当下,AIGC、区块链、云计算等新兴技术发展如火如荼,网络安全的内涵与外延也随之出现许多变化,安全攻防也从早期的黑客炫技手段,演变为如今产业发展的底座。过去的20多年,网络安全行业出现了哪些新变化?安全技术的演变又将给我们带来哪些启示?我们如何应对新时代下的安全新挑战?
腾讯安全和CSDN联合打造《开谈·网络安全技术简史》圆桌论坛,由CSDN战略合作总监、开发者研究院院长闫辉主持,并邀请到腾讯杰出科学家、腾讯安全玄武实验室负责人于旸、绿盟科技集团首席合规咨询专家、资深架构师张睿、星阑科技安全专家汤青松,从网络安全技术的发展历史、现状和未来趋势,分享了各自在安全领域的实践经验,展望当下网络安全面临的挑战与机遇,并基于安全攻防驱动的特性,呼吁加强国际合作和技术交流,以提升企业数字安全免疫力,更好地应对时代的变化。
Q1:网络安全跟人性的哪些因素相关?为什么这个产业会出现这种攻防?
于旸:我觉得攻防的本质实际上是对资源的争夺。再往上一层可能就是信息差的区别。在现实生活中,很多信息差会决定胜负,在网络空间当中,当掌握了更多这种防御的知识,就可能不容易成为受害者。
张睿:我认为网络在资源属性之外,还具备资源的获取渠道这一个属性,渠道和资源本身是两个很大的差异。比如,在民营体系里面,我其实更加倾向于按照GRC框架分析。G的一方面是源于治理,偏业务层面,二是源自于风险,就是我们到底是源自于合规,就是政府和行业有什么要求?而且C的要素越来越重要,就是合规越来越重要。
Q2:网络安全的技术变迁主要包含了哪些技术?对于要从事这个行业的人来说能做哪些准备?
于旸:从事网络安全技术岗位的人,其实他原本也并不是网络安全专业的,他们可能就是计算机专业,或者学电子方向的,这个阶段大家80%的课是差不多的,剩下的20%可能自己稍加学习也可以互相转换,可能到了研究生阶段才会更术业有专攻。
此外,网络安全也是一种思维方法,大家可以把思维方法和某个行业去结合,这样就得到了某一个方向的网络安全。比如,当这种思维方法和工业控制系统相关的知识结合,就变成了工控安全;和无线通信相关的技术结合,就变成了无线安全。安全不是一个独立的东西,它一定是依附在某个基础的学科上,一定是某一方面的安全。
张睿:网络安全产业是一个特别宽口径的行业,这也是一个重要的特性。技术发展以后一定会和安全相挂钩,所以当5G发展的时候会有5G安全,当IT技术发展的时候会有IT安全,提到车联网发展的时候,会有车联网安全。未来对很多学技术的人来说,行业里面基本会有安全岗位的需求,这是产业一个宽口径的特性。
行业如果按照攻和防两个角度去区分的情况之下,90%的人员会落到防守这一方,所以体系怎么做、质量怎么去达成、如何驱动业务的保护、如何打造解决方案,90%的人员都在防守区域里面去做。如果大家未来想去加入网络安全行业,大概率做防守的概率很高。
现在从防守方来看的话,如果进一步去切分,除了行业赛道以外,可以针对行业去进行细化,也可以针对领域赛道去细化。未来如果想去探索进入网络安全行业的话,行业里面还有很多空白可以探索。
汤青松:就业里面有几个比较大的岗位需求。
比如渗透测试,有些类似我们以前说的软件测试的功能,还有安全测试岗位,就是在懂一些安全概念的情况下去测试这个产品有没有安全的问题。
另外一个是将挖掘SRC作为你的收入来源,专门挖掘漏洞,但可能没有专门的公司去培养你。还有一个岗位就是安全研究的岗位,实际上会做一些比较杂的事情。总的来说,如果从就业的角度上考虑,我觉得可以分为这几个方向,那么你要做人力开发,你就学开发知识,如果做安全测试,你就可以掌握一些安全概念,把一些安全测试和收入来源渠道做一个分类。
Q3:网络安全现阶段的特点是什么?可否具体举例关键的技术、主流的攻击,或者是防御技术?
于旸:从安全发展趋势来看的话,就是由简单到复杂,当前的网络安全攻防形式是有史以来最为复杂的。今天作为防守者面临的问题,可能跟前辈们所面临的是完全不是一个量级。
之前可能想的是,我把敌人挡在网络之外就可以了。今天会发现要处理的问题是敌人到你家里的情况,甚至要假设敌人已经入侵到你的电脑上,而且我暂时还不可能把他赶走,这个时候网络安全要怎么做,攻防的力度已经到这个级别。
另外,像我们之前做防御就是让攻击者进不来,现在可能是会拉一个纵深,比如我最好是让你进不来,但万一你要进来的话,进来之后不能造成破坏,或者说你还是偷走数据了,但我能及时知道,不要说偷走了还不知道。就是说假设已经不一样了,思路和手段也不一样,使用的工具方法产品也不一样。
技术发展到今天,网络安全和整个信息产业、整个数字世界是密切联系的,数字世界出现了什么东西,网络安全就会出现。比如最新的ChatGPT,当大模型出现之后,网络安全一定会从两个方向跟它做结合。
第一个方面是新出现的大模型能不能拿来帮我们做安全,无论是攻还是防,第二个方面是大模型相关的东西有没有安全问题。当技术进入不同的发展阶段,我相信安全在这两个方面上都能找到自己的角色和定位。
张睿:现在我们看到新技术起来以后,很多东西不但要去考量如何安全地用,还要考量用得安全,就是它既能够去催生保护方面的需要,也能够去催生攻击方面的风险点。
我们可以看到的一个特性是,大家越来越能够去从双方向去思考这个问题。比方说勒索病毒,它的底层使用的是加密技术,加密技术在安全的保护体系里会经常用到。
如果利用到攻击的角度,也能够使用相似的技术。所以我们再去思考安全的时候,未来绝对是要从双方向去看,因为技术本身不带道德属性,如果你要连接道德和法律的时候,必定要去挂接相应的场景。
汤青松:我觉得安全技术本身并没有特别大的一个突破,它应该包括现有的技术结合,打造一个立体的应用模式。我们现有的安全技术,比如防火墙,能挡住别人的入侵检测技术,别人打进来了,我们怎么去检测,以及我们的虚拟通道,VPN、身份认证、数字加密、漏洞扫描、情报共享等技术。我觉得现有的技术并没有特别大的提升,只是我们在最近几年拿这些技术来完善更多的应用场景。
Q4:杀毒软件曾一度竞争激烈,但现在感觉不太受关注。请问安全在不同的阶段总是在不停地变化,还是一直都有一条暗线?
