应用

技术

物联网世界 >> 物联网新闻 >> 物联网热点新闻
企业注册个人注册登录

“云”安全了吗?

2020-04-02 09:10 盈动资本

导读:企业该如何保护业务,更好地应对日益增长的威胁,这都是留给网络安全的巨大增长空间。

2020年开年至今,疫情扩散到全球,呈愈演愈烈之势;美股连续熔断,不限量放水救市。突发事件的爆发,所带来的集体不安全感急剧上升。

生存的物理空间受限,线上行为时长激增,游戏、社交、办公...我们赖以生存的「云」,可能比现实世界更加危险。

「云安全」和「数据安全」,在业内有很多不同的定义,简单来说,云安全就是为云服务提供的安全方案,而数据安全是为数据本身和数据处理系统提供的安全方案。在实际的业务场景中,两种类型的安全方案需要结合客户的实际需求同时运用,从而保护客户的云服务、数据、应用和基础架构。

近几年的技术发展和商业形态变化很快,让相应的安全概念在热度上也随之发生了快速的变动,但云安全和数据安全始终高居最火热的安全话题榜首。「威胁检测」和「网络安全」通常是头等大事,但是数据表明,行业中的人们更加关注数据和应用程序的安全性。

2020年全球网络安全热词Top20(图源:数说安全)

安全一直是盈动重点观察的赛道之一,目前已经布局了默安科技和全知科技等一线公司,今天总结一下我对这条赛道的一些观察。

1、从美国市场看本土

2019年,美国联邦贸易委员会(FTC)对 Facebook 侵犯隐私的调查事件以 Facebook同意支付50亿美元的赔偿金告终。这一事件大幅提升了全世界对信息安全的关注,也让人们意识到信息安全市场的增长潜力。

在这一事件的驱动下,Fortinet、Okta等美国头部云安全公司市值都超过了百亿美元,以Illumio为代表的明星安全初创公司也获得多轮融资。国内以绿盟、深信服、启明星辰等上市公司为代表的老牌安全公司依旧强势,2019年下半年至今,安全初创企业的融资、并购事件数量显著增长。

从20世纪90年代后期开始,美国将网络安全问题上升到国家安全战略的高度,颁布了一系列政策性文件,从技术层面、资源层面、信息层面到法理层面,抢占全球网络空间制网权和制高点。

美国总体市场格局巨头较为固定:

一是思科、微软、甲骨文、英特尔、苹果、谷歌等一系列掌控着核心技术的产业巨头;

二是赛门铁克、趋势、飞塔等综合性网络安全企业,和FireEye、Palantir等具体领域的专业化企业;

三是波音、洛马等具有超强整合能力的网络安全承包商。

最近几年随着云计算的快速普及,前文提到的云安全厂商市场份额也在快速增长,形成了一块相对独立的市场。

根据Gartner、Forrester等机构的数据和预测,到2023年,全球信息安全综合支出将超过300亿美元。在国内,信息安全的市场规模由2017年的39.45亿美元增至2019年的60.43亿美元,复合增长率超过20%。

在政府的保护下,美国市场为创新型中小企业提供了较大的生存空间,中情局还专门成立了一家名为In-Q-Tel的风险投资公司。从全局来看,近些年美国的头部安全公司都在快速扩张产品线,在销售上采用“一站式”打法,导致相互的合作受到很多限制,对创业公司发展也非常不利。

从过去的经验看,美国市场的自我修正能力很强,后续是否会延续这个趋势,还有待观察。

反观中国本土的安全生态,目前更多是在资本运作方面对美国的借鉴。之前国内只有上市这一条出路,但从2019年的投资并购事件可以看到,中国国内对于安全初创企业的扶持以及资本运作的理解已经更加完善。

