山石网科技研究院全面梳理
纵观网络安全产业的发展史,可以发现这也是网络安全技术的发展史。网络安全技术不仅是网络攻击者构建攻击性武器的原材料,也是网络防御者构筑坚固防线的基石。山石网新技术研究院基于网络安全行业的最新形势,深刻洞察网络安全技术的发展,对2022年最具价值的十大安全技术进行了盘点、分析和展望。
第一,人工智能技术全面支持网络安全防护
虽然一般的人工智能或者强人工智能离人们的期待还很远,但是以深度神经网络为代表的人工智能技术已经在机器视觉、自然语言处理、自动驾驶等领域取得了巨大的成就。在网络安全方面,人工智能技术早已渗透到网络安全防护的方方面面。比如利用PCA主成分分析自动识别API使用特征,发现零日漏洞;用递归神经网络识别二进制程序的弱点:基于DGA域名生成算法的图聚类模型实现僵尸主机检测:使用多层感知器实现网络流量异常检测等。山石网新技术研究院观点:
2022年,更多厂商将投入更多资源,深入研究人工智能技术如何提高产品的检测能力、防护能力和响应能力;
利用深度神经网络自动提取网络侧和主机侧源数据的特征,避免陷入专家系统手动提取特征的陷阱;
鉴于网络攻击有价值的黑样本很少,传统机器学习模型的泛化性能受到严重制约,小样本学习对网络安全行业极具价值。
需要关注适用于网络安全所有分支的深度神经网络通用框架;
基于图形神经网络的威胁检测技术值得关注。
二是网络安全大数据技术的基础地位进一步加强。
网络风险的自动预测、识别、响应和处置需要基于网络安全大数据。另外,从算法和模型的角度,无论是传统的数据挖掘还是高级的深度神经网络,也都需要网络安全大数据作为分析的出发点和前提。网络安全领域的大数据不同于普通的大数据,其访问渠道、访问难度、数据关注维度都有自己鲜明的特点。
山石网新技术研究院观点:
2022年,网络安全大数据技术的基础地位进一步加强,尤其是综合性厂商更加重视大数据的获取和分析,相关研究投入稳步增长;
威胁大数据的收集、存储和关联分析是重要的研究内容之一。
基于米特ATTCK知识库的威胁情报知识图谱的建立,对整个安全行业有很多价值,但难度大,难度大,任何企业独立构建都不现实,应该由行业联盟来主导。
政府和国企对基于网络安全大数据的安全态势感知、分析、呈现和预测的需求依然强烈。
第三,零信任网络接入技术重塑网络安全架构
Forrester首席分析师John Kindervag在2010年首次提出了“零信任网络”的概念。零信任是一种全新的安全理念,它颠覆了网络安全的范式,打破了网络边界的概念,引导网络安全架构从以网络为中心向以身份为中心转变,实现对用户、设备和应用的全面、动态、智能的访问控制,建立应用层的安全防护体系。2019年9月,工信部就《关于促进网络安全产业发展的指导意见》公开征求意见,明确将“零信任安全”列为网络安全急需重点突破的关键技术。以Chianxin和山石网为代表的一批安全厂商正在紧锣密鼓地开发零信任产品和解决方案。
山石网新技术研究院观点:
2022年,大量安全厂商将密集推出零信任安全产品,并在政企用户中实现一定范围的应用;
多维身份属性代理技术需要进一步研究。综合用户信息、设备状态、网络地址、业务上下文、访问时间、位置在空之间等维度的身份实体属性作为实施授权的依据,在申请授权时临时生成,周期性失效。降低基于单一维度有效实施访问授权的漏洞风险;
可变信任评估技术对网络代理提供的多维度实时属性信息进行实时评估分析,不断量化网络活动的风险等级,从而为访问授权提供判断依据。
第四,终端安全检测和响应技术快速发展。
