2023年態勢感知與安全運營十大技術趨勢展望
數字時代,態勢感知和網絡安全運營依然是網絡安全行業備受關注的熱點話題。啟明星辰泰合團隊發布《2023年態勢感知和安全運營技術發展十大趨勢》,分享了其對態勢感知和網絡安全運營新技術、新挑戰和新實踐的智慧分析與總結。下面,讓我們一起看看今年的重要趨勢都有哪些吧。
趨勢一 元數據驅動的安全體系加速自動化安全運營
近年來我國安全產業持續發展,安全產品線種類豐富,既有相對成熟的“主力經典板塊”的大量產品,也有“新興前沿產業板塊”不斷推陳出新,安全體系越來越龐雜,安全孤島眾多,安全“熵增”明顯。
在安全運營從“實戰化”邁向“自動化”的過程中,我們面臨三大難題:一是異構安全能力協同差,安全數據、服務沒有有效集成,機器“讀不懂”安全;二是應對安全場景的工作流程沒有知識化、模型化,機器“不會驅動”安全;三是網絡安全、數據安全、業務安全互相之間的作用力越來越多明顯,沒有一個頂層設計統籌全局。
在這種形勢下,“元數據驅動”的安全體系應運而生,它采用系統科學的理念,以安全數據、服務與過程的模型化、資源化、注冊制的策略,促進安全領域的“熵減”,為自動化安全運營的發展邁出堅實一步。
元數據描述數據資產各個方面的信息,以便在整個生命周期中提高其可用性。元數據現代數據架構中的連接粘合劑,是企業數字化建設的基石。
“元數據驅動”的安全體系是以安全資源的元模型思想,構建覆蓋網絡安全各維度的元數據體系,實現安全要素的規范化、模型化、資源化。基于資源注冊機制,建立全面覆蓋安全數據、服務、過程的全局“注冊表”,增強業務能力的彈性、韌性和可組裝性,構建面向自動化安全運營的技術基石。
在“元數據驅動”的安全體系中,數據集合的“元數據”,提供了機器可讀的統一“語義”,打通安全數據、業務數據的資源目錄;安全服務和能力的“元數據”,打通異構安全能力協同通道、實現自動化安全應對的關鍵一環;安全過程的“元數據”,以可編排的方式連接數據集合元數據、安全服務和能力元數據,基于工作流技術驅動網絡流、數據流、業務流組成的企業“數字化立方“協同作戰,有效應對態勢感知與安全運營的復雜安全場景。
趨勢二 組裝式安全運營支撐平臺是新變革
安全運營的主要特點是對網絡與信息進行全面安全保障,通過安全運營支撐平臺將技術、流程和人有機結合起來,達到安全保障能力的持續改進和提升的目標。
隨著數字化轉型加速,數字化安全運營對安全運營的彈性、靈活性和敏捷性提出了更高的要求。因此,如何提升運營效率面臨著運營流程的快速變化、用戶體驗的個性化和客戶環境的多樣化等諸多挑戰,而”組裝式“思想給解決這些問題帶來了新的變革。
組裝式是一種新的思維方式,即認清變革是獲得新業務價值的驅動力,模塊化+快速組裝是加速變革的工具和手段。國際著名咨詢機構預測到2023年,采用組裝式模式的企業將在實施新功能方面的能力超過80%的競爭對手。這就意味著具備可組裝能力的安全運營支撐平臺將更好地支撐數字化安全運營的業務需求。
組裝式應用由一系列封裝好的業務能力(PBC,Packaged Business Capabilities)組成。PBC是封裝好的軟件組件,是具有完善定義的業務功能,可對外開放接口,業務用戶可快速識別。PBC并沒有固定的大小、功能范圍或內部體系結構,而PBC具有模塊化、可發現、自主和可編排(集成)的特征。
組裝平臺上PBC將被編排以及與不同的UX開發和運營治理系統集成,為不同的業務場景和用戶提供千人千面的體驗。數據編織是組裝式應用的底座,讓用戶能夠通過低代碼或者無代碼的形式來進行操作,把一些預測建模能力賦能在報告報表或者自服務分析上,形成更豐富的高級數據分析應用,Gartner預計到2025年70%的新應用開發將會由低代碼和無代碼工具實現。通過低代碼提供的組裝體驗,可以靈活編排以實現新的業務能力。
趨勢三 面向數據安全的態勢感知將成為新熱點
伴隨著數字化轉型,數據在推動數字經濟高速發展的同時,數據濫用、數據泄露等安全事件頻繁發生,數據安全風險日益凸顯。
國際著名咨詢機構提出建議,用戶必須在整個數據生命周期中規劃和緩解管理風險,從而解決數據安全性,隱私性,信任與道德、數據所有權,數據恢復等一系列問題。2021年9月1日,《中華人民共和國數據安全法》正式實施,數據安全上升到我國國家安全戰略高度,并加速了數據安全體系建設。
在數據安全體系落地實踐中,組織的數據安全風險迫切需要依賴系統化、產品化技術手段實現數據安全全生命周期管控,全面感知、分析、呈現數據安全風險的態勢感知應運而生。
