Doubt is not a pleasant condition, but certainty is an absurd one.
- Voltaire
创业是次九死一生的冒险;战术谬误还有可能弥补,战略错误便十有八九判了死刑。笔者投入大量时间研究安全行业的趋势和走向,正是意图避免犯下难以挽回的策略失误。不过既然是预测,难免有正确和错误;时常回头看看,重新评估当年那些影响市场的因素,复盘竞争态势演进,对提升自身判断能力,加深对行业的理解,显然大有助益。
云基础安全是公有云服务商的核心业务 (2015年初)
公有云安全市场,规模最大的三个产品线依次是:抗DDoS、主机防护、WAF。如果一个综合性云安全服务商的收入分布不是这个顺序,那不妨找找看自身产品还是市场还是销售出了问题。从另一个角度来说,如果三样中有两样做得不错,恭喜你已经占据了半壁江山。否则不妨投入80%的资源踏踏实实去努力冲收入。
今年Gartner抛出的CWPP概念就是把能凑成一堆的主机防护需求一锅烩,市场需求抓得很准,技术和产品上并无新意,对厂商来讲本质上不过是工程问题。但是,CWPP的市场推广和销售是个难以逾越的障碍。在这方面,公有云基础设施服务商拥有无与伦比的优势:主页上强推,中小企业客户难道还真会辛辛苦苦去找第三方供应商对比测试?客单价低毛利低的现实砸多少投资都无法改变。大客户毛利高谁都知道,抢十家八家正常;在众多大厂品牌体制关系合规技术多重压力下,想拿到更多市场份额,技术、销售、和服务能力面临的挑战极高。第三方云基础安全厂商有活下去的空间,但是做大做强难度较高,整合在所难免。
在 《安全,是云基础设施的核心竞争力之一》中笔者摘录的仅有几页幻灯片,仔细看看AWS最早发布的安全产品:Inspector, WAF, Config Rules. 第一个和第三个就是CWPP范畴。re:Invent 2015上百个安全相关幻灯片,笔者只额外贴了DDoS与合规,因为早在那时市场需求已经十分清晰。
感兴趣这个题目的读者也可以阅读Gartner 分析报告:Market Trends: Are Cloud Providers Becoming Security Vendors? (2016/05)
前置机器学习(边缘计算)的兴起 (2015年中)
2015年9月ISC大会上笔者第一次公开讲述了我们重要的技术发展方向——轻量化小型化机器学习引擎前置到IT设施边缘,提供原来大数据和云平台才能拥有的机器学习能力,让实时高级数据分析无处不在。2015年11月,OpenFog联盟成立。2016年11月,边缘计算联盟成立。2016年底 Andreessen Horowitz发表看法边缘计算是大趋势。前不久Gartner预测2018年技术趋势其中便有Cloud to the Edge.
数字化进程导致企业信息设施规模日益扩大且环境愈加复杂多变。基于大数据分析平台的安全架构虽然有诸多优势,但在采集、汇总、存储、和分析海量数据等任务上,存在初始投资高昂、建设周期漫长、操作复杂难用、以及人员要求苛刻等弱点,难以得到大规模推广和实施。此外,风险控制和安全团队于企业信息设施的每个角落同时应对海量内部威胁和外部威胁,显然需要深入内网、数据中心、以及云环境获取更多数据深入分析,并尽快在威胁接触点作出快速反应,这些需求都导致上述矛盾更加突出。
传统的大数据安全分析方法,都是在收集海量数据之后挖掘数据表征,进行趋势预测和关联分析等。因此,安全预警总是稍有滞后,而威胁防御是件分秒必争的工作。为了使安全人员能够第一时间报告异常,将初步鉴定入侵的一阶分析前移至事件发生位置,可以获得更及时更准确的效果。分布式的自动化分析引擎同时具有良好的可扩展性。二阶分析仍可在大数据平台处完成,既可参考一阶分析结果,又可独立挖掘,互不干扰。
实践证明,基于机器学习的高级数据分析技术,针对小规模原始安全数据集,仍然拥有令人满意的检测效果。发展针对场景优化的自有算法和代码,实现机器学习引擎的轻量化和小型化,降低其对运算能力的要求,可被嵌入至网络边缘和端点处实时运行。借助边缘计算能力,高级数据分析功能被嵌入至每一层防御中,提供动态防护,而每一层都能在前一层安全控制失效或漏洞被利用时提供冗余。人工智能被广泛应用于信息基础设施中的任何地方,全面提升安全水平。
盈利模式清晰的ransomware大行其道,预示攻击关键数据的活动将盛行(2014年中)
本来笔者并不认为这是个预测,但是这两年来众多PR文章反复做出类似预言,于是也放在这里凑个数。勒索软件盛行预测准了,其实也无可奈何,因为全球范围内至今仍无一家厂商有令人满意的解决办法。安全从来都是个系统工程,银弹只是存在于市场宣传的忽悠里,唯有踏踏实实提高整体防护水平才能降低风险。
但是只看到勒索软件显然流于表象,背后真正有价值却少有谈及的预测是:攻击关键数据的活动将愈演愈烈。是的,富有远见的安全团队早已着手准备,梳理数据资产并制订长期规划,分阶段实施数据分类、风险评估、和分级保护措施。可能大多数从业人员都尚未切身体会过,数据安全和业务安全是两个深水区,绝非仅靠技术能力就可以解决的,非常考验风险和安全团队的管理水平。十年前,信息安全很难进入公司高管和董事会议程;现在,如果哪个大企业CXO不对数据安全和业务安全表示关心,那他必有近忧。风险和安全主管的责任和压力只会越变越大,但好处也十分明显,只有高层关心的明星部门才会拥有畅通的向上沟通渠道,晋升之路越拔越高。
