應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

“云”安全了嗎?

2020-04-02 09:10 盈動資本

導(dǎo)讀:企業(yè)該如何保護(hù)業(yè)務(wù),更好地應(yīng)對日益增長的威脅,這都是留給網(wǎng)絡(luò)安全的巨大增長空間。

2020年開年至今,疫情擴散到全球,呈愈演愈烈之勢;美股連續(xù)熔斷,不限量放水救市。突發(fā)事件的爆發(fā),所帶來的集體不安全感急劇上升。

生存的物理空間受限,線上行為時長激增,游戲、社交、辦公...我們賴以生存的「云」,可能比現(xiàn)實世界更加危險。

「云安全」和「數(shù)據(jù)安全」,在業(yè)內(nèi)有很多不同的定義,簡單來說,云安全就是為云服務(wù)提供的安全方案,而數(shù)據(jù)安全是為數(shù)據(jù)本身和數(shù)據(jù)處理系統(tǒng)提供的安全方案。在實際的業(yè)務(wù)場景中,兩種類型的安全方案需要結(jié)合客戶的實際需求同時運用,從而保護(hù)客戶的云服務(wù)、數(shù)據(jù)、應(yīng)用和基礎(chǔ)架構(gòu)。

近幾年的技術(shù)發(fā)展和商業(yè)形態(tài)變化很快,讓相應(yīng)的安全概念在熱度上也隨之發(fā)生了快速的變動,但云安全和數(shù)據(jù)安全始終高居最火熱的安全話題榜首?!竿{檢測」和「網(wǎng)絡(luò)安全」通常是頭等大事,但是數(shù)據(jù)表明,行業(yè)中的人們更加關(guān)注數(shù)據(jù)和應(yīng)用程序的安全性。

2020年全球網(wǎng)絡(luò)安全熱詞Top20(圖源:數(shù)說安全)

安全一直是盈動重點觀察的賽道之一,目前已經(jīng)布局了默安科技和全知科技等一線公司,今天總結(jié)一下我對這條賽道的一些觀察。

1、從美國市場看本土

2019年,美國聯(lián)邦貿(mào)易委員會(FTC)對 Facebook 侵犯隱私的調(diào)查事件以 Facebook同意支付50億美元的賠償金告終。這一事件大幅提升了全世界對信息安全的關(guān)注,也讓人們意識到信息安全市場的增長潛力。

在這一事件的驅(qū)動下,F(xiàn)ortinet、Okta等美國頭部云安全公司市值都超過了百億美元,以Illumio為代表的明星安全初創(chuàng)公司也獲得多輪融資。國內(nèi)以綠盟、深信服、啟明星辰等上市公司為代表的老牌安全公司依舊強勢,2019年下半年至今,安全初創(chuàng)企業(yè)的融資、并購事件數(shù)量顯著增長。

從20世紀(jì)90年代后期開始,美國將網(wǎng)絡(luò)安全問題上升到國家安全戰(zhàn)略的高度,頒布了一系列政策性文件,從技術(shù)層面、資源層面、信息層面到法理層面,搶占全球網(wǎng)絡(luò)空間制網(wǎng)權(quán)和制高點。

美國總體市場格局巨頭較為固定:

一是思科、微軟、甲骨文、英特爾、蘋果、谷歌等一系列掌控著核心技術(shù)的產(chǎn)業(yè)巨頭;

二是賽門鐵克、趨勢、飛塔等綜合性網(wǎng)絡(luò)安全企業(yè),和FireEye、Palantir等具體領(lǐng)域的專業(yè)化企業(yè);

三是波音、洛馬等具有超強整合能力的網(wǎng)絡(luò)安全承包商。

最近幾年隨著云計算的快速普及,前文提到的云安全廠商市場份額也在快速增長,形成了一塊相對獨立的市場。

根據(jù)Gartner、Forrester等機構(gòu)的數(shù)據(jù)和預(yù)測,到2023年,全球信息安全綜合支出將超過300億美元。在國內(nèi),信息安全的市場規(guī)模由2017年的39.45億美元增至2019年的60.43億美元,復(fù)合增長率超過20%。

在政府的保護(hù)下,美國市場為創(chuàng)新型中小企業(yè)提供了較大的生存空間,中情局還專門成立了一家名為In-Q-Tel的風(fēng)險投資公司。從全局來看,近些年美國的頭部安全公司都在快速擴張產(chǎn)品線,在銷售上采用“一站式”打法,導(dǎo)致相互的合作受到很多限制,對創(chuàng)業(yè)公司發(fā)展也非常不利。

