“一方面,随着包括《网络安全法》、《数据安全法》和《个人信息保护法》等在内的法律法规的颁布和实施,’安全’已经被上升到法律要求层面,不再仅仅是企业内部对于资产保护;另一方面,市场上’安全’方面的技术人才非常紧缺,一系列的新技术快速涌现又需要采用一些新的部署方式;另外,在中国市场,很多大型企业和政府机构非常关注他们数据的位置,他们不希望把数据放到第三方,这使得在中国市场上,安全工具的本地部署非常高的……这些特殊的因素,都导致在中国市场,安全技术在技术成熟度、产品和供应商等方面,与国际市场其实有着很大的差异。”高峰,Gartner高级研究总监日前在发布2022年《Gartner中国安全技术曲线》时,尤其强调了中国市场的特殊性。
对于当今的企业而言,IT架构自身的不断扩展和数字化程度的持续深入,都使得企业面临一种前所未有的安全感危机:来自网络威胁的破坏程度与企业业务本身的数字化程度呈正比增长,数字化程度越高,面对的风险也就越大,受到破坏的结果越难以收拾和估计。安全技术,因此被企业用户给予相当大的期望:期望其能够真正帮忙自己构建一个具有成长性的安全体系和架构。
安全技术的发展曲线
众所周知,Gartner的技术曲线将技术的发展分为萌芽期、期望膨胀期、泡沫破灭低谷期、稳步爬升复苏期和生产成熟期五个阶段。在Gartner看来,技术在萌芽期、期望膨胀期会经过市场和用户的筛选,进入技术本身的发展和应用阶段。其中,在泡沫破灭低谷期,会去除掉了一部分对技术本身过高的期望,而在稳步爬升复苏期,会围绕技术的应用场景展开更多具有创新性的商业化模式和应用模式,最终在生产成熟期,被市场广泛接纳和采用。
这其中有一个“悖论”:处在成熟期的技术,虽然拥有清晰的应用场景和明确的应用效果,但是只有处在发展前期的技术,才能带来更多的可能性和充分的领先性,因此对于企业用户而言,在技术选择的过程中,往往需要在两者之间找到一个合适的平衡点。在本次发布的《Gartner中国安全技术曲线》中,高峰重点谈到了几个出于不同技术发展阶段的安全技术概念。
对于那些希望能够给企业未来带来更多安全提升的企业,高峰认为应该关注还处在萌芽期阶段的安全技术。他重点谈到了CPS安全(信息物理网络系统安全)、ASM(攻击面管理)和云安全资源池等都是目前处于萌芽期的安全技术。在他看来,信息网络物理系统其实是一种工程系统,它是可以协调传感器计算、控制和网络来分析与物理世界进行交互。而在中国的数字经济和新基建的推动下,信息物理系统安全技术,实际上未来很可能成为支撑着整个城市交通、能源、医疗和政务关键信息的基础设施。与此相对,ASM(攻击面管理)则是针对企业中边界越来越扩展和模糊的数字资产——包括内部资产,还有越来越多的外部资产,而攻击面管理的技术就是希望帮助企业克服资产的可见性和漏洞。
至于“云安全资源池”技术,高峰认为,云安全资源池技术实际上是基于软件的一个安全工具资源集合,整合了统一的“云”上的像管理、监控、安全编排和自动化,包括:可能很多厂商可以提供合规的管理能力。“云安全资源池技术其实是一个中国特有的创新,它其实最大的应用场景是为了满足中国市场用户本地化部署的私有云。”
在高峰看来,安全访问服务边缘(SASE)和物联网身份认证这两项安全技术,目前还处在“期望膨胀期”。“SASE(安全访问服务边缘)主要是针对多种边缘的访问场景提供一个融合性的广域网、边缘的安全访问能力。”高峰认为,通常来说,企业对于边缘的保护有很多种工具,如:VPN、SWG(安全的访问网关)等,但是这些技术都是单个的产品,并且它们在部署形式上和提供的功能上也多有重合。“我们认为SASE作为一个融合型的平台产品,能够把这些分开的、单独工作的边缘保护的工具能够整合起来,减少企业的运维复杂度、来提供统一的可视化——这其实能够为企业提供更高、包括多种边缘访问的安全产品的能力,从而提高可见性、敏捷性、弹性和安全性。”但高峰强调,由于强调本地部署,因此中国SASE厂商提供的产品与海外存在差异,而“国内的SASE产品,其成熟度还是不够的,还需要时间来提高他们的成熟度——我们认为这些SASE产品才是在中国市场被大量采用的主力。”
