党的十九届五中全会明确了我国“十四五”时期和2035年远景目标发展的战略任务,强调要统筹发展和安全,全面加强网络安全保障体系和能力建设,对网络安全技术和防护能力提出了新的更高要求。
纵观网络安全产业的发展史,可以发现这也是网络安全技术的发展史。网络安全技术不仅是网络攻击者构建攻击性武器的原材料,也是网络防御者构筑坚固防线的基石。山石网新技术研究院基于网络安全行业的最新形势,深刻洞察网络安全技术的发展,对2022年最具价值的十大安全技术进行了盘点、分析和展望。
第一,人工智能技术全面支持网络安全防护
虽然一般的人工智能或者强人工智能离人们的期待还很远,但是以深度神经网络为代表的人工智能技术已经在机器视觉、自然语言处理、自动驾驶等领域取得了巨大的成就。在网络安全方面,人工智能技术早已渗透到网络安全防护的方方面面。比如利用PCA主成分分析自动识别API使用特征,发现零日漏洞;用递归神经网络识别二进制程序的弱点:基于DGA域名生成算法的图聚类模型实现僵尸主机检测:使用多层感知器实现网络流量异常检测等。
山石网新技术研究院观点:
2022年,将会有更多的厂商投入更多的资源去深入研究人工智能技术如何提高产品的检测能力、防护能力、响应能力;利用深度神经网络自动提取网络侧和主机侧源数据的特征,避免落入人工提取特征的专家系统陷阱;鉴于有价值的网络攻击黑样本极少,传统机器学习模型的泛化性能受到严重制约,小样本学习对于网络安全行业就显得极有价值;普适于网络安全各个分支的深度神经网络通用框架需要得到重视;基于图神经网络的威胁检测技术值得关注。二是网络安全大数据技术的基础地位进一步加强。
网络风险的自动预测、识别、响应和处置需要基于网络安全大数据。另外,从算法和模型的角度,无论是传统的数据挖掘还是高级的深度神经网络,也都需要网络安全大数据作为分析的出发点和前提。网络安全领域的大数据不同于普通的大数据,其访问渠道、访问难度、数据关注维度都有自己鲜明的特点。
山石网新技术研究院观点:
2022年,网络安全大数据技术的基础性地位进一步加强,尤其是综合性厂商更加注重大数据的获取与分析,相关的研究投入稳步上升;威胁情报大数据采集、存储和关联分析是其中一项重要的研究内容;基于MITRE ATT&CK知识库建立威胁情报知识图谱对整个安全行业有诸多价值,但难度和工作量巨大,任何一个企业独立建设都不现实,应通过行业联盟牵头进行组建;基于网络安全大数据的安全态势感知、分析、呈现、预测在政府和国企的需求依然强劲。第三,零信任网络接入技术重塑网络安全架构
Forrester首席分析师John Kindervag在2010年首次提出了“零信任网络”的概念。零信任是一种全新的安全理念,它颠覆了网络安全的范式,打破了网络边界的概念,引导网络安全架构从以网络为中心向以身份为中心转变,实现对用户、设备和应用的全面、动态、智能的访问控制,建立应用层的安全防护体系。2019年9月,工信部就《关于促进网络安全产业发展的指导意见》公开征求意见,明确将“零信任安全”列为网络安全急需重点突破的关键技术。以Chianxin和山石网为代表的一批安全厂商正在紧锣密鼓地开发零信任产品和解决方案。
山石网新技术研究院观点:
2022年,大批的安全厂商将会密集推出零信任安全产品,并在政企用户中实现一定范围地落地应用;多维度身份属性代理技术需要深入研究。综合用户信息、设备状态、网络地址、业务上下文以及访问时间、空间位置等各个维度的身份实体属性作为实施授权的依据,且申请授权时按需临时产生,定期失效。有效降低基于单一维度实施访问授权的漏洞风险;可变信任评估技术对网络代理提供的多维度实时属性信息,进行实时信任评估和分析,通过持续量化评估网络活动风险等级,为访问授权提供判断依据。第四,终端安全检测和响应技术快速发展。
