北京2021年8月4日 /美通(tong)社/ -- 7月28日上午，在(zai)ISC 2021第九屆互(hu)聯網(wang)安全大會主題論壇上，山(shan)石網(wang)科高級副總裁、首席戰略官(guan)（CSO）蔣(jiang)東(dong)毅帶來(lai)了(le)一場主題為《政(zheng)企安全面(mian)臨(lin)的(de)多重(zhong)挑(tiao)戰和未來(lai)趨勢》的(de)演講。在(zai)這場演講中(zhong)，蔣(jiang)東(dong)毅提到了(le)在(zai)當下(xia)數字世界下(xia)，組織網(wang)絡(luo)安全防護(hu)面(mian)臨(lin)的(de)幾大現狀、挑(tiao)戰、趨勢及(ji)應(ying)對思考(kao)。

以零信任防控、智能威脅治理、數據生命周期安全治理三個框架為基礎，以云端情報賦能，云端運營平臺支撐，由安全運營團隊提供全方位專業化安全運營，是(shi)山石網科(ke)提出新的應(ying)對(dui)(dui)數字世界新挑戰的方法學，也是(shi)對(dui)(dui)去年(nian)“可持(chi)續安全(quan)運營技術理念(nian)”內涵進一步(bu)的延伸。

以下是演講實錄：

網絡連接矩陣復雜化，安全防護框架需重構

大(da)家好，我是山石網科蔣東毅。

數(shu)字(zi)化的(de)(de)(de)本質是(shi)讓人(ren)(ren)(ren)更(geng)方(fang)便的(de)(de)(de)獲取信(xin)息，利用信(xin)息，也就是(shi)構建人(ren)(ren)(ren)與數(shu)字(zi)信(xin)息的(de)(de)(de)連(lian)(lian)接(jie)。但(dan)相比過去(qu)，數(shu)字(zi)接(jie)入的(de)(de)(de)移(yi)動(dong)性和(he)(he)服務(wu)的(de)(de)(de)云化，已(yi)經讓人(ren)(ren)(ren)和(he)(he)業(ye)務(wu)之(zhi)間(jian)的(de)(de)(de)連(lian)(lian)接(jie)變得更(geng)加復雜。過去(qu)，組(zu)織(zhi)在網絡訪問上，按(an)照職能(neng)和(he)(he)功能(neng)，對辦公(gong)區和(he)(he)數(shu)據區進行劃分(fen)，訪問模式還是(shi)比較固定的(de)(de)(de)。但(dan)現在，移(yi)動(dong)終(zhong)端的(de)(de)(de)普及，人(ren)(ren)(ren)在居家、差旅、辦公(gong)區之(zhi)間(jian)移(yi)動(dong)切換，業(ye)務(wu)在私有云和(he)(he)公(gong)有云中部署(shu)和(he)(he)遷移(yi)，SaaS類業(ye)務(wu)也越來越多，構成了一個復雜的(de)(de)(de)連(lian)(lian)接(jie)矩陣。

可以很清晰地看到，連接矩陣的邊界趨于(yu)模糊且易變，給組織帶(dai)來安全防(fang)護的極(ji)大挑戰。以往按照區(qu)(qu)域(yu)劃分(fen)，區(qu)(qu)域(yu)之間配置安全策(ce)略的防(fang)控(kong)模式，已經難以適應(ying)復雜易變的連接矩陣了。

