山石网科蒋东毅：网络空间光速可达属性注定攻防双方资源难以对等

　　7月28日上午，在ISC 2021第九届互联网安全大会主题论坛上，山石网科高级副总裁、首席战略官(CSO)蒋东毅带来了一场主题为《政企安全面临的多重挑战和未来趋势》的演讲。在这场演讲中，蒋东毅提到了在当下数字世界下，组织网络安全防护面临的几大现状、挑战、趋势及应对思考。

　　以零信任防控、智能威胁治理、数据生命周期安全治理三个框架为基础，以云端情报赋能，云端运营平台支撑，由安全运营团队提供全方位专业化安全运营，是山石网科提出新的应对数字世界新挑战的方法学，也是对去年“可持续安全运营技术理念”内涵进一步的延伸。

　　以下是演讲实录：

　　网络连接矩阵复杂化，安全防护框架需重构

　　大家好，我是山石网科蒋东毅。

　　数字化的本质是让人更方便的获取信息，利用信息，也就是构建人与数字信息的连接。但相比过去，数字接入的移动性和服务的云化，已经让人和业务之间的连接变得更加复杂。过去，组织在网络访问上，按照职能和功能，对办公区和数据区进行划分，访问模式还是比较固定的。但现在，移动终端的普及，人在居家、差旅、办公区之间移动切换，业务在私有云和公有云中部署和迁移，SaaS类业务也越来越多，构成了一个复杂的连接矩阵。

　　可以很清晰地看到，连接矩阵的边界趋于模糊且易变，给组织带来安全防护的极大挑战。以往按照区域划分，区域之间配置安全策略的防控模式，已经难以适应复杂易变的连接矩阵了。

　　　　如何应对？山石网科认为，以身份为核心，建立基于动态最小授权策略的零信任安全防控框架，是应对这个挑战的最优解。

　　可以这么理解，安全防控的基本理念是出了问题可以控制在最小影响范围，当区域边界变的模糊时，我们需要看有什么是相对稳定的，那么可以基于一个相对稳定的基础构建新的安全防控框架。既然信息化的本质是人与信息之间的连接，那么防控体系也可以从人出发进行重构，也就是以身份为基础，建立动态最小授权策略的零信任安全防控框架。所谓动态最小授权，除了根据身份之外，还需要结合接入设备的类型、软硬件合规要求、风险状态等多重因素，进行访问权限控制。

　　山石网科的iNGFW产品，在零信任管理中心的统一控制下，实现用户接入场景的零信任防控。零信任防控除了针对用户接入侧，还包括业务应用侧。业务应用云化之后，部署和扩展便捷了，但应用之间的访问控制容易被忽视，一旦某个应用被攻破，很容易扩散感染到其他应用。山石网科针对云计算环境，以完整的云内、云外一系列安全产品，来满足东西、南北全方位全场景的微隔离，实现云计算环境的零信任防控。

　　那未来零信任的方案应该是什么样的？山石网科认为，随着SaaS业务和移动办公的推广普及，SASE作为零信任的运营方案，将为用户带来便捷安全的业务访问。

　　SASE本质是“SD-WAN + Security”，是基于云网的“企业网+安全”的运营模式，其产生的原因是分散的移动办公加上多点的云服务。传统的接入模式：spoke-n-hub，不适应现在的环境。SASE通过广泛部署PoP点，为分支机构和在外办公提供接入，既提供路由选择、QoS等网络优化功能，也提供各类安全功能，由专业的网络安全公司提供安全的网络接入和运营，保证了办公的便捷性和安全性。

　　目前来看，中国的SaaS用户，主要还是中小企业，SaaS业务的类型主要还是企业微信、钉钉这样的通用办公类SaaS.SASE会从中小客户开始，随着客户的成长，与用户使用习惯的培养，未来的客户群体会更加广泛。

