9778818威尼斯官网:展现新一代SOC和态势感知解决

RSAC 2019已圆满闭幕,笔者根据个人所观所感进行整理,从参展厂商聚焦的细分领域分析,尝试透过RSAC总结当下全球网络安全市场的12个“小趋势”,以飨诸君。

9778818威尼斯官网 1

9778818威尼斯官网 2

又一年RSA大会归来。每一年参会,总会有一些不同的感悟,或是发现全球安全行业的新趋势,或是找到志同道合的新伙伴,或是看到很多人也相信我们相信的安全技术新方向。今天在回国的航班上提笔写下我的感悟和判断,希望对安全领域里的产品和技术同学们有所启发。

9778818威尼斯官网 3

Gartner 近日发布了 2019 年七大新兴的安全和风险管理趋势,这些趋势将长期影响安全、隐私和风险领导者,其中包括安全运营中心更倾向检测和响应威胁,数据安全投资、无密码认证和云安全兴起。

(阿里云安全事业部总经理 肖力)

【51CTO.com原创稿件】近年来,网络安全威胁持续升级,安全事件层出不穷。为应对严峻的安全形势,以威胁情报、态势感知、大数据分析为代表的新一代的安全技术和防护策略取得了快速发展。企业意识到传统的以防护为核心的策略已经失效,传统的安全运营中心(SOC)需要演进,以适应这种变化。企业安全体系必须切换到以监控和响应为核心,通过持续监测,及时响应来减轻和限制攻击造成的损失。这就要求新一代安全运营中心(SOC)必须以数据和情报驱动,采用自适应安全架构来进行环境和态势感知,通过自动化或半自动化工具、流程和策略来对抗新一代威胁。

9778818威尼斯官网 4阿里云安全事业部总经理肖力

趋势一

Gartner 列出的趋势定义是安全生态系统中尚未广泛认可的持续战略转变,但预计将产生广泛的行业影响和巨大的颠覆潜力。

国际知名信息安全峰会RSA2019刚刚结束,此次峰会共吸引全球700多家机构参展,其中近42%为云安全和网络安全相关企业。作为全球首家也是唯一一家审计报告覆盖所有C5标准基础要求和附加要求的云服务提供商,阿里云也带去了最核心的云安全产品、行业解决方案、云安全生态。

2017年11月2日,安全牛举办了第四届专注安全解决方案分享的C·S大会——“新一代SOC和态势感知解决方案大会”。会上,来自360企业安全、瀚思、安恒信息、深信服、新华三以及兰云科技六家安全厂商的安全专家,介绍了他们对新一代SOC和态势感知的理解以及能力建设思路。

回顾每一年RSA的主题都有寓意。2017年的主题“Power of Opportunity”,2018年的主题是“Now Matters”。2017年我印象深刻的是大家都在讨论数据智能及AI对安全的影响,所以主题讲的是机遇(Opportunity)。2018年数据安全及GDPR对产业的影响很深,大会主题便强调安全迫在眉睫,强调此时此刻。今年的主题是“Better“,也寓含全球整个安全市场的爆发和安全产品技术的成熟,大家一起to get better。

参展企业数量相比去年增长42.6%,全球视野网络安全市场整体发展强势

Gartner 研究副总裁 Peter Firstbrook 表示:" 外部因素和特定安全威胁正在趋同,影响整体安全和风险状况,因此该领域的领导者必须做好充分准备,以提高弹性并支持业务目标。"

会后,阿里云安全事业部总经理肖力向媒体分享参会体验,指出Cloud SIEM成为云服务提供商和安全厂商的必争之地、Axonius夺创新沙盒冠军显示安全基础建设重要性等安全技术发展的十大机遇。

9778818威尼斯官网 5

9778818威尼斯官网 6

2019年RSAC参展的736家安全企业分布在多个安全领域,相比于2018年的516家多了220家安全厂商,增长42.6%。可见在全球范围内网络安全市场的蓬勃发展。

2019 年之后的七大安全和风险管理趋势分别是:

分享全文如下:

态势感知的前世、今生与未来

Azure和Google在RSA期间都发布了Cloud SIEM的产品,可以让用户基于云端安全能力从云上覆盖云下的业务。这意味着企业在混合云状态下,可以从一个更全局的视角来进行安全管理运营。此外,Google近日也发布了一款网络安全产品“Backstory”,堪称威胁态势版“Google”,因其“无限扩展”能力,以及使用了构造Google基础设施核心的威胁分析引擎而引人注目。同时我也发现今年各大安全厂商也将SIEM来作为自己的主打产品。基于企业各项数据通过用户行为分析,基于设备的威胁检测,基于IP和域名告警来实现全局安全智能分析。

中国参展企业今年有36家,相比2018数量增长了38%,但参展整体数量占比只有4.5%,可能是由于报名途径、费用及人员签证等问题的影响。

1:风险偏向与业务成果挂钩

又一年RSA大会归来。每一年参会,总会有一些不同的感悟,或是发现全球安全行业的新趋势,或是找到志同道合的新伙伴,或是看到很多人也相信我们相信的安全技术新方向。今天在回国的航班上提笔写下我的感悟和判断,希望对安全领域里的产品和技术同学们有所启发。

安恒信息资深解决方案架构师李剑锋表示,在全国网络安全态势感知建设的爆发期,对“态势感知”的认知总会有类似“盲人摸象”的现象。这样的建设并没有达到国家和行业监管部门的要求,结果就变成了只为上“态势感知”而建态势感知的做法,最后的结果是我们企业在网络和信息安全的技术上、管理上和运行上的各种隐患和漏洞都依然存在,且抓不住重点进行建设。

不论是云服务提供商还是安全厂商现在都希望通过抢占SIEM(安全信息与事件管理平台)市场。我认为本质还是大家都知道在数据时代谁拥有数据就拥有更多可能。随着Cloud SIEM的成熟,也许未来企业用户会在安全管理平台内集成多家厂商的威胁检测及响应引擎来尽可能提升效果。

