[Chinese]安全技术发展趋势 – 2006 (编辑中,欢迎评论)

时间如白马过隙,匆匆忙忙中2005年就结束了,现在2006年的时针转的似乎比去年更快。有朋友提醒说总该回首一下、前瞻一下,拖了一段时间,总算写下几段文字,也算对自己和朋友有个交代。

2005年不能算是安全市场的丰收年,写下战国七雄的文字后,未料到其中已有玩家遭遇“宏智”-like的不幸,我自认不是乌鸦嘴,这事肯定与我无关,-:(

还是看看后面的技术发展吧。我借用了Gartner公司的新技术发展曲线,将若干我想到的安全技术都拎出来,给他们找了个位置。欢迎大家批评、评论。

security-hype-2006

请看:

【】反病毒和防火墙将会继续占领安全市场的头两把交椅,与IDS一起构成通常安全建设的老三样,成为一般安全体系的中间构件。反垃圾邮件没有单独拎出来,其实它与反间谍软件一起,成为反病毒市场的强力补充,也事实上运行在随处可见的邮件系统、文件服务器等上面。这个细分市场(anti-spam and anti-spyware)虽然增长也很快,但是很有可能还是作为反病毒为代表的内容安全的一部分来发展,能够获得独立发展的机会不大。
【】双因子认证技术和单点登录等作为一般性安全增强工具逐渐成熟,与VPN/SSLVPN一起将会成为一种必然。它面临的挑战是生物学认证技术。国际上RSA一枝独大,国内亿阳、联创等不少公司也有自己的USB认证、手机认证系统等产品。
【】安全漏洞管理(也包括漏洞扫描和评估)安全漏洞扫描是历史最为悠久的安全工具之一,但是现在已经不再是原来简单的扫描,而是成为安全漏洞管理了,在提供传统的漏洞扫描、查询、与事件和资产关联等功能服务之外,还在寻找与作业流程和知识管理等的集成。事实上,我们可以将当前的漏洞管理技术的发展方向总结为下面几点:

  • 资产发现与业务关联:早期的扫描器只是简单的将子网中的每个Alive主机按照IP地址罗列,然后识别操作系统、开放端口、开放服务、可能存在的漏洞等,但是当前将“IP地址”向业务方向前进了一大步:该IP地址的业务功能和价值,并且建立起定期更新的资产库Asset Inventory
  • 漏洞发现与修补、追踪:早期的扫描器将发现的漏洞进行简单的描述,给出漏洞详细描述的链接,有的也会给出漏洞补丁的链接地址。但是当前普遍将所发现的漏洞与后续的修补、工单等联系在一起,以方便管理员更加方便的追踪“漏洞”的分布和当前状态
  • IDS告警的关联:将实际存在的漏洞与IDS产生的告警进行关联,降低误警率和虚惊率。例如nCircle公司的nTellect就是很不错的设计。
  • 风险模型:不再是简单的漏洞罗列,而是按照一定的风险模型,将对应的资产价值、漏洞和威胁属性考虑进来。例如nCircle就使用了传统的VIPS四元组模型。
  • 专业化:越来越多的专业化漏洞评估工具,例如专门的数据库漏洞扫描、专门的Web应用漏洞扫描,像Acunetix就提供专门的WVS: Web Vulnerability Scanner。专门化的漏洞评估工具可以提供更加细致的发现和分析工作

【】防拒绝服务攻击受到越来越多的采购者的关注,随着技术的进步,有望也成为一些企业安全项目的标准配置,部署于互联网接口等边界位置。另外,运营商骨干网的防拒绝服务技术也有望在后面1-2年内逐渐成熟起来,一方面作为一项基础技术内嵌到主流网络设备中,另外一方面也会借用网络设备的芯片和流转发技术成为独立设备部署于城域网边界、IDC出口等。
【】IPS受到的质疑有增无减,并没有带来预期的安全防护水平和收入效益ROI,所以IPS还必须进一步证明自己。
【】安全管理中心SOC经历了2003年的预热和2004-2005两年的建设后,拥有SOC的运行维护者对SOC带来的实际效益也心存疑虑,头上的光环正在被一些灰尘笼罩,虽然还有一些后来者不停地摇旗呐喊,同时更多的用户关注,但是对于SOC的定位和期望相对于前面两年显然出现相当的回归。这种回归还将继续,舆论和客户的计划对SOC的评价将会逐渐趋于理性。SOC产品和集成商还需要向客户进一步证明产品的可扩展性、对安全事件的挖掘能力和趋势分析,以及投入的回报。
【】身份管理Identity Mgmt是当前最热门的话题之一,还有很多不同的称呼,例如User Provisioning/Deprovisioning也是身份管理的内容之一。事实上2005年应该算是身份管理的启动年。符合性是最大的Initiative, 企业内控还带来审计方面的巨大需求。而身份管理则是这些的基础。本人在2005年三月份的eTrust Conference Day上曾经总结前面几年的安全技术发展历史和趋势: 2000年是安全市场大发展的启动年,可以算是防火墙年,2001年是IDS年,2002年是安全服务年, 2003年和2004年是SOC年,2005年是AAA年, 2006年是应用安全年。这个市场的重量级玩家最多,CA, IBM, HP, Oracle, Sun, Microsoft, Novell, BMC, 都有自己的身份管理产品和解决方案。国内公司联创也有产品推出。
【】统一威胁管理UTM受到很多公司的热捧,并在中小企业安全市场走红。当前,FortiNet,WatchGuard, Symantec等很多国际公司都有大手笔投入,国际很多Startup公司、芯片公司投入到这个细分技术市场。心里有点遗憾2000年就开始策划的3 in 1盒子的夭折。:(
应用安全是目前国内领先企业安全规划的关注点,这里的应用安全包含了Web应用、Web Services、IM/P2P、C/S应用等方面的内容。企业关注、运营商也关注,不过关注点不一样。
【】移动设备的安全Mobile Security: 3G的到来、以及移动终端设备的智能化将使通常的安全威胁完全包围移动终端。
【】安全知识管理SKM-Security Knowledge Management:受到ITIL和知识管理的影响,安全知识管理不仅可以帮助提升安全意识和技能,更重要的它还可以帮助提高对安全管理的接受程度,从而提高安全管理活动的执行力,从而可以保持安全管理水平的高位运行和可持续性发展。对安全知识管理的理解可以与智能搭上些许联系。
【】安全中间件SMW-Security Middleware:安全中间件是比SOC/SIM更加前卫的一种观点。它不仅仅像SOC/SIM那样关注安全事件、关注安全产品状态的收集和监控,它希望能够借助面向服务架构SOA、和中间件的概念来建设一种平台。就像有位老先生曾经预言的那样,未来将会“系统当死,平台当立”。从根本上来实现各种安全产品和技术的自动化、集成化和虚拟化,而实际上这就是两年前热的烫手的“按需计算”概念在安全体系开发上的翻版。

