撰稿 | 藍河
縱觀網絡安全的歷史脈絡,頗有種從農業社會到工業社會,再漸進到智能社會的過程。
隨著商業環境和模式的改變,網絡威脅與攻擊開始逐漸向規模化和產品化演進。新技術、新設備的加持,使得人類社會已然步入高度互聯網化的時代,這種高度的互聯網化,在愈加便利產業間合縱連橫的同時,更讓原本已經規模化和產業化的網絡威脅與攻擊,呈現出工業化的特徵。
正如工業4.0時代一樣,移動互聯網、物聯網、人工智能、大數據等新技術的發展,導致規模化和工業化已經難以滿足當前網絡安全攻防兩端的需求。伴隨著未來IoT設備的大量入市和普及,設備多樣化、系統複雜化所帶來了網絡安全“碎片化”必將成為考驗網絡安全廠商的巨大難題。
與此同時,多個行業提出“軟件定義一切”的概念,這極大地提高了未來世界走向“一切皆可編程、萬物均要互聯”的可能,不安全的⽹絡單元正在聯結,全局性的安全威脅正在形成與上演。
潛伏在暗處的網絡威脅通過新技術和新設備已經能夠實現多源化、全自動智能的攻擊,所以這對網絡安全提出的要求是必須要從“傳統攻防”進化到“智能感知自動處置”的階段。
但是,拘泥於既有的防禦形式、防禦思路和數據量,傳統網絡安全廠商顯然還沒有在新威脅、新挑戰面前做好應對的準備,同時,也很難在短期內具備網絡安全新訴求提出的標準和能力。
傳統安全廠商的問題所在
在2018年的Gartner Peer Insights評選中,國際知名網絡安全廠商“卡巴斯基實驗室”再度斬獲端點保護平臺“客戶選擇獎”。而在此之前,“卡巴斯基實驗室”已經連續六年蟬聯Gartner Magic Quadrant 端點保護平臺“領導者”稱號。
通過分析卡巴斯基的核心競爭力,我們將其總結為“六大亮點”。
一是超海量大數據分析與計算能力,二是滲透測試、事件響應、威脅追蹤能⼒,三是匯聚了全球最頂尖的安全研究分析團隊,四是擁有反目標攻擊平臺(KATA),五是具備全球最新威脅情報查找管理防禦能⼒,最後則是針對知名APT活動提供獨家報告的能力。
從卡巴斯基展現出的網絡安全能力與其近幾年在國際範圍內所取得的優異成績來看,我們可以初步將其與新時代網絡安全公司“領導者”劃上等號。那麼卡巴斯基的“六大核心亮點”也在一定程度上體現了新威脅和新挑戰下,網絡安全廠商應當具備的素質和能力。
但是,橫向對比國際大環境,我們不得不承認,國內傳統安全廠商確實還在某些方面存在一定的桎梏和落後,使其並不具備匹配新時代網絡安全所提出的要求。
首先是防禦形式太過單一。當前國內很多傳統廠商,還在推崇和採用像單一殺毒軟件、防火牆這樣相對落後且分散的防禦形式。但是,就像前文分析的網絡威脅不僅規模化、工業化,更具備智能自動化的特點那樣,網絡攻擊所採用的方式、設備和系統一定會愈加的多樣和複雜,這樣一來過去單一分散、各自為戰互不關聯的防禦形式必然會在密集的攻勢下大敗而歸。
其次,傳統的安防思路多以“各自為戰、邊界攔截”為主。但是,隨著雲計算的不斷髮展,越來越多的企業和業務紛紛上雲,雲應用場景也在不斷增多,在某些行業更是大有從“一塊雲”向“一片雲海”發展的趨勢。
同時,以智能門鎖、音箱、攝像頭甚至汽車為例的海量IoT設備的應用和普及,IoT時代的到來讓每一臺智能設備都會成為網絡威脅潛在的目標和入侵的大門,網絡安全“碎片化”問題日益嚴重。這種幾何式的增長與分散,以及“雲”邊的不斷擴大,讓網絡安全的物理邊界愈加模糊,甚至可能在5G網絡廣泛應用後,出現徹底消失的可能。
最後,雖然幾乎所有的傳統安全廠商都在秉承“大數據”和“人工智能”的理念,但我們要知道,實現真正人工智能的前提是海量業務數據的“餵養”,如果不具備足夠體量的業務,顯然既不能做到真正“大數據”,更無法支撐“人工真智能”的實現。