趋势二

随着 IT 战略与业务目标的紧密结合,安全和风险管理领导者有效地向关键业务决策人提出安全问题,变得越来越重要。

回顾每一年RSA的主题都有寓意。2017年的主题“Power of Opportunity”,2018年的主题是“Now Matters”。2017年我印象深刻的是大家都在讨论数据智能及AI对安全的影响,所以主题讲的是机遇(Opportunity)。2018年数据安全及GDPR对产业的影响很深,大会主题便强调安全迫在眉睫,强调此时此刻。今年的主题是“Better“,也寓含全球整个安全市场的爆发和安全产品技术的成熟,大家一起to get better。

9778818威尼斯官网 7

今年RSA创新沙盒的冠军Axonius。其核心优势在于解决了企业资产管理不全的痛点。Axonius可以帮助企业降低攻击面并能与其他安全产品进行联动。这个概念并不超前。我们看到在过去的一年里,无论是有广泛市场需求的数据安全领域还是机器学习及AI在安全领域的应用,安全技术上没有出现突破性/颠覆性的创新。当谈到云上安全的最佳实践,企业安全体系重要的不仅仅是梳理资产,减少攻击面。我认为更重要的是1. 建立统一的身份认证授权体系、2. 安全基线的运营、3. 全局漏洞管理、4. 默认安全流程策略、5. 敏感数据加密。这个组合拳才是整个企业安全的基石。在这些基础领域之上提升6. 威胁检测、7. 事件调查、8. 自动化响应、9.安全溯源能力才能让整个体系更稳固。

“大厂”布局安全生态,初创重在快速落地

Peter Firstbrook 说:" 为了避免专注 IT 决策相关的问题,创建简单、实用和务实的风险偏向的报告,与业务目标相关并与董事会层面的决策相关。商业领袖必须清楚,安全领导人也要出席战略会议。"

9778818威尼斯官网 8

安恒信息资深解决方案架构师 李剑锋

今年零信任理念也是热点之一。各厂商纷纷推出各种零信任安全产品。大部分零信任安全产品的背后将身份认证作为核心,因为身份认证将成为企业新的边界。

本次参展企业通过深入甄别能够发现其中的差异及优劣势。有的企业为了紧跟热点,把所有产品名称都改为“AIXXX”,实际上交流深入后发现其产品和方案非常普通;有的企业为了打品牌知名度,聘请专业的表演团队来进行讲解,实际上并未配备任何技术或解决方案的讲解人员;有些初创企业CEO亲自站台,很耐心地为每一位访客讲解,沟通之后发现其思路非常清晰,产品方案也非常完整。从中能够发现,大厂的“硬核”能力来自于产品方案的生态建设,而初创企业的“硬核”在于初创团队的执行力及落地效率。

2:正在实施的安全运营中心重点是检测和响应威胁

第一:Cloud SIEM成为云服务提供商和安全厂商的必争之地

那么,究竟什么是态势感知?态势感知的“前世”是应用于军事领域,美军在04年就指出“态势感知是对现状的知识和理解,可帮助友方、敌方的行动进行及时、精确的评估,并服务于跟高层决策的制定”。今日,态势感知已经是网络安全的基本和基础性工作,是在实现安全态势“理解”和“预测”之前的重要阶段。对于多元、异构的安全数据,如何从中采集出足够且有效的安全要素,再通过关联分析和数据挖掘,获得当前网络局部或整体的安全态势信息,并利用历史数据和相关模型进行态势预测,是今日安全行业“态势感知”所需具有的重要能力。

我认为随着企业使用大量的SAAS服务、移动互联网BYOD带来的影响,大量企业应用上云,原来企业安全体系以网络边界为核心的防御理念将随之变化。身份认证将成为企业新的安全边界。基于统一的身份认证,制定不同的安全策略,建立分层授权体系,全面实时的安全智能分析能力将构建未来每个企业安全的基石。

类似于IBM、Intel、CISCO等“国际大厂”,都是在布局安全领域的完整生态,此处不再赘述。而初创企业的产品及方案的落地速度和效率非常重要,我们看到前几年Gartner提出概念,如DevSecOps、AiOpS等已成为今年部分初创企业参展的主打方案。

随着安全警报的复杂性和频率增加,安全投资从威胁防御向威胁检测转变,需要对安全运营中心进行投资。根据 Gartner 的数据,到 2022 年 50%的 SOC 将转变为具有集成事件响应、威胁情报和威胁搜索能力的现代 SOC 模式,而 2015 年这一比例不到 10%。

Azure和Google在RSA期间都发布了Cloud SIEM的产品,可以让用户基于云端安全能力从云上覆盖云下的业务。这意味着企业在混合云状态下,可以从一个更全局的视角来进行安全管理运营。此外,Google近日也发布了一款网络安全产品“Backstory”,堪称威胁态势版“Google”,因其“无限扩展”能力,以及使用了构造Google基础设施核心的威胁分析引擎而引人注目。同时我也发现今年各大安全厂商也将SIEM来作为自己的主打产品。基于企业各项数据通过用户行为分析,基于设备的威胁检测,基于IP和域名告警来实现全局安全智能分析。

9778818威尼斯官网 9

企业越来越重视数据安全,但因为数据安全领域横跨各个安全技术领域,导致各项数据安全方案成熟度不足。

趋势三

Firstbrook 表示:"SRM 领导者需要建立或外包集成威胁情报、整合安全警报和自动响应的 SOC,这个过程不容小觑。"

不论是云服务提供商还是安全厂商现在都希望通过抢占SIEM(安全信息与事件管理平台)市场。我认为本质还是大家都知道在数据时代谁拥有数据就拥有更多可能。随着Cloud SIEM的成熟,也许未来企业用户会在安全管理平台内集成多家厂商的威胁检测及响应引擎来尽可能提升效果。

