正文较长,先说结论:
今天的网络安全产业很难,有大环境的原因,更有安全产业自身的问题。安全产业的底层逻辑的变化,导致安全企业会越来越难,以至于它不一定会随着大环境变好。
网络安全其实也很象现实中的安全。先看看现实中的安全怎么做,以一个园区的安全为例:
从大的方面看,园区的安全重点分两部分:
- 围墙加门禁 合理的、无疏漏的围墙和门禁是安全基础。一个园区,如果任何人可以随意进出,或者有些门的门禁不生效,安全工作无从谈起。
- 监控 门禁并不能解决所有问题,比如,有些围墙是可以翻越的,门禁有时候会有跟随进入的情况,这些情况,需要监控结合人的管理来解决。
网络安全其实也是这个思路。传统的网络有边界,相当于围墙,出入口有防火墙,相当于门禁,各种检测系统,如IDS,相当于监控。随着移动办公,云应用的发展,边界开始模糊,安全变得越来越难控制。
以零信任为基础的访问控制,不再依赖边界,而是在每个需要控制的地方都加上门禁。零信任仍然要求持续监控,以此为代表的数据分析、运营等,相当于监控。
几个基本要求是要能够实现的:
- 所有敏感的地方都要求有门禁。有围墙的时候,部分区域是内部开放的,围墙去掉以后,这些地方就要改造,加上控制。
- 高效的访问控制管理。海量的门禁,没有集中、自动化的管理是不现实的。哪些人可以访问哪个系统,要统一管理,新人报到,自动获取哪些权限,员工离职,自动取消所有权限。这就要求有集中的身份管理和策略管理系统,及相关的配套自动化系统。新增的系统要加入统一管理,而不是独立再搞一套权限系统。
- 访问控制要有效,要在所有地方有效。一个系统有十个入口,如果只部署9个门禁,那这9个门禁就是形同虚设。如果很容易伪造身份通过的门禁,也是形同虚设。
- 弱化监控的作用。监控一般无法实时发现并解决问题,只能用于事后备查。监控是安全的必要补充手段,但仅依赖监控的安全不是好安全。
就是这么几个基本要求,现在其实都很难做到。
华为在安全上算是投入巨大的,但其权限管理部分,长期存在三套身份,Notes,Web,Windows域,三套系统互相独立,用起来很麻烦。后来去掉了Notes,付出很大的代价。一些应用,象数据库,Linux系统,交换机,其实都有独立的权限系统,一些内部用的测试系统,无法接入集中权限管理系统。重要的系统,单独组网或者使用堡垒机管理,但一些不重要的系统,还是容易被突破,并作为进一步渗透的跳板。这些都是安全隐患。
华为和Google有自开发自运营的特点(华为的内部应用很多自己开发的)都有这样的问题,更不用说其它公司。
绝大部分公司不具备这样的能力,需要怎么办?
理想的方案:
- 建设与改造。要建设集中统一的身份、资产、安全策略的管控能力。管理系统可以分布式,但安全必须中央集中管控。要把所有需要权限的地方加上访问控制,并且把这些访问控制都严格的管理起来。
- 细致的过程管理。有些地方装了门禁,但策略设置有问题,默认开放,完蛋了。比如防火墙,购买安装比较简单,但防火墙的策略配置及维护非常挑战,一些策略不能及时删除,就逐步成了窟窿,甚至还有防火墙配全通策略。有些VPN只用用户名密码登录,用户名密码丢失,离职员工或外包员工的权限不能及时自动化删除,就是巨大的雷。
- 持续的软件升级,确保漏洞能够及时处理。
- 及时有效的监控系统,确保例外能及时发现,并在发现后有能力快速弥补缺陷。
但是,绝大部分公司都做不到上边的任何一点,怎么办?找安全公司,希望通过花钱解决这些问题。
看看安全公司能做什么?
- 建设与改造。安全公司及相关的集成公司确实可以按照某些标准建设安全系统,比如权限管理,资产管理,但建设完成后,这个系统可能是孤立的。因为,建设之后的改造才是最挑战的。比如,要把一个应用接入到中央的管理系统中,这个很可能需要应用做适配改造,简单应用可能容易,一个大的ERP系统,做这种改造,即使甲方和安全公司合到一起,可能也搞不定。
- 持续的维护,即上边说的理想的2)和3)。这些细致繁杂的工作是安全里最重要的部分,但安全公司基本不干,因为真的很难赚到钱。
- 监控。这是安全公司比较擅长的部分,包括监控系统的建设,象IDS,NDR,SIEM,各种大数据分析等。实际上,最近几年安全公司的工作重点都在这上边,因为这东西基本不需要系统改造,即插即用。能够迅速看到表面效果,每天可以看到大量告警,以至于出现告警疲劳这样的情况(攻击真的有这么多吗?)。有些安全公司提供的服务托管MSS,基本也集中在通过监控分析处理问题上。
但实际效果呢?这就象一个园区,围墙,门禁不处理好,好人坏人随便出入,企图通过增加监控、增加看监控的人来解决安全问题,这是缘木求鱼。
这些问题如何解决?
安全问题非常严重,已经得到业界的广泛认同。上一代的网络、应用基本没有考虑安全问题,在病毒、攻击出现的时候,不得不依赖补丁的方式来处理,这种需求,客观上成就了安全产业。
在意识到这样的问题之后,新一代的系统,已经在设计的时候充分考虑安全问题,以公有云为例,VPC、安全组能够很好的取代防火墙。IAM有集中的权限管理,并且可以对接企业已有的域控等系统,OBS这样的对象存储,天然对接IAM实现完整细致的权限管理。这个时候,你就会发现,安全公司能提供的价值非常小了。其实手机相对PC时代,也基本沿袭了这样内生安全的思路。未来的应用系统,会越来越趋向于把安全功能设计进去,不再需要安全公司再增加安全的相关能力。这就是安全公司面临的最大挑战。
安全公司是卖产品和服务的,它并不对最终的安全结果负责,有点象雇佣兵。雇佣兵可以帮你完成某个任务,但国家的安全绝对不能完全依赖雇佣兵。大型企业最终会强化自身的能力来解决安全问题,其实,移动控股启明星辰就是这种思想的具体表现。所以,虽然这些大型企业的安全投资在增加,但这些投资并不一定能够支付给安全公司。
当系统开始在设计中集成安全功能的时候,作为外挂,安全公司的价值会越来越小,所以,可以说,网络安全越来越重要,并不意味着安全公司会越来越赚钱。
再重复一遍结论:
今天的网络安全产业很难,有大环境的原因,更有安全产业自身的问题。安全产业的底层逻辑的变化,导致安全企业会越来越难,以至于它不一定会随着大环境变好。