從過去的經(jīng)驗看,美國市場的自我修正能力很強,后續(xù)是否會延續(xù)這個趨勢,還有待觀察。

反觀中國本土的安全生態(tài),目前更多是在資本運作方面對美國的借鑒。之前國內(nèi)只有上市這一條出路,但從2019年的投資并購事件可以看到,中國國內(nèi)對于安全初創(chuàng)企業(yè)的扶持以及資本運作的理解已經(jīng)更加完善。

總體來看,雙方都在取長補短,完善自身的產(chǎn)業(yè)生態(tài),這是一個目前可以看清的重要趨勢。

2、安全行業(yè)的三個痛點

01-中國信息安全的行業(yè)驅(qū)動力主要來自政策監(jiān)管和安全事件。

公司不出事,安全不花錢。出于這種心理,直到幾年前,大多數(shù)國內(nèi)公司對云和數(shù)據(jù)安全的認(rèn)知仍舊停留在僅滿足政策的最低標(biāo)準(zhǔn)上。隨著國內(nèi)云計算產(chǎn)業(yè)的高速發(fā)展,很多公司開始主動上云,而云安全也在國內(nèi)大型云廠商的帶領(lǐng)下快速發(fā)展。2014年阿里云遭受當(dāng)時最大規(guī)模的DDOS攻擊,之后針對國內(nèi)網(wǎng)絡(luò)的攻擊量級和頻率快速增加,安全風(fēng)險帶來的經(jīng)濟損失很快讓政府意識到了云安全的重要性。

2018年掀起的貿(mào)易戰(zhàn)風(fēng)波也讓政府加快了所有知識產(chǎn)權(quán)和安全自主可控的步伐。

2019年中國政府落地了網(wǎng)絡(luò)安全等級保護(hù)2.0制度,護(hù)網(wǎng)行動涉及范圍大幅度拓寬,這一系列針對云和數(shù)據(jù)安全的政策和行動體現(xiàn)了政府強化國內(nèi)網(wǎng)絡(luò)安全的決心。

同時,這一系列舉措也刺激了國內(nèi)的安全市場:一方面,政府需要采購安全檢測、審計類的產(chǎn)品和服務(wù),來對各個具體公司和組織進(jìn)行檢查;另一方面,政府監(jiān)管導(dǎo)致各經(jīng)濟主體產(chǎn)生大量安全體系升級、擴充的需求,進(jìn)而導(dǎo)致對安全人才、產(chǎn)品和服務(wù)的需求激增。

意料之外的疫情爆發(fā),也讓平日粉飾太平的安全假相毀于一旦。疫情期間大量公司業(yè)務(wù)和管理系統(tǒng)被迫上云,沒有做好足夠的安全防護(hù),導(dǎo)致服務(wù)器崩潰、網(wǎng)絡(luò)斷線、刪庫、數(shù)據(jù)泄露等問題大量爆發(fā),讓大量公司切身體會了不重視信息安全帶來的后果,進(jìn)而催生了大量對安全業(yè)務(wù)的需求。

微盟刪庫事件:2月23日晚,微盟的 SaaS 生產(chǎn)環(huán)境和數(shù)據(jù)遭到破壞,300萬商家生意停擺超48小時,直到3月1日晚間,微盟才把數(shù)據(jù)全部找回。這一事件不僅影響了微盟的公司業(yè)務(wù)、股價和社會形象,更讓大量公司意識到信息安全方面的隱患事實上普遍存在。

刪庫事件的根源是公司缺乏完善的運維安全管理體系。運維人員是企業(yè)數(shù)據(jù)維護(hù)的必要角色,但也同時給企業(yè)數(shù)據(jù)帶來了防不勝防的隱患。數(shù)據(jù)庫賬號密碼管理松散、管理權(quán)限不嚴(yán)謹(jǐn),導(dǎo)致易發(fā)生越權(quán)操作行為,數(shù)據(jù)難以恢復(fù)、敏感數(shù)據(jù)得不到有效保護(hù)、數(shù)據(jù)庫內(nèi)部操作無法準(zhǔn)確溯源等問題都非常常見。

要杜絕這類惡意操作事件,需要在管理和技術(shù)層面上雙重把控。管理層面:企業(yè)文化、員工關(guān)懷、普法教育都需要更加重視;技術(shù)層面:增強運維過程的管控、強化賬號管理和權(quán)限控制、增加復(fù)核環(huán)節(jié)等等都是必要手段。

