技術驅動社會數(shù)字化加速，新的數(shù)字環(huán)境下，網(wǎng)絡安全進入了攻擊復雜化、漏洞產(chǎn)業(yè)化、重保常態(tài)化等新常態(tài)。應對數(shù)字世界新挑戰(zhàn)，網(wǎng)絡安全防護需要新的理論思考和方法論。

　　網(wǎng)絡連接矩陣復雜化、網(wǎng)絡泛攻擊化、數(shù)字資產(chǎn)持續(xù)沉淀化、攻防資源不對等化，這四個安全命題，在未來很長一段時間，將是產(chǎn)業(yè)上下游都要思考的方向，也是未來安全防護最核心的原點。接下來，筆者從這四個趨勢，簡單談談思考和看法。

　　趨勢一：網(wǎng)絡連接矩陣趨向復雜化

　　當我們注意到人與物、物與物連接矩陣的邊界越來越模糊且多變的時候，安全防護框架就需要適應變化重新構建。

　　數(shù)字化的本質(zhì)是讓人更方便地獲取信息、利用信息，也就是構建人與數(shù)字信息的連接。但相比過去，數(shù)字接入的移動性和服務的云化，已經(jīng)讓人和業(yè)務之間的連接變得更加復雜。過去，組織在網(wǎng)絡訪問上，按照職能和功能，對辦公區(qū)和數(shù)據(jù)區(qū)進行劃分，訪問模式還是比較固定的。但現(xiàn)在，移動終端的普及，人在居家、差旅、辦公區(qū)之間移動切換，業(yè)務在私有云和公有云中部署和遷移，SaaS類業(yè)務也越來越多，構成了一個復雜的連接矩陣。

　　上圖就是一個很典型的對比案例。可以很清晰地看到，組織連接矩陣的邊界已經(jīng)是趨于模糊且易變。以往按照區(qū)域劃分，區(qū)域之間配置安全策略的防控模式，已經(jīng)難以適應復雜易變的連接矩陣了。

　　這是產(chǎn)業(yè)共同面臨的問題。以身份為核心，建立基于動態(tài)最小授權策略的零信任安全防控框架，會是應對這個挑戰(zhàn)的最優(yōu)解。

　　可以這么理解，安全防控的基本理念是出了問題可以控制在最小影響范圍，當區(qū)域邊界變的模糊時，我們需要看有什么是相對穩(wěn)定的，那么可以基于一個相對穩(wěn)定的基礎構建新的安全防控框架。既然信息化的本質(zhì)是人與信息之間的連接，那么防控體系也可以從人出發(fā)進行重構，也就是以身份為基礎，建立動態(tài)最小授權策略的零信任安全防控框架。這其中，所謂動態(tài)最小授權，除了根據(jù)身份之外，還需要結合接入設備的類型、軟硬件合規(guī)要求、風險狀態(tài)等多重因素，進行訪問權限控制。

　　那未來零信任的方案應該是什么樣的？SASE將會成為主流。從SaaS業(yè)務和移動辦公的推廣普及的趨勢來看，SASE作為零信任的運營方案，將能為用戶帶來便捷安全的業(yè)務訪問。

　　SASE 本質(zhì)是“SD-WAN + Security”， 是基于云網(wǎng)的“企業(yè)網(wǎng)+安全”的運營模式，其產(chǎn)生的原因是分散的移動辦公加上多點的云服務。傳統(tǒng)的接入模式：spoke-n-hub，不適應現(xiàn)在的環(huán)境。SASE通過廣泛部署PoP點，為分支機構和在外辦公提供接入，既提供路由選擇、QoS等網(wǎng)絡優(yōu)化功能，也提供各類安全功能，由專業(yè)的網(wǎng)絡安全公司提供安全的網(wǎng)絡接入和運營，也保證了辦公的便捷性和安全性。

　　目前來看，中國的SaaS用戶，主要還是中小企業(yè)，SaaS業(yè)務的類型主要還是企業(yè)微信、釘釘這樣的通用辦公類SaaS。SASE會從中小客戶開始，隨著客戶的成長，與用戶使用習慣的培養(yǎng)，未來的客戶群體會更加廣泛。

　　另外也可以看到，對網(wǎng)安公司來說，從賣產(chǎn)品，到賣解決方案，提供服務，到提供一整套網(wǎng)絡與安全運營，也是未來的趨勢之一。

　　趨勢二：泛網(wǎng)絡攻擊時代已經(jīng)到來

　　網(wǎng)絡攻擊的演進也已經(jīng)到了下一個時代。早些年，以CIH、熊貓燒香、沖擊波等為主的攻擊，主要是破壞操作系統(tǒng)穩(wěn)定性；后來到以APT攻擊為代表的精準攻擊，主要是竊取重要信息或破壞重要系統(tǒng)，是一種定向攻擊；到如今，以勒索、挖礦為代表，與蠕蟲結合，全網(wǎng)擼羊毛，網(wǎng)絡攻擊已經(jīng)進入到了輕松又高效的泛網(wǎng)絡攻擊時代。