随着信息安全技术的发展,网络攻击变得更加具有针对性、隐蔽性和持久性。终端威胁检测与响应(EDR)技术的出现为新安全威胁的检测和防护提供了一种新的思路。EDR在面对未知威胁攻击、0day漏洞攻击、APT攻击时的先进性和优越性,成为网间整体安全防护体系的重要组成部分空。2013年Gartner首次提出终端威胁检测和响应的概念后,立即引起了安全界的广泛关注,随后连续进入2016年至2019年Gartner十大技术。
山石网新技术研究院观点:
终端安全产品具备较高的技术门槛,市场的主要参与者历史上看大多为专业的反病毒厂商,在2022年,这一趋势将会有所变化,山石网科为代表的一批传统网络安全厂商正在加速发力切入;数据采集技术需要更加重视。静态数据包括采集操作系统运行的当前状态,如资产信息、服务、端口、进程、线程、漏洞等;动态数据包括操作系统上发生的各类行为操作,如账户创建、网络访问、数据发送、文件操作等,记录并采集动作关联的进程、目标文件、动作结果、网络数据等。数据采集是EDR 进行威胁预测和安全分析的前提和基础,也是EDR 区别于端点防护平台EPP 的重要特征之一;数据挖掘和分析能力是核心竞争力。EDR 区别于EPP 的另一个重要的特征就在于EDR 具有大数据分析的能力,EDR 能够将终端采集的各类异构数据进行集中存储和数据分析,通过深度学习、强化学习、关联分析、聚类分析等,发现和识别出终端上隐藏的安全威胁,挖掘出已沦陷的终端主机,发现不满足安全要求和不符合安全规定的终端;重视威胁情报对EDR的作用。威胁情报能为EDR 提供海量的内外部威胁数据、恶意样本数据、攻击特征数据、黑客组织画像信息等关键数据,帮助对网络攻击进行综合研判,对样本进行识别、识别攻击家族等。通过多源情报关联信息,对攻击者进行追踪溯源,挖掘攻击者发起攻击的动机;同时,基于威胁情报数据以及大数据分析,EDR 还能高效地检测未知攻击,实现对未知攻击类型的防御。此外,EDR 本身具有威胁捕获功能,EDR 在识别和发现威胁后,通过逆向样本文件,提取威胁特征,又能生产威胁情报数据,为威胁情报的其他应用场景(如NDR、SIEM、SOC 或者态势感知)提供支撑。五、网络攻击溯源技术机遇与挑战并存
攻击者在实施网络攻击时,为了反跟踪,往往会使用各种技术手段隐藏自己,如虚假IP地址、网络跳板、僵尸网络、匿名网络等技术。网络攻击追踪技术可以有效应对攻击者的隐蔽手段,定位真正的攻击源,及时阻断网络攻击。无论从政府还是商业用户的角度都迫切需要追踪网络攻击的源头,市场潜力空难以估量。
但是我们面临的挑战依然巨大,包括过大的存储开销、计算开销和网络带宽开销,直接影响了项目的实用性。传统的网络架构和网络协议的设计缺乏对追踪和追查网络攻击的支持,导致追踪和追查网络攻击的设计有很多局限性。例如,通过数据包标记路径信息可能会影响数据包分段功能。现有的追溯技术大多过于依赖网络基础设施的支持,难以应用。
山石网新技术研究院观点:
2022年, SDN(软件定义网络)、CSMA(网络安全网格架构)等新型网络架构缓解了追踪溯源技术对网络设备的依赖性,部分溯源技术将会具备良好的工程实用性;现有的攻击溯源技术几乎都难以适用物联网这类传感器网络结构,而物联网的安全形势已经非常突出,针对物联网的攻击溯源技术应开展前沿性研究;基于日志存储查询、基于数据包标记的攻击溯源在理论上还存在诸多问题,应该加强研究改进,尽早实现工程化。不及物动词攻击行为模拟技术有望得到广泛关注。
攻击模拟和红队、渗透测试、漏洞扫描不一样。攻击模拟是根据特定攻击的网络威胁信息以及他们如何实施攻击的过程来评估某一技术领域的安全性。它可以用来衡量企业(或其他组织)在整个生命周期内应对米特ATT&CK模型中所有威胁的检测能力和防御能力,对企业提高安全产品能力和安全服务能力具有很高的价值。