如何應對？山石網科認為，以身份為核心，建立基于動態最小授權策略的零信任安全防控框架，是應對這個挑戰的最優解。

可(ke)(ke)以(yi)這么(me)(me)理解，安(an)全(quan)防(fang)(fang)(fang)控(kong)的(de)基(ji)本理念是出了(le)問(wen)題可(ke)(ke)以(yi)控(kong)制在最(zui)小(xiao)影(ying)響(xiang)范圍，當區域邊界(jie)變(bian)的(de)模糊時，我們需(xu)要看有什么(me)(me)是相對(dui)穩(wen)定(ding)(ding)的(de)，那(nei)么(me)(me)可(ke)(ke)以(yi)基(ji)于一個(ge)相對(dui)穩(wen)定(ding)(ding)的(de)基(ji)礎構(gou)(gou)建(jian)新的(de)安(an)全(quan)防(fang)(fang)(fang)控(kong)框架(jia)。既然信(xin)息化(hua)的(de)本質是人(ren)與信(xin)息之間的(de)連(lian)接，那(nei)么(me)(me)防(fang)(fang)(fang)控(kong)體系也可(ke)(ke)以(yi)從人(ren)出發進行重構(gou)(gou)，也就是以(yi)身(shen)份為(wei)基(ji)礎，建(jian)立動態(tai)最(zui)小(xiao)授權(quan)策(ce)略的(de)零信(xin)任安(an)全(quan)防(fang)(fang)(fang)控(kong)框架(jia)。所謂動態(tai)最(zui)小(xiao)授權(quan)，除了(le)根據身(shen)份之外，還需(xu)要結合(he)接入設(she)備的(de)類(lei)型(xing)、軟(ruan)硬件(jian)合(he)規要求、風險狀態(tai)等多重因素(su)，進行訪(fang)問(wen)權(quan)限控(kong)制。

山石網(wang)科的iNGFW產品(pin)，在(zai)零(ling)信任(ren)(ren)管(guan)理中心的統一(yi)控(kong)制下，實現(xian)用(yong)(yong)戶接入場(chang)景(jing)的零(ling)信任(ren)(ren)防(fang)控(kong)。零(ling)信任(ren)(ren)防(fang)控(kong)除了針對用(yong)(yong)戶接入側(ce)，還包括業務應(ying)(ying)用(yong)(yong)側(ce)。業務應(ying)(ying)用(yong)(yong)云化之(zhi)后，部署和擴展便捷了，但應(ying)(ying)用(yong)(yong)之(zhi)間的訪(fang)問控(kong)制容易(yi)被忽視，一(yi)旦某個應(ying)(ying)用(yong)(yong)被攻破，很容易(yi)擴散感染到其他應(ying)(ying)用(yong)(yong)。山石網(wang)科針對云計(ji)算環(huan)境，以(yi)完整的云內、云外一(yi)系列安全(quan)產品(pin)，來滿足東西(xi)、南北全(quan)方位(wei)全(quan)場(chang)景(jing)的微(wei)隔離，實現(xian)云計(ji)算環(huan)境的零(ling)信任(ren)(ren)防(fang)控(kong)。

那未來零信任的方案應該是什么樣的？山石(shi)網(wang)科認為(wei)，隨(sui)著(zhu)SaaS業(ye)務(wu)和移動辦公的推廣普及，SASE作為(wei)零(ling)信任的運(yun)營(ying)方案，將為(wei)用(yong)戶帶來便捷安全的業(ye)務(wu)訪問。

SASE本(ben)質是“SD-WAN + Security”，是基(ji)于云(yun)網(wang)(wang)的(de)(de)(de)(de)“企業(ye)網(wang)(wang)+安(an)全(quan)”的(de)(de)(de)(de)運營模式，其產生(sheng)的(de)(de)(de)(de)原因(yin)是分(fen)散的(de)(de)(de)(de)移動辦公加上多點的(de)(de)(de)(de)云(yun)服務。傳(chuan)統的(de)(de)(de)(de)接(jie)(jie)入(ru)模式：spoke-n-hub，不(bu)適應現(xian)在的(de)(de)(de)(de)環(huan)境。SASE通過廣泛部署PoP點，為分(fen)支(zhi)機構和在外辦公提供接(jie)(jie)入(ru)，既提供路(lu)由選擇、QoS等網(wang)(wang)絡優(you)化功(gong)能(neng)(neng)，也提供各類(lei)安(an)全(quan)功(gong)能(neng)(neng)，由專業(ye)的(de)(de)(de)(de)網(wang)(wang)絡安(an)全(quan)公司提供安(an)全(quan)的(de)(de)(de)(de)網(wang)(wang)絡接(jie)(jie)入(ru)和運營，保(bao)證了辦公的(de)(de)(de)(de)便捷性和安(an)全(quan)性。

