2023 年 8 月 24 日,2023CCS 成都网络安全大会在天府之国成都如约举行。大会开幕式重磅嘉宾云集,安全感拉满,科技感爆棚。
北京赛博英杰科技有限公司创始人兼董事长、高级工程师、正奇・安全创业营创始人谭晓生(谭校长)在开幕式上对《2023 年中国网络安全十大创新方向》和《2023 中国网络安全八大趋势》进行了解读,让我们一同重温。
非常荣幸第三次参加 CCS,从第一届 CCS 开始我都是来积极参与的。我手下的一个研究机构数说安全前几天发布了《2023 年中国网络安全市场年度报告》,这个报告的内容比较多,我今天主要为大家介绍一下技术趋势。
首先我们认为 2023 中国网络安全产业有八大趋势,分别是数字经济、人工智能、顶层设计、数据安全、信创加速、服务化转型、关基保护和密码应用。
首先数字化转型大家都知道,现在我们国家、以及全世界范围都在做数字化转型,数字经济是当下被特别强调的一个点,这个是一个新的经济动力。
第二,人工智能的发展其实带来了两方面的问题,一是人工智能本身的安全问题,今天下午百度的分论坛讨论的就是人工智能大模型的安全问题。第二个是人工智能怎么样能帮到网络安全,不管是像微软的 Security Copilot,还是 360 现在做的安全助手等等,这些尝试都是把人工智能用来解决安全问题,所以这也是一大趋势。
第三个趋势是咱们国家在过去的这么多年,网络安全相关的立法都已经先后出台,咱们今天的网络安全是在法治的基础之上,尤其是像数据安全法等一系列有针对的立法出台,以及关基保护护条例等,都对产业会产生非常深远的影响。
第四个是数据成为重要的生产要素,数据安全立法出台了,但是数据安全相关的技术手段、产品还都远远达不到要求,我们预测未来 “数据安全” 可能会发展成和如今的 “网络安全” 相媲美的产业规模与空间。
第五个是信创。在当下复杂的国际条件之下,信创需求的加速是对于产业影响非常大的。在过去的两三年里面,信创产业在网络安全中间占了一个非常大的比重。
第六个是服务化转型,今年 ISC 期间 360 所宣布 “为中小企业提供网络安全托管服务”,这就是其中一个典型的体现。其实在过去的两年里面,深信服、安恒等这些企业,都在把它的安全由产品向服务化做转型。
第七就是关基保护条例等相关政策的出台,让关键信息基础设施保护这件事得到了足够的重视。
第八大趋势是商用密码。前几天刚刚在郑州召开了商用密码大会,商用密码的市场地位越来越高。在 2020 年 1 月份密码法出台之后,经过三年的疫情,到现在国产化密码的应用实施会进入到一个快速发展的阶段。
简单讲了八大趋势之后,我们来看一下《中国网络安全产业的十大创新》。
第一个肯定是 AI。今年是 AI 非常爆发的一年,我们这里想讲的是 AI 驱动安全,没有去讲 AI 自身的安全,而是 AI 怎么样能帮到网络安全的威胁检测、响应处置、安全运营等等这些方面。那么最需要关注的就是像 Security Copilot 这样,在网络安全的运营中 AI 怎么样能够帮到大家,从现在我看到的结果来说我认为是非常可以期待的。在网络安全的运营上,它也许能够替代中低端的网络安全运营的工程师。
在威胁检测方面,其实从 2009 年 360 第一个做基于机器学习的恶意代码检测,到后来尝试过用深度学习解决安全问题,到今天 AI 的大模型、用多模态这些技术来做的检测大多数是可以做到三个 9 以上(99.9%)以上的准确度,它的误杀率也是可以得到相当好的控制的。
所以在下面一个阶段,各大安全公司去拥抱 AI 几乎是变成了一个不得不做的一件事情。
第二个是安全平行切面,这个是现在蚂蚁金服在力推的一个方向。这项技术源自于我们今天数字化的应用越来越多,同时要解决安全问题,就面临着安全和业务逻辑的解耦合问题。如果你不能做到很好的解耦合,那么应用系统的安全开销就非常之大。
蚂蚁金服的韦韬提出来了安全平行切面的概念,试图在应用系统和安全之间去做一个安全的平行切面,而实现应用逻辑和网络安全的一个解耦合。其实就像现在开发安全里面用的 IAST 和 RASP 这种就是一种安全平行切面的一种应用。
当然蚂蚁金服在这方面做了很多的实践,它的现在也在有限度的给合作伙伴在开放它的全套的代码,这个我们认为是在网络安全的领域近年来提出来的一个具有革命性的一个东西,大希望引起足够的关注。
第三个是隐私计算,是数据安全的一系列要求和需求带来的创新。数据安全立法都出来了,但是数据安全到底怎么解?尤其数据的确权问题、分类分级问题等解决不好,你的数据一旦流转起来都会带来很大的麻烦。