山石网新技术研究院观点:
2022年,越来越多的安全厂商不再追捧宣传MITRE ATT&CK这个概念,而是更加务实地把ATT&CK知识库应用于自身的产品和服务中;MITRE官方推荐的CALDERA值得关注,提供了一个智能的自动化攻击模拟系统,可以减少安全团队进行常规测试所需的资源,使他们能够聚焦其他关键问题;攻击行为模拟的开源项目越来越多,可以关注以下几个:Metta、ATP Simulator、Red Team Automation、Invoke-Adversary、Atomic Red Team、Infection Monkey、Blue Team Training Toolkit(BT3)、DumpsterFire、AutoTTP。七。主动防御技术任重道远。
以自动化、智能化、高强度、多类型攻击技术组合、高保密程度为特征,当前网络攻防态势极不对称,表现为攻防成本、攻防技术、攻防时间和空的不对称。传统的网络安全防御主要采用入侵检测/防御系统、反病毒网关、防火墙等被动安全防御系统和技术来检测和控制网络事件、流量和行为,通过打补丁和升级软件来减少可能的软硬件漏洞。通常在攻击发生后,对网络攻击、蠕虫、病毒等威胁行为的特征进行分析,通过蜜罐、沙箱等手段对攻击行为进行捕获,形成威胁模式规则库。之后,基于现有规则识别和检测威胁行为。禁止网络恶意行为和非法操作,阻碍攻击进程,降低攻击的影响,对保护网络信息系统的安全运行起到一定的作用。
但是,这些方法无法从根本上消除漏洞,无法应对基于未知可利用漏洞和后门的威胁。它们是一种滞后的防御手段,其固有的缺陷也制约了其在网络安全防护中的作用。
与传统的被动防御技术相比,网络主动防御技术强调在防御方不知道攻击的具体方法和步骤的情况下,系统能够实施主动、主动的防御部署,从而有效抵御和处理攻击造成的损失,提高系统面对攻击时的生存能力和灵活性。主动防御技术通过构建安全的系统架构或运行模式,增加攻击难度,降低攻击成功率,从而有效遏制攻击行为,实现系统的安全性。典型的主动防御技术包括入侵容忍、移动目标防御和拟态安全防御。
山石网新技术研究院观点:
2022年,很多主动安全防御技术依然停留在“创造概念、过度假设、落地无门”的尴尬境地;美国在2009年提出了动目标防御(Moving Target Defense,MTD)的概念,后将MTD 确定为“改变游戏规则”的革命性防御技术,MTD相关的理论研究和实验验证较多,值得关注;部分研究内容具备落地应用的前景,包括但不限于:基于IP地址、端口跳变的主动防御,基于路由路径随机变换的主动防御,基于网络流指纹的主动网络管控。八。云接入安全代理技术
云时代大有可为。
云计算引领了IT行业的变革,无论是大企业还是政府部门,小公司甚至个人都不可避免地受到云计算浪潮的影响。传统的信息系统消耗了大量的软硬件成本,因此越来越多的企业将业务系统迁移到云端,而不是建设数据中心等IT基础设施。特别是对于初创企业来说,这样会节省很多成本。但是,将业务系统迁移到云端,将数据留给不可信的第三方云平台,会导致用户失去对数据的安全控制。
云访问安全代理作为一种新技术,旨在解决用户使用云计算服务时的安全问题。可以针对不同的用户业务系统和不同的云计算平台实施定制化的安全策略,发现和阻止未授权行为,从而监控云服务的安全风险,确保用户使用云计算服务时的安全,进一步推动云计算的发展。
山石网新技术研究院观点:
2022年,云基础设施的投资以及针对云计算服务的网络攻击都会不断增长,云安全市场快速发展;云安全领域眼花缭乱的新概念较多,需要区分概念、理念、愿景、功能与核心技术之间的区别,始终保持对核心技术的研发投入以支撑云安全产品的持续演进;基于机器学习的云访问威胁检测与响应是重点的研究内容,对用户以及云端的各种行为进行记录与分析,包括各种请求操作、云端服务、应用执行情况、文件操作等。为了增强行为分析的准确性,提高威胁与风险行为的识别率,应当具备强大的行为库与知识库。九。工业互联网安全技术关乎国家安全。