目(mu)前來看，中國的(de)(de)(de)SaaS用(yong)戶(hu)，主(zhu)要(yao)還(huan)是中小企業，SaaS業務的(de)(de)(de)類(lei)型(xing)主(zhu)要(yao)還(huan)是企業微(wei)信、釘釘這樣的(de)(de)(de)通用(yong)辦公(gong)類(lei)SaaS。SASE會(hui)從中小客(ke)(ke)戶(hu)開始，隨著客(ke)(ke)戶(hu)的(de)(de)(de)成長(chang)，與用(yong)戶(hu)使用(yong)習慣的(de)(de)(de)培養，未來的(de)(de)(de)客(ke)(ke)戶(hu)群體會(hui)更加廣泛。

對網(wang)安(an)公司來(lai)說，從賣產品，到(dao)賣解決方案，提供服務，到(dao)提供一整套網(wang)絡與(yu)安(an)全運營，是未來(lai)的(de)趨(qu)勢之一。

泛網絡攻擊時代來臨，智能威脅治理框架需重構

我們(men)來看(kan)網絡攻(gong)擊(ji)的(de)(de)(de)演進(jin)方向，從以CIH、熊貓燒(shao)香、沖擊(ji)波等為主(zhu)，主(zhu)要是(shi)破(po)壞操作系統(tong)穩定性(xing)的(de)(de)(de)炫技時(shi)代(dai)；到以APT攻(gong)擊(ji)為代(dai)表的(de)(de)(de)精準攻(gong)擊(ji)，主(zhu)要是(shi)竊取重要信(xin)息或(huo)破(po)壞重要系統(tong)的(de)(de)(de)定向攻(gong)擊(ji)時(shi)代(dai)；到如今(jin)，以勒(le)索、挖礦為代(dai)表，與蠕蟲結(jie)合(he)，全網擼羊毛，輕(qing)松(song)又高效的(de)(de)(de)泛網絡攻(gong)擊(ji)時(shi)代(dai)。可(ke)以看(kan)到，信(xin)息資產數量和價(jia)值的(de)(de)(de)持續倍(bei)增，讓網絡空間進(jin)入(ru)了泛網絡攻(gong)擊(ji)時(shi)代(dai)。

網絡攻(gong)擊是為(wei)了(le)獲利(li)，當(dang)個人終端的(de)信息資產也變的(de)重(zhong)要(yao)時，勒索，從一開(kai)始的(de)郵件(jian)附件(jian)傳播，到后來(lai)利(li)用高危漏(lou)洞，與蠕蟲結(jie)合(he)，對(dui)黑客來(lai)說，是一種(zhong)極其高效(xiao)的(de)獲利(li)方式。當(dang)前，泛網絡攻(gong)擊在暗(an)網上有完整(zheng)的(de)產業鏈(lian)(lian)支撐，入門(men)門(men)檻低(di)，從病(bing)毒的(de)獲取，加殼(ke)變形，病(bing)毒投(tou)放(fang)，獲利(li)的(de)收取等都(dou)有完整(zheng)的(de)服務鏈(lian)(lian)條，只(zhi)要(yao)幾千美金(jin)就可以開(kai)張起步，并可以在短時間內收回成本并獲利(li)。

在這種以快、廣、狠為主要特點的泛網絡攻擊時代，基于特征匹配的傳統檢測技術已難以應對新的網絡攻擊挑戰。威脅(xie)檢測(ce)技(ji)術從(cong)原理(li)上(shang)分為特征(zheng)匹配和異常行為兩大(da)類，特征(zheng)匹配由(you)于(yu)檢測(ce)結果誤報率低，解釋性(xing)好，檢出問題有明確的(de)(de)處置(zhi)建(jian)議，因此一直(zhi)是網安產品的(de)(de)主流檢測(ce)技(ji)術，但(dan)面(mian)對漏洞(dong)越(yue)來越(yue)多(duo)，攻(gong)擊(ji)數量多(duo)、易變種的(de)(de)局面(mian)，僅(jin)僅(jin)有特征(zheng)匹配檢測(ce)已(yi)難以應對。