随着信息安全技术的发展,网络攻击变得更加具有针对性、隐蔽性和持久性。终端威胁检测和响应技术的出现为新安全威胁的检测和防护提供了新的思路。EDR在面对未知威胁攻击、0day漏洞攻击、APT攻击时的先进性和优越性,成为网间整体安全防护体系的重要组成部分空。2013年Gartner首次提出终端威胁检测和响应的概念后,立即引起了安全界的广泛关注,随后连续进入2016年至2019年Gartner十大技术。
山石网新技术研究院观点:
终端安全产品的技术门槛很高。从历史上看,市场的主要参与者大多是专业的反病毒厂商。2022年,这种趋势将会改变。以Shanshi.com为代表的一批传统网络安全厂商正在加速行动。
数据采集技术需要更多的关注。静态数据包括收集操作系统的当前状态,如资产信息、服务、端口、进程、线程、漏洞等。动态数据包括在操作系统上的各种行为和操作,如帐户创建、网络访问、数据传输、文件操作等。,并记录和收集与动作相关的过程、目标文件、动作结果和网络数据。数据采集是EDR进行威胁预测和安全分析的前提和基础,也是EDR区别于EPP的重要特征之一。
数据挖掘和分析能力是核心竞争力。EDR与EPP不同的另一个重要特点是,EDR拥有大数据分析能力。EDR可以集中存储和分析终端采集的各种异构数据。通过深度学习、强化学习、关联分析、聚类分析等。,它可以发现和识别终端上隐藏的安全威胁,挖出倒下的终端主机,发现不符合安全要求和规定的终端。
重视威胁情报在EDR的作用。威胁信息可以为EDR提供海量的内外部威胁数据、恶意样本数据、攻击特征数据、黑客群体画像信息等关键数据,有助于全面判断网络攻击、识别样本和攻击家族。通过多源情报关联信息,追溯攻击者来源,挖掘攻击者发动攻击的动机;同时,基于威胁情报数据和大数据分析,EDR可以有效检测未知攻击,实现对未知攻击的防御。此外,EDR本身具有威胁捕捉功能。在识别和发现威胁后,EDR通过逆向样本文件提取威胁特征,还可以产生威胁情报数据,为威胁情报的其他应用场景提供支持。
五、网络攻击溯源技术机遇与挑战并存
攻击者在实施网络攻击时,为了反跟踪,往往会使用各种技术手段隐藏自己,如虚假IP地址、网络跳板、僵尸网络、匿名网络等技术。网络攻击追踪技术可以有效应对攻击者的隐蔽手段,定位真正的攻击源,及时阻断网络攻击。无论从政府还是商业用户的角度都迫切需要追踪网络攻击的源头,市场潜力空难以估量。
但是我们面临的挑战依然巨大,包括过大的存储开销、计算开销和网络带宽开销,直接影响了项目的实用性。传统的网络架构和网络协议的设计缺乏对追踪和追查网络攻击的支持,导致追踪和追查网络攻击的设计有很多局限性。例如,通过数据包标记路径信息可能会影响数据包分段功能。现有的追溯技术大多过于依赖网络基础设施的支持,难以应用。
山石网新技术研究院观点:
2022年,SDN、CSMA等新型网络架构将缓解溯源技术对网络设备的依赖,部分溯源技术将具备良好的工程实用性;
现有的攻击追踪技术几乎不适用于物联网等传感器网络结构,物联网的安全形势已经非常突出。因此,应开展物联网攻击追踪技术的前沿研究。
基于日志存储查询和数据包标记的攻击追踪理论还存在很多问题,需要加强研究和改进,尽快实现工程化。
六。攻击行为模拟技术有望得到广泛关注。
攻击行为模拟和红队、渗透测试、漏洞扫描不一样。攻击行为模拟是根据特定攻击的网络威胁信息,模拟他们如何实施攻击的过程,来评估某一技术领域的安全性。它可以用来衡量企业在整个生命周期内应对米特ATTCK模型中所有威胁的检测能力和防御能力,对企业提高安全产品能力和安全服务能力具有很高的价值。
山石网新技术研究院观点:
2022年,越来越多的安全厂商不再追求米特ATTCK的理念,而是更加务实地将ATTCK知识库应用到自己的产品和服务中;
