数字时代,态势感知和网络安全运营依然是网络安全行业备受关注的热点话题。启明星辰泰合团队发布《2023年态势感知和安全运营技术发展十大趋势》,分享了其对态势感知和网络安全运营新技术、新挑战和新实践的智慧分析与总结。下面,让我们一起看看今年的重要趋势都有哪些吧。
趋势一 元数据驱动的安全体系 加速自动化安全运营
近年来我国安全产业持续发展,安全产品线种类丰富,既有相对成熟的“主力经典板块”的大量产品,也有“新兴前沿产业板块”不断推陈出新,安全体系越来越庞杂,安全孤岛众多,安全“熵增”明显。
在安全运营从“实战化”迈向“自动化”的过程中,我们面临三大难题:一是异构安全能力协同差,安全数据、服务没有有效集成,机器“读不懂”安全;二是应对安全场景的工作流程没有知识化、模型化,机器“不会驱动”安全;三是网络安全、数据安全、业务安全互相之间的作用力越来越多明显,没有一个顶层设计统筹全局。
在这种形势下,“元数据驱动”的安全体系应运而生,它采用系统科学的理念,以安全数据、服务与过程的模型化、资源化、注册制的策略,促进安全领域的“熵减”,为自动化安全运营的发展迈出坚实一步。
元数据描述数据资产各个方面的信息,以便在整个生命周期中提高其可用性。元数据现代数据架构中的连接粘合剂,是企业数字化建设的基石。
“元数据驱动”的安全体系是以安全资源的元模型思想,构建覆盖网络安全各维度的元数据体系,实现安全要素的规范化、模型化、资源化。基于资源注册机制,建立全面覆盖安全数据、服务、过程的全局“注册表”,增强业务能力的弹性、韧性和可组装性,构建面向自动化安全运营的技术基石。
在“元数据驱动”的安全体系中,数据集合的“元数据”,提供了机器可读的统一“语义”,打通安全数据、业务数据的资源目录;安全服务和能力的“元数据”,打通异构安全能力协同通道、实现自动化安全应对的关键一环;安全过程的“元数据”,以可编排的方式连接数据集合元数据、安全服务和能力元数据,基于工作流技术驱动网络流、数据流、业务流组成的企业“数字化立方“协同作战,有效应对态势感知与安全运营的复杂安全场景。
趋势二 组装式安全运营支撑平台是新变革
安全运营的主要特点是对网络与信息进行全面安全保障,通过安全运营支撑平台将技术、流程和人有机结合起来,达到安全保障能力的持续改进和提升的目标。
随着数字化转型加速,数字化安全运营对安全运营的弹性、灵活性和敏捷性提出了更高的要求。因此,如何提升运营效率面临着运营流程的快速变化、用户体验的个性化和客户环境的多样化等诸多挑战,而”组装式“思想给解决这些问题带来了新的变革。
组装式是一种新的思维方式,即认清变革是获得新业务价值的驱动力,模块化+快速组装是加速变革的工具和手段。国际著名咨询机构预测到2023年,采用组装式模式的企业将在实施新功能方面的能力超过80%的竞争对手。这就意味着具备可组装能力的安全运营支撑平台将更好地支撑数字化安全运营的业务需求。
组装式应用由一系列封装好的业务能力(PBC,Packaged Business Capabilities)组成。PBC是封装好的软件组件,是具有完善定义的业务功能,可对外开放接口,业务用户可快速识别。PBC并没有固定的大小、功能范围或内部体系结构,而PBC具有模块化、可发现、自主和可编排(集成)的特征。
组装平台上PBC将被编排以及与不同的UX开发和运营治理系统集成,为不同的业务场景和用户提供千人千面的体验。数据编织是组装式应用的底座,让用户能够通过低代码或者无代码的形式来进行操作,把一些预测建模能力赋能在报告报表或者自服务分析上,形成更丰富的高级数据分析应用,Gartner预计到2025年70%的新应用开发将会由低代码和无代码工具实现。通过低代码提供的组装体验,可以灵活编排以实现新的业务能力。
趋势三 面向数据安全的态势感知将成为新热点
伴随着数字化转型,数据在推动数字经济高速发展的同时,数据滥用、数据泄露等安全事件频繁发生,数据安全风险日益凸显。
国际著名咨询机构提出建议,用户必须在整个数据生命周期中规划和缓解管理风险,从而解决数据安全性,隐私性,信任与道德、数据所有权,数据恢复等一系列问题。2021年9月1日,《中华人民共和国数据安全法》正式实施,数据安全上升到我国国家安全战略高度,并加速了数据安全体系建设。
在数据安全体系落地实践中,组织的数据安全风险迫切需要依赖系统化、产品化技术手段实现数据安全全生命周期管控,全面感知、分析、呈现数据安全风险的态势感知应运而生。