如何應對？山石網科認為，多維檢測、精準分析、聯動響應、情報賦能，構建新形勢下的智能威脅治理框架。

面(mian)對新形勢下的(de)攻擊(ji)態勢，首(shou)先要在端、網、邊(bian)、云，建立特(te)征(zheng)匹配與異常(chang)行為(wei)的(de)多維檢測(ce)(ce)(ce)(ce)。由于(yu)檢測(ce)(ce)(ce)(ce)點(dian)和(he)檢測(ce)(ce)(ce)(ce)技(ji)術(shu)多，產生的(de)威(wei)脅數(shu)據(ju)(ju)量大(da)，需要建設基(ji)于(yu)大(da)數(shu)據(ju)(ju)技(ji)術(shu)的(de)精準分(fen)(fen)析平(ping)臺，匯總全息檢測(ce)(ce)(ce)(ce)數(shu)據(ju)(ju)，綜合(he)應(ying)用人(ren)工(gong)智能(neng)分(fen)(fen)析技(ji)術(shu)，將威(wei)脅與資產結合(he)，幫助管理(li)員聚焦于(yu)高置信度失陷風險；進而與端、網、邊(bian)、云的(de)防(fang)控體系實現(xian)聯(lian)動響應(ying)，運用SOAR技(ji)術(shu)，自動化專家(jia)分(fen)(fen)析處置經驗，快(kuai)速實現(xian)威(wei)脅檢測(ce)(ce)(ce)(ce)、分(fen)(fen)析、響應(ying)閉(bi)(bi)環。同(tong)時(shi)，通過云端威(wei)脅情(qing)報的(de)賦能(neng)，使政(zheng)企組織可以實時(shi)獲取全網威(wei)脅情(qing)報數(shu)據(ju)(ju)，實現(xian)更大(da)范(fan)圍的(de)檢測(ce)(ce)(ce)(ce)、分(fen)(fen)析、響應(ying)閉(bi)(bi)環。

在攻擊泛化的趨勢下，防御應對措施也有新的方向。山石網科認為，攻防的本質始終是基于成本的對抗，SaaS化是智能XDR+SOAR系統的未來趨勢。不(bu)管(guan)如何演進，攻防(fang)(fang)的(de)(de)(de)本質始終(zhong)不(bu)變，是基于成本的(de)(de)(de)對抗。像密碼學的(de)(de)(de)設計原則并不(bu)是永遠破解不(bu)了最好(hao)，而是破解的(de)(de)(de)成本高(gao)于被保護的(de)(de)(de)信息價值即可。攻擊方(fang)(fang)是黑(hei)客利用(yong)工具，防(fang)(fang)守(shou)方(fang)(fang)僅僅部署產品是不(bu)夠的(de)(de)(de)，需要有專(zhuan)業的(de)(de)(de)安全管(guan)理人員。

對于(yu)(yu)(yu)中小組織，面對越來越廣泛(fan)并且專業(ye)的(de)(de)攻(gong)擊，通過本地部署安(an)(an)(an)全(quan)(quan)控制點，將(jiang)安(an)(an)(an)全(quan)(quan)數據上(shang)報到安(an)(an)(an)全(quan)(quan)SaaS平臺，安(an)(an)(an)全(quan)(quan)管(guan)(guan)理托管(guan)(guan)于(yu)(yu)(yu)專業(ye)廠家(jia)的(de)(de)專業(ye)人員，可以有效的(de)(de)降低成本。對于(yu)(yu)(yu)大型組織，安(an)(an)(an)全(quan)(quan)管(guan)(guan)理投(tou)入(ru)也是(shi)有限(xian)的(de)(de)，參照安(an)(an)(an)全(quan)(quan)成熟(shu)度高的(de)(de)歐美地區，自有安(an)(an)(an)全(quan)(quan)管(guan)(guan)理人員+專業(ye)安(an)(an)(an)全(quan)(quan)運營托管(guan)(guan)的(de)(de)趨勢非(fei)常明顯。

