2022年，產業(yè)互聯(lián)網如何重建安全邊界？

科技云報道原創(chuàng)。

尼葛洛龐帝在《數字化生存》一書中寫道，數字不再只和計算機有關，它決定我們的生存

當人類真正進入到數字化時代，數字化浪潮為全球產業(yè)發(fā)展變革帶來了巨大的變化，數據交換已經成為全球普遍的態(tài)勢，且快速產業(yè)化。任何數字化創(chuàng)新創(chuàng)造，都有可能發(fā)生跨行業(yè)、跨領域的“級聯(lián)效應（由一個動作影響系統(tǒng)而導致一系列意外事件發(fā)生的效應）”。尤其是數字化與傳統(tǒng)行業(yè)的融合，為產業(yè)提出了前所未有的安全挑戰(zhàn)。

近日，人民郵電報、中國信息安全、騰訊安全聯(lián)合實驗室、騰訊研究院聯(lián)合發(fā)布的《2022產業(yè)互聯(lián)網安全十大趨勢》指出，傳統(tǒng)的安全模式已經難以匹配以創(chuàng)新為主要內核、快速發(fā)展變化、大量新要素疊加的數字經濟發(fā)展。2022年，業(yè)界有必要在鞏固現(xiàn)有安全技術和防御思路、體系以及產業(yè)鏈的同時，突破現(xiàn)有的網絡安全邊界，重建產業(yè)安全定位。

當數字創(chuàng)新“級聯(lián)效應”打破傳統(tǒng)安全邊界，基于數據深度應用的產業(yè)互聯(lián)網該如何應對更復雜的安全挑戰(zhàn)？圍繞數據應用，又有哪些相關的產業(yè)安全技術和趨勢值得關注？

?

數據訪問：零信任走向落地，反對泛化、濫化、概念化

數字化時代，傳統(tǒng)的物理邊界被徹底打破，作為無邊界化趨勢下的新安全理念，零信任正在走上神壇。

據知名咨詢機構Gartner發(fā)布的“2021年企業(yè)網絡技術成熟度曲線”顯示，零信任已走過了低谷期，進入了穩(wěn)步爬升的光明期。Gartner預測，到2023年，60%企業(yè)會逐步淘汰虛擬專用網（VPN）方式，采用零信任網絡訪問來進行遠程方案。

簡單而言，零信任的本質在于以“人”為中心進行訪問控制。

目前，多云混合模式下遠程辦公和移動辦公常態(tài)化，使網絡攻擊者開始瞄準身份和訪問管理功能以實現(xiàn)長期潛伏。因此，零信任崇尚在不可信的網絡環(huán)境中，以身份為核心，基于認證和授權的訪問控制管理重構可信的、安全的網絡框架，滿足異構網絡的安全需求，解決因網絡環(huán)境開放，用戶角色復雜引發(fā)的各種身份安全風險、設備安全風險和行為安全風險。

在零信任理念的引導下，安全體系架構正在從“網絡中心化”走向“身份中心化”，并通過持續(xù)的動態(tài)評估手段不斷分析整個網絡訪問的安全態(tài)勢，動態(tài)授予訪問者權限。

作為一種標志性的安全理念，零信任無疑擁有廣闊的市場前景。全球眾多安全廠商都已推出了零信任相關的解決方案和產品，如：谷歌、微軟、思科等歐美IT企業(yè)領銜布局零信任；國內騰訊安全、奇安信、深信服、網宿科技等相繼圍繞零信任重磅加碼，零信任有望成為產業(yè)安全下一輪爆發(fā)點。

爆紅的零信任，也吸引了大批資本入場。過去幾年，海外已有多家零信任SaaS公司登陸資本市場。其中的龍頭企業(yè)Okta，股價五年成長超10倍，市值從2017年上市首日的21億美元，達到如今的263億美元。

在國內，據不完全統(tǒng)計，2021年國內零信任市場已完成近十起大額投融資，包括派拉軟件、繹云、持安科技、數鵬科技、數安行、易安聯(lián)、芯盾時代、多鵬科技、數蓬科技等在內的多家創(chuàng)新企業(yè)，獲得了從數千萬到數億元的大筆融資。