面向数据安全的态势感知围绕数据安全全生命周期管理,将数据安全技术、流程、产品和人有机的结合,融合数据资产梳理和发现、数据风险检测识别、数据风险集中分析、数据风险响应处置、数据风险态势呈现等能力,实现数据安全风险可感知、可溯源、可研判、可处置、可呈现,为数据安全运营提供基础。随着数据安全体系建设不断发展演进,面向数据安全的态势感知势将成为新热点,推动数据安全建设,助力数据安全治理 。
趋势四 PaaS化安全中台赋能安全运营
2022年观察到的云安全大项目多以安全中台为技术规范和落地要求,这一趋势也将在2023年进一步升级。安全中台作为连接和管理安全产品链的中枢平台,能够构建开放的安全能力生态。
在现有安全中台设计中,重点在于“建设”,而随着安全中台的陆续落地,其技术发展逐渐从“建设”转型为“建好”,支撑型的云原生安全PaaS平台将成为其发展方向。云原生安全PaaS平台在集成安全能力基础上,以云原生方式和专用支撑系统为安全中台升级。
一方面,提供大数据中台、集成平台、开发平台、运营知识等方面的PaaS化技术,以赋能安全产品弹性、可扩展的平台化进行支撑保障,既能在多云、跨数据中心场景中提供稳定支持,又能兼容虚机、容器、无服务器等多技术栈。
另一方面,依托云计算基础设施的弹性特征和云原生架构的敏捷理念,支持安全原子能力的快速集成和安全功能的按需编排,为用户提供多租户的使用模式,并为租户业务和云计算基础设施赋能安全。
趋势五 基于自助式数据分析技术实现多模型融合分析
随着大数据、数字化时代的来临,企业希望变得更加以数据为导向,自助式数据分析的承诺无疑是诱人的:所有用户,无论其角色或技能如何,都能够分析数据并做出更明智的决策。
自助式数据可视化分析是主动式的企业数据分析模式,它能够让业务人员直接参与数据分析,逐渐摆脱对专业分析团队的依赖。
数据分析能力是态势感知与安全运营的核心能力。然而,在态势感知与安全运营领域,关联分析、行为分析、AI分析等等多种不同模型的分析结果的融合分析,目前还处于比较原始的状态。因此,自助式数据分析技术适用于态势感知与安全运营业务。
借助于自助式数据分析技术所具有的对多种数据源的支持和友好的操作界面,所有用户都可以将这些分析结果,通过可视化的方式进行自由的融合分析,并获得可视化的结果展现。这一技术使得数据分析从被动变为主动,人人都能够充分分析和探索数据,更深层次探索数据价值,获取第一手的数据分析结果,使得人人都是分析师,从而提升态势感知与安全运营的安全数据分析能力和价值。
趋势六 融合多种攻击面管理技术的反入侵技术体系
网络安全的本质在对抗。随着网络攻防对抗日益加剧,网络安全体系建设逐步从从安全合规的被动防御转向攻击者视角的主动防御。在实战化安全运营、常态化的功防演练的双重驱动下,从攻击者视角出发的反入侵方向不断发展和演进,出现了攻击面管理(ASM)、入侵和攻击模拟(BAS)技术等新技术,并成为网络安全运营技术发展重要驱动力。
国际著名咨询机构在《2021年安全运营成熟度技术曲线》中将攻击面管理(ASM)、入侵和攻击模拟(BAS)技术定义为网络安全运营的新兴技术。反入侵方向逐渐融合多种攻击面管理技术,包括威胁情报(TI)、网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)、数字风险保护服务(DRPS)、入侵和攻击模拟(BAS)技术,并演化形成反入侵技术体系。
融合多种攻击面管理技术的反入侵技术体系是应对攻防实战和对抗的一种主动防御理念,可以提供持续性的攻击面态势评估,验证安全防御措施的有效性,实现反入侵分析,进而有效提升态势感知和网络安全运营实战化能力。可以预见,反入侵技术体系将成为态势感知和网络安全运营的新特色。
趋势七 基于人工智能技术的智能化和自动化的安全运营
安全托管服务(Managed Security Service,MSS)是将网络安全运营等技术工作委托给第三方代为管理,以服务化的方式帮助客户发现和解决各类安全问题。
随着企业数字化转型的推进和各地安全运营中心的建设,大量快速培训上岗的安全服务人员已不能满足现代安全托管服务对安全运营服务人员的数量和质量的要求,导致网络安全运营效率和质量难以应对日益严峻的攻防对抗态势。因此,随着数字化加速发展,迫切需要提升网络安全运营的自动化、智能化水平。
