云安全了沒?
2020-04-02 15:02 云安全 數據安全

云安全了沒?

作者|徐也超      來源|盈動資本

2020年開年至今,疫情擴散到全球,呈愈演愈烈之勢;美股連續熔斷,不限量放水救市。突發事件的爆發,所帶來的集體不安全感急劇上升。

生存的物理空間受限,線上行為時長激增,游戲、社交、辦公...我們賴以生存的「云」,可能比現實世界更加危險。

「云安全」和 「數據安全」,在業內有很多不同的定義,簡單來說,云安全就是為云服務提供的安全方案,而數據安全是為數據本身和數據處理系統提供的安全方案。在實際的業務場景中,兩種類型的安全方案需要結合客戶的實際需求同時運用,從而保護客戶的云服務、數據、應用和基礎架構。

近幾年的技術發展和商業形態變化很快,讓相應的安全概念在熱度上也隨之發生了快速的變動,但 云安全和數據安全始終高居最火熱的安全話題榜首。「威脅檢測」和「網絡安全」通常是頭等大事,但是數據表明,行業中的人們更加關注數據和應用程序的安全性。

2020年全球網絡安全熱詞Top20,圖源:數說安全

安全一直是盈動重點觀察的賽道之一,目前已經布局了默安科技和全知科技等一線公司,今天總結一下我對這條賽道的一些觀察:

從美國市場看本土

2019年,美國聯邦貿易委員會(FTC)對 Facebook 侵犯隱私的調查事件以 Facebook同意支付50億美元的賠償金告終。這一事件大幅提升了全世界對信息安全的關注,也讓人們意識到信息安全市場的增長潛力。

在這一事件的驅動下, Fortinet、 Okta等美國頭部云安全公司市值都超過了百億美元,以 Illumio 為代表的明星安全初創公司也獲得多輪融資。國內以 綠盟、 深信服、 啟明星辰等上市公司為代表的老牌安全公司依舊強勢, 2019年下半年至今,安全初創企業的融資、并購事件數量顯著增長。

從20世紀90年代后期開始,美國將網絡安全問題上升到國家安全戰略的高度,頒布了一系列政策性文件,從技術層面、資源層面、信息層面到法理層面,搶占全球網絡空間制網權和制高點。

美國總體市場格局巨頭較為固定:

一是思科、微軟、甲骨文、英特爾、蘋果、谷歌等一系列掌控著核心技術的產業巨頭;

二是賽門鐵克、趨勢、飛塔等綜合性網絡安全企業,和FireEye、Palantir等具體領域的專業化企業;

三是波音、洛馬等具有超強整合能力的網絡安全承包商。

最近幾年隨著云計算的快速普及,前文提到的云安全廠商市場份額也在快速增長,形成了一塊相對獨立的市場。

根據Gartner、Forrester等機構的數據和預測,到2023年,全球信息安全綜合支出將超過300億美元。在國內,信息安全的市場規模由2017年的39.45億美元增至2019年的60.43億美元,復合增長率超過20%。

在政府的保護下,美國市場為創新型中小企業提供了較大的生存空間,中情局還專門成立了一家名為 In-Q-Tel 的風險投資公司。從全局來看,近些年美國的 頭部安全公司都在快速擴張產品線,在銷售上采用“一站式”打法,導致相互的合作受到很多限制,對創業公司發展也非常不利。

從過去的經驗看,美國市場的 自我修正能力很強,后續是否會延續這個趨勢,還有待觀察。

反觀中國本土的安全生態,目前更多是在資本運作方面對美國的借鑒。之前國內只有上市這一條出路,但從2019年的投資并購事件可以看到,中國國內對于安全初創企業的扶持以及資本運作的理解已經更加完善。

總體來看,雙方都在取長補短,完善自身的產業生態,這是一個目前可以看清的重要趨勢。

安全行業的三個痛點

01

中國信息安全的行業驅動力主要來自政策監管和安全事件。

公司不出事,安全不花錢。出于這種心理,直到幾年前,大多數國內公司對云和數據安全的認知仍舊停留在僅滿足政策的最低標準上。隨著國內 云計算產業的高速發展,很多公司開始主動上云,而云安全也在國內大型云廠商的帶領下快速發展。