而且,除了“大數據”之外,人工智能還需要頂級算法工程師團隊和安全專家的的技術支持,想必很多傳統安全廠商,也並不具備這一資源和能力。
如果說,傳統廠商由於靈活性的欠缺和既得利益的桎梏使得安全能力發展受阻甚至停滯不前,那麼網絡安全的威脅和挑戰卻在與此同時隨著技術的革新飛速地發生的改變和進化。
除了“設備多樣化”、“系統複雜化”和“攻擊多源化”以外,“惡意樣本不是攻擊的唯一手段”也不甘示弱加入戰場組成了網絡安全的“四大新威脅”。
“漏洞無處不在”以及“人作為網絡安全最薄弱的環節”,更是給傳統安全廠商提出了巨大的挑戰。
很顯然,在這樣一個縱向歷史進程與橫向國際環境雙雙交錯並提出要求的拐點,我們可能需要重新定義“新時代下的網絡安全公司”。
網絡安全公司的四個維度
如果過去我們通常會以銷售額來定義網絡安全公司的成功與否,那麼在今天日趨複雜的網絡安全環境面前,這種單一且有些“淺薄”的觀念,似乎顯得有些不太合適了。
在安在看來,通過對卡巴斯基過去數年“領導者”身份的歸納與總結,我們可以嘗試將如何評價“網絡安全企業”這一概念從四個維度重新進行定義,依次是“大數據能力”、“漏洞攻防與挖掘能力”、“安全專家團隊的攻防能力”和“APT高級威脅發現能力”。
首先是“大數據能力”,具體來說是基於大數據底層的人工智能和雲計算分析計算能力。通常來說,世界一流的安全廠商每天都會自動處理超過上百萬個新的惡意樣本,但其中只有少數高級威脅樣本真正需要安全專家手動分析,所以衡量安全廠商的高級威脅發現能力,真正比拼的是廠商的大數據處理挖掘能力。
數據報告顯示,VirusTotal作為全球最大的在線病毒分析平臺,根據最近2019年4月最近7天抽樣數據統計,每天最高處理新增樣本量3951343。國內廠商360每天最高處理新增樣本量最高達900萬,與卡巴斯基實驗室和賽門鐵克均具有終端優勢,分屬國內外第一梯隊。
第二個維度是“漏洞攻防與挖掘能力”。在針對企業的漏洞攻擊中,Windows、Office、IE、Flash等高危漏洞頻發,給個人和企業都帶來了嚴重威脅。同時,在未來設備分散和系統複雜的情況下,漏洞的防禦與挖掘將變得更加困難與複雜,針對漏洞的攻防挖掘能力一定程度上決定了安全廠商的核心競爭力。
在過去一整年當中,國內廠商360以發現微軟CVE漏洞96個並獲得101次致謝居全球首位,卡巴斯基與綠盟分別發現CVE漏洞8個與2個,獲得致謝10次與2次。
在“安全專家團隊的攻防能力”這個維度上,我們以“微軟TOP100白帽黑客榜”為參考線進行評比。
在此榜單中,僅有360、卡巴斯基和綠盟的安全團隊成員上榜,其他安全廠商並未有成員入榜。值得注意的是,360共有13人上榜,超過國內其他安全公司的總和,也是全球安全公司中榜單總數第一。
最後一個維度是“APT高級威脅發現能力”,不過,目前業界發現的APT組織的數量已經相對固定,近年來主要還是大量已知的APT組織在進行活躍的攻擊行動。單純衡量APT攻擊的發現能力經沒有太多的實際意義,應該轉變為是否發現了新的組織,新的技術,新的樣本作為衡量標準。
所以這裡只羅列近兩年國內外安全廠商發現APT組織使用的0day漏洞在野攻擊的數量。卡巴斯基、火眼和360數量一致,均為5個,趨勢則發現了1個在野0day漏洞。
以這四個維度作為評價標準來對比國內外安全公司,我們不難發現,在整體格局上,以卡巴斯基、賽門鐵克等為第一梯隊的外國公司,還是更多地要優於我們的,這也一定程度上體現出國內安全環境不是非常樂觀,安全公司亟需成長的現狀。
但是,在一些細分領域裡,我們可以看見,像360這樣的國內安全公司,其實做得已經優於甚至遠勝於國際知名公司,所具備的能力與素質也已高出符合“優秀網絡安全公司”這一及格線很多。
