山石網(wǎng)科蔣東毅：網(wǎng)絡(luò)空間光速可達屬性注定攻防雙方資源難以對等

北京2021年8月4日 /美通社/ -- 7月28日上午，在ISC 2021第九屆互聯(lián)網(wǎng)安全大會主題論壇上，山石網(wǎng)科高級副總裁、首席戰(zhàn)略官（CSO）蔣東毅帶來了一場主題為《政企安全面臨的多重挑戰(zhàn)和未來趨勢》的演講。在這場演講中，蔣東毅提到了在當下數(shù)字世界下，組織網(wǎng)絡(luò)安全防護面臨的幾大現(xiàn)狀、挑戰(zhàn)、趨勢及應(yīng)對思考。

以零信任防控、智能威脅治理、數(shù)據(jù)生命周期安全治理三個框架為基礎(chǔ)，以云端情報賦能，云端運營平臺支撐，由安全運營團隊提供全方位專業(yè)化安全運營，是山石網(wǎng)科提出新的應(yīng)對數(shù)字世界新挑戰(zhàn)的方法學(xué)，也是對去年“可持續(xù)安全運營技術(shù)理念”內(nèi)涵進一步的延伸。

以下是演講實錄：

網(wǎng)絡(luò)連接矩陣復(fù)雜化，安全防護框架需重構(gòu)

大家好，我是山石網(wǎng)科蔣東毅。

數(shù)字化的本質(zhì)是讓人更方便的獲取信息，利用信息，也就是構(gòu)建人與數(shù)字信息的連接。但相比過去，數(shù)字接入的移動性和服務(wù)的云化，已經(jīng)讓人和業(yè)務(wù)之間的連接變得更加復(fù)雜。過去，組織在網(wǎng)絡(luò)訪問上，按照職能和功能，對辦公區(qū)和數(shù)據(jù)區(qū)進行劃分，訪問模式還是比較固定的。但現(xiàn)在，移動終端的普及，人在居家、差旅、辦公區(qū)之間移動切換，業(yè)務(wù)在私有云和公有云中部署和遷移，SaaS類業(yè)務(wù)也越來越多，構(gòu)成了一個復(fù)雜的連接矩陣。

可以很清晰地看到，連接矩陣的邊界趨于模糊且易變，給組織帶來安全防護的極大挑戰(zhàn)。以往按照區(qū)域劃分，區(qū)域之間配置安全策略的防控模式，已經(jīng)難以適應(yīng)復(fù)雜易變的連接矩陣了。

如何應(yīng)對？山石網(wǎng)科認為，以身份為核心，建立基于動態(tài)最小授權(quán)策略的零信任安全防控框架，是應(yīng)對這個挑戰(zhàn)的最優(yōu)解。

可以這么理解，安全防控的基本理念是出了問題可以控制在最小影響范圍，當區(qū)域邊界變的模糊時，我們需要看有什么是相對穩(wěn)定的，那么可以基于一個相對穩(wěn)定的基礎(chǔ)構(gòu)建新的安全防控框架。既然信息化的本質(zhì)是人與信息之間的連接，那么防控體系也可以從人出發(fā)進行重構(gòu)，也就是以身份為基礎(chǔ)，建立動態(tài)最小授權(quán)策略的零信任安全防控框架。所謂動態(tài)最小授權(quán)，除了根據(jù)身份之外，還需要結(jié)合接入設(shè)備的類型、軟硬件合規(guī)要求、風險狀態(tài)等多重因素，進行訪問權(quán)限控制。

山石網(wǎng)科的iNGFW產(chǎn)品，在零信任管理中心的統(tǒng)一控制下，實現(xiàn)用戶接入場景的零信任防控。零信任防控除了針對用戶接入側(cè)，還包括業(yè)務(wù)應(yīng)用側(cè)。業(yè)務(wù)應(yīng)用云化之后，部署和擴展便捷了，但應(yīng)用之間的訪問控制容易被忽視，一旦某個應(yīng)用被攻破，很容易擴散感染到其他應(yīng)用。山石網(wǎng)科針對云計算環(huán)境，以完整的云內(nèi)、云外一系列安全產(chǎn)品，來滿足東西、南北全方位全場景的微隔離，實現(xiàn)云計算環(huán)境的零信任防控。

那未來零信任的方案應(yīng)該是什么樣的？山石網(wǎng)科認為，隨著SaaS業(yè)務(wù)和移動辦公的推廣普及，SASE作為零信任的運營方案，將為用戶帶來便捷安全的業(yè)務(wù)訪問。

