有两个难题是目前网络安全所面临的。
鉴于在端点侧使用容器、微服务架构、serverless等APP,过去的端点安全产品不能有效地检测到威胁;在流量侧越来越多地出现加密流量,无法有效地检测到这些流量;对于无文件攻击、供应链攻击和社工手段攻击,过去的单一/单点检测方法的防御能力大大降低。安全性运行低效∶目前以事件报警和人工分析的方式效率低下,与上述风险叠加,导致威胁发现时间大大延长。
对端点侧防御进行重新研究,以实现端点对新场景的感知能力,并具有更广泛的场景适应性和更细粒度的检测能力;多种检测手段相结合,并通过关联分析、事件归并、上下文理解等方法来实现对威胁的有效发现;重视威胁情报的作用,借助威胁情报商提供的情报输出,实现威胁预警、威胁发现、反应处置、调查取证;注重权限账号管理;面对数量巨大的检测告警和不低的误报率,结合SOAR和MDR实现自动分析和统一管理,从而达到全局高效自动化发现、响应和处置,是非常有效的解决办法。
在国内威胁情报领域,头部厂商的优势将进一步扩大,除了继续为SIEM提供支持之外,威胁情报信息如SOAR、MDR的输出IOC、TTP、攻击面识别等将逐渐落地;具有威胁捕捉能力的安全编排自动化和响应(SOAR)将逐渐成熟;安全探测响应的托管服务将在国内市场获得初步认可。
整体来看,安全运营市场在2021年将会出现大量的解决办法,并且在一系列新的情况下,市场表现良好。资料审核、脱敏、加密、访问控制等单点能力建设,主要是满足合规要求。但对于真正需要数据安全的行业来说,更倾向于自动检测数据安全事件的能力,而目前这方面的产业能力还非常薄弱。包括关联分析和UEBA技术在内的人工智能技术在数据安全检测中的广泛应用。鉴于数据安全的基础太薄弱,2021年仍将以数据审计、脱敏、加密、访问控制等单点能力建设为主。出类拔萃的厂商将逐渐布局人工智能技术在数据安全方面的APP。