那么现在就用隐私计算这种方法去做,数据价值可以分享,但是避免原始数据的分享,这是在现在这个阶段解决数据安全问题可以立马能够去用的一种方法。隐私计算在近几年里面变成了一个创业的热点,这是这样的一个原因。数据安全的问题要得到很好的解决,我认为还是需要可能 8~10 年以上的时间。在现在这个阶段隐私计算是能帮助我们解决数据安全问题的一些有效方法。
第四个是可信数字身份,也是全社会数字化转型的重要环节。其实身份的问题原本就是网络安全中一个非常大的领域, IAM 这个领域是本身就非常大,零信任方法的提出也是基于身份来解决问题的。
今天早上方院士也讲到,网络安全其实一开始我首先要确认你的身份是可信的,然后你的行为是和你的身份是符合的。所以构建可信数字身份就是一个非常大的需求。你包括现在一些新的创业公司就在做这个,比如领信数科,他是把大白互联给收了,然后以可信身份当做一个切入点来做创业。
第五是 CSMA,这是 gartner 大概在两年前提出来的概念,它是指网络安全运营的结构。其实就是怎么样的把已有的网络安全能力、各种安全产品通过标准化接口,拿到一个分析的平台上,然后通过在上面进行管控等行为。 其实网络安全的运营就应该这么做的,但是中间的问题想要全部解决在中国尤其困难,尤其是各个 安全产品的标准接口和分析等等会是一个比较大的工程。我认为围绕着 CSMA 架构,也是咱们安全从业者往后要忙活个 10 来年时间的一件事儿。
第六是数据安全沙箱。沙箱本来是在终端上对身份不明的代码进行监控的工具,但是这里说的是数据安全沙箱,其实大家现在从业者把沙箱反过来用了,以应对数据安全所带来的一些挑战。像数篷、航天启星、一知他们都利用沙箱技术,把对数据的处理过程放在沙箱里来进行,而它通过外部的程序,能够从监控到沙箱中对数据处理的各个过程,从而实现对数据处理的过程的可见、可控。
这个技术并不是典型的沙箱应用,这条路线到底今后还会怎么演化,其实还存有变数。但是在大家想各种方法去解决数据安全的问题的当下,这个也是一种很好的尝试。
第七个是企业安全浏览器。去年 RSAC 的 Innovation Sandbox 获奖的 Talon Cyber Security 就是做安全浏览器的。现在你在国内能看到的 360、奇安信、雪诺这些团队都是从 360 那一支出来的,他们过去有做面向个人的安全浏览器的基础。其实它是对 RDP 远程桌面、云桌面的一种替代,所有的应用都通过浏览器来跑。
这种通过浏览器的来解决安全问题也是一种现在比较可行的一种方法。
下一个是 ITDR。过去微软操作系统 AD 的域控是黑客重点打击的一个点,突破了域控就能拿到系统里面的各个其他系统的权限。ITDR 有基于微软 AD 的,也有基于国产化操作系统的,还是前面的话题,基于身份对于现在应用系统防护的重要性,ITDR 今天也是变成了一个非常重要的领域,可惜国内的创业公司不是太多,一个我老同事出来搞的中安网星,另外就是无胁科技,他们在做 ITDR 方面的这样的这种应用。
第九是汽车的网络安全管理平台。随着咱们国家汽车安全的强制性国标出来,汽车安全受到了足够的重视。
其实在过去这么多年,对于汽车安全我一直持比较谨慎的态度,因为车厂对于成本控制非常的严,而汽车安全问题的解决又相对来说比较困难。那么现在国内像为辰信安、云驰未来做的都不错,他们的产品都已经做到了批量化装车,有车载防火墙、车机安全产品等一些创新产品。还有像犬安科技这类是从设计阶段就去解决汽车安全问题,就是从设计阶段拿设计图纸来帮车厂发现中间的安全问题。
未来伴随着强制性标准的完善和出台,汽车安全市场也一定会成为一个新的市场。
最后一个创新方向是开源软件治理。这里面相关联的一个是软件供应链安全,一个是开发安全。
这个里面就涉及到的技术比较多,现在比较受重视的是 SCA(软件成分分析)。在过去的这两年发生了像 SolarWinds、log4j2 这样的漏洞事件,前面小松院长也提到在开源过程中,我们的程序员受训练不足,有 80%-90% 的都采用了开源软件等情况所带来的安全威胁,到了今天就变成了不得不重视的一个领域。
那么在开源软件治理里面通过 SCA,然后做 SBOM 再通过 IAST 这种方法来做软件的测试,再用 RASP 做实时动态的防护等,这类开源软件的治理技术在今天也是一个创业的热点的方向。国内做开源软件治理的企业也比较多,现在处于一个群雄并起的阶段。
前面就给大家分享了我们认为在现在这个阶段中国网络安全产业的八大趋势以及十大创新的方向,谢谢大家。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安