网络技术应用日新月异,所衍生出的安全威胁,也在不断向技术手段更高级、获取更高价值数据的方向演进。大数据技术可以提供重要的安全分析能力,基于安恒在分析建模、异常行为关联分析等方面的突出能力,帮助企业实现可检测、可预警和可处置的态势感知能力。

过去的一年里无论是在加密计算领域,还是在SGX可信计算领域,数据安全技术还没有大的创新突破。即便是去年创新沙盒的冠军BigID仍然是以合规驱动为主。过去一年从企业数据泄漏事件来看,数据安全技术和方案还需要提升成熟度。之前数据安全领域主要以DLP技术为主,这两年有越来越多的数据安全厂商开始把用户行为分析、数据防泄漏、数据加密、数据流分析多种技术相结合来提升数据泄漏的检测防御效果。

用AI做安全成为方案标配,AI自身安全隐患开始被重视

3:数据安全治理框架将优先考虑数据安全投资

第二:创新沙盒的冠军让我们看到安全基础建设的重要性

9778818威尼斯官网 10

但我认为数据安全涉及各个领域,也不仅仅依赖于检测和响应,身份认证授权也是关键。而未来待加密计算和可信计算技术的成熟,数据安全领域也会有更大的突破创新。

关于人工智能、机器学习概念与安全领域相关的参展企业分为两类:一类是用AI及ML的能力辅助做安全的企业,另一类是AI及ML的自身安全风险防范及为此提供解决方案的企业。在2019年参展的企业里面,前者已成为标配,后者暂未兴起。

数据安全性是一个复杂的问题,如果没有对数据本身、数据创建和使用的环境以及如何受到监管的深入理解,就无法解决这个问题。领先的组织开始通过数据安全治理框架开始解决数据安全问题,而不是收购数据保护产品并尝试调整来满足业务需求。

今年RSA创新沙盒的冠军Axonius。其核心优势在于解决了企业资产管理不全的痛点。Axonius可以帮助企业降低攻击面并能与其他安全产品进行联动。这个概念并不超前。我们看到在过去的一年里,无论是有广泛市场需求的数据安全领域还是机器学习及AI在安全领域的应用,安全技术上没有出现突破性/颠覆性的创新。当谈到云上安全的最佳实践,企业安全体系重要的不仅仅是梳理资产,减少攻击面。我认为更重要的是1. 建立统一的身份认证授权体系、2. 安全基线的运营、3. 全局漏洞管理、4. 默认安全流程策略、5. 敏感数据加密。这个组合拳才是整个企业安全的基石。在这些基础领域之上提升6. 威胁检测、7. 事件调查、8. 自动化响应、9.安全溯源能力才能让整个体系更稳固。

未来,安全态势感知将定位在安全大数据中心,标准化和集中化的进行数据采集与存储,具备云平台的安全防护和监管能力,并聚焦更深度的态势分析,以及网络中全安全设备的通报和预警。

安全工作不能总是在事中或事后,安全工作越前置企业所付出的成本越低。

先说用AI及ML辅助做安全的企业(本文称之为“AI 安全”),在2019年“AI 安全”的理念开始成为各参展企业的标配。我们看到AIFW、AIWAF、AISOC、AISIEM等参展厂商的Slogan很多,细聊后可发现各个厂商对AI技术的理解和应用领域各有侧重。AI的竞争力基础来自于大数据和算法的优化能力,这需要足够强的技术研发团队支撑才能将AI应用于安全产品或解决方案中。

Firstbrook 表示:"DSGF 提供以数据为中心的蓝图,可以识别和分类数据资产并定义数据安全策略。然后,这还可以选择最小化风险的技术。解决数据安全问题的关键在于从它所解决的业务风险入手,而不是像太多公司那样首先获得技术。"

第三:零信任安全的背后是身份认证将成为企业新的边界

9778818威尼斯官网 11

阿里在2005年安全体系建设初期就开始构建SDL,这也有效的降低安全漏洞数量及各项安全风险。

笔者认为,“AI ”这个概念及方向没问题,但毕竟目前还处于弱人工智能阶段,未来还有很长的一段路要走。未来具备AI能力的安全产品及解决方案一定来自于具备大数据和足够研发实力的“大厂”,初创企业如要配齐这些能力短时间可能还有点难。

9778818威尼斯官网 12

今年零信任理念也是热点之一。各厂商纷纷推出各种零信任安全产品。大部分零信任安全产品的背后将身份认证作为核心,因为身份认证将成为企业新的边界。

大数据安全支持的新一代SOC

越来越多的企业已经意识到安全评估、自动化检测必须内嵌在整个产品开发生命周期中才能确保业务及代码的安全。而今年我们看到越来越多安全厂商通过黑白盒自动化检测、RASP(运行态应用防护技术)相结合来构建DevSecOps安全方案。我相信接下来的1-2年DevSecOps安全开发流程会被更多的企业接受,整体安全方案成熟性也会逐步提升。

再说AI及ML在实际应用中引入的安全风险问题,谷歌在今年的RSAC上有提到关于机器学习的安全风险问题,包括在无人驾驶、智能语音及图像识别领域等黑客可能针对算法进行攻击的问题,会给人类在物联网、车辆网场景产生非常严重的威胁。笔者认为,针对AI自身安全风险的治理相关的产品和方案是未来2~3年内安全厂商的研究热点之一。

4:无密码认证正在牵引市场

我认为随着企业使用大量的SAAS服务、移动互联网BYOD带来的影响,大量企业应用上云,原来企业安全体系以网络边界为核心的防御理念将随之变化。身份认证将成为企业新的安全边界。基于统一的身份认证,制定不同的安全策略,建立分层授权体系,全面实时的安全智能分析能力将构建企业未来每个企业安全的基石。

