王峰
华为安全产品领域副总裁
两年前,笔者写了一篇文章《一花独放不是春,百花齐放春满园》,简要阐述了国内态势感知的市场和华为的HiSec Insight态势感知系统(以下简称HiSec Insight)。当时国内态势感知市场方兴未艾,还处在技术炒作的高峰期,Gartner也没有态势感知的市场或技术分析。今年,Gartner专门面向中国市场发布了《2022中国安全成熟度曲线》(Hype Cycle for Security in China, 2022),在报告中态势感知已成为成熟期产品。
如何解决安全问题已成为客户的主要诉求近两年,我们也经常听到一些“新贵”产品的名字,例如XDR(Extended Detection and Response,扩展检测和响应)、SASE(Secure Access Service Edge,安全访问服务边缘)。安全运营市场一时间风起云涌,俨然一幅“你方唱罢我登场” 的繁荣景象。但无论是什么新技术或新概念,最关键的还是可以解决客户什么痛点?通过哪些技术手段解决的?而不仅仅是创造一个新名词。
笔者近期和一些客户交流时,经常能听到客户的抱怨:“购买的安全产品种类越来越多,投入也越来越大,但是好像安全问题并没有显著减少!”这里固然有一部分原因是网络安全具有“伴生”的性质,即随着业务的数字化转型,各种应用和IT新环境也在不断发展,安全问题必然也会越来越多。但是,市场上安全合规类的产品偏多,注重实效的产品偏少,这也是不可回避的事实。所以,这又引出客户的另一个问题:“检测出恶意威胁后,我怎么判定结果是否准确?怎么做到自动化处置?”这个问题很好理解,用户对安全的核心诉求就是合规的基础上不能出现网络安全事故,所以只有识别和检测是远远不够的,必须要解决问题。
如图1-1所示,NIST的IPDRR(Identify, Protect, Detect, Respond and Recover)安全框架下从识别阶段到恢复阶段,依赖人的程度是逐步递增的,而依赖技术能力是逐步递减的。这也是为什么众多安全厂商的产品都集中在识别、保护和检测阶段,而响应和恢复阶段的产品种类非常少。这个事实与客户安全运营的实际诉求充满矛盾,因为多数客户是没有或者只有很少人力做专业的安全运营工作,所以即使部署了再多的识别和检测设备,安全实效也提升不大。对于客户来讲,以前是看不到威胁,现在是天天看到大量的威胁告警但无从下手,只是徒增