关于数据安全,不得不提及2015年中笔者总结过的安全行业发展四个新趋势。
数据是新中心,身份是新边界,行为是新控制,情报是新服务 (2015年中)
安全团队的职责是保护什么?显然是值钱的资产。安全团队的成果归根结底要变成冰冷客观的数字交到董事会桌子上。为了帮助Equifax老板出事后免于背锅,至少要表现出对资产保护已经做了足够的投入。毫无疑问,数据已经被认为是最有价值的信息资产。传统安全架构显然对数据重视不够,这几年来围绕数据设计安全架构的尝试越来越多。需要谨记,数据是新中心,并不意味着购买部署数据安全产品就能解决问题,而是需要所有安全产品线的配合,即便是听起来完全不搭界的漏洞管理都是需要考虑的。
企业对数据资产日益依赖, 富有洞察力的领导者已经意识到了解数据资产分布的重要性,评估现在和未来的风险以及对企业运营能力的影响,预测并应对潜在问题。数字化商业对传统信息风险管理基本原则提出了挑战,采用创新技术方法同时会带来风险,安全团队必须明晰与数据驱动业务的创新模式有关的安全隐患才能更好实施保护。通过预测数据资产可能发生的各种状况,管理者可以制定行之有效的应对策略,保障运营基础设施,实现卓越绩效,获取竞争优势与增长驱动力。
身份是新边界。直到现在仍有很多人表示看不懂。但令笔者十分开心的是,此观点刚面世便颇有很多理解安全本质的业界资深人士产生共鸣。身份不仅仅属于用户,现在也是实体的属性,包括各种IoT设备。信息安全不能没有边界。没有边界便不能区分落实安全策略。同一台设备登录身份的变化必然导致安全策略的变化。数字化商业带来的业务快速变化,导致IT基础设施的快速变化,为了适应此趋势,安全保护对象将会被切分得越来越细,敏捷配置和弹性安全策略是大势所趋,微隔离兴起正是表现之一。不管业界几年来热炒的自适应安全或零信任网络或弹性边界,还是解决新出现的IoT安全问题,身份都是不可或缺无法回避的根本基础。
行为是新控制。UnifyID便是此概念的体现。大部分人机识别反欺诈也是基于此点。UEBA更是热炒成目前最值得投资的安全方向。威胁检测与响应更离不开行为分析。即使设备也有行为,例如笔者公司的网络流量分析,其背后原理便是检测设备使用网络的异常行为,再综合评估其风险。这背后的原因很简单,安全评估需要多个维度,传统基于网络位置、用户身份、授权体系等维度不够用了,不能检测出新出现的恶意活动类型,那就必须引入新的维度。具体不多讲了。
威胁情报并非检测技术。情报的作用是毋庸置疑的,但是应用场景仍需细细琢磨和探索。在边界防护设备上集成威胁情报?笔者很早就认为这并不是个好主意。基于威胁情报的IDS与基于规则的IDS究竟在本质上有没有区别?虽然威胁情报被公认可提升安全水平,但在实践中普遍缺乏能直接应用的场景和工具,效果差强人意。因此不能完全依赖于现有产品体系,必须重新设计场景和流程,借助新出现的机器学习和EDR等技术,自动化完成特定任务以降低人工投入并加快速度。威胁情报真正能显露巨大价值的是在安全运营和响应场景中,因此决定了威胁情报的持续服务本质。
拥有大数据很好,但无法构成竞争优势 (2014年底)
此观点初期在小范围内抛出时引来非议无数。引申本文开头那句quote所描述的,怀疑一切并不愉快而且极度耗神,但盲信某些事情确定发生必然是荒谬的,人云亦云是做产品大忌。IOC做feed究竟能不能落地有没有价值?海量数据采集后能否自动体现价值?是否仔细思考过这些问题?结论能否说服自己和用户?结论是明显的,只有大数据没有算法能力,数据无法被有效利用,无法创造价值。目前来看,全球范围内安全厂商成功落地的机器学习算法解决的还都是小数据集的问题,大数据集的利用尚需时日。安全大数据更多的用处是在匹配搜索调查取证。Gartner去年下半年公开提出算法才是比大数据更重要的数字化商业的技术驱动力。这是几年来笔者公司坚持不碰数据只做算法战略背后的真正原因。
大部分现实世界的问题,都可以通过巧妙规划设计转变成利用小数据集求解。在某些特定场景下,小规模数据集训练机器学习模型的效果十分优秀。即使目前看来只有大数据集才能获得更好效果的问题,随着算法和工程的进步,难免在不远的将来也可以被攻克。即使有部分问题非海量数据不能解决,那就留给资源雄厚的巨头大厂去解决吧。
笔者这两年对安全的理解也日渐深厚,之前做过的预测很多,有些也颇为幼稚,篇幅原因就不在此赘述;还有些因为牵涉到部分国内厂商,也不公开讲了。安全是个快速变化的行业,这几年间国内技术发展很快,部分安全能力已经处于全球领先水平,此时COPY-TO-CHINA模式显然后继乏力,国外产品也都在迅猛发展,厂商如果只满足于照抄国外成熟产品,难免被市场抛弃,唯有勤于思考、敢于预测、勇于实践才能保证自身健康发展。
在安全产品上,笔者认为战略方向比短期功能更加重要,只要方向正确执行尚可结果都不可能差。虽然部分甲方在选型时十分依赖当前功能列表,但笔者一直更看重业务逻辑和产品发展方向,影响甲方安全团队绩效的从来都不是购买产品的功能多寡,而是管理思路和持续改进的执行能力。
