当前,网络安全厂商们竭尽全力想从今年RSA 2020参会的600多家厂商中脱颖而出,但最终他们还是要用那些同样的流行术语来吸引客户、投资者或者利益相关者的关注。
例如,人工智能和零信任之类的热门技术,这些流行语很少被用来描述技术在企业中发挥的实际作用。其他,诸如欺骗技术和漏洞管理之类的解决方案,由于能有效地解决企业所面临的关键安全问题而受到关注。
人们过分强调零日漏洞,是因为这项技术让客户把注意力集中在购买高端技术上,而不是基本的安全措施和对警报优先级上。对于一些较小的客户而言,管理检测和响应之类的尖端工具则可能成本过高,或者某些MDR产品只是解决了防火墙和防病毒问题而让企业暴露在安全风险之中。
下面就让我们来看看在很多CEO、销售负责人、技术负责人眼中,今年那些被过度炒作的网络安全趋势。
托管检测和响应
Malwarebytes全球MSP和渠道运营副总裁Mike LaPeters表示,将每个高级的要素都完全外包出去会产生高昂的成本,因此围绕管理检测和响应(MDR)的炒作还处于早期阶段。LaPeters表示,如今每个月MDR方面的投入高达五位数,大多数中小型企业根本负担不起。
此外,很多MDR厂商对他们当前的能力设定了不切实际的期望。具体来说,这些厂商承诺以完全托管的方式满足企业全部安全需求,而实际上,他们只能提供托管的防病毒软件或者是防火墙。
客户需要先了解安全环境都包括什么,然后再接触MDR厂商,确保围绕所有要素进行了沟通。LaPeters特别指出,企业应该了解关于MDR厂商在威胁搜寻技术和流程以及遵从性框架方面的信息。
防火墙
Gigamon首席执行官Paul Hooper认为,从理论上讲,零信任的世界将消除基于边缘的基础设施,意味着企业能够在不需要防火墙等分界点的情况下,部署基础设施和应用。
Hooper说,防火墙与零信任策略是截然相反的,因为防火墙固有的机制就是信任外围设备,而零信任则认为没有任何是值得信任的,是依靠证书和访问来建立信任的。Hooper认为,零信任基准通过把信任关系放在首位和核心位置,改变企业组织设计和处理安全问题的方式。
Hooper说,消除防火墙将导致注重涵盖特定区域内设备的网络分段或微分段,这样就可以以不同方式将网络基础设施用于通信和控制设备之间的流量,并在分段层面而不是泛企业层面运行。
零日漏洞
RSA总裁Rohit Ghai表示,网络安全行业倾向于为最糟糕的情况做准备,这导致零日漏洞等技术被过度炒作。Ghai表示,整个行业需要在漏洞管理和多因素身份验证等基础之上做得更好,而不是去追求那些全新的或者被炒作的领域。
Ghai说,专注于最复杂的威胁,导致了安全行业出现很多错误做法,许多企业奉行的战略导致他们使用了大量的工具,以及将信息同一个工具迁移到另一个工具所造成的能源浪费。结果,安全分析人员发现自己把精力浪费在了那些琐碎的工作上,而无法优先考虑那些重要的事情。
如今,黑客使用脚本发动了很多攻击,因此Ghai认为,业界采用这种以技术为中心的防御策略是错误的。他说,企业应该专注于保持相关性和优先级,最大程度上利用资源。
安全性与其他技术的融合
有很多技术厂商喜欢说安全性是他们操作系统或者虚拟机管理程序所固有的特性,但是这种做法让行业中一个重要问题被边缘化了,特别是当COS和虚拟化基础设施漏洞和攻击持续不断的时候,CrowdStrike全球业务发展、联盟和渠道副总裁Matthew Polly这样认为。
Polly说,安全性不应该是事后才想到的问题,不管设计者是谁,都不能作为操作系统、业务应用或者是虚拟化工具的附加选项。Polly表示,与攻击者保持一致这是一个旷日持久的军备竞赛,对于主要任务是操作系统或虚拟化的厂商来说,不太可能做必要的投资以成功实现这个目标。
Polly说,制造商也没有面向客户的保护、检测和响应能力,如果攻击者能够入侵并实施违规行为的话。公有云厂商表现要好一些,能够把安全性融入到基础设施中,与安全厂商合作承担其余的工作,但是操作系统和虚拟化厂商却常常声称他们可以自行提供所有安全性。
人工智能
Ping Identity首席客户信息官Richard Bird表示,人工智能和机器学习能做令人惊讶的事情,但企业组织却很少能够利用这项技术降低风险、提高自动化或者改善系统输出。他说,围绕人工智能的炒作让人们以为,人工智能今天提供的结果是超前好多年的。
Bird表示,为了优化AI的能力,企业结构和组织流程都需要进行重大变革。从本质上讲,企业需要解构流程、了解AI技术可以融入到哪里,在此基础上进行流程重建。
Bird说,人工智能最终将会成为迎接下一波技术创新(无论是量子计算、无服务器技术还是其他技术)浪潮的基石。他认为,一旦人们开始构建应用并将其直接发布到公共互联网上(而不是使用云提供商),人工智能也将被用作身份和访问控制的基础。
