
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。

企业与行业网络安全发展趋势预测
企业与行业网络安全发展趋势预测
文 | 刘志诚

刘志诚
乐信集团信息安全中心总监

关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。

又到了年底总结的时刻,微观维度执行的总结和规划趋于结束,宏观维度总有点想法不吐不快。当然,相对于专业调研组织或专业咨询组织长期的调研分析,本文是基于扎实的理论和实践基础做出的总结,因此我的预测仅能看作是自己日常所思所想所悟只言片语的梳理、分析、抽象并总结的产物。一家之言,仅图一乐,对自己认知的梳理也希望能惠之于同好之人。当然,任何不同意见、批评、蔑视、无视,一概笑而纳之。


图一、行业发展与企业视角的网络安全发展趋势
对于网络安全整体发展趋势,主要基于两个视角,一个是行业发展的视角,一个是企业维度的视角。以三个参数观察在时间和空间两个维度的变化趋势,从而进行预测。
三个参数中,解决方案作为行业发展的参数,从技术与产品发展规律而言,接近线性发展,网络安全的边界作为行业与企业关联的参数,决定了企业网络安全风险的需求与行业解决方案之间的差距。网络安全的边界符合人类风险认知的规律,从初期的缓慢发展,逐渐向指数发展演进。资源是企业在网络安全投入的成本也是行业获得收入的主要来源,为了更好地表现出其中的趋势,我们采用资源比作为参数,资源比是同等效果下的资源投入,也是目前企业管理维度实现降本增效措施的基本趋势。因此虽然资源呈线性增长趋势,但资源比会在需求和解决方案平衡阶段呈指数下降的趋势,在失衡状态下重新表现出增长趋势。
以当下时点为原点,个人认为,2022年末,行业解决方案对企业网络信息安全的需求尚未达到平衡阶段,尚不能解决企业认知的网络信息安全边界的需求。在3-5年内,随着行业解决方案的发展,会达到企业当下认知水平的网络安全边界与解决方案的平衡,企业进入认知水平的风险平衡状态。
在这个状态下,行业解决方案水平依然继续发展,超过了企业认知水平的网络安全边界需求,在企业资源投入比与边界和解决方案交叉点,实现行业收入的最优化水平,行业处于巅峰状态。根据目前国产化进程和法律法规合规性要求的发展来看,这个状态预计可以在2035年到达。
企业在网络解决方案日益充沛,资源比持续下降,认知的网络安全边界与资源比达到平衡的状态,是企业投入成本的最佳状态,达到了业务平衡。这个时期虽然行业收入的利润下滑,但收入仍保持持续增长的状态,领先于客户认知网络安全边界水平的发展,行业仍处于一种盲目自大的乐观期。这个时间预估在2040年左右达到。
企业在追求能效比的前提下,仍持续提升效率,降低单位资源投入。但在数字化发展过程中,企业对网络安全的边界认知水平会指数级增长,在资源比不足、投入受限、认知水平超越行业解决方案的情景下,行业解决方案满足不了企业认知的网络安全需求,行业陷入低谷期。行业进入破坏性创新阶段,传统网络安全企业面临巨大的挑战,行业出现巨大的新机会,预计这个时间在2050年左右。
整体上来看,行业发展符合30年为周期的周期律规律。因此,我们尚处在现阶段的上升期,但喜忧参半,通过管控成本提升能效比是行业必须面对的挑战。

图二、时空维度四象限趋势预测法
对于分项预测,主要基于空间的边界复杂度,即以工作的范围及时间的长短划分为四个象限进行分析。第一象限,领域边界的复杂度与时间更接近于当下企业的实际情况;第二象限,是在逐渐突破已有领域边界复杂度提升下,空间维度和短期内的发展趋势;第三象限,是在领域边界复杂度持续发展的长时间演变的发展趋势;第四象限是在目前领域边界复杂度的前提下,长时间演变的发展趋势。从我个人的认知来看,未来基于时空复杂度的演变,因此,第四象限是未来发展的方向。


