數字時代的安全技術

丁海驁

“一方面，隨著包括《網絡安全法》、《數據安全法》和《個人信息保護法》等在內的法律法規的頒布和實施，‘安全’已經被上升到法律要求層面，不再僅僅是企業內部對于資產保護；另一方面，市場上‘安全’方面的技術人才非常緊缺，一系列的新技術快速涌現又需要采用一些新的部署方式；另外，在中國市場，很多大型企業和政府機構非常關注他們數據的位置，他們不希望把數據放到第三方，這使得在中國市場上，安全工具的本地部署非常高的……這些特殊的因素，都導致在中國市場，安全技術在技術成熟度、產品和供應商等方面，與國際市場其實有著很大的差異。”高峰，Gartner高級研究總監日前在發布2022年《Gartner中國安全技術曲線》時，尤其強調了中國市場的特殊性。

對于當今的企業而言，IT架構自身的不斷擴展和數字化程度的持續深入，都使得企業面臨一種前所未有的安全感危機：來自網絡威脅的破壞程度與企業業務本身的數字化程度呈正比增長，數字化程度越高，面對的風險也就越大，受到破壞的結果越難以收拾和估計。安全技術，因此被企業用戶給予相當大的期望：期望其能夠真正幫忙自己構建一個具有成長性的安全體系和架構。

眾所周知，Gartner的技術曲線將技術的發展分為萌芽期、期望膨脹期、泡沫破滅低谷期、穩步爬升復蘇期和生產成熟期五個階段。在Gartner看來，技術在萌芽期、期望膨脹期會經過市場和用戶的篩選，進入技術本身的發展和應用階段。其中，在泡沫破滅低谷期，會去除掉了一部分對技術本身過高的期望，而在穩步爬升復蘇期，會圍繞技術的應用場景展開更多具有創新性的商業化模式和應用模式，最終在生產成熟期，被市場廣泛接納和采用。

這其中有一個“悖論”：處在成熟期的技術，雖然擁有清晰的應用場景和明確的應用效果，但是只有處在發展前期的技術，才能帶來更多的可能性和充分的領先性，因此對于企業用戶而言，在技術選擇的過程中，往往需要在兩者之間找到一個合適的平衡點。在本次發布的《Gartner中國安全技術曲線》中，高峰重點談到了幾個出于不同技術發展階段的安全技術概念。

對于那些希望能夠給企業未來帶來更多安全提升的企業，高峰認為應該關注還處在萌芽期階段的安全技術。他重點談到了CPS安全（信息物理網絡系統安全）、ASM（攻擊面管理）和云安全資源池等都是目前處于萌芽期的安全技術。在他看來，信息網絡物理系統其實是一種工程系統，它是可以協調傳感器計算、控制和網絡來分析與物理世界進行交互。而在中國的數字經濟和新基建的推動下，信息物理系統安全技術，實際上未來很可能成為支撐著整個城市交通、能源、醫療和政務關鍵信息的基礎設施。與此相對，ASM（攻擊面管理）則是針對企業中邊界越來越擴展和模糊的數字資產——包括內部資產，還有越來越多的外部資產，而攻擊面管理的技術就是希望幫助企業克服資產的可見性和漏洞。

至于“云安全資源池”技術，高峰認為，云安全資源池技術實際上是基于軟件的一個安全工具資源集合，整合了統一的“云”上的像管理、監控、安全編排和自動化，包括：可能很多廠商可以提供合規的管理能力。“云安全資源池技術其實是一個中國特有的創新，它其實最大的應用場景是為了滿足中國市場用戶本地化部署的私有云。”

在高峰看來，安全訪問服務邊緣（SASE）和物聯網身份認證這兩項安全技術，目前還處在“期望膨脹期”。“SASE（安全訪問服務邊緣）主要是針對多種邊緣的訪問場景提供一個融合性的廣域網、邊緣的安全訪問能力。”高峰認為，通常來說，企業對于邊緣的保護有很多種工具，如：VPN、SWG（安全的訪問網關）等，但是這些技術都是單個的產品，并且它們在部署形式上和提供的功能上也多有重合。“我們認為SASE作為一個融合型的平臺產品，能夠把這些分開的、單獨工作的邊緣保護的工具能夠整合起來，減少企業的運維復雜度、來提供統一的可視化——這其實能夠為企業提供更高、包括多種邊緣訪問的安全產品的能力，從而提高可見性、敏捷性、彈性和安全性。”但高峰強調，由于強調本地部署，因此中國SASE廠商提供的產品與海外存在差異，而“國內的SASE產品，其成熟度還是不夠的，還需要時間來提高他們的成熟度——我們認為這些SASE產品才是在中國市場被大量采用的主力。”