盡管零信任得到了業(yè)界的一致認可，但是對于大多數企業(yè)來說，零信任架構的落地時機和方法依然存在諸多疑慮和爭議。據Forrester最新發(fā)布的《New Tech: 2021年第二季度零信任網絡訪問》報告稱，零信任實施過程的各種坑點和布置難度，仍讓不少人望而卻步。

事實上，“條條大道通羅馬”的零信任，有著多種框架和實現(xiàn)路徑。對于不同行業(yè)、規(guī)模和需求的企業(yè)來說，如何理解零信任概念方法，如何選擇適合自己的零信任道路，如何提高安全技術和投資的有效性，都是眼下企業(yè)用戶最關切的話題。

由于零信任尚未實現(xiàn)大規(guī)模應用，在部分場景中的應用難度較高，因此行業(yè)中的零信任應用也呈現(xiàn)出“魚龍混雜”的特性?；诳蛻魧π赂拍?、新趨勢的歡迎，大量安全服務商采取“新瓶裝舊酒”的手段，將一些舊產品冠以零信任的概念重新打包兜售，實際上并未為行業(yè)提供增量服務價值和產品、技術創(chuàng)新。

對此，《2022產業(yè)互聯(lián)網安全十大趨勢》指出，2022年，基于零信任思路的產品化探索，會基于客戶的需求更重實效，以解決現(xiàn)實訴求為目標獲取市場。行業(yè)共同反對零信任的泛化、濫化和概念化將會成為共識。

數據使用：隱私計算逐步完善，讓數據安全有序流通

數據時代，一方面國家要建設數字經濟社會，支持數據開放共享、互聯(lián)互通；但另一方面，數據開放共享帶來的安全問題受到高度關注。近年來，跨領域、跨行業(yè)、跨地域之間的數據流通，大大加速了數據泄露的安全問題。據Canalys統(tǒng)計報告，2020年數據泄露呈現(xiàn)爆發(fā)式增長，一年內的泄露記錄超過過去十五年總和。

在產業(yè)互聯(lián)網數據泛濫的大背景下，如何解決數據要素流通和數據隱私泄露之間的矛盾，成為釋放數據市場價值的關鍵。隱私計算以其“數據可用不可見”的特性，打開了這一問題的技術突破口。

隱私計算是在保護數據本身不對外泄露的前提下，實現(xiàn)數據的分析計算。針對不同的應用場景、信任環(huán)境和需求，將不同技術、算法、接口集成在一個平臺上，并結合人工智能、機器學習、區(qū)塊鏈等跨學科技術，隱私計算為用戶提供綜合的解決方案，使得“不分享數據、但分享數據的價值”成為可能。

目前，隱私計算領域主流的技術路線包括三類，即多方安全計算（MPC）、聯(lián)邦學習、可信執(zhí)行環(huán)境（TEE）。其中，前兩種方式主要是在軟件和算法層面實現(xiàn)隱私計算，而可信執(zhí)行環(huán)境則是基于硬件實現(xiàn)。

隨著《中華人民共和國民法典》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律的陸續(xù)出臺，國內對于數據安全的合規(guī)監(jiān)管日趨嚴格，進一步推動了隱私計算市場的爆發(fā)。根據中國信通院測算，國內隱私計算市場規(guī)模將在三年內年觸達200億的技術服務營收空間，撬動千億級別的數據平臺運營收入空間。

巨大的增量市場，意味著新賽道的誕生。目前，頭部互聯(lián)網企業(yè)、金融機構、區(qū)塊鏈公司、初創(chuàng)型科技公司等各類玩家已紛紛入局，探索隱私計算技術。如：騰訊、螞蟻金服、百度等頭部互聯(lián)網公司均已加快隱私計算領域的布局，形成了跨業(yè)務、多團隊、強支撐的發(fā)展態(tài)勢。

巨頭之外，初創(chuàng)型科技公司正在成為隱私計算賽道的主力選手。據不完全統(tǒng)計，從2020年至今，至少已有8家隱私計算企業(yè)獲得融資，如：洞見科技、星云Clustar、融數聯(lián)智等。