微博用戶數(shù)據(jù)泄露:3月19日上午,默安科技CTO云舒發(fā)微博稱“很多人的手機號碼泄露了,根據(jù)微博賬號就能查到手機號”。根據(jù)他在微博上的表述,數(shù)據(jù)泄露的原因或是由于微博在2019年被人通過接口“薅走了一些數(shù)據(jù)”,而不是所謂的“數(shù)據(jù)拖庫”。

此次微博個人信息數(shù)據(jù)泄漏原因有很多,很多常見的攻擊方式如“撞庫”、“漏水”、通訊錄好友匹配攻擊等,都可以造成個人信息數(shù)據(jù)的泄露?,F(xiàn)今數(shù)據(jù)泄露已成為互聯(lián)網(wǎng)行業(yè)的典型事故,甚至可以稱作“新常態(tài)”,國內(nèi)外多家知名公司、網(wǎng)站在不同時間都遭遇過數(shù)據(jù)泄露事件。

要防范數(shù)據(jù)泄露事件的發(fā)生,個人層面需要有意識地做好個人信息的管理和安全檢查,比如密碼盡量不要用容易被聯(lián)想的數(shù)字、不同賬號用不同的密碼等。從公司層面,除了做好數(shù)據(jù)庫的安全防護(hù)、對業(yè)務(wù)流程管控更加嚴(yán)格外,也需要在業(yè)務(wù)體系的設(shè)計和思想上作出改變。已有安全行業(yè)人士建議大公司盡量關(guān)閉通訊錄匹配功能,如果開啟,必須對此接口進(jìn)行各種數(shù)據(jù)泄漏監(jiān)測和流控/風(fēng)控措施。

這兩起事件的接連爆發(fā),表明企業(yè)的安全壁壘并不如我們所想象的那樣堅固,這次暴露出來的只是其中的一部分,更多的漏洞亟待修補。希望這兩起事件的爆發(fā)能為整個行業(yè)敲響警鐘。

02-對于大部分企業(yè)來說,如何做好公司的云和數(shù)據(jù)安全,是一個全新的課題。

中國整體的信息安全市場規(guī)模將隨著云計算市場規(guī)模的增長和對數(shù)據(jù)安全的重視而快速崛起。根據(jù)ESG的年度IT支出意向研究報告,到2020年,有62%的組織將增加網(wǎng)絡(luò)安全支出,其中科技企業(yè)最有可能增加網(wǎng)絡(luò)安全支出,其次是制造業(yè)和零售/批發(fā)業(yè)。

這不僅是公司IT系統(tǒng)的任務(wù),而是對組織架構(gòu)、責(zé)任分級、事態(tài)監(jiān)控、平衡支出等公司運營的全方位挑戰(zhàn)。越來越多的公司認(rèn)識到:安全應(yīng)當(dāng)是CEO、CIO和公司董事會的重要任務(wù)。此外,企業(yè)網(wǎng)絡(luò)安全投入的增加,也意味著當(dāng)前市場已有的產(chǎn)品并沒有滿足客戶的預(yù)期。

放眼世界,這也是大勢所趨。國外很多大型公司都為企業(yè)安全投入了大量資金,越來越多的公司不斷改進(jìn)自己的組織架構(gòu)和業(yè)務(wù)流程,以適應(yīng)新環(huán)境下的安全挑戰(zhàn)。

以谷歌為例,為了讓谷歌員工都可以在不借助VPN的情況下通過不受信任的網(wǎng)絡(luò)順利開展工作,從2011年起谷歌就開始實施BeyondCorp架構(gòu),這一行動持續(xù)至今,積累了大量技術(shù)和實踐成果,甚至在《login:》雜志上發(fā)表了6篇BeyondCorp相關(guān)的論文。

這其中的技術(shù)細(xì)節(jié)不詳細(xì)展開,從結(jié)果上看,BeyondCorp如今已融入大部分谷歌員工的日常工作,在零信任安全領(lǐng)域具有教科書級的意義。而BeyondCorp作為一個零信任安全模型而非一個產(chǎn)品,谷歌僅僅抽象其一部分能力做成了商業(yè)化的產(chǎn)品(IAP)在谷歌云平臺(GCP)上發(fā)布,這也在某種程度上助力GCP在工程實力上敢于聲稱自己是世界上最安全的云平臺。