對于“物聯網身份認證”也被認為是處在“期望膨脹期”，高峰認為：雖然車聯網、智慧城市、智能家具和智能可穿戴設備等的迅速發展，使得這些物聯網設備需要一個可信身份和強大的設備身份驗證來減少它受到攻擊的可能性，但是，“物聯網的安全環境是非常復雜的，大多處于不可控的位置，且這些終端的計算能力也非常有限，它能做的安全保護更是非常有限，再加上它存在各種不同的標準……這些都使得物聯網的身份驗證被廣泛采用，是比較困難的。”

“多方安全計算”和“零信任網絡接入”，高峰認為是處在安全技術曲線的“滑落和低谷期”。在高峰看來，作為隱私計算技術的一種，多方安全計算更加強調應用的場景化，因此在具體落地實施過程中，往往都是根據企業的具體業務場景和需求，做了很多定制化的部署。“這就導致出現了一些非常個性化的部署和產品，使得其很難被快速復制推廣到其他企業使用。復雜性、不可復制性，是導致多方安全計算進入下降階段的一個原因。”高峰說。

而對于“零信任網絡訪問”，高峰強調，作為可以落地的“零信任”創新，“零信任網絡訪問”其實正處在從谷底到爬升的過程當中，“這項技術正在受到越來越多的企業關注，特別是在中國市場，很多安全廠商都已經能夠提供相應的產品。而且，也有越來越多的企業用戶，開始部署或者是已經計劃部署這個技術。”

處于“穩步爬升復蘇期”的技術，相對而言是在技術領先性和應用成熟度上相對均衡的技術。高峰提到攻防演練、態勢感知、數據分類和云工作保護平臺等幾項技術正處在這個階段。“云工作負載保護平臺其實是一個以工作負載為中心的安全產品。我們認為一個好的云工作負載保護平臺是可以為混合云，以及多云數據中心的服務器工作負載提供保護的。”高峰認為，處于穩步爬升復蘇期的“云工作負載保護”技術不只能夠對線下負載進行保護，更是能夠為企業所有的平臺——包括企業所有的公有云、私有云或者是企業的信息安全數據中心——所有工作負載提供保護，并且可以針對任何地點的物理機、虛擬機、容器，無服務工作負載、提供一些持續可監控的一些管控。“中國市場對于云的采用率正在快速增加，因此會有大量的企業都需要云工作保護平臺幫助保護他們的工作負載。這實際上也加速了云工作保護平臺的采用率。”高峰說。

“技術、企業的流程、文化對于企業構建安全體系都是非常重要的，也都是其安全工作的瓶頸。”在回答筆者提問時，高峰認為：對于企業而言，把“安全”僅僅定義成是一個技術問題，是不全面，并且可能是錯誤的；在很大程度上，安全也與企業自身的管理、人才、業務流程等都有非常密切的關系。

首先，是由于安全技術本身的復雜性，所帶來的對安全技術的部署和應用，門檻很高。“我們發現，安全問題大部分都是由于配置錯誤引起的。”高峰認為，與整個IT市場不同，安全市場上不僅產品眾多，而且安全廠商數量也遠遠超過基礎架構廠商的數量，這就導致企業對于安全技術的跟蹤、管理存在非常大的難度。加之目前在企業內的安全人才短缺，很多企業當中往往都是由CTO、CIO兼職安全負責人，這就使得企業實際上是完全沒有管理如此多技術和廠商的能力。

雖然目前與安全相關的技術和產品，都開始有整合的趨勢，希望借此能夠降低安全技術和產品的復雜度，簡化實施部署和應用的難度，方便用戶使用，但是，“還有很多新的威脅出現，企業需要的保護的場景總是日新月異，總是遠遠超過已有產品的覆蓋面。”高峰說。

其次，安全不應該是一個技術問題，更應該是業務問題。“應該讓企業內部的業務人員，更多地去承擔一些安全的責任，而不能只管做業務、不關系安全。”高峰認為，很多企業往往有一個錯誤的認識，認為重視安全可能會降低業務效率、讓企業業務流程變得不順暢，最終導致在企業中很難建設一個非常有效的安全體系，保護企業的數字資產。“這個時候，我認為應該把安全責任向前推：讓業務人員承擔更多的安全責任，讓業務人員與IT認為互相合作，在實現安全和保業務障流程高效之間，找到平衡點。”

最后，高峰建議說，企業在具體選擇安全技術時，應該考慮“現在的情況”和“將來的情況”：針對現在的情況，企業需要考慮自身現在的安全工具，是否能與備選的安全工具進行集成，或者完全取代；而處于對未來的考慮，企業需要考慮，備選的安全工具是不是能夠在企業給自己規劃的未來的業務場景中，提供保護。

更多關注安全對于企業用戶而言，是一種面向未來的務實選擇，說明企業開始真正關注自身的需求，而不是一味追求IT技術所帶來的短期效率提升，這無疑是一種進步。而面對市場上過于豐富的安全技術概念和產品，企業用戶更多需要從自身需求出發，將安全與發展同時考慮，并行建設，才能從根本上構建一個健康、安全的業務環境。