SASE本質(zhì)是“SD-WAN + Security”，是基于云網(wǎng)的“企業(yè)網(wǎng)+安全”的運營模式，其產(chǎn)生的原因是分散的移動辦公加上多點的云服務(wù)。傳統(tǒng)的接入模式：spoke-n-hub，不適應(yīng)現(xiàn)在的環(huán)境。SASE通過廣泛部署PoP點，為分支機構(gòu)和在外辦公提供接入，既提供路由選擇、QoS等網(wǎng)絡(luò)優(yōu)化功能，也提供各類安全功能，由專業(yè)的網(wǎng)絡(luò)安全公司提供安全的網(wǎng)絡(luò)接入和運營，保證了辦公的便捷性和安全性。

目前來看，中國的SaaS用戶，主要還是中小企業(yè)，SaaS業(yè)務(wù)的類型主要還是企業(yè)微信、釘釘這樣的通用辦公類SaaS。SASE會從中小客戶開始，隨著客戶的成長，與用戶使用習(xí)慣的培養(yǎng)，未來的客戶群體會更加廣泛。

對網(wǎng)安公司來說，從賣產(chǎn)品，到賣解決方案，提供服務(wù)，到提供一整套網(wǎng)絡(luò)與安全運營，是未來的趨勢之一。

泛網(wǎng)絡(luò)攻擊時代來臨，智能威脅治理框架需重構(gòu)

我們來看網(wǎng)絡(luò)攻擊的演進方向，從以CIH、熊貓燒香、沖擊波等為主，主要是破壞操作系統(tǒng)穩(wěn)定性的炫技時代；到以APT攻擊為代表的精準攻擊，主要是竊取重要信息或破壞重要系統(tǒng)的定向攻擊時代；到如今，以勒索、挖礦為代表，與蠕蟲結(jié)合，全網(wǎng)擼羊毛，輕松又高效的泛網(wǎng)絡(luò)攻擊時代?？梢钥吹?，信息資產(chǎn)數(shù)量和價值的持續(xù)倍增，讓網(wǎng)絡(luò)空間進入了泛網(wǎng)絡(luò)攻擊時代。

網(wǎng)絡(luò)攻擊是為了獲利，當個人終端的信息資產(chǎn)也變的重要時，勒索，從一開始的郵件附件傳播，到后來利用高危漏洞，與蠕蟲結(jié)合，對黑客來說，是一種極其高效的獲利方式。當前，泛網(wǎng)絡(luò)攻擊在暗網(wǎng)上有完整的產(chǎn)業(yè)鏈支撐，入門門檻低，從病毒的獲取，加殼變形，病毒投放，獲利的收取等都有完整的服務(wù)鏈條，只要幾千美金就可以開張起步，并可以在短時間內(nèi)收回成本并獲利。

在這種以快、廣、狠為主要特點的泛網(wǎng)絡(luò)攻擊時代，基于特征匹配的傳統(tǒng)檢測技術(shù)已難以應(yīng)對新的網(wǎng)絡(luò)攻擊挑戰(zhàn)。威脅檢測技術(shù)從原理上分為特征匹配和異常行為兩大類，特征匹配由于檢測結(jié)果誤報率低，解釋性好，檢出問題有明確的處置建議，因此一直是網(wǎng)安產(chǎn)品的主流檢測技術(shù)，但面對漏洞越來越多，攻擊數(shù)量多、易變種的局面，僅僅有特征匹配檢測已難以應(yīng)對。

如何應(yīng)對？山石網(wǎng)科認為，多維檢測、精準分析、聯(lián)動響應(yīng)、情報賦能，構(gòu)建新形勢下的智能威脅治理框架。

面對新形勢下的攻擊態(tài)勢，首先要在端、網(wǎng)、邊、云，建立特征匹配與異常行為的多維檢測。由于檢測點和檢測技術(shù)多，產(chǎn)生的威脅數(shù)據(jù)量大，需要建設(shè)基于大數(shù)據(jù)技術(shù)的精準分析平臺，匯總?cè)z測數(shù)據(jù)，綜合應(yīng)用人工智能分析技術(shù)，將威脅與資產(chǎn)結(jié)合，幫助管理員聚焦于高置信度失陷風險；進而與端、網(wǎng)、邊、云的防控體系實現(xiàn)聯(lián)動響應(yīng)，運用SOAR技術(shù)，自動化專家分析處置經(jīng)驗，快速實現(xiàn)威脅檢測、分析、響應(yīng)閉環(huán)。同時，通過云端威脅情報的賦能，使政企組織可以實時獲取全網(wǎng)威脅情報數(shù)據(jù)，實現(xiàn)更大范圍的檢測、分析、響應(yīng)閉環(huán)。