所以,這四個維度的評價標準雖然看似嚴苛且有些不近人情,但安全行業和安全公司本身始終就處在一個相互篩選的過程中,與其說要以這四個維度來評價安全公司的好壞,或是安全公司需要在新環境下具備這樣的能力,倒不如說是網絡安全新環境在挑選具備這樣能力的安全公司來作為未來網絡安全公司的“領導者”。
國際上有人已經“領導”了許久,國內也應當站出來一個。
新時代與“大安全”
基於當前場景、技術、應用等多維度產生的進步和改變,我們可以預見的是,未來的網絡安全絕不僅僅只是單純的個人信息安全或者企業級信息安全,不論是toB的客戶還是toC的用戶,對於網絡安全公司能力和產品的訴求,也絕不會再只是一款殺毒軟件或是防火牆。
分散到物聯網安全的各個設備,細緻到各個設備底層的智能硬件,網絡安全會在新時代向更寬泛的領域拓展,過去我們總說“泛安全”,國家提出“大安全”,從當前的趨勢來看,網絡安全的確會越來越“泛”,越來越“大”。
傳統安全公司的弊端與滯後,除了需要新方法論和評價標準的刺激與推動以外,還需要更多建設性的建議來更好地為網絡安全公司和網安行業的成長與發展,佐證道路和方向。
作為觀察者,安在在這裡有幾點愚見。
如果將上述四個維度進行細分,其實我們可以擴展到七個具體的網絡安全能力,除了“大數據能力”、“漏洞攻防與挖掘能力”、“安全專家團隊的攻防能力”和“APT高級威脅發現能力”以外,網絡安全企業還應當在“雲計算”、“人工智能計算與分析”和“攻擊發現與溯源”這幾個方面進行能力提升。
而這七項能力也可以用“高、中、底”三個層面予以分類和呈現。
首先,通過對包括多類型樣本數據、全⽹系統⾏為數據、漏洞攻擊感知數據、⽹絡⾏為數據、終端安全數據、移動端安全數據、以及各⽣態系中的數據等海量數據的採集和分類,並結合資深安全專家設計的定向數據分類和過濾系統,在底層構架成的⼈機協同安全⼤數據平臺,通過多重篩選和⾃動化分析,讓安全“大數據”具備智能和強⼤的對抗能⼒
在中層能力上,人不僅是網絡安全最薄弱的環節,同時也是安全時代的核心和生產力。利⽤⽹絡安全⼤數據和專家系統,形成全天候、全⽅位的安全態勢感知能⼒和關鍵威脅預警能⼒,通過⼈⼯智能計算與分析,及時對⽹絡安全威脅做出分析、判斷、處置、響應等。
最後,在中底層能力的基礎上,網絡安全企業要在高層形成基於人工智能的漏洞挖掘能力,有效抵禦高危漏洞的攻擊,識別攻擊跡象,主動防禦響應,溯源歷史攻擊。
這幾點建議,基本覆蓋了網絡安全未來發展的趨勢和可能涉及的領域,也是應對網路安全威脅“碎片化”和“智能化”等新趨勢的最基礎、建設性的要求。
而通過這“高、中、底”三個層面共包含七項能力的提升,網絡安全企業在未來也可以更好地滿足“四大維度”評價體系所提出的要求,縮小與卡巴斯基這類國際知名網安頭部企業之間的差距,更好地適應新時代網絡安全新環境的變化。
因此,在這樣一個縱向歷史進程與橫向國際環境雙雙交錯並提出要求的拐點,我們不僅需要重新定義“新時代下的網絡安全公司”,還需要國內有一家能媲美或者更甚卡巴斯基的安全廠商站出來,承接這樣一個責任和使命,貫徹和落實“大安全”、“泛安全”的理念。
而這也是國家安全新使命的勇擔。
就當前形勢來看,雖然國內安全現狀和企業發展較之國際,還有待整體上的進步和提升,但以360為代表的一批網安企業,已經在一定程度上為國內網絡安全未來的研究和發展方向,起到了表率和參考的作用。
所以接下來,國內安全現狀或將迎來一次全新的突破與變革,所謂安全企業的“領導者”也可能會在不久後,隱隱嶄露頭角。
我們要做的,就是讓子彈飛一會吧。
閱讀更多 安在信息安全新媒體 的文章
