自2021年延续至最近,大规模断网事件频发、关键信息基础设施屡遭攻击、Log4j2漏洞波及全球,诸事件引发了各界对于未来网络安全形势的担忧。

2021年,经历了多部网络安全、数字安全相关律法的颁布、实施,以及数字安全元年的落地,数字经济得以向前大幅迈进。2022年3月4日、3月5日“两会”先后开幕,在政府工作报告以及人大代表提案中系列网络安全热词频频出现,引发业界广泛进一步关注。

01

薄弱环节频现:基础设施防御力、数据安全、隐私保护、AI伦理

3月9日-10日,「CIS 2021网络安全创新大会Spring·春日版」(以下简称CIS 2021大会春日版)开启线上直播。此次大会以“刷新认知,安全生长”为主题,由网络安全行业平台FreeBuf主办,主讲人和行业观众共同探讨行业前沿话题,分享深度安全议题。

上海斗象信息科技有限公司斗象科技CTO徐钟豪在《信息秩序:网络安全复杂性思考》中提到:“当下俄乌闪电战下的网络战其实早有端倪,早在2013年两国的网络战争就已开展情报工作、漏洞利用、钓鱼文件攻击、定向后门、窃取机密、数据擦除等攻击。”两国的网络战给予我们启示,企业需要强化实网攻防对抗能力,加强基础设施防御能力,协同威胁分析、响应与传播,增强安全智能分析的能力,提升专业人员运营能力。

“杀毒、VPN、入侵检测、威胁检测与响应、云原生安全、零信任”,围绕以上关键词,IDC中国Associate Reseach Director James Wang继续分享全球baohu未来信任体系建设发展趋势,他举例:“酒店建成营业需要消防过关,但目前在IT企业并没有形成此类严格的安全标准,重IT轻安全仍是现在很多企业的现状。”在未来的数字世界,企业应该的IT建设应该信任优先。

小米高级安全工程师吕莹楠则在现场探讨了人工智能应用中的隐私保护与伦理挑战。她表示:“隐私保护、数据安全和AI伦理是当前人工智能面临的挑战,人工智能应该向善,拒绝形成信息茧房。”网络安全落地过程中会产生大量摩擦,包括合规成本不断增加、安全威胁增多、新老技术之间的磨合和对抗等,行业内的相关服务平台需要打造控制、检测、响应与验证闭环的安全矩阵。

02

软件开发流程左移明显  DevSecOps可弥补开发与安全间的缺失

随着数字化浪潮的席卷,软件开发流程左移愈发明显,DevSecOps的出现弥补了开发和安全之间的缺失,是未来重要的发展方向,广受业界人士的关注,如何真正在企业中落地DevSecOps成为企业需要思考的问题

软件开发模式由传统的瀑布式、敏捷式转向DevSecOps,可以大大加速软件开发、交付的速率。但是,DevSecOps软件供应链存在“看不清、查不到、防不住”的安全痛点,针对软件供应链的安全攻击事件也层出不穷,社会影响越来越大。

对此,悬镜安全创始人&CEO子芽分享到了“软件疫苗技术”的新概念:“指的是软件运行时风险自发现及威胁自免疫,就如同人体免疫细胞一样。”这和传统外挂式安全有着本质的区别,DevSecOps敏捷安全工具金字塔将容器安全挪至第一层,并在此基础上加入了AS(入侵与攻击模拟),而此前在第一层的EDR则进入传统建设层;第二层则新加入了AVC和VPT,进一步强化安全漏洞、弱点的关联效应,辅助安全测试落地。软件疫苗技术核心有两个方面一是IAST技术二是RASP技术,并将持续进行演进,实现运行时敏感数据追踪。

当然,任何一项新兴技术出现,都有与其适配的时代背景和适用场景,不存在绝对性的好坏批判。

未来的市场要求DevSecOps具备业务透视及数据协同分析能力,并更关注CI管道、CD管道、容器、API等应用基础设施安全及人为因素引入带来的异常风险的发现和积极性预防,最终目标是帮助企业组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付的体系,向着安全可信应用的方向发展。

03

关于DevSecOps的落地实践:有待被市场推敲

安全是软件的生命线,随着开源技术的引入和快速开发、迭代的进行,软件开发面临着巨大的安全风险。基础研发与运维体系的多样化,使安全管控和动作落地无法统一进行,而在上云的大趋势下,老的问题依旧存在,新的问题层出不穷等。