总体来看,双方都在取长补短,完善自身的产业生态,这是一个目前可以看清的重要趋势。

2、安全行业的三个痛点

01-中国信息安全的行业驱动力主要来自政策监管和安全事件。

公司不出事,安全不花钱。出于这种心理,直到几年前,大多数国内公司对云和数据安全的认知仍旧停留在仅满足政策的最低标准上。随着国内云计算产业的高速发展,很多公司开始主动上云,而云安全也在国内大型云厂商的带领下快速发展。2014年阿里云遭受当时最大规模的DDOS攻击,之后针对国内网络的攻击量级和频率快速增加,安全风险带来的经济损失很快让政府意识到了云安全的重要性。

2018年掀起的贸易战风波也让政府加快了所有知识产权和安全自主可控的步伐。

2019年中国政府落地了网络安全等级保护2.0制度,护网行动涉及范围大幅度拓宽,这一系列针对云和数据安全的政策和行动体现了政府强化国内网络安全的决心。

同时,这一系列举措也刺激了国内的安全市场:一方面,政府需要采购安全检测、审计类的产品和服务,来对各个具体公司和组织进行检查;另一方面,政府监管导致各经济主体产生大量安全体系升级、扩充的需求,进而导致对安全人才、产品和服务的需求激增。

意料之外的疫情爆发,也让平日粉饰太平的安全假相毁于一旦。疫情期间大量公司业务和管理系统被迫上云,没有做好足够的安全防护,导致服务器崩溃、网络断线、删库、数据泄露等问题大量爆发,让大量公司切身体会了不重视信息安全带来的后果,进而催生了大量对安全业务的需求。

微盟删库事件:2月23日晚,微盟的 SaaS 生产环境和数据遭到破坏,300万商家生意停摆超48小时,直到3月1日晚间,微盟才把数据全部找回。这一事件不仅影响了微盟的公司业务、股价和社会形象,更让大量公司意识到信息安全方面的隐患事实上普遍存在。

删库事件的根源是公司缺乏完善的运维安全管理体系。运维人员是企业数据维护的必要角色,但也同时给企业数据带来了防不胜防的隐患。数据库账号密码管理松散、管理权限不严谨,导致易发生越权操作行为,数据难以恢复、敏感数据得不到有效保护、数据库内部操作无法准确溯源等问题都非常常见。

要杜绝这类恶意操作事件,需要在管理和技术层面上双重把控。管理层面:企业文化、员工关怀、普法教育都需要更加重视;技术层面:增强运维过程的管控、强化账号管理和权限控制、增加复核环节等等都是必要手段。

微博用户数据泄露:3月19日上午,默安科技CTO云舒发微博称“很多人的手机号码泄露了,根据微博账号就能查到手机号”。根据他在微博上的表述,数据泄露的原因或是由于微博在2019年被人通过接口“薅走了一些数据”,而不是所谓的“数据拖库”。

此次微博个人信息数据泄漏原因有很多,很多常见的攻击方式如“撞库”、“漏水”、通讯录好友匹配攻击等,都可以造成个人信息数据的泄露。现今数据泄露已成为互联网行业的典型事故,甚至可以称作“新常态”,国内外多家知名公司、网站在不同时间都遭遇过数据泄露事件。

要防范数据泄露事件的发生,个人层面需要有意识地做好个人信息的管理和安全检查,比如密码尽量不要用容易被联想的数字、不同账号用不同的密码等。从公司层面,除了做好数据库的安全防护、对业务流程管控更加严格外,也需要在业务体系的设计和思想上作出改变。已有安全行业人士建议大公司尽量关闭通讯录匹配功能,如果开启,必须对此接口进行各种数据泄漏监测和流控/风控措施。

这两起事件的接连爆发,表明企业的安全壁垒并不如我们所想象的那样坚固,这次暴露出来的只是其中的一部分,更多的漏洞亟待修补。希望这两起事件的爆发能为整个行业敲响警钟。

02-对于大部分企业来说,如何做好公司的云和数据安全,是一个全新的课题。

中国整体的信息安全市场规模将随着云计算市场规模的增长和对数据安全的重视而快速崛起。根据ESG的年度IT支出意向研究报告,到2020年,有62%的组织将增加网络安全支出,其中科技企业最有可能增加网络安全支出,其次是制造业和零售/批发业。

