首页 > 科技快讯 > 2021安全技术趋势展望：固有需求值得重做，创新需求值得深挖

2021安全技术趋势展望：固有需求值得重做，创新需求值得深挖

晰数塔互联网快讯
2021-02-25 12:10

在2021安全行业展望的上篇里，我们提出一个观察，由于退出渠道的作用力，2021年起行业内马太效应现象将更突出，企业间的并购潮流也将以较快频率展开。换句话讲，这意味着希望成就独立事业的初创安全公司，可能要面临更高维的挑战。

但另一面，安全作为一个防守双方不断博弈的战场，也是一个需与多个场景、行业结合的领域，必然会存在还未被满足的创新型或固有型需求。这是各种新技术/产品诞生的基础，亦是初创公司成长的缝隙。

于是在安全行业展望的下篇，我们整理了一些目前看来或可满足创新型或固有型需求的技术/产品，以期为广大读者打开视野，同时也为行业人士提供些许参考。

一. 当固有需求值得重做

所谓固有需求，指的是早已存在的安全需求，但由于各种各样的原因值得被“重做一遍”。当然，仅有需求不够，新技术的进展是“重做”的基石。在这个方面，我们认为值得关注的新技术/产品有XDR、安全流程自动化。这两大技术/产品类型，均以提升企业内部安全运营效率为目标，产品逻辑往往是站在过去某些产品的肩膀上，以期满足存在已久的“固有需求”，

1. XDR

XDR（Extended Detection and Response），即扩展的威胁检测与响应。这一新产品希望解决的问题是帮助客户提升安全运营的效率。具体展开，通过各种安全产品产生的告警来发现威胁并进行处置是许多安全运维人员的工作日常。但在实际工作中，大多公司的安全资源能力（如人员等）有限，需要过滤各种告警才能将分析量保持在可接受范围。不过过往已有且仍在不断叠加的一些安全产品，使得告警量居高不下，安全运维人员难以准确发现高危完整的攻击事件，这也会导致处置效率低，错过响应黄金期。这造成的后果是企业的安全投资回报率较低，难以满足自身的切实需求。

在这种前提之下，2018年后，国外的一些安全厂商提出了XDR的概念，并在2019年实际进行了产品落地，Gartner也连续两年将其列为十大安全项目之一。

在具体实现方式上，XDR平台通过多元数据治理接入NDR、EDR等数据、基于安全数据关联分析建模、威胁狩猎、攻击事件挖掘形成完整的攻击事件，希望达到有效降低告警量的目的，提升安全处置效率。

在行业中，关于XDR需要接入的数据类型众说纷纭，甚至有种说法是接入数据类型越多越好。但也有观点认为，NDR、EDR蕴藏着最具备价值的数据。首先，因为NDR数据来自于流量检测，相比较通过特征库检测的产品（如IDS）更精准。而EDR主要围绕主机数据，价值也较高。所以如果要选择先接入哪类数据，NDR、EDR或会是更佳选择。

从技术上，这类产品的难点之一在于对异构数据的接入处理，毕竟要打通各个厂商的不同产品存在难度。第二，流量和终端数据属于两类产品产生的数据，如何把它们之间进行融合，并形成完整的攻击事件也是挑战。所以，或许过往已将NDR、EDR类产品部署进入客户方的厂商在商业落地层面会更有优势。从另一角度，对于希望以平台类或中心类产品作为切入点的初创公司来说，创始团队具备丰富产业经营、资源，或许也是潜在要求。

2. SOAR

Gartner是SOAR这个术语的缔造者和推广者。2015年，Gartner首次提出SOAR概念，后又不断演进，现在新的SOAR是从安全编排和自动化（SOA），安全事件响应（SIR）和威胁情报平台（TIP）整合而来。在具体效果上，SOAR对释放安全人员的时间，提高整体响应效率，提高安全中心的运营效率有积极的价值和作用。

关于对企业内安全人员的业务流程，可能很多人并不清楚。业内专注SOAR的公司曾有过形容，安全事件一旦被确定并触发告警，接下来会由一线工程师接管处理。他们至今还在采取较原始的方式进行事件响应，比如登录服务器、查看数据、封禁IP、打电话、发邮件等等。一次完整的应急响应，至少涉及10个以上的系统、界面以及人脑CPU上下文的不断切换。所以，这种较为传统的应急响应作战方式已经不能满足今天企业对安全的治理需求。