在这样的情况下,DevSecOps落地势在必行,将安全工作前置,柔性嵌入开发流程之中,故而安全治理角色不再局限于安全人员,可在研发早期发现安全漏洞,从而降低软件漏洞的修复成本

DevSecOps始终围绕“流程、技术、人和文化”展开落地,企业应持续进行安全意识培训,鼓励团队自治,每个人参与到安全,为安全负责,达成共识和认知。而DevSecOps落地技术关键点分别是自动化测试、关键点、基于CI和CD的安全嵌入和工具链建设,目前已在行业内实现多平台适配与覆盖、统一标准化数据上报、统一度量与推动的服务平台已浮现,腾讯云为其中代表性企业。

另外,腾讯云产品安全负责人、云鼎实验室安全总监张祖优表示:“在推行DevSecOps模式时,企业需要注意将DevSecOps模式与自身业务相适配,这点尤为重要。”DevSecOps在发展过程中持续进行着演变且逐渐成熟,但不同阶段的理论成熟度与实践存在较大的差异,需要深入理解及建立自己的模型。

在圆桌论坛环节,数位主讲人就主持人提出的问题分享了自己的看法和经验,总结为以下三大价值性观点

1、开源是不可逆之大势。针对封闭系统的更新、演化,以及大量的业务实际需求,企业对于开源具有巨大需求;

2、DevSecOps解决的不仅仅是开发安全性问题,既可左移到代码,又可提供安全运维,是一个庞大的安全体系。

3、针对安全左移和右移的解决措施,目前已经具备落地实践案例,但还有待进一步在市场中被推敲

04

开源技术带来弊端  SCA与PaaS助力开源安全治理

相关数据显示,2021年中国网络安全产业进入发展的“快车道”,继2020年产业规模实现10.6%的高速增长,2021全年我国网络安全产业规模达2002.5亿元人民币,同比增幅达15.8%

随着数字化的进一步发展,企业对于开源的需求越来越大。而随着开源技术的大量使用,企业迎来了诸多新的问题,包括组件漏洞风险、供应链攻击风险以及过维护期的组件隐藏风险等,以上问题给业务带来了直观的影响,企业亟需进行开源安全治理

企业该如何确保开源软件的安全?软件安全质量如何有效检测?庞大的开发团队如何有效管理?以及出现开源问题后如何快速响应?

针对以上这些问题,企业必须重视开源情报,充分利用SCA安全检测技术,统一安全检测标准,做好开源软件源头管控,从源头、开发到运维形成闭环管理,加以利用SCA掌握开源软件资产视图(SBOM)和PaaS平台实现自动化检测修复,在最大化程度上控制开源技术的漏洞和问题。

其中,关于面向指导运用SCA,美团高级信息安全工程师李中文表示:“软件成分安全分析(SCA)可有效解决资产透视、开源组件风险发现、开源组件的依赖分析、风险修复及运营、风险透视等问题。”未来SCA能力建设将更加侧重资产数据、风险数据和安全基线三个方面,并建立反向数据对账机制保证资产数据的完整性,建立数据链路检查机制保障数据链路可靠性,前置风险信息获取,提高风险信息获取质量。关于PaaS的建设与使用,中国电信上海研究院安全专家游耀东东总结道:“PaaS安全工具能力建设主要分为三个方面,一是基线扫描工具;二是日志采集,可监控PaaS平台组件的使用情况;三是安全检测能力,确保开发时可形成开源清单,快速找到问题所在。”

回望2021年,《个人信息保护法》、《关键信息基础设施安全保护条例》、《数据安全法》等多部国家政策法规相继出台,有力地强化了数字在未来社会经济发展进程中的重要驱动力作用

国际环境日趋复杂,全球产业链、供应链遭受冲击,网络空间安全面临的形势持续复杂多变,网络空间对抗趋势更加突出。网络安全相关服务企业需积极探索以网络弹性技术为代表的网络风险防范能力、以安全多方计算为代表的数据隐私保护技术,助力加速完善升级网络安全创新体系。

然而,未来的网络安全蓝图会以怎样的面貌面世?

由此,借用斗象科技CEO、FreeBuf联合创始人谢忱分享的网安平行宇宙的新概念,“数字化安全在中国的建设和发展有可能与海外形成’平行宇宙’。”加以回顾2021年,中国的网络安全产业已然迅速回暖,前具备“万亿蓝海”的潜力