9778818威尼斯官网 13

安全涉及所有技术领域导致安全产品非常碎片化,安全厂商细分领域众多。例如涉及网络安全就有DDoS防御、WAF、防火墙、IPS、RASP等多款安全产品,如果在客户场景部署就像“羊肉串”。这对用户运维管理、网络稳定性、安全运营都提出了很大的挑战。

9778818威尼斯官网 14

无密码身份验证(例如智能手机上的指纹解锁)开始实现真正的市场牵引力。由于供应和需求充足,该技术正越来越多地部署在企业面向消费者和员工的应用程序中。

第四:数据安全领域蓄势待发

瀚思产品副总裁 周奕

今年安全厂商趋势,试图通过多个产品融合来重新定义安全产品,提供用户更完整的安全产品。这个趋势在今年各家厂商推出的产品形态上非常明显。例如原来做终端EDR的厂商尝试将DLP技术整合至产品中。当前热门的SDP领域,厂商就结合SDWAN技术打造云端All in one安全产品来给用户进行集中流量清洗及防护。

趋势四

Firstbrook 表示说:" 为了打击黑客针对用户密码,来访问基于云的应用程序,而将用户与设备相关联的无密码方法,带来了更高的安全性和可用性,这对于安全性能来说是一种难得的双赢。"

企业越来越重视数据安全,但因为数据安全领域横跨各个安全技术领域,导致各项数据安全方案成熟度不足。

随着企业网络边界的扩大、各类安全威胁层出不穷,数据安全问题尤为突出,传统的安全防护已不能有效解决企业的安全问题。

Palo Alto Networks原来是以网络防火墙为核心产品的厂商。近年来通过投资并购,产品领域已成扇形扩展,已覆盖终端安全、威胁情报、XDR(云端威胁检测及响应)。整个公司战略方向很明确,希望覆盖企业全局安全管理平台,我相信SEIM产品也会不久推出。

随着5G的逐步落地及应用普及,在未来1~2年会涌现出一批5G安全相关的产品和方案

5:安全产品供应商越来越多提供高级技能和培训服务

过去的一年里无论是在加密计算领域,还是在SGX可信计算领域,数据安全技术还没有大的创新突破。即便是去年创新沙盒的冠军BigID仍然是以合规驱动为主。过去一年从企业数据泄漏事件来看,数据安全技术和方案还需要提升成熟度。之前数据安全领域主要以DLP技术为主,这两年有越来越多的数据安全厂商开始把用户行为分析、数据防泄漏、数据加密、数据流分析多种技术相结合来提升数据泄漏的检测防御效果。

9778818威尼斯官网 15

另一方面自动化响应成今年各安全厂商产品形态又一个明显的变化趋势。我们看到安全厂商的共性:统一数据收集/ 全局威胁检测/ 自动化事件调查 /自动化响应几乎大部分Top安全厂商都在努力实现这样的完整安全闭环。前几年大家都很关注安全的Visibility,因此态势感知成为安全焦点。但是检测、Visibility能力只是原来的痛点,今年各大厂商产品都在往自动化响应闭环发展。当然这也对安全智能、事件关联分析技术和产品API化提出更高的要求。

2019年应该是5G应用的元年,运营商大力推动5G商用落地,特别是在智能家居、车联网等万物互联网的场景,以及“5G AI”的混合场景,安全问题因为场景的复杂化而使风险呈现倍增趋势,而5G相关的安全方案目前缺乏足够的安全厂商布局。5G安全,覆盖多种维度,需要“业界安全大厂” “细分领域安全创企”共同参与,形成完整的安全解决方案和5G安全生态。希望明年的RSAC涌现出相关的参展企业,推出5G安全解决方案。

根据 Gartner 的说法,网络安全岗位空缺预计将从 2018 年的 100 万增长到 2020 年底的 150 万。虽然人工智能和自动化的进步确实减少了人类分析标准安全警报的需求,但敏感和复杂的警报需要人为识别。

但我认为数据安全涉及各个领域,也不仅仅依赖于检测和响应,身份认证授权也是关键。而未来待加密计算和可信计算技术的成熟,数据安全领域也会有更大的突破创新。

瀚思产品副总裁周奕认为,边界、单点防御已近乎失效的今天,下一代安全运营中心(SOC)的建设已成为大部分企业安全能力建设的重心。这包括安全预防、持续监测、快速响应、溯源取证和风险预警这五方面能力。

今年42%安全厂商涉及云安全,云安全成为各厂商最热点话题。主要原因是越来越多厂商推出“云安全产品”,基于本地化部署的系统上传安全数据至云端进行分析,共享云端威胁情报的能力,从而提供精准的安全决策。

趋势五

Firstbrook 说:" 我们开始看到供应商提供的产品和运营服务融合的解决方案可以加速产品的采用。服务范围从全面管理到部分支持,旨在提高管理员的技能水平和减少日常工作量。"

第五: DevSecOps将得到越来越多企业的重视

瀚思作为国内知名的大数据安全厂商,拥有22项核心安全专利。从下面这张产品体系图中不难看出,基于机器学习和人工智能这一核心能力的大数据平台,以及平台之上对于安全和威胁的理解所积累的专家规则,是瀚思的核心竞争力。

我还发现多家MSSP推出基于多云的安全管理平台,可以集成AWS、Azure云安全中心的威胁检测结果,也可以集成各家安全厂商产品数据结果,最终用户可以在混合云的情况下,实现安全一站式的管理,统一安全视角。

数据安全依旧火热,云安全在细分领域崛起

6:云安全能力是计算平台投资的主流方向

9778818威尼斯官网:展现新一代SOC和态势感知解决方案,Ali云安全肖力。安全工作不能总是在事中或事后,安全工作越前置企业所付出的成本越低。

9778818威尼斯官网 16

随着企业越来越多的上云,如何通过数据及AI的能力解决原来企业安全痛点,是各家厂商努力的方向。另外有一点非常有意思,海外的安全厂商几乎没有私有云的安全解决方案,云安全产品主要面向各家公共云场景。这个是当前云计算发展国内与海外最大的不同。