政策、技術、資本一系列的“組合拳”下來，極大地推動了基于“隱私計算”的數據共享產品的應用落地。目前隱私計算技術主要應用于金融、醫(yī)療、政務等領域場景

首先，金融業(yè)以其天然的數字化基因和科技創(chuàng)新的先行者角色，最先開始結合隱私計算技術對實際業(yè)務融合探索，重點試點業(yè)務包括：信貸風控，反欺詐和反洗錢等場景。

相比于傳統(tǒng)業(yè)務解決方案模型的低效率、低準確性、低實時性和低數據維度，隱私計算帶來的的高質量數據價值，在各個金融場景都為金融機構帶來了大幅度的效果提升。

例如騰訊建立的一套惠企平臺，在參與主體數據不離開本地、保護隱私的前提下實現(xiàn)聯(lián)合建模，得出對小微企業(yè)資質的精準畫像。在合法合規(guī)、保護隱私和數據安全的前提下，充分激活各方數據的生產力，通過優(yōu)化業(yè)務流程、實現(xiàn)精準普惠服務。

其次，醫(yī)療行業(yè)也成為隱私計算關注重點。隱私計算能夠有效助力醫(yī)學影像識別、疾病篩查、AI輔助診療、智能問診咨詢等。例如多家醫(yī)療機構可以通過橫向聯(lián)邦學習聯(lián)合構建目標檢測模型，用于輔助通過醫(yī)療圖像的疾病檢查（如肺部X光片檢查等）

最后，政務行業(yè)有望成為隱私計算下一個應用重點。隱私計算提供了政府數據與電信企業(yè)、互聯(lián)網企業(yè)等社會數據融合的解決方案，有助于政府數據開放，實現(xiàn)精準施策

例如在某地，通過騰訊安全提供的聯(lián)邦學習平臺，實現(xiàn)了政務、銀行、企業(yè)的三方的協(xié)作建模。在疫情期間對小微企業(yè)進行了精準畫像，模型的AUC提升了40%，實現(xiàn)了企業(yè)綜合評估、銀行授信和政府貼息全閉環(huán)，大大降低了信息不對稱導致的成本，提升了資金流轉的效率，促進了產業(yè)政策精準落地。

有業(yè)內分析人士指出，隱私計算正處于“大規(guī)模應用的前夜”，慢慢地從技術階段向應用階段過渡。越來越多的隱私計算招標項目，尤其是在2021年下半年出現(xiàn)了迅猛增長

隨著市場教育的日漸完善和隱私計算項目大規(guī)模的應用落地，《2022產業(yè)互聯(lián)網安全十大趨勢》認為，隱私計算各廠商在未來也會逐步完善算法協(xié)議安全基礎，搭建合規(guī)基準框架和管理制度；優(yōu)化計算通信性能需求，降低隱私計算技術使用成本；搭建統(tǒng)一算法協(xié)議兼容平臺，降低互聯(lián)互通成本。

數據整合與分析：XDR引領趨勢，提升安全運營效率

數字化時代，傳統(tǒng)安全系統(tǒng)面臨著更加隱蔽、更加智能、更具破壞性的新一代網絡攻擊。尤其在威脅檢測方面，企業(yè)面臨的安全挑戰(zhàn)越來越大，高級威脅的發(fā)現(xiàn)越來越難以通過單一的安全能力來實現(xiàn)，企業(yè)急需尋找一種新的信息安全防護措施，加固云上安全防線。

在此背景下，XDR（擴展檢測和響應）應運而生。作為一種將多個安全產品整合為統(tǒng)一安全事件檢測和響應平臺的技術，XDR能夠提高整體的檢測和響應效率。

具體而言，XDR在SIEM、SOAR、EDR、NDR等基礎能力和安全理念的基礎上進行了整合與升級，將企業(yè)安全運營團隊、工具和流程通過數據集成、能力編排、自動化等技術整合在一起，提供統(tǒng)一的操作工作臺和和更廣泛的安全可見性，實現(xiàn)跨環(huán)境、跨攻擊途徑的威脅檢測與響應能力，從而構建人工介入少、檢測精準、響應及時的企業(yè)安全運營體系。