數據資產持續沉淀，數據安全治理框架需重構 

隨著新興技術不斷發展，數據作為數字經濟的核心生產要素，正成為科技創新的突破口，但現實情況是數據安全防護水平參差不齊，數據安全問題層出不窮，個人隱私泄露、非法數據交易等頻發，國外咨詢機構Verizon發布的2020年數據泄露報告中，統計2020年全球數(shu)據泄露事件同比增(zeng)長了(le)96%，醫療、金融和制(zhi)造業排名前三(san)。另一(yi)方面隨著(zhu)云大物移智等(deng)新興技術發展，國家也相應配套(tao)了(le)相關法律(lv)法規(gui)，網絡安(an)全法強調了(le)對個(ge)(ge)人(ren)信息保護的(de)責(ze)任，數(shu)據安(an)全法確立了(le)數(shu)據分(fen)類(lei)分(fen)級、風險評(ping)估、應急處置等(deng)基本(ben)制(zhi)度，明確了(le)開展數(shu)據處理活動的(de)組織、個(ge)(ge)人(ren)的(de)數(shu)據保護義務等(deng)。

目前來看，組織(zhi)內數(shu)據多(duo)(duo)樣(yang)(yang)、海量、復(fu)雜，留(liu)存周期(qi)長(chang)，與業務(wu)關聯緊密，數(shu)據安全治(zhi)理不能僅靠產品和技術；數(shu)據越來越多(duo)(duo)樣(yang)(yang)性，數(shu)據庫數(shu)據、大數(shu)據文(wen)(wen)件(jian)、非結(jie)構化文(wen)(wen)檔等數(shu)據種類豐富，很(hen)多(duo)(duo)數(shu)據因為業務(wu)原因，需要(yao)長(chang)期(qi)留(liu)存。同時(shi)，數(shu)據的安全威脅也多(duo)(duo)樣(yang)(yang)化，如數(shu)據泄露、數(shu)據的破壞、隱私(si)的泄露、數(shu)據失(shi)控(kong)、數(shu)據的泛(fan)濫、數(shu)據的損害(hai)或丟失(shi)等。

復雜的數(shu)據(ju)問題(ti)讓我們看到，數(shu)據(ju)安全治理不僅僅是(shi)部署(shu)產(chan)品和技術，是(shi)一個(ge)系(xi)統工程(cheng)，需(xu)要自頂向(xiang)下進行設計(ji)：

1. 法律法規的梳理，對業務數據風險分析，明確數據安全治理的實際需求；
2. 數據安全治理的組織管理體系支撐；
3. 數據的分類分級和梳理，辨別哪些數據需要保護，這些需要保護的數據在哪些位置，哪些人正在使用這些數據，在使用過程中是否合理；
4. 制定適合的相關安全策略；
5. 對數據安全治理進行有效監測和審計，及時發現存在的問題與隱患，才能對數據安全治理工作進行持續改進。

如何應對？山石網科認為，面對復雜的數據問題，需要建立彈性可擴展，業務自適應的數據生命周期安全治理框架。

山石網科針對數(shu)據安(an)全(quan)治理(li)，圍(wei)繞數(shu)據流程過程，從數(shu)據安(an)全(quan)運營(ying)和數(shu)據安(an)全(quan)管理(li)兩個維(wei)度，構建了全(quan)場景(jing)、云池化、可(ke)感知(zhi)、可(ke)持續的(de)數(shu)據生命周期安(an)全(quan)治理(li)體(ti)系(xi)，可(ke)以(yi)實現(xian)：

1. 數據資產全面安全管控；
2. 數據安全一站感知處置；
3. 數據安全資源云化供取；
4. 提供可持續的數據安全運營能力。

攻防資源難以對等，構建可持續安全運營體系

物理世界(jie)的攻擊距離是(shi)有(you)(you)限的，跨地域作案(an)很難。哪怕就(jiu)是(shi)傳染性強(qiang)的病毒(du)，其(qi)擴散速(su)度(du)也與人的交通速(su)度(du)有(you)(you)關，比如目前全球傳播最廣的新冠病毒(du)Delta變種(zhong)，是(shi)從(cong)去年10月就(jiu)出現(xian)的。