MITRE官方推荐的CALDERA值得关注。它提供了一个智能的自动攻击模拟系统,可以减少安全团队进行常规测试所需的资源,使他们能够专注于其他关键问题;
攻击模拟的开源项目越来越多,可以重点关注以下几个:Metta、ATP模拟器、红队自动化、Invoke-aggressive、原子红队、感染猴、蓝队训练工具包、DumpsterFire、AutoTTP。
七。主动防御技术任重道远。
以自动化、智能化、高强度、多类型攻击技术组合、高保密程度为特征,当前网络攻防态势极不对称,表现为攻防成本、攻防技术、攻防时间和空的不对称。传统的网络安全防御主要采用入侵检测/防御系统、反病毒网关、防火墙等被动安全防御系统和技术来检测和控制网络事件、流量和行为,通过打补丁和升级软件来减少可能的软硬件漏洞。通常在攻击发生后,对网络攻击、蠕虫、病毒等威胁行为的特征进行分析,通过蜜罐、沙箱等手段对攻击行为进行捕获,形成威胁模式规则库。之后,基于现有规则识别和检测威胁行为。禁止网络恶意行为和非法操作,阻碍攻击进程,降低攻击的影响,对保护网络信息系统的安全运行起到一定的作用。
但是,这些方法无法从根本上消除漏洞,无法应对基于未知可利用漏洞和后门的威胁。它们是一种滞后的防御手段,其固有的缺陷也制约了其在网络安全防护中的作用。
与传统的被动防御技术相比,网络主动防御技术强调在防御方不知道攻击的具体方法和步骤的情况下,系统能够实施主动、主动的防御部署,从而有效抵御和处理攻击造成的损失,提高系统面对攻击时的生存能力和灵活性。主动防御技术通过构建安全的系统架构或运行模式,增加攻击难度,降低攻击成功率,从而有效遏制攻击行为,实现系统的安全性。典型的主动防御技术包括入侵容忍、移动目标防御和拟态安全防御。
山石网新技术研究院观点:
2022年,很多主动安全防御技术还停留在“创造概念,过度假设,无处落地”的尴尬境地;
美国在2009年提出了移动目标防御的概念,随后将MTD确定为“改变游戏规则”的革命性防御技术。与MTD相关的理论研究和实验验证很多,值得关注;
部分研究内容具有落地应用前景,包括但不限于:基于IP地址和端口跳转的主动防御、基于路由路径随机变化的主动防御、基于网络流量指纹的主动网络管控。
八。云接入安全代理技术
云时代大有可为。
云计算引领了IT行业的变革,无论是大企业还是政府部门,小公司甚至个人都不可避免地受到云计算浪潮的影响。传统的信息系统消耗了大量的软硬件成本,因此越来越多的企业将业务系统迁移到云端,而不是建设数据中心等IT基础设施。特别是对于初创企业来说,这样会节省很多成本。但是,将业务系统迁移到云端,将数据留给不可信的第三方云平台,会导致用户失去对数据的安全控制。
云访问安全代理作为一种新技术,旨在解决用户使用云计算服务时的安全问题。可以针对不同的用户业务系统和不同的云计算平台实施定制化的安全策略,发现和阻止未授权行为,从而监控云服务的安全风险,确保用户使用云计算服务时的安全,进一步推动云计算的发展。
山石网新技术研究院观点:
2022年,针对云计算服务的云基础设施和网络攻击的投资将持续增长,云安全市场将快速发展;
云安全领域有很多令人眼花缭乱的新概念。要区分概念、理念、愿景、功能和核心技术,始终保持核心技术的RD投入,以支撑云安全产品的不断演进。
基于机器学习的云访问威胁检测和响应是重点研究内容,它记录和分析用户和云的各种行为,包括各种请求操作、云服务、应用执行、文件操作等。为了增强行为分析的准确性,提高威胁和风险行为的识别率,我们需要一个强大的行为数据库和知识库。
九。工业互联网安全技术关乎国家安全。