笔者认为云安全和数据安全并非是一个维度的安全领域分类,因为数据安全原本就不是独立存在的,可以存在云、本地业务中;围绕着数据的全生命周期、数据流动场景,数据安全参展企业的产品方案非常多,但核心还是围绕着数据库安全防御、数据防泄漏、敏感数据治理等层面,也有关于GDPR和CCPA等安全合规咨询的相关参展企业;但相比2018年,数据安全并无新的细分方向和新技术参展企业出现。

市场转向云计算意味着需要扩大安全团队的规模,因为人才可能无法获得,组织根本没有为此做好准备。Gartner 估计,到 2023 年,大多数云安全故障将是客户的问题。

阿里在2005年安全体系建设初期就开始构建SDL,这也有效的降低安全漏洞数量及各项安全风险。

通过对企业内/外部数据的采集和分析,针对外部攻击、内部威胁和业务欺诈,实现主动、智能的防御,是瀚思认为新一代SOC的最终目标。

9778818威尼斯官网,我认为海外安全厂商的产品默认API化做的很好,可以方便给其他安全厂商进行集成,也让企业用户易于整合管理。这是海外和国内安全厂商差异所在。海外安全厂商专注在一个技术点的公司比比皆是,而国内安全公司大部分产品策略是以做多做全为主。我相信这其中也体现了国内市场和厂商的无奈。所以国外安全厂商产品天然需要和其他安全产品进行整合,自身产品就非常重视API化。

再说云安全,2019年RSAC热词第一位就是云安全,围绕着云安全我们看到云上的应用、业务、数据及云基础设施安全都存在相关厂商参展,围绕着Container安全国外厂商参展比较多一些,看得出国外针对容器安全的方案落地更快,这与国外应用场景及用户需求强相关。

Firstbrook 表示:" 对于许多组织而言,公共云是一种安全可行的选择,但保持安全是共同的责任。组织必须投资安全技能和治理工具,以建立必要的知识库,跟上云开发和创新的快速步伐。"

越来越多的企业已经意识到安全评估、自动化检测必须内嵌在整个产品开发生命周期中才能确保业务及代码的安全。而今年我们看到越来越多安全厂商通过黑白盒自动化检测、RASP(运行态应用防护技术)相结合来构建DevSecOps安全方案。我相信接下来的1-2年DevSecOps安全开发流程会被更多的企业接受,整体安全方案成熟性也会逐步提升。

NGSOC和态势感知构建的新一代安全运营体系

随着云安全不断发展,云服务提供商和安全厂商也开始进行融合。当前全球多家安全厂商通过云产品API来构建基于云平台的安全产品。云服务提供商也集成安全厂商的API来提供云安全产品服务更多的用户。云服务提供商的安全产品API也被安全厂商集成到线下产品来提升能力。

趋势六

9778818威尼斯官网 17

第六:安全厂商产品融合趋势明显,自动化响应建立完整安全闭环

9778818威尼斯官网 18

我相信用户最终需要的是能够集成各家核心安全能力,打造最佳的防御体系来应对网络安全对业务所带来的风险。

安全SaaS服务已成为国外安全厂商标配,安全能力参差不齐

7:传统证券市场增加使用 Gartner CARTA

安全涉及所有技术领域导致安全产品非常碎片化,安全厂商细分领域众多。例如涉及网络安全就有DDoS防御,WAF、防火墙、IPS、RASP等多款安全产品,如果在客户场景部署就像“羊肉串”。这对用户运维管理、网络稳定性、安全运营都提出了很大的挑战。

9778818威尼斯官网:展现新一代SOC和态势感知解决方案,Ali云安全肖力。360企业安全集团副总裁 韩永刚

如果说技术代表的是厂商的核心竞争力,那品牌展示则更清晰表达出其定位和差异化。我收集了一些安全厂商的标语,这些标语里面也体现了各家安全厂商的核心优势、品牌理念及市场定位。例如Chronicle强调安全智能、McAfee强调协同、VMware强调云原生安全和智能、AWS强调云上能够提升企业安全性。

国外很多安全企业提供安全的SaaS能力,围绕着云抗D、云WAF、云监测及漏扫等,安全云服务已经越来越Famous。各厂商的安全实力决定了其安全云服务的质量;比如云抗D能力,对全球清洗节点及单点防御能力就有足够的要求;云WAF针对网站攻击的防御及恢复能力提出了更高的要求;云监测及漏扫等其他安全云能力,则需要更高的安全能力基础,部分参展企业在云端并无足够的安全漏洞库、IP地址库、DNS库及威胁情报数据的积累。

Gartner 的持续适应性风险和信任评估是一种处理数字商业信任评估模糊性的策略。

今年安全厂商趋势,试图通过多个产品融合来重新定义安全产品,提供用户更完整的安全产品。这个趋势在今年各家厂商推出的产品形态上非常明显。例如原来做终端EDR的厂商尝试将DLP技术整合至产品中。当前热门的SDP领域,厂商就结合SDWAN技术打造云端All in one安全产品来给用户进行集中流量清洗及防护。

数字化转型这一大背景下,IT基础设施正在发生变化,安全运营思路甚至是安全体系,也应重新构建。360企业安全集团副总裁韩永刚指出,被动的围墙式的防护思路已经无法应对复杂的高级威胁,企业安全防御的重点,应从过去的被动的围墙式,过渡到主动、动态对抗的检测和响应上。企业应利用大数据、威胁情报、行为分析等技术,帮助组织对来自内/外部的安全威胁进行研判和溯源。

我个人更喜欢IBM Security的标语:“我们并不需要更多的安全工具,我们需要新的安全规则”。我相信互联网安全环境越来越好也一定离不开政策、法律、合作、技术创新。