　　信息資產(chǎn)數(shù)量和價值的持續(xù)倍增，讓網(wǎng)絡空間進入了泛網(wǎng)絡攻擊時代。網(wǎng)絡攻擊是為了獲利，當個人終端的信息資產(chǎn)也變的重要時，勒索，從一開始的郵件附件傳播，到后來利用高危漏洞，與蠕蟲結合，對黑客來說，是一種極其高效的獲利方式。當前，泛網(wǎng)絡攻擊在暗網(wǎng)上有完整的產(chǎn)業(yè)鏈支撐，入門門檻低，從病毒的獲取，加殼變形，病毒投放，獲利的收取等都有完整的服務鏈條，只要幾千美金就可以開張起步，并可以在短時間內(nèi)收回成本并獲利。

　　而目前主流的威脅檢測技術從原理上分為特征匹配和異常行為兩大類，特征匹配由于檢測結果誤報率低，解釋性好，檢出問題有明確的處置建議，因此一直是網(wǎng)安產(chǎn)品的主流檢測技術，但面對漏洞越來越多，攻擊數(shù)量多、易變種的局面，僅僅有特征匹配檢測已難以應對。

　　可以看到，在這種以快、廣、狠為主要特點的泛網(wǎng)絡攻擊時代，基于特征匹配的傳統(tǒng)檢測技術已難以應對新的網(wǎng)絡攻擊挑戰(zhàn)。新形勢下智能威脅治理框架需要重新構建，且該框架應該具備多維檢測、精準分析、聯(lián)動響應、情報賦能四個基本要點。

　　面對新形勢下的攻擊態(tài)勢，首先要在端、網(wǎng)、邊、云，建立特征匹配與異常行為的多維檢測。由于檢測點和檢測技術多，產(chǎn)生的威脅數(shù)據(jù)量大，需要建設基于大數(shù)據(jù)技術的精準分析平臺，匯總全息檢測數(shù)據(jù)，綜合應用人工智能分析技術，將威脅與資產(chǎn)結合，幫助管理員聚焦于高置信度失陷風險；進而與端、網(wǎng)、邊、云的防控體系實現(xiàn)聯(lián)動響應，運用SOAR技術，自動化專家分析處置經(jīng)驗，快速實現(xiàn)威脅檢測、分析、響應閉環(huán)。同時，通過云端威脅情報的賦能，使政企組織可以實時獲取全網(wǎng)威脅情報數(shù)據(jù)，實現(xiàn)更大范圍的檢測、分析、響應閉環(huán)。

　　在攻擊泛化的趨勢下，防御應對措施也有新的方向。我認為，攻防的本質(zhì)始終是基于成本的對抗，SaaS化是智能XDR+SOAR系統(tǒng)的未來趨勢。不管如何演進，攻防的本質(zhì)始終不變，是基于成本的對抗。像密碼學的設計原則并不是永遠破解不了最好，而是破解的成本高于被保護的信息價值即可。攻擊方是黑客利用工具，防守方僅僅部署產(chǎn)品是不夠的，需要有專業(yè)的安全管理人員。

　　對于中小組織，面對越來越廣泛并且專業(yè)的攻擊，通過本地部署安全控制點，將安全數(shù)據(jù)上報到安全SaaS平臺，安全管理托管于專業(yè)廠家的專業(yè)人員，可以有效的降低成本。對于大型組織，安全管理投入也是有限的，參照安全成熟度高的歐美地區(qū)，自有安全管理人員+專業(yè)安全運營托管的趨勢非常明顯。

　　趨勢三：數(shù)據(jù)資產(chǎn)將持續(xù)沉淀

　　隨著新興技術不斷發(fā)展，數(shù)據(jù)作為數(shù)字經(jīng)濟的核心生產(chǎn)要素，正成為科技創(chuàng)新的突破口，但現(xiàn)實情況是數(shù)據(jù)安全防護水平參差不齊，數(shù)據(jù)安全問題層出不窮，個人隱私泄露、非法數(shù)據(jù)交易等頻發(fā)，國外咨詢機構Verizon發(fā)布的2020年數(shù)據(jù)泄露報告中統(tǒng)計2020年全球數(shù)據(jù)泄露事件同比增長了96%，醫(yī)療、金融和制造業(yè)排名前三。另一方面隨著云大物移智等新興技術發(fā)展，國家也相應配套了相關法律法規(guī)，網(wǎng)絡安全法強調(diào)了對個人信息保護的責任，數(shù)據(jù)安全法確立了數(shù)據(jù)分類分級、風險評估、應急處置等基本制度，明確了開展數(shù)據(jù)處理活動的組織、個人的數(shù)據(jù)保護義務等。

　　目前來看，組織內(nèi)數(shù)據(jù)多樣、海量、復雜，留存周期長，與業(yè)務關聯(lián)緊密，數(shù)據(jù)安全治理不能僅靠產(chǎn)品和技術；數(shù)據(jù)越來越多樣性，數(shù)據(jù)庫數(shù)據(jù)、大數(shù)據(jù)文件、非結構化文檔等數(shù)據(jù)種類豐富，很多數(shù)據(jù)因為業(yè)務原因，需要長期留存。同時，數(shù)據(jù)的安全威脅也多樣化，如數(shù)據(jù)泄露、數(shù)據(jù)的破壞、隱私的泄露、數(shù)據(jù)失控、數(shù)據(jù)的泛濫、數(shù)據(jù)的損害或丟失等。