在新一轮基建浪潮下,中国工业互联网及其安全受到更多关注。随着互联网的快速发展,传统的网络安全防护手段在复杂环境下面临着捉襟见肘的问题。2020年5月,工信部发布的《工业大数据发展指导意见》提到,我国34%的联网工业设备存在高危漏洞。仅2019年上半年,就发生了5151万起嗅探事件。指导意见指出,目前工业网络安全责任体系建设仍空白条,技术上无法有效保障工业数据安全,导致工业互联网安全防护能力在工业融合过程中滞后。
山石网新技术研究院观点:
2022年,随着各领域大国对抗的加剧和升级,与关键基础设施相关的工业互联网网络攻击的数量和强度将显著增加;
主要网络安全厂商应积极加入国家工业互联网标准通用组,参与国家标准的制定,这不仅有利于把握工业互联网的核心技术方向,也有利于厂商自身工业互联网产品的合规性。
深入分析工业控制协议是关键,尤其是私有协议的黑盒分析是开发工业防火墙的基础。
工业威胁信息对工业互联网安全至关重要,应基于各类工业安全设备加强数据采集分析和信息生产、分发、利用能力。
工业领域涉及关键基础设施的安全,上升到国家安全并不过分。因此,高级持续性威胁APT攻击在该领域将会占有较大的比重和较高的概率;
面向工业互联网的APT攻击检测能力将成为工业互联网产品核心竞争力的体现。
X.物联网安全技术和车联网安全技术
随着新场景的蓬勃发展
物联网设备的激增是未来的趋势。根据最近的预测,物联网设备将根据市场需求呈指数级增长,2030年物联网设备数量将达到1250亿。海量物联网设备的使用及其应用技术的普及方便了我们的生活,但它们在服务技术设备和协议上的异构性使得物联网的管理更加复杂。由于许多智能设备的制造商和供应商都是没有网络安全专业知识的传统家电制造商,因此许多设备天生就容易受到攻击。攻击者利用易受攻击的设备访问目标网络并伺机发动攻击,从而给目标网络带来严重的安全威胁。
汽车也是一种东西。理论上,车辆上的联网也可以看作是作物联网。但汽车行业市场体量巨大,汽车安全关乎人命。将车辆联网作为一个单独的领域来讨论是合理的。而物联网和车联网面临的安全挑战,在技术层面没有严格的界限。
山石网新技术研究院观点:
2022年,在5G技术和自动驾驶技术的驱动下,物联网和车联网将迎来快速增长,同时面临更加严峻的安全挑战;
物联网设备的检测和识别是物联网安全防护的前提和出发点。一方面,通过参考现有的开源项目,如Satori、Shodan、Censys、Zmap、Ztag、p0f等,可以快速获得一定程度的设备识别能力。一方面参考学术界基于机器学习的最新研究成果进行补充和完善;
车联网涉及的安全网关、代理接入技术、加密隧道技术在传统网络安全领域相对成熟,具备直接应用的条件,但应充分考虑硬件产品和软件产品的汽车法规要求;
互联网中核心的自动驾驶技术所涉及的安全问题,既包括机器学习模型本身的识别能力带来的安全问题,也包括在线学习过程中的数据中毒问题。
前景
2022年,中国经济发展面临需求收缩、供给冲击和预期减弱三大压力。在世纪疫情的冲击下,世纪之变加速,外部环境更加复杂、严峻和不确定。网络安全形势更加严峻,市场空进一步扩大,给网络安全厂商带来更多的增长点和市场切入点。然而,日益激烈的网络安全市场竞争对网络安全厂商提出了新的更高的要求。
网络商贩不仅要“吃碗里的”,还要“看锅里的”,“盼地里的”。他们要统筹、协调、落实过去的技术积累、正在进行的技术研究和未来的技术战略布局。
直到现在我才允许你。
没看过最美的电子杂志《摇滚谈》!
免责声明:本平台仅供信息发布交流之途,请谨慎判断信息真伪。如遇虚假诈骗信息,请立即举报
举报