　　对网安公司来说，从卖产品，到卖解决方案，提供服务，到提供一整套网络与安全运营，是未来的趋势之一。

　　泛网络攻击时代来临，智能威胁治理框架需重构

　　我们来看网络攻击的演进方向，从以CIH、熊猫烧香、冲击波等为主，主要是破坏操作系统稳定性的炫技时代；到以APT攻击为代表的精准攻击，主要是窃取重要信息或破坏重要系统的定向攻击时代；到如今，以勒索、挖矿为代表，与蠕虫结合，全网撸羊毛，轻松又高效的泛网络攻击时代。可以看到，信息资产数量和价值的持续倍增，让网络空间进入了泛网络攻击时代。

　　网络攻击是为了获利，当个人终端的信息资产也变的重要时，勒索，从一开始的邮件附件传播，到后来利用高危漏洞，与蠕虫结合，对黑客来说，是一种极其高效的获利方式。当前，泛网络攻击在暗网上有完整的产业链支撑，入门门槛低，从病毒的获取，加壳变形，病毒投放，获利的收取等都有完整的服务链条，只要几千美金就可以开张起步，并可以在短时间内收回成本并获利。

　　在这种以快、广、狠为主要特点的泛网络攻击时代，基于特征匹配的传统检测技术已难以应对新的网络攻击挑战。威胁检测技术从原理上分为特征匹配和异常行为两大类，特征匹配由于检测结果误报率低，解释性好，检出问题有明确的处置建议，因此一直是网安产品的主流检测技术，但面对漏洞越来越多，攻击数量多、易变种的局面，仅仅有特征匹配检测已难以应对。

　　如何应对？山石网科认为，多维检测、精准分析、联动响应、情报赋能，构建新形势下的智能威胁治理框架。

　　面对新形势下的攻击态势，首先要在端、网、边、云，建立特征匹配与异常行为的多维检测。由于检测点和检测技术多，产生的威胁数据量大，需要建设基于大数据技术的精准分析平台，汇总全息检测数据，综合应用人工智能分析技术，将威胁与资产结合，帮助管理员聚焦于高置信度失陷风险；进而与端、网、边、云的防控体系实现联动响应，运用SOAR技术，自动化专家分析处置经验，快速实现威胁检测、分析、响应闭环。同时，通过云端威胁情报的赋能，使政企组织可以实时获取全网威胁情报数据，实现更大范围的检测、分析、响应闭环。

　　在攻击泛化的趋势下，防御应对措施也有新的方向。山石网科认为，攻防的本质始终是基于成本的对抗，SaaS化是智能XDR+SOAR系统的未来趋势。不管如何演进，攻防的本质始终不变，是基于成本的对抗。像密码学的设计原则并不是永远破解不了最好，而是破解的成本高于被保护的信息价值即可。攻击方是黑客利用工具，防守方仅仅部署产品是不够的，需要有专业的安全管理人员。

　　对于中小组织，面对越来越广泛并且专业的攻击，通过本地部署安全控制点，将安全数据上报到安全SaaS平台，安全管理托管于专业厂家的专业人员，可以有效的降低成本。对于大型组织，安全管理投入也是有限的，参照安全成熟度高的欧美地区，自有安全管理人员+专业安全运营托管的趋势非常明显。

　　数据资产持续沉淀，数据安全治理框架需重构

　　随着新兴技术不断发展，数据作为数字经济的核心生产要素，正成为科技创新的突破口，但现实情况是数据安全防护水平参差不齐，数据安全问题层出不穷，个人隐私泄露、非法数据交易等频发，国外咨询机构Verizon发布的2020年数据泄露报告中，统计2020年全球数据泄露事件同比增长了96%，医疗、金融和制造业排名前三。另一方面随着云大物移智等新兴技术发展，国家也相应配套了相关法律法规，网络安全法强调了对个人信息保护的责任，数据安全法确立了数据分类分级、风险评估、应急处置等基本制度，明确了开展数据处理活动的组织、个人的数据保护义务等。