　　復雜的數(shù)據(jù)問題讓我們看到，數(shù)據(jù)安全治理不僅僅是部署產(chǎn)品和技術，是一個系統(tǒng)工程，需要自頂向下進行設計，可以從以下五個方面考慮：

　　1、法律法規(guī)的梳理，對業(yè)務數(shù)據(jù)風險分析，明確數(shù)據(jù)安全治理的實際需求；

　　2、數(shù)據(jù)安全治理的組織管理體系支撐；

　　3、數(shù)據(jù)的分類分級和梳理，辨別哪些數(shù)據(jù)需要保護，這些需要保護的數(shù)據(jù)在哪些位置，哪些人正在使用這些數(shù)據(jù)，在使用過程中是否合理；

　　4、制定適合的相關安全策略；

　　5、對數(shù)據(jù)安全治理進行有效監(jiān)測和審計，及時發(fā)現(xiàn)存在的問題與隱患，才能對數(shù)據(jù)安全治理工作進行持續(xù)改進。

　　針對數(shù)據(jù)安全治理，可以圍繞數(shù)據(jù)流程過程，從數(shù)據(jù)安全運營和數(shù)據(jù)安全管理兩個維度出發(fā)，來構建彈性可擴展，業(yè)務自適應的數(shù)據(jù)生命周期安全治理體系，以實現(xiàn)：

　　1、數(shù)據(jù)資產(chǎn)全面安全管控。

　　2、數(shù)據(jù)安全一站感知處置。

　　3、數(shù)據(jù)安全資源云化供取。

　　4、提供可持續(xù)的數(shù)據(jù)安全運營能力。

　　趨勢四：攻防資源難以對等程度加劇

　　物理世界的攻擊距離是有限的，跨地域作案很難。哪怕就是傳染性強的病毒，其擴散速度也與人的交通速度有關，比如目前全球傳播最廣的新冠病毒Delta變種，是從去年10月就出現(xiàn)的。

　　但是，網(wǎng)絡空間中，信息的傳播是近乎光速的，全球的攻擊者可以攻擊任意地點的組織，但組織只能基于自身資源來應對，不管是甲方還是乙方，面對全球黑客可以從任何地點發(fā)起的攻擊，資源都是有限的。所以說，網(wǎng)絡空間的光速可達屬性，是攻防雙方資源難以對等的一個挑戰(zhàn)。而攻防資源不對等，這是所有組織都在面臨的終極挑戰(zhàn)。

　　網(wǎng)絡空間的安全對抗日趨激烈，傳統(tǒng)的安全技術不能全面滿足安全防護的需要?，F(xiàn)階段的安全防護，不僅僅是要做好防御，還需要持續(xù)地檢測和響應，而要想做到持續(xù)有效的檢測與快速的響應，威脅情報必不可少。

　　應對全球發(fā)起的攻擊，需要產(chǎn)業(yè)生態(tài)伙伴有意識的開展全球威脅情報生態(tài)合作。威脅情報作為網(wǎng)絡空間治理的重要一環(huán)，需要政府部門、網(wǎng)絡安全企業(yè)、網(wǎng)絡安全專家等各方形成情報協(xié)同、數(shù)據(jù)協(xié)同、能力協(xié)同，共同構建網(wǎng)絡空間治理與協(xié)同防御能力體系，推動全球威脅情報共享，構建全球威脅情報生態(tài)，攜手共建網(wǎng)絡空間命運共同體，助力可持續(xù)安全運營。

　　總結來看，針對以上四個安全命題，解決問題的思路可以是以身份為核心，建立基于動態(tài)最小授權策略的零信任安全防控框架，應對網(wǎng)絡連接矩陣復雜化；以多維檢測、精準分析、聯(lián)動響應、情報賦能的智能威脅治理框架，應對網(wǎng)絡泛攻擊化；以彈性可擴展、業(yè)務自適應的數(shù)據(jù)生命周期安全治理框架，應對數(shù)字資產(chǎn)持續(xù)沉淀化；以構建全球威脅情報生態(tài)，應對攻防資源不對等化。

　　當今世界正經(jīng)歷百年未有之大變局，新一輪科技革命和產(chǎn)業(yè)變革加速演進，而隨著數(shù)字經(jīng)濟重要性、活躍度的不斷提升，網(wǎng)絡安全的作用也不斷凸顯。近年來，我國網(wǎng)絡安全發(fā)展取得顯著成效，但也面臨新問題、新挑戰(zhàn)，我們應準確研判未來網(wǎng)絡安全發(fā)展的形勢并進行超前布局，更好地迎接未來網(wǎng)絡安全發(fā)展的機遇，應對未來網(wǎng)絡安全面臨的嚴峻挑戰(zhàn)。