零信任
Proofpoint网络安全策略执行副总裁Ryan Kalember表示,由于给零信任技术贴上了与原始概念无关的标签,所以零信任技术被广泛误解了。尽管这个术语被滥用了,但Kalember表示,需要做一些工作构建真正的零信任架构。
Kalember说,根据定义零信任不能用于描述网络边界或承担网络边界作用的盒子或虚拟盒子。相反,基于身份或者基于用户的控制方法是新的边界,这更符合零信任的原则。
零信任意味着网络上没有任何人是可以信任的,用户只能访问他们工作所需的内容,其他都不可以访问。Kalember说,严格执行零信任将无法横向移动,这样即使攻击者能够闯入,也无法访问整个内部网络。
欺骗技术
Secureworks首席产品官Wendy Thomas表示,欺骗技术(或者蜜罐)与为客户提供更安全结果之间的界限是很难界定的,因为仅识别威胁因素并不会降低企业组织受到攻击的可能性。
Thomas举例说,蜜罐可能诱使威胁行为者采取某种并不会影响客户的普通技术,也就是说,不会给客户造成很大的损害。他认为,通过结合事件响应团队最常见场景,而且事件响应团队在现实环境中对现实事件进行响应,这让企业可以从中受益。
Thomas认为,打补丁和配置云实例等基础措施是企业保护自身安全所能做的最重要的事情。
漏洞管理
Unisys首席技术官Vishal Gupta认为,企业组织拥有大量数字资产和软件,要是出现呈现上万个问题对CISO来说可不是什么好事。Gupta说,持续了解出了什么问题,这么做更多的是风险识别策略而不是风险缓解策略,并不会让他们更好地解决问题。
Gupta表示,有时候在漏洞管理的情况下,缓解措施仅仅是在ServiceNow上创建票证,然后将问题传递给其他人。在大型组织中,CISO可能在任何给定时间中有100,000个漏洞要处理,然后召开会议确定谁可以解决哪些问题。
比起传统的漏洞管理来说,有一种更为务实的风险处理方法,是把自动化和补救放在首位,利用生物识别技术和微分段,而不是拿着长长的漏洞列表。
安全访问服务边缘
Qualys董事长、首席执行官Philippe Courtot表示,安全访问服务边缘(Secure Access Service Edge,SASE)相当于VPN的现代版本,可以在没有网络以及被互联网取代的情况下将边缘设备连接到互联网。Courtot说,由于企业组织将工作负载转移到云端,并且企业网络环境正在缩小,因此企业对SASE的需求不会持续很长时间。
随着企业把越来越多的应用迁移到云端,网络最终会变成连接到互联网的一些无线设备。Courtot说,客户要拥抱数字化转型,否则他们的业务不会长久。
许多年前,安全行业对云是非常抵制的,但是今天人们不得不承认,云无处不在。
端点检测和响应
Bitdefender全球云和MSP副总裁Jason Eberhardt说,很多企业认为端点检测和响应(EDR)足以保护企业安全,不再需要防病毒软件。然而,EDR是一种研究工具,可以查看端点上发生了什么,而不是把阻止端点被感染放在第一位的工具。
Eberhardt说,有太多的企业沾沾自喜,认为有攻击者已经在他们的环境中,只要在事情恶化之前就将其阻止,就不会带来任何糟糕的结果。但是,企业系统内部存在威胁因素,这本身就是一个威胁,企业需要对使用技术提前阻止威胁更加警惕。
Eberhardt说,解决方案提供商应该向客户呈现完整的端点安全态势,首先就包括阻止入侵者的技术。
云端安全
FireEye美洲地区渠道副总裁Chris Carter表示,即使大家说的不是同一件事情,但大家使用的却是相同的云安全技术,随着生态系统的不断发展,整个行业仍然在致力于全面定义云安全是什么。一些自称云安全的产品实际上只是解决了一部分问题。
Carter认为,云安全应该集中在保护云中工作负载上,因为很多企业组织最重要的资产——数据和知识产权——就在云端。客户关心如何确保他们的数据和IP受到保护,而且随着他们宝贵的资产转移到AWS、微软Azure或者谷歌云上,客户需要安全工具来保护这些工作负载。
监控
德勤全球网络负责人Emily Mossburg表示,ArcSight自2000年成立以来,就有了将企业大量信息汇总在一起的想法,但那时,这被称为关联。
过去二十年中,关联变成了融合,融合又变成了监控,但是从根本上说,技术和方法是相同的。Mossburg表示,通过这个领域的企业更深入地探索,厂商试图让他们最新的技术突破变得有趣且引人注目。
监视的用例已经存在很长时间了,尽管一直在发展和变革,但考虑到这些技术理念的周期特性,其实它们的基本概念是非常相似的。