互联网领域变化很快,网络安全更是瞬息万变。2月28日,由中国产业由中国产业互联网发展联盟指导,人民邮电报、中国信息安全等联合推出《2022年产业互联网安全十大趋势报告》(简称“报告”),该报告对下一年度趋势进行分析和预判,给出第三方、客观、权威、专业的判断。同时,指出零信任成为2022年产业互联网安全十大趋势之一。
《报告》中十大安全趋势有哪些?
《报告》的十大趋势,有产业安全宏观态势、产业安全实践、产业安全技术演进的类分。这样的类分更加具备系统性、立体性、全面性地来预判2022年的安全趋势,符合人的思维接纳的方式,便于记忆与理解,继而构建到自身的思维架构与认知体系之中。
在产业安全宏观态势层面,《报告》指出了两大趋势:
1、相关法律从立法走向执行,监管前置成为趋势;
2、数字创新“级联效应”打破行业边界,供应链风险从隐形变为显性。
在产业安全实践层面,《报告》提及了两大趋势:
1、局部产能溢出、创新产能不足,新竞合提速;
2、通过共建实现行业共存、共生,是建立下一个十年更完善生态体系的唯一路径。
在产业安全技术演进层面,《报告》总结了六大趋势:
1、勒索病毒危害扩大化,Wannacry事件可能重演;
2、云端开发、安全运维体系变革及容器安全等新“风口”出现;
3、基于AI的安全博弈进一步加强,应用场景不足限制AI在行业中的广泛应用;
4、零信任产品化更重实效,反泛化、滥化、概念化;
5、威胁自动化检测与响应增加生产效能,缓解孤岛式安全和人才短缺难题;
6、全球大规模数据泄露趋于常态化,数据安全有序流通成为挑战。
“零信任”为什么继续成为趋势之一
《报告》中提及的零信任近几年很火爆,在各个安全厂商的公众号频繁出现零信任这个词汇,各种和零信任相关的产品更是层出不穷。零信任火了好几年,为什么会继续成为2022年的热点趋势之一呢?
一样东西会不会成为趋势,则要看以下几点:当下与可见的未来有没有应用价值、当前的资本投入与研发力量、未来的增速与覆盖面等等。因此,下面不妨寻找例证,找出零信任继续成为大势所趋的一些原因与证据。
从2010年,Forrester首席分析师John Kindervag正式提出了“零信任模型”的概念,发展到现在,零信任越来越完善。笼统来说,零信任安全架构的核心主要包括五点:
1、默认不信任,总是验证;
2、授予最小权限;
3、持续记录用户流量并分析检查是否存在可疑行为;
4、不再以物理边界为安全界限,而以身份为中心进行持续信任评估和动态访问控制;
5、传统网络先建立连接再验证身份,零信任则相反,先验证身份再授权访问。
此外,实现零信任安全架构的技术手段拥有很多,但万变不离其宗,一般认为零信任解决方案和产品都应立足于零信任安全架构的四大关键能力——以身份为基石、业务安全访问、持续信任评估、动态访问控制。
零信任并不是一蹴而就的概念,而是由多家权威机构参与其中,经过长时间的实践不断演进,一步一步不断完善而来。并且,这是一种解决安全问题的架构与理念,并不是一小簇技术,所以,它必将拥有漫长的生命力,也必然在很多安全领域拥有强大的生命力。
实际上,任何一种技术理念体系,如果能引起诸多国家和企业机构,耗费十年以上的精力去探索,不断将此体系日臻完善,越来越多地应用到商业之中,并且当下应用深度与广度的界域均在拓展,那么可以认为,其具有顽强漫长的生机,是可以预见未来的大势所趋。
目前,我们已经进入到一个高速发展的数字时代,云计算、大数据、AI等新兴技术的蓬勃发展,使得企业机构的平台、业务、用户、终端、网络环境等呈现复杂化、多样化的发展趋势,安全风险随之而生,安全态势也愈发复杂。所以,零信任不可避免地成为各大安全厂商投研的新方向。
最新调查显示,目前网络安全最大的挑战是私有应用程序的访问端口分散,以及内部用户的权限过多。62%的企业认为保护遍布在各个数据中心和云上的端口是目前最大的挑战,并且61%的企业最担心的是内部用户被给予的权限过多的问题。这两点正是零信任专注解决的问题,现在有78%的网络安全团队在尝试采用零信任架构 。
零信任还能与以人工智能、大数据等技术与业务高度融合,通过连续认证实现动态行为监控,通过规则引擎来实现动态授权,通过机器学习引擎来发现新的风险,从而实时发现并解决用户的行为风险;零信任还兼容移动互联网、物联网、5G等新兴应用场景。
ResearchAndMarkets研究报告显示,2020 年全球零信任安全市场规模约为183亿美元,预计在2020-2027年期间将以19.7%的年复合增长率增长,2027 年市场规模可能达到 644 亿美元。作为世界第二大经济体中国,预计到2027年零信任将达到111亿美元的市场规模。
2022年,零信任将带动网络安全行业发生显著变化,大批安全厂商将推出零信任安全产品,并在政企用户中实现落地应用。零信任逐渐被各行各业用户接受和应用,迎来了落地时代。因此,零信任成为2022年产业互联网安全十大趋势之一。