在攻擊泛化的趨勢下，防御應(yīng)對措施也有新的方向。山石網(wǎng)科認為，攻防的本質(zhì)始終是基于成本的對抗，SaaS化是智能XDR+SOAR系統(tǒng)的未來趨勢。不管如何演進，攻防的本質(zhì)始終不變，是基于成本的對抗。像密碼學(xué)的設(shè)計原則并不是永遠破解不了最好，而是破解的成本高于被保護的信息價值即可。攻擊方是黑客利用工具，防守方僅僅部署產(chǎn)品是不夠的，需要有專業(yè)的安全管理人員。

對于中小組織，面對越來越廣泛并且專業(yè)的攻擊，通過本地部署安全控制點，將安全數(shù)據(jù)上報到安全SaaS平臺，安全管理托管于專業(yè)廠家的專業(yè)人員，可以有效的降低成本。對于大型組織，安全管理投入也是有限的，參照安全成熟度高的歐美地區(qū)，自有安全管理人員+專業(yè)安全運營托管的趨勢非常明顯。

數(shù)據(jù)資產(chǎn)持續(xù)沉淀，數(shù)據(jù)安全治理框架需重構(gòu) 

隨著新興技術(shù)不斷發(fā)展，數(shù)據(jù)作為數(shù)字經(jīng)濟的核心生產(chǎn)要素，正成為科技創(chuàng)新的突破口，但現(xiàn)實情況是數(shù)據(jù)安全防護水平參差不齊，數(shù)據(jù)安全問題層出不窮，個人隱私泄露、非法數(shù)據(jù)交易等頻發(fā)，國外咨詢機構(gòu)Verizon發(fā)布的2020年數(shù)據(jù)泄露報告中，統(tǒng)計2020年全球數(shù)據(jù)泄露事件同比增長了96%，醫(yī)療、金融和制造業(yè)排名前三。另一方面隨著云大物移智等新興技術(shù)發(fā)展，國家也相應(yīng)配套了相關(guān)法律法規(guī)，網(wǎng)絡(luò)安全法強調(diào)了對個人信息保護的責任，數(shù)據(jù)安全法確立了數(shù)據(jù)分類分級、風險評估、應(yīng)急處置等基本制度，明確了開展數(shù)據(jù)處理活動的組織、個人的數(shù)據(jù)保護義務(wù)等。

目前來看，組織內(nèi)數(shù)據(jù)多樣、海量、復(fù)雜，留存周期長，與業(yè)務(wù)關(guān)聯(lián)緊密，數(shù)據(jù)安全治理不能僅靠產(chǎn)品和技術(shù)；數(shù)據(jù)越來越多樣性，數(shù)據(jù)庫數(shù)據(jù)、大數(shù)據(jù)文件、非結(jié)構(gòu)化文檔等數(shù)據(jù)種類豐富，很多數(shù)據(jù)因為業(yè)務(wù)原因，需要長期留存。同時，數(shù)據(jù)的安全威脅也多樣化，如數(shù)據(jù)泄露、數(shù)據(jù)的破壞、隱私的泄露、數(shù)據(jù)失控、數(shù)據(jù)的泛濫、數(shù)據(jù)的損害或丟失等。

復(fù)雜的數(shù)據(jù)問題讓我們看到，數(shù)據(jù)安全治理不僅僅是部署產(chǎn)品和技術(shù)，是一個系統(tǒng)工程，需要自頂向下進行設(shè)計：

1. 法律法規(guī)的梳理，對業(yè)務(wù)數(shù)據(jù)風險分析，明確數(shù)據(jù)安全治理的實際需求；
2. 數(shù)據(jù)安全治理的組織管理體系支撐；
3. 數(shù)據(jù)的分類分級和梳理，辨別哪些數(shù)據(jù)需要保護，這些需要保護的數(shù)據(jù)在哪些位置，哪些人正在使用這些數(shù)據(jù)，在使用過程中是否合理；
4. 制定適合的相關(guān)安全策略；
5. 對數(shù)據(jù)安全治理進行有效監(jiān)測和審計，及時發(fā)現(xiàn)存在的問題與隱患，才能對數(shù)據(jù)安全治理工作進行持續(xù)改進。