趋势七

Firstbrook 对此表示:" 发展多年,CARTA 其实是一种安全战略方法,可以平衡安全摩擦与交易风险。CARTA 的一个关键组成部分是即使在延长访问权限后也要持续评估风险和信任。电子邮件和网络安全是安全领域的两个例子,正朝着 CARTA 方向发展,因为即使用户和设备经过身份验证,解决方案也越来越关注检测异常。"

Palo Alto Networks原来是以网络防火墙为核心产品的厂商。近年来通过投资并购,产品领域已成扇形扩展,已覆盖终端安全、威胁情报、XDR(云端威胁检测及响应)。整个公司战略方向很明确,希望覆盖企业全局安全管理平台,我相信SEIM产品也会不久推出。

9778818威尼斯官网 19

  1. Chronicle : Global Secruity Intelligence ;
  2. IBM Security: We don’t need more tools. We need new rules (不安全的世界,需要的并不是更多的安全工具,而是新的安全规则);
  3. McAfee : Together is Power(产品协同,所有人齐心协力才是最大的力量);
  4. VMware: Intrinsic Security,Intelligent Protection(原生安全,智能保护);
  5. AWS : Elevate the security。

SOC和SIEM越来越“智能”

另一方面自动化响应成今年各安全厂商产品形态又一个明显的变化趋势。我们看到安全厂商的共性:统一数据收集/全局威胁检测/自动化事件调查/自动化响应几乎大部分Top安全厂商都在努力实现这样的完整安全闭环。前几年大家都很关注安全的Visibility,因此态势感知成为安全焦点。但是检测、Visibility能力只是原来的痛点,今年各大厂商产品都在往自动化响应闭环发展。当然这也对安全智能、事件关联分析技术和产品API化提出更高的要求。

“数据驱动安全”一直是360网络安全的核心技术思想。背后,威胁情报和态势感知能力,以及协同防御体系的构建,是重要的能力支撑。

10.展望其他安全技术领域

1、在今年RSA大会上业务风控的公司不多,主要以防Bot厂商为主。但我相信随着黑灰产的发展,黑产变现方式不止局限于DDoS攻击、挖矿这类事件。未来黄牛党、广告点击欺诈、防撞库等业务安全问题会对企业业务有更多影响,而业务安全领域也将逐渐成为安全市场主流需求。

2、随着Cloud SEIM的兴起以及这两年部分厂商推出MDR(可管理的检测及响应服务),我相信MSSP会被越来越多的用户所接受。而这个前提条件就是安全SAAS服务的兴起,国内目标在SAAS服务上用户接受度还不足,我预期随着云计算的发展接下来几年一定会有更大的爆发。

3、今年IoT和移动安全厂商非常少,尤其是过去几年大家都很看好的IoT安全领域。这也说明整个IoT市场还在混沌阶段,我也相信IoT安全市场发展要取决于IoT OS之战。从移动互联网走到云时代再到IoT万物互联的时代,不同时代操作系统的安全水位决定了安全市场的大小和走向。

我也期待着在云计算和万物互联时代真正到来时,我们能让用户及企业在互联网上更安全无忧的发展业务,帮助他们服务全球用户。

本文作者:云安全专家

阅读原文

本文为云栖社区原创内容,未经允许不得转载。

今年笔者深入交流了AI SOC为落地解决方案的某国外厂商,发现其产品演示及技术讲解相比于其他“噱头”厂商具备足够的落地能力。无论是SIEM或者SOC,未来针对安全大数据的基础处理离不开机器学习及自动化,如果随着AI能力的进化,未来在SOC领域会承担更智能的安全工作而不仅限于机器学习,这是非常值得期待的。个人认为AI SOC必然会成为SOC安全厂商的标配,当然之前也说了,不是谁都能玩得转AI的,必须是具备足够数据和技术积累的大厂,才能真正落地AI。

第七:云安全成为最热焦点

360认为,新一代SOC核心能力点在于对威胁的持续监测,包括分析、响应、对安全态势的评估,以及协同和预防。概括来讲,就是“技术”、“流程策略”和“人”。所需的核心技术点包括:威胁情报的充分应用、深度网络流量分析、终端检测与响应、用户实体和行为分析、追踪与调查、可视化交互分析、事件响应、自动化协同。

9778818威尼斯官网 20

今年42%安全厂商涉及云安全,云安全成为各厂商最热点话题。主要原因是越来越多厂商推出“云安全产品”,基于本地化部署的系统上传安全数据至云端进行分析,共享云端威胁情报的能力,从而提供精准的安全决策。

9778818威尼斯官网 21

趋势八

我还发现多家MSSP推出基于多云的安全管理平台,可以集成AWS、Azure云安全中心的威胁检测结果,也可以集成各家安全厂商产品数据结果,最终用户可以在混合云的情况下,实现安全一站式的管理,统一安全视角。

在安全运营中,对“人”要特别关注。没有技术手段保障的运营机制,和没有人员参与运营的技术机制,都会失效。“数据驱动、产品协同”的技术机制,和“以人为核心”的运营机制,应达到协同。同时,在安全人才培养方面,企业要在兼顾培养成本的前提下,考虑企业安全能力所处不同阶段,对安全人才能力的不同需求,进行针对性培养。 

资产和流量的可视化、可管理,成为安全运营的基础支撑能力

随着企业越来越多的上云,如何通过数据及AI的能力解决原来企业安全痛点,是各家厂商努力的方向。另外有一点非常有意思,海外的安全厂商几乎没有私有云的安全解决方案,云安全产品主要面向各家公共云场景。这个是当前云计算发展国内与海外最大的不同。

新形势下的安全感知方案和最佳实践

今年的RSA展区,某DPI的厂商展示的技术优势体现在全网流量可视化,覆盖了PC和移动终端以及业务服务和无线领域。笔者仔细访问了其DEMO产品页面,没有实际场景的测试环境,但从页面功能上看,这家公司的产品具备非常强大的协议识别及可视化展现能力,这是未来安全运营的必备基础能力之一。