面向數據安全的態勢感知圍繞數據安全全生命周期管理,將數據安全技術、流程、產品和人有機的結合,融合數據資產梳理和發現、數據風險檢測識別、數據風險集中分析、數據風險響應處置、數據風險態勢呈現等能力,實現數據安全風險可感知、可溯源、可研判、可處置、可呈現,為數據安全運營提供基礎。隨著數據安全體系建設不斷發展演進,面向數據安全的態勢感知勢將成為新熱點,推動數據安全建設,助力數據安全治理 。
趨勢四 PaaS化安全中臺賦能安全運營
2022年觀察到的云安全大項目多以安全中臺為技術規范和落地要求,這一趨勢也將在2023年進一步升級。安全中臺作為連接和管理安全產品鏈的中樞平臺,能夠構建開放的安全能力生態。
在現有安全中臺設計中,重點在于“建設”,而隨著安全中臺的陸續落地,其技術發展逐漸從“建設”轉型為“建好”,支撐型的云原生安全PaaS平臺將成為其發展方向。云原生安全PaaS平臺在集成安全能力基礎上,以云原生方式和專用支撐系統為安全中臺升級。
一方面,提供大數據中臺、集成平臺、開發平臺、運營知識等方面的PaaS化技術,以賦能安全產品彈性、可擴展的平臺化進行支撐保障,既能在多云、跨數據中心場景中提供穩定支持,又能兼容虛機、容器、無服務器等多技術棧。
另一方面,依托云計算基礎設施的彈性特征和云原生架構的敏捷理念,支持安全原子能力的快速集成和安全功能的按需編排,為用戶提供多租戶的使用模式,并為租戶業務和云計算基礎設施賦能安全。
趨勢五 基于自助式數據分析技術實現多模型融合分析
隨著大數據、數字化時代的來臨,企業希望變得更加以數據為導向,自助式數據分析的承諾無疑是誘人的:所有用戶,無論其角色或技能如何,都能夠分析數據并做出更明智的決策。
自助式數據可視化分析是主動式的企業數據分析模式,它能夠讓業務人員直接參與數據分析,逐漸擺脫對專業分析團隊的依賴。
數據分析能力是態勢感知與安全運營的核心能力。然而,在態勢感知與安全運營領域,關聯分析、行為分析、AI分析等等多種不同模型的分析結果的融合分析,目前還處于比較原始的狀態。因此,自助式數據分析技術適用于態勢感知與安全運營業務。
借助于自助式數據分析技術所具有的對多種數據源的支持和友好的操作界面,所有用戶都可以將這些分析結果,通過可視化的方式進行自由的融合分析,并獲得可視化的結果展現。這一技術使得數據分析從被動變為主動,人人都能夠充分分析和探索數據,更深層次探索數據價值,獲取第一手的數據分析結果,使得人人都是分析師,從而提升態勢感知與安全運營的安全數據分析能力和價值。
趨勢六 融合多種攻擊面管理技術的反入侵技術體系
網絡安全的本質在對抗。隨著網絡攻防對抗日益加劇,網絡安全體系建設逐步從從安全合規的被動防御轉向攻擊者視角的主動防御。在實戰化安全運營、常態化的功防演練的雙重驅動下,從攻擊者視角出發的反入侵方向不斷發展和演進,出現了攻擊面管理(ASM)、入侵和攻擊模擬(BAS)技術等新技術,并成為網絡安全運營技術發展重要驅動力。
國際著名咨詢機構在《2021年安全運營成熟度技術曲線》中將攻擊面管理(ASM)、入侵和攻擊模擬(BAS)技術定義為網絡安全運營的新興技術。反入侵方向逐漸融合多種攻擊面管理技術,包括威脅情報(TI)、網絡資產攻擊面管理(CAASM)、外部攻擊面管理(EASM)、數字風險保護服務(DRPS)、入侵和攻擊模擬(BAS)技術,并演化形成反入侵技術體系。
融合多種攻擊面管理技術的反入侵技術體系是應對攻防實戰和對抗的一種主動防御理念,可以提供持續性的攻擊面態勢評估,驗證安全防御措施的有效性,實現反入侵分析,進而有效提升態勢感知和網絡安全運營實戰化能力。可以預見,反入侵技術體系將成為態勢感知和網絡安全運營的新特色。
趨勢七 基于人工智能技術的智能化和自動化的安全運營
安全托管服務(Managed Security Service,MSS)是將網絡安全運營等技術工作委托給第三方代為管理,以服務化的方式幫助客戶發現和解決各類安全問題。
隨著企業數字化轉型的推進和各地安全運營中心的建設,大量快速培訓上崗的安全服務人員已不能滿足現代安全托管服務對安全運營服務人員的數量和質量的要求,導致網絡安全運營效率和質量難以應對日益嚴峻的攻防對抗態勢。因此,隨著數字化加速發展,迫切需要提升網絡安全運營的自動化、智能化水平。