这不仅是公司IT系统的任务,而是对组织架构、责任分级、事态监控、平衡支出等公司运营的全方位挑战。越来越多的公司认识到:安全应当是CEO、CIO和公司董事会的重要任务。此外,企业网络安全投入的增加,也意味着当前市场已有的产品并没有满足客户的预期。

放眼世界,这也是大势所趋。国外很多大型公司都为企业安全投入了大量资金,越来越多的公司不断改进自己的组织架构和业务流程,以适应新环境下的安全挑战。

以谷歌为例,为了让谷歌员工都可以在不借助VPN的情况下通过不受信任的网络顺利开展工作,从2011年起谷歌就开始实施BeyondCorp架构,这一行动持续至今,积累了大量技术和实践成果,甚至在《login:》杂志上发表了6篇BeyondCorp相关的论文。

这其中的技术细节不详细展开,从结果上看,BeyondCorp如今已融入大部分谷歌员工的日常工作,在零信任安全领域具有教科书级的意义。而BeyondCorp作为一个零信任安全模型而非一个产品,谷歌仅仅抽象其一部分能力做成了商业化的产品(IAP)在谷歌云平台(GCP)上发布,这也在某种程度上助力GCP在工程实力上敢于声称自己是世界上最安全的云平台。

03-除了系统层面的薄弱外,由于员工信息安全意识薄弱所带来的安全隐患也不可忽视。

使用家庭环境中的缺乏防护的个人设备进行办公、使用容易被攻击的家庭网络、个人设备接入公司内部网络、冒充同事领导的钓鱼事件...,这些都是远程办公方便稳定的表象下所存在的安全隐患。对员工的网络安全意识的教育不可松懈,没有公司希望因为员工缺乏网络安全意识而亡羊补牢。

关于其中的市场机会,我认为:员工信息安全意识的培训目前还不是一个成熟的市场,原因是受众面相对较窄,付费意愿不强。比如谷歌并没有要求全员进行高强度的安全培训,而是通过安全体系的强化让员工无感知地享受安全环境的提升,这也可能是未来的主流趋势。

当然,对于安全从业者来说,安全意识的培训还是很有必要。谷歌在这一点上,一方面是建立起各种云安全的标准与认证,与培训组织、专业机构合作普及云安全意识,未来可能会投入大量资源,进行更专业的培训和市场营销活动;另一方面,让安全主管转变安全思路,与合作伙伴紧密协作开发云平台的垂直行业应用,并将这些垂直行业上的工作推广到行业内的安全体系内。

3、未来,潮水将会怎么推?

随着新冠疫情在全球主要经济体的蔓延,人们的行为从线下持续转向线上,这给全球的网络环境带来了巨大的挑战。美国远程办公人数在两周内激增15%;英国的基础电信服务大面积故障导致民众无法打电话、发短信和上网;法国网络流量创历史新高,勒索软件攻击频发。过去三周全球新域名注册数量比同期增长了10倍,其中1月份以来已经有1.6万个与新冠病毒相关的新域名被注册,其中超过50%都与恶意软件活动有关。

但是混乱也意味着机会,机会往往留给有准备的企业。这次疫情的全球性流行极有可能改变社会习惯,并给人们的日常生活方式带来巨变,一些行业也会迎来不可逆转的改变。短期来看,如何应对当下的网络安全压力,是很多企业迫切需要解决的问题;长期来看,疫情以及“新基建”等概念带来的经济结构变化会成为新的网络安全机遇的根源。

安全行业的发展机会将从两方面得到验证:

一方面,过去主流的主机防护仍旧是基础,但基于云架构和针对数据的安全体系将被快速、广泛地结合进现有的安全体系得到实践,以符合政策的监管和企业的需求;

另一方面,对应这些产业的安全需求将更加细化,以实现更加严格的安全防护,因此安全行业的产业链环节、能力类别、产品形态将更加细分。这不仅代表产品化能力强的公司有更加独立的机会,也意味着加密运算、零信任、通信链路安全等一些新兴的安全思路会有快速发展的契机。

企业该如何保护业务,更好地应对日益增长的威胁,这都是留给网络安全的巨大增长空间。