山石网科洞察 RSAC 2023

第一期：共同强大

(资料图片仅供参考)

2023年RSAC大会的主题是 "共同强大"。这个几乎普遍适用的词组，意在强调为实现共同目标而协作的力量。在社会科学范畴里，它意指全社会团结合作，共同努力抗争人类面临的逆境和挑战。

根据笔者的理解，"共同强大 "在网络安全领域里可以有这些含义。

共同强大：通过人、技术和流程的协作而强大

如果没有对人们安全意识的不断教育和强化，任何安全防御技术都无法真正做到有效；如果没有建立并遵守完整的安全流程，任何安全防御技术都无法真正起到作用。

以最近美国国防部五角大楼的高度机密文件泄露事件为例，此次事件实际上是由一名做IT工作的低级别国家警卫队员，很轻易在社交网站群中上传信息造成，并且已经持续了一段时间。这一事件再次表明，如果不建立适当的针对核心数据访问控制流程和协议，并严格持续地遵守执行，即使是 "绝密信息 "也将无法做到真正保密。如果不建立起这个过程，无论实施多少安全预防和检测技术，仍然存在数据泄露的风险。

再一个简单的例子， 边界或云端访问控制管理是网络安全中一个重要而又薄弱的环节 。它包括用户认证、访问授权以及精细化的资产和应用访问控制。虽然利用当今众多的安全技术，如基于ZTNA或IAM中的各种手段例如MFA、弱口令检测和防护、机器人检测、客户端检测和各种凭证管理等，有助于大大减小企业网络或云网络边界的攻击面，但这些努力仍然可能在很多场合中被轻易攻破。例如，员工在工作场所错放用户凭证，点击了一个看似合法的钓鱼邮件链接等，这些都使得黑客很容易的渗透和发起进一步攻击。我曾经去一家大医院看病，在医生的办公室看到用户名和密码就写在便签纸上，贴在电脑显示器上。这也许是为了系统登录方便，但这也可能使得整个医院网络处于安全风险之下。

随着更多的企业将其业务和应用迁移到云端，云原生应用的形态多样性、部署可扩展性和生命周期的动态敏捷性，使 其 开发、部署和运行时管理变得更加复杂 。云原生应用保护平台（CNAPP）是一个新兴的云安全平台，逐渐被云服务和安全解决方案供应商广泛采用并实现产品落地。CNAPP的主要要素之一是在云原生的应用开发过程中尽早（即左移）添加安全措施，即DevSecOps，以确保在开发过程的早期设置适当的各种安全检查点，使得应用开发团队能够及早识别安全风险并解决潜在的安全问题，从而保证整个应用的设计开发和交付的安全性。DevSecOps是另一个典型的例子，它需要跨部门和职能的人员协作，使用各种手段和工具，通过流程管理，保证和提高应用软件开发安全性。在今年的RSA大会上，也看到不少公司推出了针对云原生应用的DevSecOps解决方案，作为对于云端工作负载安全的扩展。

在网络安全领域，还有许多其他方面需要人员、技术和流程协同合作，来达到更好的威胁检测效果和更高的效率，如威胁情报共享、事件响应合作等。网络安全是一个复杂而快速发展演变的领域，只有通过人、技术和流程三方面共同协作，才能更好地应对挑战，建立强大的安全检测和防御体系。

共同强大：通过安全技术的集成而强大

网络安全发展到今天，单点安全技术已逐渐达到其能力上限，不再能满足有效的检测和防御当今更加复杂、更有针对性、往往有组织的高级威胁攻击。一方面，这是因为高级攻击更加具有隐蔽性、变异化，和复杂的动态行为；另一方面，单点安全检测技术往往有其各自检测的盲点和局限性，而且在应对快速变化的攻击和策略响应方面也往往滞后。 网络安全的发展趋势之一是将多种单点技术进行整合，集成为多层次、多阶段、全方位、全周期的统一协作解决方案。 产品技术集成中， 最 具有代表性的 一个是助力威胁检测分析响应的XDR平台， 另一个是融合广域网优化和安全功能组合的云交付SASE平台。

展会上看到很多公司展示了他们的XDR产品。XDR扩展了端点检测和响应(EDR)，并结合NDR和其他安全检测日志、事件和数据输出，利用人工智能(AI)和机器学习(ML)，集成威胁情报和自动化工具，在中心分析平台上进行威胁检测、溯源取证、关联分析和事件响应。XDR从多种不同数据源中获取安全日志、事件、元数据、数据报文、检测结果等信息，在一个更广泛的范围内进行更有效的威胁分析和呈现。XDR已经成为助力安全运营中心(SOC)中安全专家团队检测和应对威胁攻击的有效平台。

近年来，为了应对COVID疫情影响，企业对其业务进行了重大调整，主要体现 在从现场办公转变为远程或混合办公；同时加速将更多的数据、业务、应用和运营迁移到云端，提 供更多SaaS服务和其他云端应用。根据Gartner的研究数据，在2020-2022年期间，企业的SaaS应用支出大约增加了35%，这一趋势将持续到2023年后。 远程办公和业务应用SaaS化扩展了网络安全边界，也暴露了更多的安全隐患和漏洞，扩大了威胁攻击面，给安全防护带来新的挑战。

会上很多业内厂商展示了 SASE或SSE的产品和解决方案 ，用于云端业务和SaaS服务的远程安全接入和多种安全防护。SASE解决方案实际上也是把企业现有的各种单点安全技术，例如SWG、CASB、DLP、FWaaS、ZTNA等，集成为一体，提供持续的基于零信任准入控制管理、运行监控和精细化应用安全防护；它还包括SD-WAN的集成，用于分支办公机构或远程用户的网络优化，提供端到端的网络和应用层的安全解决方案。

近年来，网络安全的攻防格局发生了巨大变化。曾经有效的单点安全技术已基本达到其能力上限。 安全厂商正致力于将不同的单点技术集成起来，打造更加全面完整的安全解决方案 ，以更好应对当今更加复杂的、有针对性且多阶段的威胁攻击；同时，技术整合对于提高安全运行效率、降低安全运维成本和保护投资回报也有极大的帮助。

为了实现更强大、更有效、更完善的安全防护，需要人员、流程和技术协作以及多种技术整合来赋能而强大。这就是笔者认为今年"共同强大"主题在当今网络安全中的真正含义。