图三、企业网络安全组织发展趋势预测
目前企业的网络安全组织架构与企业所在的行业、规模、信息化水平、网络安全风险意识和认知水平密切相关,从整体的情况来看,大多作为二级和三级部门存在,以向IT部门汇报为主,也有向财务、行政、以及IT二级部门运维、基础架构部门汇报的情况。鉴于网络安全和信息安全以及安全管理的差异,也存在三部分职能分属于IT、行政、合规等不同部门分别管理一部分职责的情况。总体上,网络安全的重要程度有所上升,独立职能成为主流趋势。
伴随着《网络安全法》《数据安全法》《个人信息保护法》颁布和修订密集实施,企业在网络层面的合规责任日益加重,国家监管和处罚力度日益趋严,网络安全职能重要程度会持续上升。从领域边界来看,网络安全复杂度进一步上升,其中数据安全与个人信息保护贯穿传统网络安全、系统安全、应用安全的范畴,与企业的业务日益紧密。传统网络安全组织汇报关系限制了合规性的完整保障体系建设,建设网络安全与个人信息保护的相关委员会,贯穿不同职能部门实现统筹协作成为共识。然而,委员会的松散结构和兼职特性,对职能执行存在制约,长时间来看,未必是最佳的组织模式。
安全领域边界的复杂性同样会对安全组织的规模以及资源投入提出挑战。随着时间的发展,企业难以在所有领域成为专家,以及通过大规模的资源投入实现安全体系保障。对于中小规模企业而言,第三方托管将是主流方式。利用外部资源保障企业网络安全的合规,把合规与安全风险控制到企业接受的范围内,实现资源投入成本与收益的平衡,网络安全服务托管也会成为行业发展的一种高速成长的商业模式。
对于中大型企业而言,为了满足数字化发展的趋势,为了实现技术风险的可管可控,依赖第三方产品和解决方案,在竞争优势和可持续发展的适应性方面,面临巨大的挑战,企业的全面风险管理(ERM)需要建立在具备核心竞争优势的安全风险控制的解决方案上。因此,独立运营的安全科技公司将成为集团化大型企业的标配,类似于目前的财务公司、IT公司,在满足企业自我需求的同时,对外能力输出。而独立运营的安全科技公司,由于对场景、对业务、对风险的敏锐度,将对传统网络安全企业形成巨大的挑战。

图四、网络安全负责人的发展趋势
网络安全负责人作为企业网络安全建设和运营的第一负责人,承担着专业领域企业规划和建设安全风险处置能力、运营网络安全体系、与企业内外部协作、处理相关安全情报、风险、事件的责任,保障企业的网络安全,落实企业的安全合规与保障义务。目前,与网络安全组织架构相适应,在企业一般是中层管理层的总监、高级总监或总经理岗位,但也不排除在信息化水平尚处于初级阶段,或对网络安全的认知水平仍处于初级阶段,以组长、经理级别的初级管理者作为网络安全负责人的情况。
同样从网络安全边界领域复杂度的角度来看,一旦涉及到个人信息保护、数据安全,或是与国家安全和社会安全领域相关的重要数据保护和关键基础设施安全保障,中层管理者的资源调度能力和决策层级就难以满足实际需求,对企业而言,存在较大的合规与网络安全风险。因此,在数字化原生企业与数字化转型较为成功的企业或互联网业务企业,安全负责人直接进入执行会员会、决策委员会,向CEO和COO汇报,作为CXO执行层中的一员,成为趋势之一。
从时间发展的角度来看,数字化转型是VUCA时代企业面对的必然挑战。云大物移或ABCDE技术对企业的业务发展带来极大促进作用的同时,也进一步加剧了企业的网络安全风险。在CTO和CIO逐渐进入公司决策层序列的同时,网络安全负责人以高层管理者VP的身份,协调企业网络安全与信息安全的体系化实施和落地将更具有推动力,单纯从目前网络安全边界复杂度的角度来看也是未来的趋势。
目前,在关于网络安全边界复杂性和长时间发展趋势的维度来看,董事会需要具备相关的专业能力和经验,判断企业的风险水平和网络安全态势。但是,作为企业的决策层,董事会成员需要具备业务发展的洞察力和企业价值运营能力,传统的网络安全人员如果缺少跨界的运营经验和业务运作管理能力,在董事会中将受到较大制约。
因此,网络安全负责人如果要匹配未来网络安全负责人岗位发展趋势,需要提升自己的跨界管理和运营能力,否则,这个未来的重要岗位,将主要产生自非网络安全领域专业出身人士。机会到了,可惜不是你,实属遗憾。