如何應(yīng)對？山石網(wǎng)科認為，面對復(fù)雜的數(shù)據(jù)問題，需要建立彈性可擴展，業(yè)務(wù)自適應(yīng)的數(shù)據(jù)生命周期安全治理框架。

山石網(wǎng)科針對數(shù)據(jù)安全治理，圍繞數(shù)據(jù)流程過程，從數(shù)據(jù)安全運營和數(shù)據(jù)安全管理兩個維度，構(gòu)建了全場景、云池化、可感知、可持續(xù)的數(shù)據(jù)生命周期安全治理體系，可以實現(xiàn)：

1. 數(shù)據(jù)資產(chǎn)全面安全管控；
2. 數(shù)據(jù)安全一站感知處置；
3. 數(shù)據(jù)安全資源云化供??；
4. 提供可持續(xù)的數(shù)據(jù)安全運營能力。

攻防資源難以對等，構(gòu)建可持續(xù)安全運營體系

物理世界的攻擊距離是有限的，跨地域作案很難。哪怕就是傳染性強的病毒，其擴散速度也與人的交通速度有關(guān)，比如目前全球傳播最廣的新冠病毒Delta變種，是從去年10月就出現(xiàn)的。

但是，網(wǎng)絡(luò)空間中，信息的傳播是近乎光速的，全球的攻擊者可以攻擊任意地點的組織，但組織只能基于自身資源來應(yīng)對，不管是甲方還是乙方，面對全球黑客可以從任何地點發(fā)起的攻擊，資源都是有限的。網(wǎng)絡(luò)空間的光速可達屬性，注定了攻防雙方資源難以對等，這是所有組織都在面臨的終極挑戰(zhàn)。

如何應(yīng)對？山石網(wǎng)科認為，構(gòu)建全球威脅情報生態(tài)，讓威脅情報及時可達，賦能可持續(xù)安全運營體系。

應(yīng)對全球發(fā)起的攻擊，需要開展全球威脅情報生態(tài)合作。360作為山石網(wǎng)科戰(zhàn)略合作伙伴，雙方已經(jīng)全面開展產(chǎn)品、技術(shù)側(cè)戰(zhàn)略合作。包括山石網(wǎng)科智能下一代防火墻也是采取360云端情報賦能，同時，未來雙方還將就零信任等多個領(lǐng)域展開深入合作。360安全大腦，為山石網(wǎng)科的可持續(xù)安全運營體系，提供全面、及時、精準的情報賦能，同時，也從情報的實際落地中，得到反饋，增強優(yōu)化情報，形成良性循環(huán)。

可持續(xù)安全運營體系，是山石網(wǎng)科去年用戶大會提出的技術(shù)理念，今年我們進一步延伸了其內(nèi)涵：以零信任防控、智能威脅治理、數(shù)據(jù)生命周期安全治理三個框架為基礎(chǔ)，以云端情報賦能，云端運營平臺支撐，由安全運營團隊提供全方位專業(yè)化安全運營，為用戶的安全竭盡全力。

昨天在ISC大會上，山石網(wǎng)科發(fā)布了新一代智能下一代防火墻，該產(chǎn)品具備零信任、intelligent智能感知、intelligence情報集成、IOT融合防護等特點。

面對變種攻擊，山石網(wǎng)科iNGFW可進行本地或聯(lián)動云端來感知惡意威脅行為，來進行未知防御檢測以及防護；安全防護正在從“個體或單個組織”的防護，轉(zhuǎn)變?yōu)椤鞍踩閳篁?qū)動”的信息共享、集體協(xié)作的方式，同時邊界封堵不等于全網(wǎng)防護，在第三方情報的加持下，山石網(wǎng)科iNGFW提供貫穿“攻擊前、攻擊中、攻擊后”三個關(guān)鍵節(jié)點的全生命周期安全防護解決方案，其中威脅情報也來自包括360威脅情報中心在內(nèi)的國內(nèi)外優(yōu)秀威脅情報供應(yīng)商的賦能；在萬物互聯(lián)時代，防護對象在變化，主機防護不等于全面防護，山石網(wǎng)科新一代智能下一代防火墻可以識別網(wǎng)絡(luò)攝像頭等物聯(lián)網(wǎng)設(shè)備，同時具備對物聯(lián)網(wǎng)設(shè)備的安全防護與合規(guī)管控能力，可為客戶打造融合網(wǎng)絡(luò)的防護體驗。