阿里雲安全肖力：全球雲安全十大技術趨勢預測

（阿里雲安全事業部總經理 肖力）

國際知名信息安全峰會RSA2019剛剛結束，此次峰會共吸引全球700多家機構參展，其中近42%為雲安全和網路安全相關企業。作為全球首家也是唯一一家審計報告覆蓋所有C5標準基礎要求和附加要求的雲服務提供商，阿里雲也帶去了最核心的雲安全產品、行業解決方案、雲安全生態。

會後，阿里雲安全事業部總經理肖力向媒體分享參會體驗，指出Cloud SIEM成為雲服務提供商和安全廠商的必爭之地、Axonius奪創新沙盒冠軍顯示安全基礎建設重要性等安全技術發展的十大機遇。

分享全文如下：

又一年RSA大會歸來。每一年參會，總會有一些不同的感悟，或是發現全球安全行業的新趨勢，或是找到志同道合的新夥伴，或是看到很多人也相信我們相信的安全技術新方向。今天在回國的航班上提筆寫下我的感悟和判斷，希望對安全領域裡的產品和技術同學們有所啟發。

回顧每一年RSA的主題都有寓意。2017年的主題「Power of Opportunity」，2018年的主題是「Now Matters」。2017年我印象深刻的是大家都在討論數據智能及AI對安全的影響，所以主題講的是機遇（Opportunity）。2018年數據安全及GDPR對產業的影響很深，大會主題便強調安全迫在眉睫，強調此時此刻。今年的主題是「Better「，也寓含全球整個安全市場的爆發和安全產品技術的成熟，大家一起to get better。

第一：Cloud SIEM成為雲服務提供商和安全廠商的必爭之地

Azure和Google在RSA期間都發布了Cloud SIEM的產品，可以讓用戶基於雲端安全能力從雲上覆蓋雲下的業務。這意味著企業在混合雲狀態下，可以從一個更全局的視角來進行安全管理運營。此外，Google近日也發布了一款網路安全產品「Backstory」，堪稱威脅態勢版「Google」，因其「無限擴展」能力，以及使用了構造Google基礎設施核心的威脅分析引擎而引人注目。同時我也發現今年各大安全廠商也將SIEM來作為自己的主打產品。基於企業各項數據通過用戶行為分析（UEBA），基於設備的威脅檢測，基於IP和域名告警來實現全局安全智能分析。

不論是雲服務提供商還是安全廠商現在都希望通過搶佔SIEM(安全信息與事件管理平台)市場。我認為本質還是大家都知道在數據時代誰擁有數據就擁有更多可能。隨著Cloud SIEM的成熟，也許未來企業用戶會在安全管理平台內集成多家廠商的威脅檢測及響應引擎來儘可能提升效果。

第二：創新沙盒的冠軍讓我們看到安全基礎建設的重要性

今年RSA創新沙盒的冠軍Axonius。其核心優勢在於解決了企業資產管理不全的痛點。Axonius可以幫助企業降低攻擊面並能與其他安全產品進行聯動。這個概念並不超前。我們看到在過去的一年裡，無論是有廣泛市場需求的數據安全領域還是機器學習及AI在安全領域的應用，安全技術上沒有出現突破性/顛覆性的創新。

當談到雲上安全的最佳實踐，企業安全體系重要的不僅僅是梳理資產，減少攻擊面。我認為更重要的是：

1. 建立統一的身份認證授權體系；

2. 安全基線的運營；

3. 全局漏洞管理；

4. 默認安全流程策略；

5. 敏感數據加密。這個組合拳才是整個企業安全的基石。在這些基礎領域之上提升；

6. 威脅檢測；

7. 事件調查；

8. 自動化響應；

9.安全溯源能力才能讓整個體系更穩固。

第三：零信任安全的背後是身份認證將成為企業新的邊界

今年零信任理念也是熱點之一。各廠商紛紛推出各種零信任安全產品。大部分零信任安全產品的背後將身份認證作為核心，因為身份認證將成為企業新的邊界。

我認為隨著企業使用大量的SAAS服務、移動互聯網BYOD帶來的影響，大量企業應用上雲，原來企業安全體系以網路邊界為核心的防禦理念將隨之變化。身份認證將成為企業新的安全邊界。基於統一的身份認證，制定不同的安全策略，建立分層授權體系，全面實時的安全智能分析能力將構建未來每個企業安全的基石。

