在斯诺登事件后的黄金十年中,网络安全行业取得了飞速发展,但是近年却陷入低谷和“至暗时刻”,无论企业营收利润还是创投融资,都呈现颓势。在数字化和人工智能技术革命的红利期,到底是什么阻碍了网络安全行业的发展?
今天,大多数企业面临最大安全难题不是黑客攻击,而是安全工具整合。
以网络风险管理为例,在不同规模的组织中,网络风险管理可能包括大量的技术,如攻击面管理(ASM)、漏洞管理(VM)、云安全态势管理(CSPM)、网络威胁情报(CTI)源、配置管理数据库(CMDBs)、渗透测试、红队工具等。那么,安全团队如何将所有这些工具和技术整合在一起呢?忘掉人工智能吧,许多组织仍然依赖于手动流程和电子表格。
安全平台模式存在局限性
平台化是Gartner等公司强调的网络安全市场最热门的趋势之一,也是对网络安全厂商最具吸引力的概念之一。在平台模式下,企业只需从一家安全厂商那里购买所有技术和服务,并让厂商代表企业进行整合工作。这听起来很有吸引力,平台可能对小型企业有用,但对于大型企业来说,平台有严重的局限性。
对于大型企业来说,“平台”是供应商锁定的代名词,这是企业需要尽量避免的情况。假设一个大型企业对平台感兴趣,它可能需要数月甚至数年的时间,才能从分散的工具迁移到一个集中化管控平台。鉴于此,平台供应商需要说服许多不同的人,让他们相信这种努力是值得的——对于持怀疑态度的网络安全专业人士来说,这是一个艰巨的任务。
今天,威胁态势和相关安全需求的快速变化往往会超出平台功能范围。企业将如何弥合这些差距?当然是通过为特定用例设计额外的点工具,这最终将导致企业坠入复杂性的深渊。
依靠API整合安全是一个错误
现实中,拥有复杂IT基础设施和应用环境的大型企业可能不想用“样样通,样样粗”的安全技术平台来满足安全需求,那该怎么办呢?
毫无悬念,企业安全主管们会掏出网络安全工具箱中的大杀器——API,期待不同的技术通过API实现互操作。
但是,依靠API整合安全是一个错误。理论上,API连接听起来不错,但在实践中的成效却极其有限。要让API正常工作,安全厂商必须向其他厂商开放其API。有时他们会这样做,但更多时候,他们拒绝这样做。即使厂商开放了API,仍然存在问题。
假设客户计划将漏洞管理产品与EDR(端点检测和响应)工具集成,此前客户已经安装了Crowdstrike、SentinelOne和Trend Micro EDR的产品。然后,漏洞管理厂商将需要与所有三个供应商合作,并与三个不同安全产品的API进行集成,这意味着大量的工作。
网络安全企业“互相卡脖子”
主流网络安全技术/产品存在严重的互联互通问题,这本质上是利他主义和资本主义之间的冲突。不幸的是,对安全行业的所有人来说,资本以很大的优势赢得了这场战斗,这表现为安全厂商为了保住竞争优势而“互相卡脖子”。
个别安全厂商可能赢得了“互操作”局部战斗,但整个行业输掉了战役。举一个简单的例子,没有一个主流漏洞扫描器会直接从竞争扫描器中摄取数据。因此,如果你的环境中有各种扫描器,你必须自己将数据作为你的风险缓解任务的一部分进行整合,尽管每个扫描器执行几乎相同的基本功能。
如何修复网络安全行业的脱节
网络安全行业需要采取开放架构方法,例如ESG的安全运营和分析平台架构(SOAPA)或Gartner的网络安全网状架构(CSMA),这些架构依赖于一些开放标准的创建和协议:
- 数据格式标准。开放网络安全框架(OCSF)看上去令人鼓舞,但它来得太迟了,太多的供应商没有加入。期待OCSF取得更多进展。
- 标准API。没有理由需要用多种语言与同一技术类别的不同工具进行连接。每个领域的供应商,或者某个中央治理/工程机构,应该帮助创建和管理这些项目。
- 补救措施的标准。如果我们想阻止一个入侵指标或生成一个虚拟补丁作为补偿控制,我们需要能够与所有类型的端点安全软件、防火墙和IDS/IPS系统进行通信。应该有一种方法告诉每个安全控制统一采取行动。几年前,我们对名为Open C2的标准充满希望,履行这一角色。希望这正在发生,但如果是的话,很少有人知道。
有人认为网络安全的标准化进程可能会变得混乱,最终变成一个烂尾的工程科学项目。但我们无需悲观,一些安全标准已经取得了显著的成效。例如STIX/TAXII标准提供了一种一致的方式来描述和传达威胁情报细节。通过这种方式,STIX/TAXII提高了威胁情报分析及其随后的风险缓解行动的效率和效果。
谁能推动网络安全标准的努力?一个政府机构或者可能是MITRE、ENISA,或者某种协作项目。金融服务行业的大型组织可以让他们的安全工程师聚在一起,制定一些标准,然后向行业发号施令。
其实早在二十多年前,曾经有个名为Jericho Forum的致力于定义和推广去边界化的网络安全行业组织。该组织吸引了亚马逊、CrowdStrike、微软或Palo Alto Networks等科技巨头,以及波音、宝洁、劳斯莱斯、渣打银行等更多行业企业加入。
最终,Jericho Forum 的理念和工作对后来的零信任安全产生了深远的影响。零信任安全的核心理念是“永不信任、始终验证”,最早的雏形正是源于Jericho Forum。
网络安全最大的敌人是自己
Jericho Forum的成功表明,网络安全行业可以跳出纳什均衡博弈陷阱,达成双赢甚至多赢局面。有了标准的管道,安全厂商可以集中资源和精力在理解客户需求和创新功能上竞争。
1972年,漫画《Pogo》引用了美国海军指挥官奥利弗·哈泽德·佩里的一句名言:“我们遇到了敌人,那就是我们自己。”
不幸的是,这句话点中了网络安全行业最深的痛点。资本凌驾于行业生态健康之上,正将所有人(包括关键基础设施和无价的数据资产)都置于风险之中。反过来,对资本和市场(竞争)的迷信和高度依赖也正将网络安全自身带入危险境地。
现在是所有网络安全社区团结起来,寻求合作的时候。在一个日益复杂和危险的数字丛林时代,网络安全行业需要通过拯救自己来拯救所有人,当然,政府和资本也应该意识到这一点。