在新一轮基建浪潮下,中国工业互联网及其安全受到更多关注。随着互联网的快速发展,传统的网络安全防护手段在复杂环境下面临着捉襟见肘的问题。2020年5月,工信部发布的《工业大数据发展指导意见》提到,我国34%的联网工业设备存在高危漏洞。仅2019年上半年,就发生了5151万起嗅探事件。指导意见指出,目前工业网络安全责任体系建设仍空白条,技术上无法有效保障工业数据安全,导致工业互联网安全防护能力在工业融合过程中滞后。
山石网新技术研究院观点:
2022年,随着全球主要国家在各个领域的对抗加剧升级,针对关键基础设施相关的工业互联网的网络攻击,无论是攻击强度还是数量将会出现明显上升;网络安全的主要厂商要积极加入国家工业互联网标准总体组,参与国家标准制定工作,不仅有利于把握工业互联网核心技术方向,对厂商自己的工业互联网产品的合规性也大有裨益;工控协议深度解析是重点需要进行攻关的,尤其是对私有协议的黑盒解析,以此为基础研发工业防火墙;工业威胁情报对工业互联网安全至关重要,应加强基于各类工业安全设备的数据采集分析和情报生产、分发和利用能力;工业互联网领域涉及关键基础设施安全,上升到国家安全毫不过分,因此,高级持续威胁APT攻击将会大比重、大概率存在此领域;针对工业互联网的APT攻击检测能力将会成为工业互联网产品核心能力的体现。X.物联网安全技术和车联网安全技术
随着新场景的蓬勃发展
物联网设备的激增是未来的趋势。根据最近的预测,物联网设备将根据市场需求呈指数级增长,2030年物联网设备数量将达到1250亿。海量物联网设备的使用及其应用技术的普及方便了我们的生活,但它们在服务技术设备和协议(如无线有线卫星蜂窝和蓝牙)上的异构性使得物联网的管理更加复杂。由于许多智能设备的制造商和供应商都是没有网络安全专业知识的传统家电制造商,因此许多设备天生就容易受到攻击。攻击者利用易受攻击的设备访问目标网络并伺机发动攻击,从而给目标网络带来严重的安全威胁。
汽车也是一种东西。理论上,车辆上的联网也可以看作是作物联网。但汽车行业市场体量巨大,汽车安全关乎人命。将车辆联网作为一个单独的领域来讨论是合理的。而物联网和车联网面临的安全挑战,在技术层面没有严格的界限。
山石网新技术研究院观点:
2022年,在5G技术和自动驾驶技术的驱动下,物联网和车联网将迎来快速增长,同时也面临更严峻的安全挑战;物联网设备的探测与识别是物联网安全防护的前提和起点,一方面借鉴和参考现有开源项目可快速具备一定程度的设备识别能力,如Satori、Shodan、Censys、Zmap、Ztag、p0f等;一方面参考学术界最新的、基于机器学习的研究成果进行补充和提高;车联网涉及到的安全网关、代理访问技术、加密隧道技术在传统网络安全领域较为成熟,具备直接落地应用的条件,但要充分考虑硬件产品、软件产品的车规级要求;车联网里最核心的自动驾驶技术涉及的安全问题,既包括机器学习模型本身的识别能力导致的安全问题(严格说这个不属于网络安全问题),也包括在线学习过程的数据投毒问题。前景
2022年,中国经济发展面临需求收缩、供给冲击和预期减弱三大压力。在世纪疫情的冲击下,世纪之变加速,外部环境更加复杂、严峻和不确定。网络安全形势更加严峻,市场空进一步扩大,给网络安全厂商带来更多的增长点和市场切入点。然而,日益激烈的网络安全市场竞争对网络安全厂商提出了新的更高的要求。
网络商贩不仅要“吃碗里的”,还要“看锅里的”,“盼地里的”。他们要统筹、协调、落实过去的技术积累、正在进行的技术研究和未来的技术战略布局。