第四 : 數據安全領域蓄勢待發

企業越來越重視數據安全，但因為數據安全領域橫跨各個安全技術領域，導致各項數據安全方案成熟度不足。

過去的一年裡無論是在加密計算領域，還是在SGX可信計算領域，數據安全技術還沒有大的創新突破。即便是去年創新沙盒的冠軍BigID仍然是以合規驅動為主。過去一年從企業數據泄漏事件來看，數據安全技術和方案還需要提升成熟度。之前數據安全領域主要以DLP（數據防泄漏）技術為主，這兩年有越來越多的數據安全廠商開始把用戶行為分析、數據防泄漏、數據加密、數據流分析多種技術相結合來提升數據泄漏的檢測防禦效果。

但我認為數據安全涉及各個領域，也不僅僅依賴於檢測和響應，身份認證授權也是關鍵。而未來待加密計算和可信計算技術的成熟，數據安全領域也會有更大的突破創新。

第五: DevSecOps將得到越來越多企業的重視

安全工作不能總是在事中或事後，安全工作越前置企業所付出的成本越低。

阿里在2005年安全體系建設初期就開始構建SDL（安全開發流程），這也有效的降低安全漏洞數量及各項安全風險。

越來越多的企業已經意識到安全評估、自動化檢測必須內嵌在整個產品開發生命周期中才能確保業務及代碼的安全。而今年我們看到越來越多安全廠商通過黑白盒自動化檢測、RASP（運行態應用防護技術）相結合來構建DevSecOps安全方案。我相信接下來的1-2年DevSecOps安全開發流程會被更多的企業接受，整體安全方案成熟性也會逐步提升。

第六：安全廠商產品融合趨勢明顯，自動化響應建立完整安全閉環

安全涉及所有技術領域導致安全產品非常碎片化，安全廠商細分領域眾多。例如涉及網路安全就有DDoS防禦，WAF、防火牆、IPS、RASP等多款安全產品，如果在客戶場景部署就像「羊肉串」。這對用戶運維管理、網路穩定性、安全運營都提出了很大的挑戰。

今年安全廠商趨勢，試圖通過多個產品融合來重新定義安全產品，提供用戶更完整的安全產品。這個趨勢在今年各家廠商推出的產品形態上非常明顯。例如原來做終端EDR的廠商嘗試將DLP技術整合至產品中。當前熱門的SDP（軟體定義邊界）領域，廠商就結合SDWAN技術打造雲端All in one安全產品來給用戶進行集中流量清洗及防護。

Palo Alto Networks原來是以網路防火牆為核心產品的廠商。近年來通過投資併購，產品領域已成扇形擴展，已覆蓋終端安全、威脅情報、XDR(雲端威脅檢測及響應）。整個公司戰略方向很明確，希望覆蓋企業全局安全管理平台，我相信SEIM產品也會不久推出。

另一方面自動化響應成今年各安全廠商產品形態又一個明顯的變化趨勢。我們看到安全廠商的共性：統一數據收集、全局威脅檢測、自動化事件調查、自動化響應幾乎大部分Top安全廠商都在努力實現這樣的完整安全閉環。前幾年大家都很關注安全的Visibility，因此態勢感知成為安全焦點。但是檢測、Visibility能力只是原來的痛點，今年各大廠商產品都在往自動化響應閉環發展。當然這也對安全智能、事件關聯分析技術和產品API化提出更高的要求。

第七 : 雲安全成為最熱焦點

今年42%安全廠商涉及雲安全，雲安全成為各廠商最熱點話題。主要原因是越來越多廠商推出「雲安全產品」，基於本地化部署的系統上傳安全數據至雲端進行分析，共享雲端威脅情報的能力，從而提供精準的安全決策。