第八:构建基于API的安全生态

9778818威尼斯官网 22 

而安运另外的一个基础能力,就是IT资产可视及管理,正如对今年创新沙盒冠军以色列创企Axonius的分析内容提到的:资产管理的重要性体现在安全运营的中低位能力支撑。资产和流量的可视化、可管理,成为安全运营的基础支撑能力。随着攻击手段的多样化、攻击场景的复杂化,业务目标越来越分散,我们的安全防护目标必须足够聚焦,无论是企业网流量还是IT资产都是不可或缺的攻防对抗主战场。

我认为海外安全厂商的产品默认API化做的很好,可以方便给其他安全厂商进行集成,也让企业用户易于整合管理。这是海外和国内安全厂商差异所在。海外安全厂商专注在一个技术点的公司比比皆是,而国内安全公司大部分产品策略是以做多做全为主。我相信这其中也体现了国内市场和厂商的无奈。所以国外安全厂商产品天然需要和其他安全产品进行整合,自身产品就非常重视API化。

深信服安全感知产品总监 王金红

趋势九

随着云安全不断发展,云服务提供商和安全厂商也开始进行融合。当前全球多家安全厂商通过云产品API来构建基于云平台的安全产品。云服务提供商也集成安全厂商的API来提供云安全产品服务更多的用户。云服务提供商的安全产品API也被安全厂商集成到线下产品来提升能力。

深信服认为,碎片化的安全体系现状和攻防的不对等,是目前传统防御体系存在的两个主要问题。

威胁情报越来越务实,情报获取能力和有效应用成为两个极端

我相信用户最终需要的是能够集成各家核心安全能力,打造最佳的防御体系来应对网络安全对业务所带来的风险。

9778818威尼斯官网 23

威胁情报已经被提及很多年,目前市场上的企业针对威胁情报分为两个极端,一种是强调威胁情报挖掘发现能力,一种是强调解决方案协同将威胁情报有效利用价值最大化。当然,也有很多厂商在蹭热点,不管怎么说,威胁情报这个字眼对安全企业已经是解决方案的必备内容之一。

第九: 安全厂商的品牌价值凸显

因此,企业对能够使全网安全状态可视、并及时进行预警和响应的安全平台的需求,是非常迫切的。这个安全平台需要具备以下四点能力:

然而笔者认为,业界能真正做好威胁情报的企业,无论是国内还是国外,实际上具备真实能力的厂商少之又少。威胁情报的挖掘生成和充分发挥其价值是两个不同的领域,前者需要足够强的安全技术及安全专家的实力积累,威胁情报需要走向国际和国内共享的生态体系,毕竟未来安全企业面对的安全技术威胁是无国界的;而后者需要具备完整的安全解决方案落地能力。如果两者兼备且真正发挥威胁情报的价值,只能是安全大厂才能玩得转。

如果说技术代表的是厂商的核心竞争力,那品牌展示则更清晰表达出其定位和差异化。我收集了一些安全厂商的标语,这些标语里面也体现了各家安全厂商的核心优势、品牌理念及市场定位。例如Chronicle强调安全智能、McAfee强调协同、VMware强调云原生安全和智能、AWS强调云上能够提升企业安全性。

·对必要且有效数据的主动提取;

趋势十

我个人更喜欢IBM Security的标语:“我们并不需要更多的安全工具,我们需要新的安全规则”。我相信互联网安全环境越来越好也一定离不开政策、法律、合作、技术创新。

·能够不依赖规则检测低概率安全威胁;

零信任:忽如一夜春风来,旋风从ISC 2018吹到RSAC 2019

Chronicle : Global Secruity Intelligence

·基于业务的安全可视;

在身份管理及认证鉴权领域,毫无疑问Zero-Trust是焦点,去年的RSA参展厂商针对零信任的厂商非常少,而2019年激增。笔者也在思考为什么参展企业都在追零信任的热点,或许可能与2018年国内ISC网络安全大会主题“安全从零开始”有关。或许是ISC和RSA的相互影响效应,也证明安全从业者技术理念和趋势预判是无国界的。

IBM Security: We don’t need more tools. We need new rules(不安全的世界,需要的并不是更多的安全工具,而是新的安全规则)

·多设备的协同联动响应。

不管怎么说,零信任“忽如一夜春风来”,就连今年创新沙盒冠军Axonius的官网都在蹭Zero-Trust热点。当然,在IAM领域,除了零信任以外,我们看到更多的参展企业也在提及FIDO2.0,多因素身份认证鉴权和无密码认证,影响越来越多的安全企业解决方案,围绕着安全和易用性的平衡,或许我们可以找到越来越多的解决思路。

McAfee : Together is Power(产品协同,所有人齐心协力才是最大的力量)

9778818威尼斯官网 24 

9778818威尼斯官网 25

VMware: Intrinsic Security,Intelligent Protection(原生安全,智能保护)

特别在协同响应方面,深信服采用三级响应机制,包括通过下一代防火墙平台的网络侧的自动阻断,上网行为管理对用户/员工的提醒和在终端的扫描/查杀工具,以及帮助进行威胁分析和应急响应的专家服务。

趋势十一

AWS : Elevate the security

总的来说,企业需要对自身IT资产和业务逻辑进行梳理,利用威胁情报进行实现威胁检测,并参考对攻击行为的分析,来评估用户网络的安全态势。

安全意识教育与人才培训、安全合规与咨询服务,国内网安市场被看好

第十:展望其他安全技术领域

态势感知在高校的落地实践

部分安全参展企业提供安全意识教育与培训、安全合规与咨询等服务,笔者认为这是具备强大市场前景的安全细分领域。我国的网络安全人才缺失比例非常严重,相关数据各类研报都有不再赘述。网络安全市场被大众看好,IT技术人员想要进入安全行业,寻求安全培训;企业管理者安全负责人需要安全合规的治理方案及安全咨询服务等等。