那么SOAR是如何解决问题的呢？在设计逻辑上，SOAR将安全产品以及安全流程链接和整合起来，并将一些人力需要完成的工作尽量交给机器执行，希望形成精密编排的联动安全解决方案。借助编排好的安全应急响应剧本，当安全事件发生时，系统将通过自动化的手段进行响应，减少人工干预。

可以看出，SOAR又是一个具有中心化或平台性质的产品。这类产品的难度或许有些类似，首先将各类产品接入其中，或许会遇到难以打通、管理的问题。第二，客户可能会更倾向采购过去已有合作的厂商所提供的产品，初创公司需要更理解客户痛点，并且要有讨巧地打磨产品、切入市场的思路和策略。

二. 当创新需求值得深挖

创新型需求的意思是，当场景产生变化，或一些既往的技术走向更成熟阶段，与此相关的安全需求也会出现。在这个方面，我们较关注的趋势有SASE和隐私数据安全。

1. SASE

SASE全称是Secure Access Service Edge，即安全访问服务边缘。这一概念最早出现在Gartner的报告中。

要了解SASE，或许要先了解SD-WAN。SD-WAN是SDN（软件定义网络）技术在WAN（广域网）领域的应用落地。相较于目前多数企业以MPLS（多协议标签交换，Multi-Protocol Label Switching）和公共互联网作为广域互联网的方案，SD-WAN可以通过优化链路直接将WAN连入云端，更加灵活、部署周期短、服务更加敏捷、管理和运维成本也更低，能够适应不断变化的带宽需求与应用程序的连接需求。

从企业类型来看，目前国内外从事SD-WAN的企业主要分为运营商、设备商、云服务商和SD-WAN厂商四大类。

而安全访问服务边缘(SASE)是一种新兴的服务，它将广域网与网络安全（如:SWG、CASB、FWaaS、ZTNA）结合起来，从而满足数字化企业的动态安全访问需求。在具体的逻辑上，SASE是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。它相较于SD-WAN更重视安全。

SASE是云原生架构，具备云的特性，比如：按需购买，弹性扩容。在公有云SASE的架构里，所有业务访问都要经过SASE云，需要解密进行检查内容是否安全，然后再加密传输到业务侧。

36氪曾听过这样一个比方，当一个人在办公室里发一封邮件给其旁边的同事，这封邮件需要传输到SASE云上进行解密、检测、封装，转发到身旁的同事的电脑上。这些流量都需要经过SASE云，也都是需要付费的。整体来看，由于技术路径特点，云厂商和CDN厂商可能占得先机。不过在国内，由于一些客户难以接受数据在公有云端被解密检查，这类产品或许需要进行些许改造。

2. 隐私数据安全

这一技术出现的普通人视野中，和许多场景下个人数据的滥用关系密切。也正由此，国际国内均逐步加强相关管控，从而进一步促使该领域发展。尤其在国内，为了让数据真正成为生产要素，需要限制其用途和用量，同时厘清权责利的划分，明文数据无法做到这一点，隐私计算技术让数据流通成为可能。

当前，隐私计算作为新兴技术包括基于密码学、安全性经过严格数学证明的多方安全计算技术，数据脱敏、差分隐私和联邦学习等明文体系下的数据隐私保护技术，以及基于对执行计算的硬件信任的可信计算技术等。也有一些玩家出于数据和AI的关系，将此类技术归结为AI安全范畴。

根据各家官方信息，当前大家所提供的是综合型解决方案。从表面看，各家所采用的技术有些雷同，但业内实则已经出现应用层和底层的行业定位差异。希望主导底层地位的公司，或许不仅需要降低开发隐私计算应用的技术门槛，也需尽快建设自身生态凝聚力。此外，赛道玩家的竞争力也需要围绕产品、数据规模效应、客户资源等因素综合构建。

从行业发展趋势来看，去年隐私计算在监管、产业、投融资等多个方面引起关注，但相较而言缺少落地案例的展示。这一方面的进展，或会随着多个行业的接受度提升、政策的日渐完善等因素而更多出现在公众视野。

另外关于隐私计算的商业模式，早前曾有多家公司认为自身可以顺平台思路发展，采取数据使用量或交易规模获取分润等方式，这亦是多家美元机构认可的想象力。虽说现在多谈隐私计算公司的商业化为时尚早，但作为去年最具热度的大数据/安全赛道之一，此类进展也不容被遗忘。