图五、企业网络安全边界发展趋势
网络安全最早的狭义是Network Security,是计算机安全(Computer Security)在网路发展过程中出现的安全风险。今天的网络安全一般是指Cyberspace Security,即网络空间安全,网络空间安全的范畴,除了包含传统的Network Security,Computer security之外,范围更广,但在基础设施管理部门来看,主要是网络、主机、系统、应用安全的范畴。
信息作为Cyber的承载,在非计算机时代也存在古老的信息安全问题,主要是保密的应用,古老的凯撒密码体系是最早的信息安全控制信息机密性的解决方案。今天我们谈到网络安全,一般包含信息安全的范畴,我个人经常使用的术语一般是“网络信息安全”,以区分传统的网络安全和信息安全。
从领域边界的复杂度来看,数字化对企业信息系统的影响以云原生的DevOps、容器化、微服务、持续交付四个特征为主。当信息系统成为企业业务运作的作业系统,决定了企业的核心竞争力,则从传统的购买商业套件(COTS)信息系统变成了自主开发系统。
研发的安全性决定了企业网络安全的保障水平,而作业系统中对个人用户信息、企业商业秘密、国家重要数据的处理,需要关注数据安全的DIPA(数据影响保护分析)以及基于隐私和安全的设计(PbD,PsD)。作业系统中人工智能为核心的算法设计以及流程自动化(RPA)同样需要关注算法的可解释性、透明性,以及反歧视、反垄断、消费者保护等合规性的业务安全风险。
因此,从领域边界复杂度的角度来看,具备从技术安全(T Security)到业务安全(B Security)发展的趋势。
从时间发展的角度来看,网络安全风险主要关注由技术领域资产脆弱性导致外部威胁攻击所造成的安全风险。数字化技术的发展,技术的安全要素,需要逐渐扩充到技术风险的防范。ISACA组织的CRISC、CGEIT等专业认证,主要关注的是安全风险和技术治理领域的专业知识。因此,从时间维度来看数字化技术发展带来的技术安全(T Security)有技术风险(T Risk)治理发展的趋势。
数字化发展的势不可挡以及数据作为生产要素参与到国民经济的方方面面,从时空整合维度的发展来看,网络安全需要关注数字化和数据的风险范畴。数字化风险可以看作是业务安全与技术风险的叠加,不再赘述。数据风险是目前在企业全面风险管理中容易忽视的环节。
数据风险除了传统意义上的个人信息保护,数据安全的保障体系风险以及基于此延伸的合规风险之外,在数据的统一、规范、标准化等数据质量方面,一般被企业纳入数据治理的范畴;但在个人信息原始数据禁止交易的前提下,基于原始数据和处理算法的数据产品则被纳入数据交易范畴;而数据产品背后原始数据的覆盖率、完整性、可靠性、时效性等评估标准,以及数据产品有效性的评估体系均缺少依据,无论从企业数据风险还是从监管部门数据质量风险监控方面均存在空白地带。
当然,还有学术界比较关注的产权风险,以及实现数据处理和应用的技术风险,都是未来难以逾越的难题。因此,从时空整体趋势来看,网络安全边界未来的发展趋势在于解决数字化与数据风险问题。


图六、企业网络安全战略趋势预测
这项预测应该会有比较大的争议,主要在于从企业网络安全战略的维度来看,企业的网络安全战略需要服务于企业的业务战略,与业务战略保持高度一致,实现对企业发展的全面支持。由于企业千差万别,因此很多企业已经度过了事件驱动和能力建设的阶段,在以风险驱动和安全运营为中心开展网络安全的战略指导工作了。但不可否认的是,仍有大部分企业尚不能满足理想的状态。从中位数来看,大部分企业应仍符合四象限划分的预测趋势,优势是,领先企业已经证明了发展趋势的正确性。
事件驱动的安全战略说上去好像有点低级,是因为假设前提所谓的事件是被动响应的相关事故。如果从狭义的事件驱动而言,是在安全运营进入了成熟期,具有事件的发现、分析和应急响应能力,才能称之为真正的事件驱动。第一象限的事件驱动也是指被动的外部事件驱动。很多企业重视网络安全的起始就是由于以往的网络安全事件给企业带来巨大的困扰,这也是以救火队长和救火队员出现的网络安全团队的主要工作模式。这种战略驱动,表面上看起来网络安全团队工作繁忙,其实往往身心俱疲、士气低下。
从领域边界复杂的角度来看,基于风险的管理似乎是基本要求,不过风险管理同样需要具备风险管理的专业能力和相关意识,在企业全面风险管理(ERM)尚未把网络安全风险甚至是信息技术风险纳入的情况下,两种风险管理模式之间仍存在专业鸿沟。而传统的网络安全风险评估往往落入具体的基于表格的合规要求,而未能实际指导网络安全工作的开展。从发展趋势的角度而言,具备风险驱动的网络安全战略,是绕不开的关键路径。
从时间维度来看的发展趋势而言,未雨绸缪地进行安全预防、检测、监测、响应能力的建设,实现工作的井然有序,让信息安全团队回归到正常的工作状态,兼顾工作与个人团队的持续发展。从时间维度来看,应该是大多数安全团队的常态。
安全运营驱动的战略,关注的是网络安全自身的数字化建设,以数据驱动实现风险、事件的可观测行和有效性治理,是网络安全战略驱动的未来趋势。


