5G时代的网络安全风险趋势与产业应对思考( 二 ) 作者：安天科技集团肖新光潘

文章图片
网络安全五个基础能力
从上世纪八十年代，随着计算机在更大范围使用，特别是PC革命带来的计算普及，政企侧小型局域网络也开始构建，安全运营与IT管理实现了流程耦合，达成了信息资产初始的识别和故障运营能力。上世纪九十年代开始，伴随着DOS系统不断成熟的反病毒软件广泛安装在被防护的主机之上，实现了防护能力与被保护目标的耦合，这是占用被保护主机资源算力来达成安全的耦合方式,早期的病毒扫描+TSR（内存驻留）中断监控，在后续以Windows为主的系统环境下，逐渐完善出病毒检测查杀、实时行为防护、介质管控、主机流量监测和连接拒止等能力。 2000年前后，安全威胁跟随网络发展的快速流转扩散，单纯端点侧的“个体安全能力+集中管理”的方式缺少足够的防御纵深，流量侧的安全检测能力与独立的载体设备相结合，采用直路或旁路接入与网络结构进行耦合的方式来构建网络侧的统一入口检测能力。 2010年左右，用户发现仅靠实时的检测与防护依然不足以有效对抗更深度的安全威胁，特别是像APT攻击这种长周期、高度定向性的安全威胁，需要构建异步分析检测-响应环，从而耦合出安全响应流程。从2020年开始，更多的安全管理者开始认识到，随着大量的智能终端设备、传感器、互联网设备的接入；以及数据和业务和资产价值更多的向云中分布，用户的原有的安全部署能力、响应干预能力都被严重削弱，更需要安全基因在源头开始沉浸，实现与信息产品深度耦合来支撑安全环境的塑造。
这种原生融合的安全能力，是构建5G时代新安全体系的基础。同时我们也要看到，安全能力对算力和资源有较高需求。而所有新的IT场景革命事实上都是从一个低算力起点重新开始。无论是上世纪80年代初，中型机、大型机与刚刚出现的个人计算机，还是在本世纪初把PC机与刚刚登上历史舞台不久的智能手机进行配置对比，都可以看到这种新场景的“算力降级”特点。而对于攻防对抗来说，防御是一个体系，攻击则从单点入口开始，因此在新的低算力场景，安全能力构建在资源上处于相对被动和局促之中。因此，也需要关注安全算力和形态的演进趋势。端点系统安全场景随着大量智能终端、甚至传感器的加入，端点安全算力形态的重要趋势是原生化，即深度耦合到终端系统中；而传统的网络流量监测设备，随着流量场景重心成为云平台场景，流量监测算力形态演进趋势则是云化，即成为云端的安全资源池；从安全管控角度，从SIME、SOC到SOAR ，在持续尝试建构统一化平台的努力中，很多用户反而发现，随着网络资产规模的日趋扩大，仅靠一个统一的管理中心，很难同时实现宏观的管理运营全面覆盖、又能敏捷达成微观对抗的战术指挥。因此，安全管理的算力形态的演进趋势是走向统一管理和自治可恢复弹性的结合，当前一些用户提出双SIEM/SOC模式，把支撑威胁对抗的XDR平台，从大型SOC或SIEM中独立出来，都是这种趋势的体现。因此如果把安全的算力需求分布和IT的算力需求分布叠加，就会发现安全算力和应用算力并不是均质分布的，一方面实时化检测防御算力跟随IT算力同步分散化，而异步的检测、分析算力，包括管理算力资源则呈现全局或局部集中化部署特点。
通过前面的总结，我们就可以看到在5G+IoT时代安全能力融合相对于传统安全面临着一系列困难。