但是，網絡空間中，信息的傳播是近乎光速的，全球的攻擊者可以攻擊任意地點的組織，但組織只能基于自身資源來應對，不管是甲方還是乙方，面對全球黑客可以從任何地點發起的攻擊，資源都是有限的。網絡空間的光速可達屬性，注定了攻防雙方資源難以對等，這是所有組織都在面臨的終極挑戰。

如何應對？山石網科認為，構建全球威脅情報生態，讓威脅情報及時可達，賦能可持續安全運營體系。

應對全(quan)球發起(qi)的攻(gong)擊，需要開展全(quan)球威脅情報(bao)(bao)生態(tai)合作(zuo)(zuo)。360作(zuo)(zuo)為山(shan)石(shi)網科(ke)戰(zhan)略合作(zuo)(zuo)伙伴(ban)，雙方已(yi)經全(quan)面開展產品(pin)、技術側戰(zhan)略合作(zuo)(zuo)。包括山(shan)石(shi)網科(ke)智能(neng)下一代防火(huo)墻也是采(cai)取360云端情報(bao)(bao)賦能(neng)，同時，未(wei)來雙方還(huan)將(jiang)就零(ling)信(xin)任等多(duo)個領域(yu)展開深入(ru)合作(zuo)(zuo)。360安(an)(an)全(quan)大腦，為山(shan)石(shi)網科(ke)的可(ke)持續(xu)安(an)(an)全(quan)運營體系，提(ti)供全(quan)面、及時、精準的情報(bao)(bao)賦能(neng)，同時，也從(cong)情報(bao)(bao)的實際落地中，得到反饋，增(zeng)強(qiang)優化情報(bao)(bao)，形成良(liang)性(xing)循環。

可持續安全運營體系，是山石網科去年用戶大會提出的技術理念，今年我們進一步延伸了其內涵：以零信任防控、智能威脅治理、數據生命周期安全治理三個框架為基礎，以云端情報賦能，云端運營平臺支撐，由安全運營團隊提供全方位專業化安全運營，為用戶的安全竭盡全力。

昨天在ISC大會上(shang)，山(shan)石網科(ke)發布了新一代(dai)智能下一代(dai)防火(huo)墻，該產品具(ju)備零(ling)信(xin)任、intelligent智能感知、intelligence情報集成、IOT融合防護(hu)等(deng)特(te)點。

面對變種攻擊，山石網科iNGFW可進行本地或聯動云端來感知惡意威脅行為，來進行未知防御檢測以及防護；安全防護正在從“個體或單個組織”的防護，轉變為“安全情報驅動”的信息共享、集體協作的方式，同時邊界封堵不等于全網防護，在第三方情報的加持下，山石網科iNGFW提供貫穿“攻擊前、攻擊中、攻擊后”三個關鍵節點(dian)的(de)(de)全(quan)(quan)生(sheng)命周期(qi)安全(quan)(quan)防(fang)(fang)(fang)護(hu)(hu)解決方案，其中威脅情(qing)(qing)報(bao)也來自包括360威脅情(qing)(qing)報(bao)中心在內(nei)的(de)(de)國內(nei)外優秀(xiu)威脅情(qing)(qing)報(bao)供應商的(de)(de)賦能(neng)；在萬物互聯(lian)時(shi)代，防(fang)(fang)(fang)護(hu)(hu)對(dui)象在變(bian)化，主機防(fang)(fang)(fang)護(hu)(hu)不等于全(quan)(quan)面防(fang)(fang)(fang)護(hu)(hu)，山石(shi)網科新(xin)一代智能(neng)下一代防(fang)(fang)(fang)火(huo)墻可以識別網絡(luo)攝像頭(tou)等物聯(lian)網設(she)(she)備，同時(shi)具備對(dui)物聯(lian)網設(she)(she)備的(de)(de)安全(quan)(quan)防(fang)(fang)(fang)護(hu)(hu)與合規管控(kong)能(neng)力，可為客(ke)戶打造融合網絡(luo)的(de)(de)防(fang)(fang)(fang)護(hu)(hu)體驗。