图七、行业网络安全解决方案发展趋势
从网络安全行业的维度来看,解决方案最好基于标准化的产品,可以实现成本可控的规模化复制,这也是产品模式的商业模式成立与存在的理由,网络安全产品也是以此为始。但伴随着网络安全领域边界复杂度受到数字化和企业面对VUCA时代的变化,传统安全产品模式的弊端日显。为了实现标准化,行业产品需要缩小需求,解决企业网络安全某一领域的痛点或难点,但往往因此陷入了只见树木不见森林的误区。而单一产品的产业规模限制,又促生行业从业者产品多元化模式的发展,而产品边界的重合以及彼此竞争兼容性壁垒,给企业带来了治理的噩梦。
产品模式问题在领域边界复杂性增长前尚不构成威胁,但在数字化模式下以及安全进入研发、数据、业务领域后,场景适应性变成首当其冲的问题。这个问题首先发生在大型互联网企业,互联网企业在遍寻不到解决方案后,往往会投入重金打造场景适应性产品,而操刀的互联网企业的网络安全负责人,也会从中发现机会,从而加入网络安全创业的大潮。而对于中小型数字化企业而言,想要从0打造,成本、效率、资源方面显然不足;而找到志同道合者,在一致的方向上战略合作成为可行的路径。
从时间维度来看,网络安全行业标准化产品的成熟,以及企业不断下降的资源投入比,企业需要养一只专业的安全团队,采购大量的安全产品日益面对挑战,中小企业上云也对传统网络安全能力的建设提出不一样的建设需求。在国外流行的网络安全托管服务(MSSP)将成为中小企业选择的主要趋势。
网络安全保险虽然在国外早有普及,并在国内成为热点,但落地依然存在巨大的障碍。对于保险企业来说,如何实现多企业安全的整体感知,从而精确计算其中的风险以实现精算至关重要,否则,就变成了产品定义狭窄的特殊领域责任险的试错。
要了解企业网络安全的状态,难以依赖企业现有的网络安全产品体系,产品设计的功用在于处理企业安全风险,缺少整体性的安全指标进行度量和呈现。而以企业为客户的网络安全行业也缺乏对网络保险企业服务的能力和意识,企业也不会因为行业与保险业的合作,而接受供应商锁定的风险。
所以在未来发展趋势上,我大胆地预测,会催生出网络安全保险科技企业,以保险公司为服务对象,解决保险企业对企业的网络安全评估和评价能力,这个市场对行业、企业、保险业都会产生革命性的影响。


图八、网络安全评估指标的发展趋势
无论是未来网络安全运营战略的数据化驱动安全,还是行业解决方案的信息安全保险科技,核心都离不开网络安全评估指标的发展趋势。态势作为网络安全的风险、事件的可视化呈现,实现对企业风险和安全事件的全局性可见,一度是网络安全炙手可热的领域。当然,炫丽的前端确实在指挥中心体现出巨大的震撼力,但本质上却面临着各种各样的问题,比如准确性、滞后性、覆盖率、关联性等,往往成为了形象工程。
领域边界的复杂度体现的是资产的复杂度,静态的CMDB式资产管理,将会面临资产生命周期管理的动态挑战。企业需要建立多标签的动态资产管理体系,突破传统资产的定义,关注新兴资产的分类分级。基于动态资产管理实现对脆弱性、威胁,以及结合ATT&CK框架的脆弱性利用的知识图谱,实现时序分析的可跟踪性关联分析,也是Gartner在扩展攻击面管理(EASM)中的重点,这也是实现对内部风险、威胁、事件实现可见、可管、可控的基础。
从时间的维度来看,企业的网络安全指标,主要关注的是安全控制措施的有效性,安全控制措施包含预防、检测、监测、管理等一系列措施,不仅是对安全设备的有效性检测,也不仅是对漏洞利用的攻击绕过,也包括配置的核查和安全策略的逻辑审核和有效性验证。基于渗透与威胁模拟测试(BAS)的技术是其中的一个环节,而自动化可持续行红队(CART)等也是未来有效性指标验证的可行技术选择。
有效性关注的是结果,结合扩展的攻击面管理,未来的趋势是实现网络安全的可观测性。我对可观测性的定义是实现对过程的可视化,相对于结果的后知后觉和追溯分析,我们需要以上帝视角关注到网络安全攻防的全过程,透过玻璃盒子观测到进行中的网络安全,进一步进行干涉和控制。这是企业网络安全达到相应境界的指标,也是网络安全保险科技为保险公司提供服务的依据。

网络安全这个行业不易,看到这么多龙头企业亏损,创业企业为了项目地板价的厮杀竞争,未免感慨唏嘘。行业和企业都需要关注当下和未来业务、技术、网络安全发展的趋势,积极应对、主动调整,不要作被动的响应者,疲于奔命、劳民伤财而不得其获。个人才疏学浅,不自量力进行预测,希望能作为行业中的一员为这个行业的发展添砖加瓦,不求有功,但求引起更多的思索和探讨,是为记。



【12月主题:回顾与展望,无题】
【11月主题:考场,战场与职场】
【10月主题:过与不及】
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在
本篇文章来源于微信公众号: 安在