　　目前来看，组织内数据多样、海量、复杂，留存周期长，与业务关联紧密，数据安全治理不能仅靠产品和技术；数据越来越多样性，数据库数据、大数据文件、非结构化文档等数据种类丰富，很多数据因为业务原因，需要长期留存。同时，数据的安全威胁也多样化，如数据泄露、数据的破坏、隐私的泄露、数据失控、数据的泛滥、数据的损害或丢失等。

　　复杂的数据问题让我们看到，数据安全治理不仅仅是部署产品和技术，是一个系统工程，需要自顶向下进行设计：

　　法律法规的梳理，对业务数据风险分析，明确数据安全治理的实际需求；

　　数据安全治理的组织管理体系支撑；

　　数据的分类分级和梳理，辨别哪些数据需要保护，这些需要保护的数据在哪些位置，哪些人正在使用这些数据，在使用过程中是否合理；

　　制定适合的相关安全策略；

　　对数据安全治理进行有效监测和审计，及时发现存在的问题与隐患，才能对数据安全治理工作进行持续改进。

如何应对？山石网科认为，面对复杂的数据问题，需要建立弹性可扩展，业务自适应的数据生命周期安全治理框架。

　　山石网科针对数据安全治理，围绕数据流程过程，从数据安全运营和数据安全管理两个维度，构建了全场景、云池化、可感知、可持续的数据生命周期安全治理体系，可以实现：

　　数据资产全面安全管控；

　　数据安全一站感知处置；

　　数据安全资源云化供取；

　　提供可持续的数据安全运营能力。

　　攻防资源难以对等，构建可持续安全运营体系

　　物理世界的攻击距离是有限的，跨地域作案很难。哪怕就是传染性强的病毒，其扩散速度也与人的交通速度有关，比如目前全球传播最广的新冠病毒Delta变种，是从去年10月就出现的。

　　但是，网络空间中，信息的传播是近乎光速的，全球的攻击者可以攻击任意地点的组织，但组织只能基于自身资源来应对，不管是甲方还是乙方，面对全球黑客可以从任何地点发起的攻击，资源都是有限的。网络空间的光速可达属性，注定了攻防双方资源难以对等，这是所有组织都在面临的终极挑战。

　　如何应对？山石网科认为，构建全球威胁情报生态，让威胁情报及时可达，赋能可持续安全运营体系。

　　应对全球发起的攻击，需要开展全球威胁情报生态合作。360作为山石网科战略合作伙伴，双方已经全面开展产品、技术侧战略合作。包括山石网科智能下一代防火墙也是采取360云端情报赋能，同时，未来双方还将就零信任等多个领域展开深入合作。360安全大脑，为山石网科的可持续安全运营体系，提供全面、及时、精准的情报赋能，同时，也从情报的实际落地中，得到反馈，增强优化情报，形成良性循环。

　　可持续安全运营体系，是山石网科去年用户大会提出的技术理念，今年我们进一步延伸了其内涵：以零信任防控、智能威胁治理、数据生命周期安全治理三个框架为基础，以云端情报赋能，云端运营平台支撑，由安全运营团队提供全方位专业化安全运营，为用户的安全竭尽全力。

　　昨天在ISC大会上，山石网科发布了新一代智能下一代防火墙，该产品具备零信任、intelligent智能感知、intelligence情报集成、IOT融合防护等特点。

　　面对变种攻击，山石网科iNGFW可进行本地或联动云端来感知恶意威胁行为，来进行未知防御检测以及防护；安全防护正在从“个体或单个组织”的防护，转变为“安全情报驱动”的信息共享、集体协作的方式，同时边界封堵不等于全网防护，在第三方情报的加持下，山石网科iNGFW提供贯穿“攻击前、攻击中、攻击后”三个关键节点的全生命周期安全防护解决方案，其中威胁情报也来自包括360威胁情报中心在内的国内外优秀威胁情报供应商的赋能；在万物互联时代，防护对象在变化，主机防护不等于全面防护，山石网科新一代智能下一代防火墙可以识别网络摄像头等物联网设备，同时具备对物联网设备的安全防护与合规管控能力，可为客户打造融合网络的防护体验。