对于“物联网身份认证”也被认为是处在“期望膨胀期”,高峰认为:虽然车联网、智慧城市、智能家具和智能可穿戴设备等的迅速发展,使得这些物联网设备需要一个可信身份和强大的设备身份验证来减少它受到攻击的可能性,但是,“物联网的安全环境是非常复杂的,大多处于不可控的位置,且这些终端的计算能力也非常有限,它能做的安全保护更是非常有限,再加上它存在各种不同的标准……这些都使得物联网的身份验证被广泛采用,是比较困难的。”
“多方安全计算”和“零信任网络接入”,高峰认为是处在安全技术曲线的“滑落和低谷期”。在高峰看来,作为隐私计算技术的一种,多方安全计算更加强调应用的场景化,因此在具体落地实施过程中,往往都是根据企业的具体业务场景和需求,做了很多定制化的部署。“这就导致出现了一些非常个性化的部署和产品,使得其很难被快速复制推广到其他企业使用。复杂性、不可复制性,是导致多方安全计算进入下降阶段的一个原因。”高峰说。
而对于“零信任网络访问”,高峰强调,作为可以落地的“零信任”创新,“零信任网络访问”其实正处在从谷底到爬升的过程当中,“这项技术正在受到越来越多的企业关注,特别是在中国市场,很多安全厂商都已经能够提供相应的产品。而且,也有越来越多的企业用户,开始部署或者是已经计划部署这个技术。”
处于“稳步爬升复苏期”的技术,相对而言是在技术领先性和应用成熟度上相对均衡的技术。高峰提到攻防演练、态势感知、数据分类和云工作保护平台等几项技术正处在这个阶段。“云工作负载保护平台其实是一个以工作负载为中心的安全产品。我们认为一个好的云工作负载保护平台是可以为混合云,以及多云数据中心的服务器工作负载提供保护的。”高峰认为,处于稳步爬升复苏期的“云工作负载保护”技术不只能够对线下负载进行保护,更是能够为企业所有的平台——包括企业所有的公有云、私有云或者是企业的信息安全数据中心——所有工作负载提供保护,并且可以针对任何地点的物理机、虚拟机、容器,无服务工作负载、提供一些持续可监控的一些管控。“中国市场对于云的采用率正在快速增加,因此会有大量的企业都需要云工作保护平台帮助保护他们的工作负载。这实际上也加速了云工作保护平台的采用率。”高峰说。
技术之外的安全因素
“技术、企业的流程、文化对于企业构建安全体系都是非常重要的,也都是其安全工作的瓶颈。”在回答笔者提问时,高峰认为:对于企业而言,把“安全”仅仅定义成是一个技术问题,是不全面,并且可能是错误的;在很大程度上,安全也与企业自身的管理、人才、业务流程等都有非常密切的关系。
首先,是由于安全技术本身的复杂性,所带来的对安全技术的部署和应用,门槛很高。“我们发现,安全问题大部分都是由于配置错误引起的。”高峰认为,与整个IT市场不同,安全市场上不仅产品众多,而且安全厂商数量也远远超过基础架构厂商的数量,这就导致企业对于安全技术的跟踪、管理存在非常大的难度。加之目前在企业内的安全人才短缺,很多企业当中往往都是由CTO、CIO兼职安全负责人,这就使得企业实际上是完全没有管理如此多技术和厂商的能力。
虽然目前与安全相关的技术和产品,都开始有整合的趋势,希望借此能够降低安全技术和产品的复杂度,简化实施部署和应用的难度,方便用户使用,但是,“还有很多新的威胁出现,企业需要的保护的场景总是日新月异,总是远远超过已有产品的覆盖面。”高峰说。
其次,安全不应该是一个技术问题,更应该是业务问题。“应该让企业内部的业务人员,更多地去承担一些安全的责任,而不能只管做业务、不关系安全。”高峰认为,很多企业往往有一个错误的认识,认为重视安全可能会降低业务效率、让企业业务流程变得不顺畅,最终导致在企业中很难建设一个非常有效的安全体系,保护企业的数字资产。“这个时候,我认为应该把安全责任向前推:让业务人员承担更多的安全责任,让业务人员与IT认为互相合作,在实现安全和保业务障流程高效之间,找到平衡点。”
最后,高峰建议说,企业在具体选择安全技术时,应该考虑“现在的情况”和“将来的情况”:针对现在的情况,企业需要考虑自身现在的安全工具,是否能与备选的安全工具进行集成,或者完全取代;而处于对未来的考虑,企业需要考虑,备选的安全工具是不是能够在企业给自己规划的未来的业务场景中,提供保护。
写在最后
更多关注安全对于企业用户而言,是一种面向未来的务实选择,说明企业开始真正关注自身的需求,而不是一味追求IT技术所带来的短期效率提升,这无疑是一种进步。而面对市场上过于丰富的安全技术概念和产品,企业用户更多需要从自身需求出发,将安全与发展同时考虑,并行建设,才能从根本上构建一个健康、安全的业务环境。