2014年阿里云遭受當時最大規模的DDOS攻擊,之后針對國內網絡的攻擊量級和頻率快速增加,安全風險帶來的經濟損失很快讓政府意識到了云安全的重要性。

2018年掀起的貿易戰風波也讓政府加快了所有知識產權和安全自主可控的步伐。

2019年中國政府落地了網絡安全等級保護2.0制度,護網行動涉及范圍大幅度拓寬,這一系列針對云和數據安全的政策和行動體現了政府強化國內網絡安全的決心。

同時,這一系列舉措也刺激了國內的安全市場:一方面,政府需要采購安全檢測、審計類的產品和服務,來對各個具體公司和組織進行檢查;另一方面,政府監管導致各經濟主體產生大量安全體系升級、擴充的需求,進而導致對安全人才、產品和服務的需求激增。

意料之外的疫情爆發,也讓平日粉飾太平的安全假相毀于一旦。疫情期間大量公司業務和管理系統被迫上云,沒有做好足夠的安全防護,導致服務器崩潰、網絡斷線、刪庫、數據泄露等問題大量爆發,讓大量公司切身體會了不重視信息安全帶來的后果,進而催生了大量對安全業務的需求。

微盟刪庫事件:2月23日晚,微盟的 SaaS 生產環境和數據遭到破壞,300萬商家生意停擺超48小時,直到3月1日晚間,微盟才把數據全部找回。這一事件不僅影響了微盟的公司業務、股價和社會形象,更讓大量公司意識到信息安全方面的隱患事實上普遍存在。

刪庫事件的根源是 公司缺乏完善的運維安全管理體系。運維人員是企業數據維護的必要角色,但也同時給企業數據帶來了防不勝防的隱患。數據庫賬號密碼管理松散、管理權限不嚴謹,導致易發生越權操作行為,數據難以恢復、敏感數據得不到有效保護、數據庫內部操作無法準確溯源等問題都非常常見。

要杜絕這類惡意操作事件,需要在管理和技術層面上雙重把控。 管理層面:企業文化、員工關懷、普法教育都需要更加重視; 技術層面:增強運維過程的管控、強化賬號管理和權限控制、增加復核環節等等都是必要手段。

微博用戶數據泄露:3月19日上午,默安科技CTO云舒發微博稱“很多人的手機號碼泄露了,根據微博賬號就能查到手機號”。根據他在微博上的表述,數據泄露的原因或是由于微博在2019年被人通過接口“薅走了一些數據”,而不是所謂的“數據拖庫”。

此次微博個人信息數據泄漏原因有很多,很多常見的攻擊方式如“撞庫”、“漏水”、通訊錄好友匹配攻擊等,都可以造成個人信息數據的泄露。現今數據泄露已成為互聯網行業的典型事故,甚至可以稱作“新常態”,國內外多家知名公司、網站在不同時間都遭遇過數據泄露事件。

要防范數據泄露事件的發生,個人層面需要有意識地做好個人信息的管理和安全檢查,比如密碼盡量不要用容易被聯想的數字、不同賬號用不同的密碼等。從公司層面,除了做好數據庫的安全防護、對業務流程管控更加嚴格外,也需要在業務體系的設計和思想上作出改變。已有 安全行業人士建議大公司盡量關閉通訊錄匹配功能,如果開啟,必須對此接口進行各種數據泄漏監測和流控/風控措施。

這兩起事件的接連爆發,表明企業的安全壁壘并不如我們所想象的那樣堅固,這次暴露出來的只是其中的一部分,更多的漏洞亟待修補。希望這兩起事件的爆發能為整個行業敲響警鐘。

02

對于大部分企業來說,如何做好公司的云和數據安全,是一個全新的課題。

中國整體的信息安全市場規模將隨著云計算市場規模的增長和對數據安全的重視而快速崛起。根據ESG的年度IT支出意向研究報告,到2020年,有62%的組織將增加網絡安全支出,其中科技企業最有可能增加網絡安全支出,其次是制造業和零售/批發業。

這不僅是公司IT系統的任務,而是對組織架構、責任分級、事態監控、平衡支出等公司運營的全方位挑戰。越來越多的公司認識到:安全應當是CEO、CIO和公司董事會的重要任務。此外,企業網絡安全投入的增加,也意味著當前市場已有的產品并沒有滿足客戶的預期。

