大廠商推出的一體機以及綜合解決方案,都力求構建一套體系來有效地應對立體的安全問題。 因為安全問題從來不是單一問題,也不是一個簡單的技術和工具問題,而是涉及到制度、流程、文化等多方面,需要融入到各企業生產和運營中。因此,標準化的安全解決方案是難以勝任某個特定的企業和組織的,而有效的安全防護需要滲透到組織日常的活動中。 體系的建設方法不一而足,以下簡要分享我們的思考: 首先明確防護對象:硬件設備、軟件系統、網絡訪問和行為、數據、虛擬人員都將成為潛在的防護對象,對防護對象進行確認和分類,是搭建體系的基礎。 其次感知分析:評估對象的風險屬性、對于對象的組合進行情景評估、進而對于安全態勢進行預測,這一步是安全防護的前提。 而后決策和執行:基于防護目標對象和狀態感知信息,根據企業和組織的防護目標,定義相應的決策和執行,包括事后安全審計、威脅預警、入侵行為的阻止和干預、入侵軌跡的跟蹤等。 回答了上述三方面的基本問題后,面向目標開展支持組織的建立、基本制度的構建、防御技術的引入、工具平臺的搭建等一系列安全體系建設行動。
圖2:網新安服 – 網絡安全防護體系搭建方法論示意圖
智能防護的理念,基于體系和平臺獲取信息和數據源,通過大數據和人工智能技術,進行數據化診斷和決策、自動化防護執行,并且植入持續演進和優化的機制。 目前,各大廠商已經嘗試把智能手段引入到各個安全產品和解決方案中,例如用AI算法應對DDos攻擊、利用深度學習訓練的模型去判斷入侵行為、用高速執行引擎去驅動海量規則庫以識別可疑行為等。但以上仍屬于針對特定的單點場景或者現有產品的智能化提升,還遠達不到體系級別的智能化水平。 智能防護的成型是一個逐步的過程,大致會分成兩個階段: 其一、數據化安全管理: 即基于搭建的體系,打通和組織支撐的信息系統,對相關的數據進行匯集、清洗、分析,從而通過平臺數據進行數據化安全運營管理,大部分決策有數據支撐,但這個階段依然以人的決策為主,工具和算法為輔。 其二、智能化安全防護,在數據化運營的基礎上,利用大數據和人工智能技術主導分析和決策,尤其是基于持續反饋的演進式決策機制,從而實現安全防護以工具和算法為主要手段,人為監管為輔。 智能防護的前提是體系搭建完善、支持系統完備、各單點的技術到位、綜合的算法能力和運算資源達到一定能力。
圖3: 網新安服 – 可信防御智能分析平臺
新基建趨勢下,網絡安全行業的機遇 新基建數字化時代,網絡安全市場迎來了顛覆性的變革機遇。網絡安全將成為各企業的“剛需”,也將成為企業最重要的競爭力之一。網絡安全行業將會是一個巨大的市場,即使是目前頭部的安全廠商也需要進行變革以適應日益發展的新形勢。 由于網絡安全行業專業化強、具備技術門檻、同時也是一個領域跨度很廣的行業,因此無法由少數幾個企業支撐所有的工作,必然需要構建一個生態,各個組織根據自身使命和特征各司其職。 首先,作為政府部門,可以積極規劃網絡安全的生態布局,開展網絡安全意識和知識普及、倡導人人有責的網絡安全文化、引導網絡安全企業進行差異化和互補型發展。 其次,非安全行業的企業和組織,認真思考本企業的網絡安全的目標,尋找符合自身特色的防護方案,切忌好高騖遠帶來不必要的浪費、也要避免輕敵思維不做任何規劃,利用各方力量構建起自身的安全防護能力,從而可以保障自身主營業務的可持續發展。 最后,作為主角的網絡安全行業中的企業和組織,需要根據自身的定位進行差異化發展,減少同質競爭的消耗,最終形成一個良性的生態,比如:- 關鍵基礎設施類企業和組織,即那些承載5G、人工智能、工業互聯網、物聯網等基礎設施搭建的大型組織和核心機構,應該致力于定義行業標準和安全規范,從而可以指導網絡安全行業的有序化發展;
- 高校和科研機構,致力于對于重點難點技術和理論的突破,從而為產業和行業發展提供理論基礎;
- 安全設備和產品型企業和組織,專注于對特定領域的安全產品和解決方案的研發,并構建自身的技術特色,成為體系化網絡安全體系中的可靠一環;
- 安全服務型企業和組織,專注于支持企業針對自身特征構建安全防護體系,在搭建中力求用好現有的理論和設備產品,并且提供持續可靠的安全運維服務