03-除了系統(tǒng)層面的薄弱外,由于員工信息安全意識薄弱所帶來的安全隱患也不可忽視。

使用家庭環(huán)境中的缺乏防護(hù)的個人設(shè)備進(jìn)行辦公、使用容易被攻擊的家庭網(wǎng)絡(luò)、個人設(shè)備接入公司內(nèi)部網(wǎng)絡(luò)、冒充同事領(lǐng)導(dǎo)的釣魚事件...,這些都是遠(yuǎn)程辦公方便穩(wěn)定的表象下所存在的安全隱患。對員工的網(wǎng)絡(luò)安全意識的教育不可松懈,沒有公司希望因為員工缺乏網(wǎng)絡(luò)安全意識而亡羊補牢。

關(guān)于其中的市場機會,我認(rèn)為:員工信息安全意識的培訓(xùn)目前還不是一個成熟的市場,原因是受眾面相對較窄,付費意愿不強。比如谷歌并沒有要求全員進(jìn)行高強度的安全培訓(xùn),而是通過安全體系的強化讓員工無感知地享受安全環(huán)境的提升,這也可能是未來的主流趨勢。

當(dāng)然,對于安全從業(yè)者來說,安全意識的培訓(xùn)還是很有必要。谷歌在這一點上,一方面是建立起各種云安全的標(biāo)準(zhǔn)與認(rèn)證,與培訓(xùn)組織、專業(yè)機構(gòu)合作普及云安全意識,未來可能會投入大量資源,進(jìn)行更專業(yè)的培訓(xùn)和市場營銷活動;另一方面,讓安全主管轉(zhuǎn)變安全思路,與合作伙伴緊密協(xié)作開發(fā)云平臺的垂直行業(yè)應(yīng)用,并將這些垂直行業(yè)上的工作推廣到行業(yè)內(nèi)的安全體系內(nèi)。

3、未來,潮水將會怎么推?

隨著新冠疫情在全球主要經(jīng)濟體的蔓延,人們的行為從線下持續(xù)轉(zhuǎn)向線上,這給全球的網(wǎng)絡(luò)環(huán)境帶來了巨大的挑戰(zhàn)。美國遠(yuǎn)程辦公人數(shù)在兩周內(nèi)激增15%;英國的基礎(chǔ)電信服務(wù)大面積故障導(dǎo)致民眾無法打電話、發(fā)短信和上網(wǎng);法國網(wǎng)絡(luò)流量創(chuàng)歷史新高,勒索軟件攻擊頻發(fā)。過去三周全球新域名注冊數(shù)量比同期增長了10倍,其中1月份以來已經(jīng)有1.6萬個與新冠病毒相關(guān)的新域名被注冊,其中超過50%都與惡意軟件活動有關(guān)。

但是混亂也意味著機會,機會往往留給有準(zhǔn)備的企業(yè)。這次疫情的全球性流行極有可能改變社會習(xí)慣,并給人們的日常生活方式帶來巨變,一些行業(yè)也會迎來不可逆轉(zhuǎn)的改變。短期來看,如何應(yīng)對當(dāng)下的網(wǎng)絡(luò)安全壓力,是很多企業(yè)迫切需要解決的問題;長期來看,疫情以及“新基建”等概念帶來的經(jīng)濟結(jié)構(gòu)變化會成為新的網(wǎng)絡(luò)安全機遇的根源。

安全行業(yè)的發(fā)展機會將從兩方面得到驗證:

一方面,過去主流的主機防護(hù)仍舊是基礎(chǔ),但基于云架構(gòu)和針對數(shù)據(jù)的安全體系將被快速、廣泛地結(jié)合進(jìn)現(xiàn)有的安全體系得到實踐,以符合政策的監(jiān)管和企業(yè)的需求;

另一方面,對應(yīng)這些產(chǎn)業(yè)的安全需求將更加細(xì)化,以實現(xiàn)更加嚴(yán)格的安全防護(hù),因此安全行業(yè)的產(chǎn)業(yè)鏈環(huán)節(jié)、能力類別、產(chǎn)品形態(tài)將更加細(xì)分。這不僅代表產(chǎn)品化能力強的公司有更加獨立的機會,也意味著加密運算、零信任、通信鏈路安全等一些新興的安全思路會有快速發(fā)展的契機。

企業(yè)該如何保護(hù)業(yè)務(wù),更好地應(yīng)對日益增長的威脅,這都是留給網(wǎng)絡(luò)安全的巨大增長空間。