隨著人工智能技術的發展和日益成熟,利用人工智能技術實現重復性安全事件的自動化快速處置,是將機器人自動化(Robotic Process Automation,RPA)理念應用在網絡安全領域中的一種有效方法,尤其對面向大量中小型用戶的安全運營場景中,需要處理的安全事件的復雜程度較低,重復性安全事件數量較大,是更加適用的場景。
大型企業和政府對安全運營的要求較高,通常需要涵蓋安全事件溯源、資產脆弱性評估、安全滲透測試等具有較強專業知識能力的安全業務。利用人工智能中的自然語言處理和知識圖譜等技術實現智能化輔助的安全運營,可以有效降低安全運營的技術門檻,提升安全運營工作的效率,增強安全運營的自動化和智能化水平。
趨勢八 身份威脅檢測和響應ITDR技術逐漸落地實戰
隨著云計算、大數據、移動互聯網等技術的廣泛應用,組織的邊界正在變得越來越模糊,其中身份逐漸變成一個安全新邊界。充滿高價值的身份信息被泄露或者進行惡意使用,將給政府,企業和個人帶來不可挽回的巨大損失。隨著身份變得越來越重要,攻擊者越來越多地將目標對準身份本身。
近年來國內外經常發生各類信息和數據泄露的事件都跟身份安全離不開關系。國際著名咨詢機構近年提出了多項基于身份的威脅防御理念,身份威脅檢測和響應ITDR(Identity Threat Detection and Response)就是其中之一,也是其Identity-First Security理念中身份網格的組成要素。
ITDR作為安全運營的一項新技術,是保護身份基礎架構免受惡意攻擊的工具和流程。ITDR通過集成接入各類環境里面身份基礎設施(AD/IAM/堡壘機等)身份信息、身份活動日志等數據,對各類身份設施本身進行攻擊面梳理,發現身份相關的脆弱性,使用多種分析引擎做身份行為異常檢測,并配合欺騙防御技術,及時發現被盜用或濫用的身份,同時也支持響應功能,能夠隔離賬戶權限,禁用用戶等,有效應對身份安全威脅。
ITDR目前在國外發展極快,且其市場價值得到了一眾頭部安全廠商的認同,而頭部廠商通過直接收購相關的身份安全創新廠商的方式加緊布局新賽道。隨著國際著名咨詢機構進一步的推波助瀾,已有大量追隨者涌入了這一賽道。國內也有一些新興技術初創公司開始朝著這一方向發力。隨著身份安全防護需求日趨迫切,可以預見,ITDR將加速落地實踐。
趨勢九 云端知識賦能實現安全運營知識標準化與快速復用
在態勢感知和安全運營應用實踐中,需要處理復雜的網絡攻擊。復雜的網絡攻擊往往隱藏在復雜的關系網絡數據中,傳統的應對方式十分依賴于安全專家的知識和經驗。將安全知識體系引入到態勢感知和安全運營中,實現安全知識體系的動態標準化賦能,可以大幅減少對專家經驗的依賴,助力態勢感知和安全運營的技術升級。
云端賦能的安全知識體系以安全運營領域知識為核心,融合面向網絡環境數據、威脅行為數據、威脅情報數據等,并兼容MITRE 的CAPEC、MAEC 和ATT&CK 等模型,構建本體化、標準化、全局化的知識結構,支撐數據處理、關聯分析、智能決策、行動響應等安全運營業務,實現安全運營知識標準化與快速復用。
趨勢十 智能作戰室在安全運營中的價值越來越突顯
ChatOps技術能夠基于虛擬聊天室和聊天機器人,讓運維人員能夠以聊天的方式實現自動化運維。智能作戰室則是一種融合ChatOps和自動化安全運營理念、由安全事件驅動的新一代安全運營技術。當安全事件產生時,運營平臺自動將多方運營人員和運營機器人拉入圍繞安全事件處理的虛擬作戰群組中,運營人員可以通過與運營機器人對話實現安全事件的處理和流轉,從而提高安全運營效率。
智能作戰室在國外運營平臺中已廣泛使用,而國內的應用仍處于起步階段。一方面,現有安全自動化技術還不足以支撐全場景的安全運營。首先,ChatOps技術需要將各安全服務、工具和能力集成,集成的廣度決定機器人運營能力的大小,目前運營能力還需提高。其次,ChatOps的智能化能力也決定著智能作戰室的易用性,ChatOps中的NLU和NLP技術尚缺少實戰打磨,機器人對運營動作的理解力需要提升。另一方面,安全運營人員對智能作戰室的運營方式接受度還有待提高。
參考自動駕駛技術的發展史,新技術的廣泛應用需要一個適應過程,讓運營人員從過去一直以來在各安全工具和平臺之間跳轉、調查、處置的習慣轉向自動化運營的方式還需要時間。然而,在面對安全場景越來越復雜、安全工具越來越多、安全響應時間要求越來越短的當下,我們相信隨著智能作戰室的發展和深入應用,其集成廣度和技術深度將進一步提升并產生質變,從而發展成為安全運營領域的基礎性支撐技術。