随着人工智能技术的发展和日益成熟,利用人工智能技术实现重复性安全事件的自动化快速处置,是将机器人自动化(Robotic Process Automation,RPA)理念应用在网络安全领域中的一种有效方法,尤其对面向大量中小型用户的安全运营场景中,需要处理的安全事件的复杂程度较低,重复性安全事件数量较大,是更加适用的场景。
大型企业和政府对安全运营的要求较高,通常需要涵盖安全事件溯源、资产脆弱性评估、安全渗透测试等具有较强专业知识能力的安全业务。利用人工智能中的自然语言处理和知识图谱等技术实现智能化辅助的安全运营,可以有效降低安全运营的技术门槛,提升安全运营工作的效率,增强安全运营的自动化和智能化水平。
趋势八 身份威胁检测和响应ITDR技术逐渐落地实战
随着云计算、大数据、移动互联网等技术的广泛应用,组织的边界正在变得越来越模糊,其中身份逐渐变成一个安全新边界。充满高价值的身份信息被泄露或者进行恶意使用,将给政府,企业和个人带来不可挽回的巨大损失。随着身份变得越来越重要,攻击者越来越多地将目标对准身份本身。
近年来国内外经常发生各类信息和数据泄露的事件都跟身份安全离不开关系。国际著名咨询机构近年提出了多项基于身份的威胁防御理念,身份威胁检测和响应ITDR(Identity Threat Detection and Response)就是其中之一,也是其Identity-First Security理念中身份网格的组成要素。
ITDR作为安全运营的一项新技术,是保护身份基础架构免受恶意攻击的工具和流程。ITDR通过集成接入各类环境里面身份基础设施(AD/IAM/堡垒机等)身份信息、身份活动日志等数据,对各类身份设施本身进行攻击面梳理,发现身份相关的脆弱性,使用多种分析引擎做身份行为异常检测,并配合欺骗防御技术,及时发现被盗用或滥用的身份,同时也支持响应功能,能够隔离账户权限,禁用用户等,有效应对身份安全威胁。
ITDR目前在国外发展极快,且其市场价值得到了一众头部安全厂商的认同,而头部厂商通过直接收购相关的身份安全创新厂商的方式加紧布局新赛道。随着国际著名咨询机构进一步的推波助澜,已有大量追随者涌入了这一赛道。国内也有一些新兴技术初创公司开始朝着这一方向发力。随着身份安全防护需求日趋迫切,可以预见,ITDR将加速落地实践。
趋势九 云端知识赋能实现安全运营知识标准化与快速复用
在态势感知和安全运营应用实践中,需要处理复杂的网络攻击。复杂的网络攻击往往隐藏在复杂的关系网络数据中,传统的应对方式十分依赖于安全专家的知识和经验。将安全知识体系引入到态势感知和安全运营中,实现安全知识体系的动态标准化赋能,可以大幅减少对专家经验的依赖,助力态势感知和安全运营的技术升级。
云端赋能的安全知识体系以安全运营领域知识为核心,融合面向网络环境数据、威胁行为数据、威胁情报数据等,并兼容MITRE 的CAPEC、MAEC 和ATT&CK 等模型,构建本体化、标准化、全局化的知识结构,支撑数据处理、关联分析、智能决策、行动响应等安全运营业务,实现安全运营知识标准化与快速复用。
趋势十 智能作战室在安全运营中的价值越来越突显
ChatOps技术能够基于虚拟聊天室和聊天机器人,让运维人员能够以聊天的方式实现自动化运维。智能作战室则是一种融合ChatOps和自动化安全运营理念、由安全事件驱动的新一代安全运营技术。当安全事件产生时,运营平台自动将多方运营人员和运营机器人拉入围绕安全事件处理的虚拟作战群组中,运营人员可以通过与运营机器人对话实现安全事件的处理和流转,从而提高安全运营效率。
智能作战室在国外运营平台中已广泛使用,而国内的应用仍处于起步阶段。一方面,现有安全自动化技术还不足以支撑全场景的安全运营。首先,ChatOps技术需要将各安全服务、工具和能力集成,集成的广度决定机器人运营能力的大小,目前运营能力还需提高。其次,ChatOps的智能化能力也决定着智能作战室的易用性,ChatOps中的NLU和NLP技术尚缺少实战打磨,机器人对运营动作的理解力需要提升。另一方面,安全运营人员对智能作战室的运营方式接受度还有待提高。
参考自动驾驶技术的发展史,新技术的广泛应用需要一个适应过程,让运营人员从过去一直以来在各安全工具和平台之间跳转、调查、处置的习惯转向自动化运营的方式还需要时间。然而,在面对安全场景越来越复杂、安全工具越来越多、安全响应时间要求越来越短的当下,我们相信随着智能作战室的发展和深入应用,其集成广度和技术深度将进一步提升并产生质变,从而发展成为安全运营领域的基础性支撑技术。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安