全球网络安全的年度盛会——RSAC2020已经在美国旧金山拉下帷幕,但全球网络安全产业的发展不会停下脚步。
2019年2月,WinRAR的漏洞被黑客广泛使用,导致超过5亿个WinRAR用户面临风险;2019年3月,委内瑞拉电网遭电磁攻击,导致全国23个州中的18个州停电;2019年9月,IT安全和云数据管理巨头Rubrik数据库中近10GB客户信息数据遭泄露……
“网络攻击”被世界经济论坛《2019年全球风险报告》列为全球五大风险之一,如何保障网络安全也已经成为全球共同关心的话题。但由于各国经济与技术发展水平不同,网络安全市场的情况也不尽相同。
中国网络安全行业的技术创新领导厂商——山石网科(688030)的首席技术官兼联合创始人刘向明博士告诉亿欧:现在攻击和安全都是全球性的,攻击和威胁也基本相同。但因为技术普及的程度不同,各国对安全的需求也呈现出差异。
比如,国外SaaS比较普及,因此更重视SaaS相关的安全保障,CASB(Cloud Access Security Broker,即:云访问安全代理)技术也更为成熟。RSAC2020创新沙盒的10个入围厂商中,有两个是SaaS安全厂商。(注:RSAC创新沙盒是一项比赛,被称为”全球网络安全风向标“,因浓缩了众多高质量的安全创业公司而备受瞩目。)
刘向明博士还告诉亿欧,国外公有云比较普及,而国内不少用户依然更倾向于使用私有云。因此在国内,私有云和混合云的场景相当重要。
此外,安全技术很大程度上依靠政策合规来推动,因此国内外政策法规的不同,也给国内外网络安全产业发展带来了差异。
比如,欧盟颁布了被称为”史上最严数据法”的GDPR(General Data Protection Regulation,即“通用数据保护条例”),欧美企业也自然会在数据和个人隐私保护上更下功夫。在今年RSAC创新沙盒的冠军——Securiti.Ai就是一家在满足企业的数据安全合规性要求上提供可行解决方案的公司。
而国内,网络安全相关的政策在去年才密集出台,其中最受关注的是“等保2.0”,即《信息安全技术网络安全等级保护基本要求》2.0。
该政策的主要内容是:将风险评估、安全监测、通报预警、案件事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施纳入等级保护制度并实施;将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台、互联网企业等纳入等级保护监管。
可以发现,中国更重视整体性的安全。
但这样的差异并不代表中外在建设不一样的“网络安全”。平安集团首席信息安全运营官,平安金融安全研究院执行院长李洋博士告诉亿欧:从网络安全的定义上来看,网络安全指的是网络空间安全,这其中就包括个人隐私保护、数据安全、通信安全等,在这一点上,国际的认识是一致的。
只是在讨论该话题时,由于法律法规以及各国情况有所不同,各国关注网络安全产业的侧重点也有所不同。
支出的重点不同,也是中外网络安全产业的一大差异:美国更重软件和服务,而中国目前更重硬件。
今年RSAC的主题是Human Element。该主题也侧面反映出了人在网络安全产业中的重要性。一方面,保障网络安全离不开人的重视;另一方面,新型网络安全问题的出现,也需要依靠人的智慧来解决。
本届的RSAC上,还出现了一家以企业安全意识培训为业务的初创企业——Elevate Security。这也侧面反应出,美国在安全服务上要走得更超前。而且,提供“安全服务”也很可能是中国企业发展的一个重要方向。
从全球范围来看,2019年全球安全服务支出570亿美元,规模占比第一。其中,托管安全服务作为安全服务的子市场以210亿美元的投资规模,成为2019年网络安全产品与服务市场中的最大子市场。中国安全硬件的支出占主导地位,占比超过60%;而在美国,硬件仅占16%的比重。
IDC高级分析师王军民在创新沙盒比赛后的直播中说道:“未来服务越来越重要,能够把硬件软件打包在一起,形成一个整体的解决方案,再提供托管式的安全服务,才能真正解决企业相关的安全问题。”
虽然国内外网络安全产业发展的情况各有不同,但正如山石网科刘向明博士所说:无论是攻击还是守护安全,这都是一项全球性的工作。
纵观全球,各国除了需要应对传统的网络安全问题外,还需要对付伴随人工智能、5G等新技术兴起而出现的“新问题”,比如物联网安全。
根据Gartner的预测,2020年全球联网设备数量将达260亿台,物联网市场规模将达1.9万亿美元。
我们从数字中或许并不能直观地感受到物联网安全的重要性。但试想,在未来,小至心脏除颤器、智能音箱,大至汽车全都连网,我们的生活变得离不开这些“联网的物”,而这些物却无法得到安全保障,我们可能会变得毫无隐私可言,甚至人身的安全也会受到威胁。
而物联网的安全问题,还需要用新的方法和思路去解决。
信长城是一家基于密码学应用技术,为解决物联网终端安全问题的企业。公司COO张峰告诉亿欧,传统网络安全有两个思路:一是边界防御,二是主动安全。
边界防御主要针对HTTP和TCP/IP协议,它就像是小区里的保安一样,能够保护好小区里的数据。比如,大家都熟知的“防火墙”就是边界防御的一种。
但是,传感器、摄像头、汽车等“物体”,暴露在开放区域,没有所谓的“边界”存在,因此传统网络安全保护思路中的“边界防御”并不适用。
其次,传统网络安全只需关注HTTP和TCP/IP两种协议即可;但在物联网时代,还出现了NB-IoT、LoRa等诸多新的协议。这也给网络安全保障带来新的挑战。
张峰认为,使用密码学的主动防御的思路,更适用于物联网。但张峰也向亿欧坦言,密码学也只解决了物联网安全的一部分问题,值得继续探索的解决方案还有很多。
“网络安全”变得越来越重要,网络安全的市场也会越来越大。
根据IDC的数据,2019年网络安全支出达1066.3亿美元;预计到2023年,全球网络安全支出规模将达到1512亿美元,并将以9.4%的年复合增长率持续增长。
IDC的数据还显示,美国全球最大的网络安全支出国家,中国排名第二,网络安全产业规模年增长率超过20%,远高于国际平均增速。
不仅中国网络安全产业的规模会越来越大,中国网络安全企业在全球的竞争力也会越来越强。在RSAC2020中也能看到,虽然参与的中国(大陆)企业数量屈指可数,但参与的企业(360、绿盟科技、山石网科、奇安信、ExcelSecu)都展出了“扎实”的产品。
绿盟科技(300369)首席技术官和国际业务首席运营官赵粮博士告诉亿欧,中国网络安全企业有以下几方面优势:首先,中国网络安全有相对完整的一套工业体系;其次,中国每年都会有大量的高水平、高技术素养、高训练强度的人才涌入安全市场,世界其他大部分国家都不具备这样的条件。
此外,中国是一个相对完整而庞大的市场,中国安全厂商在发展的同时,还拥有经过市场竞争磨炼和洗礼而形成的产品,具有相当的竞争力。
对此,山石网科的刘向明博士也表达了相似的观点,他说:在AI技术应用于安全的趋势下,中国有足够大的数据量,且国家安全技术的发展也比较快。这些都是中国网络安全企业走向海外的优势。
参考资料:
2020年中国网络安全发展形势展望,赛迪智库