1、在今年RSA大会上业务风控的公司不多,主要以防Bot厂商为主。但我相信随着黑灰产的发展,黑产变现方式不止局限于DDoS攻击、挖矿这类事件。未来黄牛党、广告点击欺诈、防撞库等业务安全问题会对企业业务有更多影响,而业务安全领域也将逐渐成为安全市场主流需求。

9778818威尼斯官网 26 

值得一提的是:在RSAC企业展区,笔者遇到不少海外留学生的求职问询,IT研发类海外留学生寻找国内网络安全领域公司的求职机会。

2、随着Cloud SEIM的兴起以及这两年部分厂商推出MDR(可管理的检测及响应服务),我相信MSSP会被越来越多的用户所接受。而这个前提条件就是安全SAAS服务的兴起,国内目标在SAAS服务上用户接受度还不足,我预期随着云计算的发展接下来几年一定会有更大的爆发。

新华三集团安全产品线高级产品经理 田浩博

A同学是软件工程师硕士,毕业于加州某顶尖研究型大学,他的导师就推荐他选择网络安全行业发展,并且推荐他来参加RSA会议寻找工作机会。B同学毕业于加州某历史悠久的大学,专业也是软件开发,她说她身边的同学求职约40%加入中国IT企业,从事的方向也是与网络安全研发相关内容,究其原因是大家普遍看好国内网络安全市场的发展,认为今年国内的就业情况相比国外要好很多,并且目前国内大型IT企业的薪资也具备竞争力。

3、今年IoT和移动安全厂商非常少,尤其是过去几年大家都很看好的IoT安全领域。这也说明整个IoT市场还在混沌阶段,我也相信IoT安全市场发展要取决于IoT OS之战。从移动互联网走到云时代再到IoT万物互联的时代,不同时代操作系统的安全水位决定了安全市场的大小和走向。

安全威胁多样、影响范围广、边界防护困难已经成为安全威胁的新常态。特别在教育行业,普遍存在安全技术和管理体系缺乏,运维机制脆弱等问题。目前,高校安全治理的主要任务,在于封堵安全漏洞、治理网站乱象、规范安全管理、和补齐等保短板。为此态势感知平台要能够实现风险和资产的可见、可知,和安全问题的快速处置。

尽管数据统计不够权威,调查也不全面,但至少我们看到了优秀IT人才选择网络安全领域回国发展的苗头,中国网络安全市场的发展离不开网络安全人才的储备,作为中国网络安全厂商还是非常欣慰的。

我也期待着在云计算和万物互联时代真正到来时,我们能让用户及企业在互联网上更安全无忧的发展业务,帮助他们服务全球用户。

基于在高校的落地实践,新华三认为态势感知平台的核心能力,应包括:基于安全大脑(由机器学习和专家系统构建)的威胁智能分析、“云-网-端”架构的协同响应、风险态势的主动多多维预测、以及业务风险等多维度的安全可视化呈现。对应的技术点,包括能够对大范围样本数据进行分析和趋势预判的核心安全大脑,基于漏洞、URL、病毒、IP/Web等安全特征库在网络边界的深度报文检测、用户行文分析与审计、网络流量异常检测,和对内网主句、服务器和数据库的主动式漏扫。 

趋势十二

9778818威尼斯官网 27

国内网安企业走向国际市场仍需破解误解“魔咒”

9778818威尼斯官网 28

M国客户参观中国展区,提问内容多与业务无关。谈及这个话题,参展的中国厂商朋友们相信会引起共鸣。笔者有幸参与展厅站台,与来到展厅的M国客户进行交流,发现大家提问聚焦的内容并非是参展公司的主营方案优势或技术相关的内容,而是纠结于中国企业是否受控于政府机构。

要实现这些,也就意味着平台要具备完整的数据采集能力,智能的威胁分析能力,和强大的联动响应能力。

这类的问题通常让人啼笑皆非。作为网络安全厂商也应该反思,我们在海外市场开拓阶段,是否有足够的准备去打破国际友人对中国安全企业的误解?个人认为,什么时候真正建立起海外民众对我们的“安全信任”,才是所有中国安全企业走向海外市场的突破时机。这并非只是地缘政治的差异,从厂商的角度,我们必须沉下心去了解海外客户群的需求痛点,提供他们切实需要的网络安全产品和解决方案,建立足够的技术优势壁垒,或许是最好的努力方向。

入侵事件的高效发现、分析与取证(基于SOAPA架构的智能安全平台) 

9778818威尼斯官网 29 

兰云科技解决方案总监 李传恩

足以湮没真正有价值威胁警报的告警海洋、传统特征检测面对未知威胁的失效、因为全流量数据存储能力不足所导致的事后取证困难,是目前安全工作人员所面临的三个最主要“困境”。而“脱困之道”,兰云科技认为,就在于可以看做是下一代SOC的SOAPA(安全运作和分析平台)架构。

SOAPA是一个整合的新概念,是基于机器学习、大数据分析等技术的下一代SIEM架构。通过全方位的数据采集,关联分析、威胁建模,SOAPA可以发现传统安全方法难以发现的未知威胁。同时,尽可能减少误报,做好响应处置工作,并辅助决策,实现安全事件的全流程闭环处理。其重点在于对现有安全体系和架构的补充,和防御能力的增强。

9778818威尼斯官网 30

“反恶意软件沙箱”是兰云基于SOAPA架构的智能安全平台所包含8大能力的核心,覆盖包括进程行为、用户行为、内存行为等30余个检测指标。除了可对系统内核和网络行为进行监测的系统级沙箱外,还包括可找出针对特定应用特定版本开发的恶意软件的应用级沙箱。

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

【编辑推荐】

本文由9778818威尼斯官网发布于威尼斯官网,转载请注明出处:9778818威尼斯官网:展现新一代SOC和态势感知解决

您可能还会对下面的文章感兴趣: