RSA 2020盤點:12個被過度炒作的網絡安全趨勢
當前,網絡安全廠商們竭盡全力想從今年RSA 2020參會的600多家廠商中脫穎而出,但最終他們還是要用那些同樣的流行術語來吸引客戶、投資者或者利益相關者的關注。
例如,人工智能和零信任之類的熱門技術,這些流行語很少被用來描述技術在企業中發揮的實際作用。其他,諸如欺騙技術和漏洞管理之類的解決方案,由于能有效地解決企業所面臨的關鍵安全問題而受到關注。
人們過分強調零日漏洞,是因為這項技術讓客戶把注意力集中在購買高端技術上,而不是基本的安全措施和對警報優先級上。對于一些較小的客戶而言,管理檢測和響應之類的尖端工具則可能成本過高,或者某些MDR產品只是解決了防火墻和防病毒問題而讓企業暴露在安全風險之中。
下面就讓我們來看看在很多CEO、銷售負責人、技術負責人眼中,今年那些被過度炒作的網絡安全趨勢。
托管檢測和響應
Malwarebytes全球MSP和渠道運營副總裁Mike LaPeters表示,將每個高級的要素都完全外包出去會產生高昂的成本,因此圍繞管理檢測和響應(MDR)的炒作還處于早期階段。LaPeters表示,如今每個月MDR方面的投入高達五位數,大多數中小型企業根本負擔不起。
此外,很多MDR廠商對他們當前的能力設定了不切實際的期望。具體來說,這些廠商承諾以完全托管的方式滿足企業全部安全需求,而實際上,他們只能提供托管的防病毒軟件或者是防火墻。
客戶需要先了解安全環境都包括什么,然后再接觸MDR廠商,確保圍繞所有要素進行了溝通。LaPeters特別指出,企業應該了解關于MDR廠商在威脅搜尋技術和流程以及遵從性框架方面的信息。
防火墻
Gigamon首席執行官Paul Hooper認為,從理論上講,零信任的世界將消除基于邊緣的基礎設施,意味著企業能夠在不需要防火墻等分界點的情況下,部署基礎設施和應用。
Hooper說,防火墻與零信任策略是截然相反的,因為防火墻固有的機制就是信任外圍設備,而零信任則認為沒有任何是值得信任的,是依靠證書和訪問來建立信任的。Hooper認為,零信任基準通過把信任關系放在首位和核心位置,改變企業組織設計和處理安全問題的方式。
Hooper說,消除防火墻將導致注重涵蓋特定區域內設備的網絡分段或微分段,這樣就可以以不同方式將網絡基礎設施用于通信和控制設備之間的流量,并在分段層面而不是泛企業層面運行。
零日漏洞
RSA總裁Rohit Ghai表示,網絡安全行業傾向于為最糟糕的情況做準備,這導致零日漏洞等技術被過度炒作。Ghai表示,整個行業需要在漏洞管理和多因素身份驗證等基礎之上做得更好,而不是去追求那些全新的或者被炒作的領域。
Ghai說,專注于最復雜的威脅,導致了安全行業出現很多錯誤做法,許多企業奉行的戰略導致他們使用了大量的工具,以及將信息同一個工具遷移到另一個工具所造成的能源浪費。結果,安全分析人員發現自己把精力浪費在了那些瑣碎的工作上,而無法優先考慮那些重要的事情。
如今,黑客使用腳本發動了很多攻擊,因此Ghai認為,業界采用這種以技術為中心的防御策略是錯誤的。他說,企業應該專注于保持相關性和優先級,最大程度上利用資源。
安全性與其他技術的融合
有很多技術廠商喜歡說安全性是他們操作系統或者虛擬機管理程序所固有的特性,但是這種做法讓行業中一個重要問題被邊緣化了,特別是當COS和虛擬化基礎設施漏洞和攻擊持續不斷的時候,CrowdStrike全球業務發展、聯盟和渠道副總裁Matthew Polly這樣認為。
Polly說,安全性不應該是事后才想到的問題,不管設計者是誰,都不能作為操作系統、業務應用或者是虛擬化工具的附加選項。Polly表示,與攻擊者保持一致這是一個曠日持久的軍備競賽,對于主要任務是操作系統或虛擬化的廠商來說,不太可能做必要的投資以成功實現這個目標。
Polly說,制造商也沒有面向客戶的保護、檢測和響應能力,如果攻擊者能夠入侵并實施違規行為的話。公有云廠商表現要好一些,能夠把安全性融入到基礎設施中,與安全廠商合作承擔其余的工作,但是操作系統和虛擬化廠商卻常常聲稱他們可以自行提供所有安全性。
人工智能
Ping Identity首席客戶信息官Richard Bird表示,人工智能和機器學習能做令人驚訝的事情,但企業組織卻很少能夠利用這項技術降低風險、提高自動化或者改善系統輸出。他說,圍繞人工智能的炒作讓人們以為,人工智能今天提供的結果是超前好多年的。
Bird表示,為了優化AI的能力,企業結構和組織流程都需要進行重大變革。從本質上講,企業需要解構流程、了解AI技術可以融入到哪里,在此基礎上進行流程重建。
Bird說,人工智能最終將會成為迎接下一波技術創新(無論是量子計算、無服務器技術還是其他技術)浪潮的基石。他認為,一旦人們開始構建應用并將其直接發布到公共互聯網上(而不是使用云提供商),人工智能也將被用作身份和訪問控制的基礎。
零信任
Proofpoint網絡安全策略執行副總裁Ryan Kalember表示,由于給零信任技術貼上了與原始概念無關的標簽,所以零信任技術被廣泛誤解了。盡管這個術語被濫用了,但Kalember表示,需要做一些工作構建真正的零信任架構。
Kalember說,根據定義零信任不能用于描述網絡邊界或承擔網絡邊界作用的盒子或虛擬盒子。相反,基于身份或者基于用戶的控制方法是新的邊界,這更符合零信任的原則。
零信任意味著網絡上沒有任何人是可以信任的,用戶只能訪問他們工作所需的內容,其他都不可以訪問。Kalember說,嚴格執行零信任將無法橫向移動,這樣即使攻擊者能夠闖入,也無法訪問整個內部網絡。
欺騙技術
Secureworks首席產品官Wendy Thomas表示,欺騙技術(或者蜜罐)與為客戶提供更安全結果之間的界限是很難界定的,因為僅識別威脅因素并不會降低企業組織受到攻擊的可能性。
Thomas舉例說,蜜罐可能誘使威脅行為者采取某種并不會影響客戶的普通技術,也就是說,不會給客戶造成很大的損害。他認為,通過結合事件響應團隊最常見場景,而且事件響應團隊在現實環境中對現實事件進行響應,這讓企業可以從中受益。
Thomas認為,打補丁和配置云實例等基礎措施是企業保護自身安全所能做的最重要的事情。
漏洞管理
Unisys首席技術官Vishal Gupta認為,企業組織擁有大量數字資產和軟件,要是出現呈現上萬個問題對CISO來說可不是什么好事。Gupta說,持續了解出了什么問題,這么做更多的是風險識別策略而不是風險緩解策略,并不會讓他們更好地解決問題。
Gupta表示,有時候在漏洞管理的情況下,緩解措施僅僅是在ServiceNow上創建票證,然后將問題傳遞給其他人。在大型組織中,CISO可能在任何給定時間中有100,000個漏洞要處理,然后召開會議確定誰可以解決哪些問題。
比起傳統的漏洞管理來說,有一種更為務實的風險處理方法,是把自動化和補救放在首位,利用生物識別技術和微分段,而不是拿著長長的漏洞列表。
安全訪問服務邊緣
Qualys董事長、首席執行官Philippe Courtot表示,安全訪問服務邊緣(Secure Access Service Edge,SASE)相當于VPN的現代版本,可以在沒有網絡以及被互聯網取代的情況下將邊緣設備連接到互聯網。Courtot說,由于企業組織將工作負載轉移到云端,并且企業網絡環境正在縮小,因此企業對SASE的需求不會持續很長時間。
隨著企業把越來越多的應用遷移到云端,網絡最終會變成連接到互聯網的一些無線設備。Courtot說,客戶要擁抱數字化轉型,否則他們的業務不會長久。
許多年前,安全行業對云是非常抵制的,但是今天人們不得不承認,云無處不在。
端點檢測和響應
Bitdefender全球云和MSP副總裁Jason Eberhardt說,很多企業認為端點檢測和響應(EDR)足以保護企業安全,不再需要防病毒軟件。然而,EDR是一種研究工具,可以查看端點上發生了什么,而不是把阻止端點被感染放在第一位的工具。
Eberhardt說,有太多的企業沾沾自喜,認為有攻擊者已經在他們的環境中,只要在事情惡化之前就將其阻止,就不會帶來任何糟糕的結果。但是,企業系統內部存在威脅因素,這本身就是一個威脅,企業需要對使用技術提前阻止威脅更加警惕。
Eberhardt說,解決方案提供商應該向客戶呈現完整的端點安全態勢,首先就包括阻止入侵者的技術。
云端安全
FireEye美洲地區渠道副總裁Chris Carter表示,即使大家說的不是同一件事情,但大家使用的卻是相同的云安全技術,隨著生態系統的不斷發展,整個行業仍然在致力于全面定義云安全是什么。一些自稱云安全的產品實際上只是解決了一部分問題。
Carter認為,云安全應該集中在保護云中工作負載上,因為很多企業組織最重要的資產——數據和知識產權——就在云端。客戶關心如何確保他們的數據和IP受到保護,而且隨著他們寶貴的資產轉移到AWS、微軟Azure或者谷歌云上,客戶需要安全工具來保護這些工作負載。
監控
德勤全球網絡負責人Emily Mossburg表示,ArcSight自2000年成立以來,就有了將企業大量信息匯總在一起的想法,但那時,這被稱為關聯。
過去二十年中,關聯變成了融合,融合又變成了監控,但是從根本上說,技術和方法是相同的。Mossburg表示,通過這個領域的企業更深入地探索,廠商試圖讓他們最新的技術突破變得有趣且引人注目。
監視的用例已經存在很長時間了,盡管一直在發展和變革,但考慮到這些技術理念的周期特性,其實它們的基本概念是非常相似的。