放眼世界,這也是大勢所趨。國外很多大型公司都為企業安全投入了大量資金,越來越多的公司不斷改進自己的組織架構和業務流程,以適應新環境下的安全挑戰。

以谷歌為例,為了讓谷歌員工都可以在不借助VPN的情況下通過不受信任的網絡順利開展工作,從2011年起谷歌就開始實施BeyondCorp架構,這一行動持續至今,積累了大量技術和實踐成果,甚至在《login:》雜志上發表了6篇BeyondCorp相關的論文。

這其中的技術細節不詳細展開,從結果上看,BeyondCorp如今已融入大部分谷歌員工的日常工作,在零信任安全領域具有教科書級的意義。而BeyondCorp作為一個零信任安全模型而非一個產品,谷歌僅僅抽象其一部分能力做成了商業化的產品(IAP)在谷歌云平臺(GCP)上發布,這也在某種程度上助力GCP在工程實力上敢于聲稱自己是世界上最安全的云平臺。

03

除了系統層面的薄弱外,由于員工信息安全意識薄弱所帶來的安全隱患也不可忽視。

使用家庭環境中的缺乏防護的個人設備進行辦公、使用容易被攻擊的家庭網絡、個人設備接入公司內部網絡、冒充同事領導的釣魚事件...,這些都是遠程辦公方便穩定的表象下所存在的安全隱患。對員工的網絡安全意識的教育不可松懈,沒有公司希望因為員工缺乏網絡安全意識而亡羊補牢。

關于其中的市場機會,我認為:員工信息安全意識的培訓目前還不是一個成熟的市場,原因是受眾面相對較窄,付費意愿不強。比如谷歌并沒有要求全員進行高強度的安全培訓,而是 通過安全體系的強化讓員工無感知地享受安全環境的提升,這也可能是未來的主流趨勢。

當然,對于安全從業者來說,安全意識的培訓還是很有必要。谷歌在這一點上,一方面是建立起各種云安全的標準與認證,與培訓組織、專業機構合作普及云安全意識,未來可能會投入大量資源,進行更專業的培訓和市場營銷活動;另一方面,讓安全主管轉變安全思路,與合作伙伴緊密協作開發云平臺的垂直行業應用,并將這些垂直行業上的工作推廣到行業內的安全體系內。

未來,潮水將會怎么推?

隨著新冠疫情在全球主要經濟體的蔓延,人們的行為從線下持續轉向線上,這給全球的網絡環境帶來了巨大的挑戰。美國遠程辦公人數在兩周內激增15%;英國的基礎電信服務大面積故障導致民眾無法打電話、發短信和上網;法國網絡流量創歷史新高,勒索軟件攻擊頻發。過去三周全球新域名注冊數量比同期增長了10倍,其中1月份以來已經有1.6萬個與新冠病毒相關的新域名被注冊,其中超過50%都與惡意軟件活動有關。

但是混亂也意味著機會,機會往往留給有準備的企業。這次疫情的全球性流行極有可能改變社會習慣,并給人們的日常生活方式帶來巨變,一些行業也會迎來不可逆轉的改變。 短期來看,如何應對當下的網絡安全壓力,是很多企業迫切需要解決的問題;長期來看,疫情以及“新基建”等概念帶來的經濟結構變化會成為新的網絡安全機遇的根源。

安全行業的發展機會將從兩方面得到驗證:

一方面, 過去主流的主機防護仍舊是基礎,但基于云架構和針對數據的安全體系將被快速、廣泛地結合進現有的安全體系得到實踐,以符合政策的監管和企業的需求;

另一方面, 對應這些產業的安全需求將更加細化,以實現更加嚴格的安全防護,因此安全行業的產業鏈環節、能力類別、產品形態將更加細分。這不僅代表產品化能力強的公司有更加獨立的機會,也意味著加密運算、零信任、通信鏈路安全等一些新興的安全思路會有快速發展的契機。

企業該如何保護業務,更好地應對日益增長的威脅,這都是留給網絡安全的巨大增長空間。

盈動資本
文章評價
匿名用戶
發布