中国网络安全产业联盟理事长肖新光:以坚定的实践探索超越创新迷茫期
当前,网络安全威胁正在空间和时间两个维度同时扩展,在空间上其始终伴随着计算的分散化和场景的碎片化而泛化;在时间上其不断的在IT的生命周期中扩展攻击时点,攻击供应链的上游,同时把脆弱性和攻击入口向下传递。
新华财经北京9月16日电 题:中国网络安全产业联盟理事长肖新光:以坚定的实践探索超越创新迷茫期
作者:肖新光(全国政协委员、中国网络安全产业联盟理事长)
当前,网络安全威胁正在空间和时间两个维度同时扩展,在空间上其始终伴随着计算的分散化和场景的碎片化而泛化;在时间上其不断的在IT的生命周期中扩展攻击时点,攻击供应链的上游,同时把脆弱性和攻击入口向下传递。
这种黑云压城的局面,一方面给网络安全业界带来了巨大的紧迫感,另一方面也制造着创新迷茫。今天的创新迷茫不在于没有突破方向,数字化驱动下信息资产体系的时空不断形变和延展,在高度复杂的网空防御战场上,防御阵地边界的定义和防御支点的建立反而变得困难。传统的产品赛道边界和价值已经变得高度模糊,加密流量的使用、资产云化,疫情防控导致的部分工作流程必须依赖公共网络和个人设备完成等趋势,使边界防火墙等传统安全网关边界被全面削弱;云内资产体系和流量与业务清晰化还很难达成;部分曾经的所谓创新产品赛道经过事实证明,无力作为产品品类存在,只能变成技术能力被其他赛道消化吸收掉,例如UEBA。即使在取得了一定的基础客户认可的产品概念上也依然存在争议,比如一部分意见认为EDR作为一个独立产品难以支撑有效的端点防御,需要被EPP吸收掉。EDR、EPP、CWPP是否需要统一管理整合,UES、统一工作负载等概念又和原有赛道是什么关系,目前都有很多不同的差异化认识和争议。产品赛道的竞速和新赛道定义,是不是能够继续成为网络安全能力创新演进的核心范式,已经遭遇更多的质疑。在这样的背景下,就形成了一个新的创新迷茫期。
创新的迷茫来自于威胁泛化的新场景中安全机制难以耦合。2008年,安天安全研究与应急处理中心(安天CERT)以化工工业为场景,尝试对工业生产体系的信息化和自动化现状、潜在的网络安全风险、以及如何研发安全产品、如何构建网络安全解决方案进行了调研。我基于调研分析结果给出了如下结论:“如果不深入研究工业互联网体系的安全性,就会在威胁对抗中落后和被动,但先推出产品的厂商必死。”遗憾的是,这个观点在后来的业内实践中不幸被言中。有业内友人说我当年作出了“一个诅咒性预言”。但这个判断的关键逻辑是,工业场景是一个高度碎片化而不成熟的信息化场景,无法支撑安全产品的规模效应。而这是安全面临的常态。由于攻击活动从一个可攻击的入口点开始,而防御需要支撑一个体系,因此威胁泛化的难度远低于安全跟进的难度——在很多场景中,网络安全威胁已经产生,或必然产生,但在场景中却无法为安全布防提供有效的内在支点。
创新的迷茫来自于安全的复杂的外部环境依赖性。一个看似完善的供应链网络安全管理体系,但有可能被一套预埋木马、或削弱了安全等级的盗版软件、或完全不在软件资产台账的某个“绿色”工具存在的漏洞所突破。近日安全群里流传一个吐槽,“天天强调零信任,实际上现在企业的身份认证强依赖于为娱乐和消费设计实现的手机”。尽管我对于安天赋能下的国产手机的面向个人应用的基本安全有充分的信心,但我也高度认同个人应用场景和政企场景有着巨大的安全要求的差异。过去二十余年,个人与家庭端的互联网智能终端产品和应用服务快速迭代,而政企侧产品进展缓慢,前者在快速迭代中在安全层面自建体系、自扫门前雪,后者在安全层面普遍能力较差。安全产业界对这种深度的信息化层面的问题基本无能为力。
创新的迷茫来自于安全威胁对抗层面可能发生的重大跃迁。随着大规模数据开放、采集、泄露,使精准画像越来越容易;深度针对性采集,为攻击者带来更多有效的对象素材;深度伪造(DeepFake)的算法和技术不断成熟。高水平攻击者必然会不断提升社会工程和AI的结合使用,将使更多的攻击从代码对抗向认知对抗跃迁,攻击位置不断从系统与应用侧的攻击面,向工作流程攻击面转移。今天看似技术含量不高的钓鱼的攻击入口价值会持续强化。大量攻击依托精准钓鱼、深度伪造,攻击者获取合法凭证和入口的成功率会不断提升,并能达成对业务入口和流程的寄生和耦合,甚至依托被社工+AI所欺骗的被攻击者的“透传”能力,越过系统技术防御手段达成攻击者预设目标。此时需要业务流程与全域防御体系深度融合,反社工、反深度伪造等成为核心能力,代码对抗的卡位意义会被削弱,认知对抗会成为主导。
创新的迷茫来自于安全标准体系的综合挑战。我曾在参加信安标委的研讨会上提出一个观点,如果信安标委承载的是对标NIST的责任,那么在我们整个产业体系和管理体系中,谁来对标MITRE这样的共性知识工程体系的承载组织,是各安全厂商自建体系、自行其道,还是简单沿用照搬外方的实践?谁来推动中国自己的威胁框架、防御框架等这些由复杂的知识工程和持续运营所支撑的体系?
创新的迷茫也来自于我们还在探索如何定义数字化时代网络安全的新兴装备、大型科研装置和国家安全的基础设施,但尚未找到清晰的答案。可以肯定的是,无论把传统的大型科研装置和基础设施的模式与形态简单投射到网空中来,还是给现有的网络安全产品打上新兴装备标签,都不是解决之道。网络空间安全的新兴装备、大型科研装置和国家安全的基础设施,一定来自于对系统工程规律、威胁对抗演进趋势、物理-网络-认知三个空间规律的认识不断提升,并在实践中不断融合、迭代、重构。
这些是我作为网络安全产业人,作为网络安全威胁对抗领域的科技工作者的困惑与思考。这种迷茫感,和很多网络安全产业人是共通的,而我们就是在这种迷茫中为穿越迷雾而前行。有幸的是,网络安全工作有国家网信办和相关部委的有力工作指导,信安标委、标准化研究院等职能机构承载了安全标准规范的枢纽工作,推动了产业的积极探索。作为本次论坛的重要活动,我们将对网络安全优秀创新成果大赛的获奖作品进行颁奖,这些作品体现了中国网络安全产业界面向迷茫期的集体努力。
在这些解决方案和产品中,我们看到向云、移动安全等场景中寻找安全价值的积极尝试,看到面向工业场景更细粒度的解决方案,看到安全服务的订阅化发展趋势,看到面向覆盖SecDevOps全生命周期的解决方案导向,看到切面安全等新理念的实践探索,看到安全引擎面向关口前移的坚持。
编辑:王春霞
声明:新华财经为新华社承建的国家金融信息平台。任何情况下,本平台所发布的信息均不构成投资建议。