于旸:安全行业的变化是攻防驱动的,早期的网络病毒造就了杀毒软件的状态。
从防守这条线来看,病毒自身也在发展,随着磁盘拷贝这种文件传递形式慢慢消失,传统的磁盘病毒就逐渐演变成了网络蠕虫,随着U盘的出现又到U盘传播。后来随着操作系统的安全性不断增加,病毒想以传统的方式去肆虐也变得越来越困难。所以,攻击者需要去思考,就是当一种容易的路被堵住的时候,他就会去想可能有没有其他路,虽然说可能更困难些。
另外一条线就是随着技术的发展,我们的数字世界越来越丰富,也会带来一些新的攻击场景,新的攻击路径成为可能性。每一种攻击方式的出现,以及由各种攻击方式共同构成的每一个时代网络威胁的大场景,又会推动防御方想出不同的网络安全防护方法、工具和产品以及策略。
我认为攻防双方就像我讲的阴阳鱼,这两个阴阳鱼不断地纠缠,不断地推着对方走。
张睿:安全防护一直在提CIA的三要素,即保密性,完整性,可用性。有些时候我们去打击对方的时候,可能并不是为了去获得这个信息,本身只想让他的业务下线,比方说DDoS就是想让对方下线不可用,我并没想窃取任何东西,也没想去破坏什么。有的可能就想改数据,比如我银行里面存了1000块,我现在就想把它变成1万块、1000万。还有可能我搜集这些信息没有当下用的可能性,但是未来某一天可能会起作用,所以想去破坏这个内容。CIA我们一直在提的是,在我们做安全的时候,保护的本质也是在做攻击的时候去想我到底要去攻击哪个点的问题。
除了CIA以外,大家可能比较少提其他要素整合,就是关于人的特性的整合。这里隐私是非常大的一个点,它和C和I和A很多时候并没有关系,但是我们说安全要服务于人。如果你破坏了隐私,你可能很赚钱,但你要承担道德风险和道德法律责任。引入了人的要素以后就会发现,人能不能用得好?能不能满足人类的这个需求?会不会引发隐私的道德风险或者法律风险?是现在从防护角度去看我们到底怎么样去把安全做好的问题。
单独从上位法看隐私的话,有《个人信息保护法》,但未来很多企业希望自己的产品走出海外,遍布世界各个角落,在服务所有人类群体的时候,隐私是安全的一个非常重要的要素,现在的趋势是安全和隐私未来可能是并驾齐驱的,两条路都要做起来。
汤青松:我认为安全技术并没有一个明显的路径在发展,它是依附于新技术,产生了安全技术的发展,假设没有这一个新技术,那么安全可能也不会有新技术的出现。出现了区块链,才有区块链安全,出现了AI才会有AI安全。
Q5:网络安全有没有跟其他行业不太一样的特征?
于旸:安全有一个底层逻辑就是攻防对抗,它还有一层底层逻辑本质上是成本对抗,双方争夺的本质是权力,这意味着做安全建设也不可能无上限地投入,实际上防御到底要投入多少,核心是要看他要保护的这个资产到底值多少价值,也就是说,安全措施的价值不能大于你要保护的东西的价值。
张睿:安全行业很特别,只要有新技术发展,它立马会跟进,立马会有它的存在。所以有车联网的时候会有车联网安全,有物联网的时候就有物联网的安全,供应链来了会有供应链的安全,我更加倾向于把它叫做宽口径的特性。
早期提网络安全现在依然有提主机安全和系统安全,提边界安全虽然过时了,但是防火墙依然卖得火爆,并且大家还是要去做边界安全,所以技术是不断叠加的,它只会变得越来越多,不会直接被替代或者变得很单一。所以对于单独在网络安全从业的同事,如果你在技术方向去扎根的话,不管是做保护方向,还是做攻击方向,未来只要有新的东西的话,你要疯狂地去学习,它对人员的学习能力要求非常高。
汤青松:我们软件开发行业的话可能是我开发了一个东西,我交接完就结束了,但是网络安全不一样,我可能只能保证我目前的安全,下一秒有一个新技术的突破,我没有及时跟进的话可能就被入侵进来了,就可能造成数据泄露,所以安全是实时性的问题。当问题出现的时候,安全人员可能得随时待命,然后及时处理问题,尽可能地降低损失。
「产业安全观智库访谈」
是腾讯安全依托中国产业互联网发展联盟及安全专业委员会,策划的一档聚焦于产业安全、安全生态、安全产业发展、安全与各产业融合等战略宏观维度的高端访谈栏目。