XDR的誕生，很大程度上解決了企業(yè)安全運營能力不足、安全支出成本居高不下的難題

《2022產業(yè)互聯(lián)網安全十大趨勢》指出，目前安全專業(yè)人才存在嚴重缺口，直接導致中小企業(yè)難以獲得高水平人才，即使是大企業(yè)也困于維持穩(wěn)定的高水平安全團隊。與此同時，多數企業(yè)在數字化升級的過程也加強了對網絡安全工具/平臺的投入與建設，但是多年來依賴多家安全供應商煙囪式的服務模式，導致企業(yè)的安全團隊疲于處置大量重復性、誤報率高的告警，讓本來就缺少人力的安全工作雪上加霜，嚴重影響了企業(yè)安全運營效率和威脅應對的效果。

正因為XDR切中了當下網絡攻擊防護的實際需求，Gartner將XDR列入2020年-2021年十大安全項目，在有科技產業(yè)界風向標之稱的Hype Cycle（技術成熟度曲線）中，端點安全和安全運維兩個Hype Cycle也都提及了XDR技術，前景相當可期。

鑒于XDR技術的上述優(yōu)勢，國外廠商通過相互合作，積極探索XDR前進方向。目前，網絡安全廠商Crowd Strike已牽頭發(fā)起XDR聯(lián)盟以打造集成XDR解決方案、設立行業(yè)標準；同時，思科、微軟、Check Point等實力雄厚的大型廠商都在整合單個產品以構建XDR套件，加大投資研發(fā)力度。

據Grand View Research研究顯示，到2028年，XDR市場規(guī)模預計將達到20.6億美元，2021-2028年的復合年增長率將達到19.9%

在中國，XDR市場的發(fā)展前景也十分廣闊。以騰訊安全、亞信安全、奇安信、深信服、綠盟

為代表的大型安全廠商紛紛入局XDR賽道，積極圍繞以XDR為代表的威脅情報技術及商業(yè)模式展開探索

以騰訊安全為例，其XDR方案可面向云環(huán)境和私有化環(huán)境分別提供針對性方案，同時其云原生方案集成度高、部署成本極低、SaaS化服務即申請即使用，還可憑借云上各種基礎設施針對用戶訪問等場景進行威脅檢測與分析，擁有包括云上成熟的大數據和機器學習能力、安全算力算法在內的諸多優(yōu)勢。

從實踐落地上來看，目前使用騰訊云上XDR方案的客戶，可將公有云上失陷事件的MTTD時間減到分鐘級。依靠云原生XDR方案和SIEM結合的方式，客戶得以實現(xiàn)各類IT環(huán)境下的統(tǒng)一威脅運營。依托自身成熟的云上安全能力，騰訊安全率先在國內拓展云上XDR方案，并對私有化場景進行賦能，為云上XDR探索提供了參考模板。

總體而言，產業(yè)安全已經進入檢測與響應時代，XDR獲得了市場發(fā)展的絕佳時機，在研發(fā)投入與創(chuàng)新動力方面都將迎來一波高潮，但XDR的實際應用效果和產品技術成熟度仍有待提高。

結語

未來相當長一段時間內，數字化新模式、新業(yè)態(tài)、新行業(yè)的探索與發(fā)展，都將基于數據的深度應用，繼而產生新的管理模式、運營模式。因此，未來數據安全的防護思路，將會把重點放在數據資產的訪問保護、共享保護上，并由靜態(tài)逐漸建立起動態(tài)、流通的安全防護過程。

在此背景下爆發(fā)的零信任、隱私計算、XDR等安全理念，都在一定程度上解決了傳統(tǒng)靜態(tài)安全防御思路的缺陷，對基于數據安全和數據交易的動態(tài)平衡進行了諸多探索。2022年，這些安全趨勢還將繼續(xù)演進，以突破現(xiàn)有的網絡安全邊界，重新定義產業(yè)安全，匹配快速發(fā)展變化的數字經濟發(fā)展。

一圖get《2022產業(yè)互聯(lián)網安全十大趨勢》精華：

來源：科技云報道

生成海報

免責聲明：此文內容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權歸作者所有，且僅代表作者個人觀點，與極客網無關。文章僅供讀者參考，并請自行核實相關內容。投訴郵箱：editor@fromgeek.com。

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。