我還發現多家MSSP（安全服務提供商）推出基於多雲的安全管理平台，可以集成AWS、Azure雲安全中心的威脅檢測結果，也可以集成各家安全廠商產品數據結果，最終用戶可以在混合雲的情況下，實現安全一站式的管理，統一安全視角。

隨著企業越來越多的上雲，如何通過數據及AI的能力解決原來企業安全痛點，是各家廠商努力的方向。另外有一點非常有意思，海外的安全廠商幾乎沒有私有雲的安全解決方案，雲安全產品主要面向各家公共雲場景。這個是當前雲計算髮展國內與海外最大的不同。

第八：構建基於API的安全生態

我認為海外安全廠商的產品默認API化做的很好，可以方便給其他安全廠商進行集成，也讓企業用戶易於整合管理。這是海外和國內安全廠商差異所在。海外安全廠商專註在一個技術點的公司比比皆是，而國內安全公司大部分產品策略是以做多做全為主。我相信這其中也體現了國內市場和廠商的無奈。所以國外安全廠商產品天然需要和其他安全產品進行整合，自身產品就非常重視API化。

隨著雲安全不斷發展，雲服務提供商和安全廠商也開始進行融合。當前全球多家安全廠商通過雲產品API來構建基於雲平台的安全產品。雲服務提供商也集成安全廠商的API來提供雲安全產品服務更多的用戶。雲服務提供商的安全產品API也被安全廠商集成到線下產品來提升能力。

我相信用戶最終需要的是能夠集成各家核心安全能力，打造最佳的防禦體系來應對網路安全對業務所帶來的風險。

第九：安全廠商的品牌價值凸顯

如果說技術代表的是廠商的核心競爭力，那品牌展示則更清晰表達出其定位和差異化。我收集了一些安全廠商的標語，這些標語裡面也體現了各家安全廠商的核心優勢、品牌理念及市場定位。例如Chronicle強調安全智能、McAfee強調協同、VMware強調雲原生安全和智能、AWS強調雲上能夠提升企業安全性。

我個人更喜歡IBM Security的標語：「我們並不需要更多的安全工具，我們需要新的安全規則」。我相信互聯網安全環境越來越好也一定離不開政策、法律、合作、技術創新。

Chronicle：Global Secruity Intelligence （全球化的安全智能）

IBM Security：We don』t need more tools. We need new rules （不安全的世界，需要的並不是更多的安全工具，而是新的安全規則）

McAfee：Together is Power（產品協同，所有人齊心協力才是最大的力量）

VMware：Intrinsic Security，Intelligent Protection（原生安全，智能保護）

AWS：Elevate the security（雲上提升安全性）

第十：展望其他安全技術領域

1、在今年RSA大會上業務風控的公司不多，主要以防Bot廠商為主。但我相信隨著黑灰產的發展，黑產變現方式不止局限於DDoS攻擊、挖礦這類事件。未來黃牛黨、廣告點擊欺詐、防撞庫等業務安全問題會對企業業務有更多影響，而業務安全領域也將逐漸成為安全市場主流需求。

2、隨著Cloud SEIM的興起以及這兩年部分廠商推出MDR（可管理的檢測及響應服務），我相信MSSP（安全託管服務）會被越來越多的用戶所接受。而這個前提條件就是安全SAAS服務的興起，國內目標在SAAS服務上用戶接受度還不足，我預期隨著雲計算的發展接下來幾年一定會有更大的爆發。

3、今年IoT和移動安全廠商非常少，尤其是過去幾年大家都很看好的IoT安全領域。這也說明整個IoT市場還在混沌階段，我也相信IoT安全市場發展要取決於IoT OS之戰。從移動互聯網走到雲時代再到IoT萬物互聯的時代，不同時代操作系統的安全水位決定了安全市場的大小和走向。

我也期待著在雲計算和萬物互聯時代真正到來時，我們能讓用戶及企業在互聯網上更安全無憂的發展業務，幫助他們服務全球用戶。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！