注一: 本图借用了Gartner公司的新技术生命周期曲线,该曲线理论认为典型的新技术从出现到成为主流技术并不是简单上升的,而是经过一个相对曲折的过程。Gartner将该过程分为5个典型阶段:
A 从该技术的出生,逐渐受到越来越多的关注,期望值开始升温
B 该技术被充满魅力的光环所笼罩,成为众所瞩目的明星能够“包治百病”
C 随着第一批尝鲜者的失望,光环逐渐消退,从期望到失望的过程虽然有点残酷,但是不可避免
D 该技术逐渐成熟,适应能力越来越强,公众和专家的看法开始转变。出现更多的采购和部署
E 稳定的采购、部署和运行优化,能够给部署者和使用者带来稳定的、可预期的收益。逐渐成为安全建设的不可缺少的内容。

注二:在这个过程中,一项技术不一定肯定从低阶段发展到后面的某个高阶段,有些新技术将会退出曲线演化,逐渐消失。通过竞争而生存下来的技术将继续沿曲线演化。通常,处于B阶段并不意味着有高的市场份额,相反在E平台期的技术和产品将会有机会占据主要的市场份额。

About these ads

9 Responses to [Chinese]安全技术发展趋势 – 2006 (编辑中,欢迎评论)

  1. grantming says:

    内容安全和客户端安全的东西没有提到,不知道会有怎么样的一个趋势?

  2. grantming says:

    应该作为单独的东西,UTM的概念理解和NSS与IDC的定义有偏差。

  3. zhaol says:

    我个人的理解: 内容安全和客户端安全应该是套件技术,而不是独立的技术,例如内容安全包括加密、签名、反病毒、垃圾邮件、恶意代码等;客户端安全通常可以包括域管理、补丁管理、身份帐号、口令、防病毒、个人防火墙、个人IDS等。所以没有将其单独列出。^_^,供大家讨论了,不抛砖,玉不会出来的。

  4. fyj990 says:

    挺好的。谢谢!

  5. grantming says:

    Gartner公司的新技术发展曲线,是不是只套用曲线,内容应该不是gartner的吧,没有找到这样一个东西
    google了半天,只找到了2005年的gartner Hype Cycle,可能是不我没有找到,呵呵,如果你有的话,是否能share一下,grantming@163.com

  6. grantming says:

    问了一个不该问的问题,呵呵

  7. zhaol says:

    兄弟们,新年好,给大家拜个早年了!

    当然不是Gartner了,借用了Gartner的生命曲线,属个人观点,欢迎大家批评,本人也在继续总结中。赫赫

  8. grantming says:

    nCircle的IP360和cisco的IDS之间联动只是一个形式而已,没有实际的功能特色。nCircle 的很多思想是比较好的,但是其思想在产品中的实现不敢恭维,界面功能做得很丰富,但是底层的技术实现还和顶级的漏洞扫描管理厂商有很大差距,其漏洞检测准确率还不及开源项目nessus,更不要和qualys和ISS的底层技术实力强的公司比了,2003年进入中国,2005年退出中国。CA公司在理论方面的研究也是比较强的,产品实现也比较差。
    但是国内的用户对漏洞管理的了解还处于初步阶段,用户很多对漏洞管理的还只是停留在漏洞扫描的阶段。最近在研究这些东西,胡说一下,希望什么时候当面和您请教。

  9. grantming says:

    安全漏洞管理要建立在漏洞检测基础技术扎实的基础上,如果检测出来的信息质量太低,那么其余所有的过程都失去了意义。漏洞的基础研究能力对于漏洞管理厂商来说还是至关重要的、

Follow

Get every new post delivered to your Inbox.

%d bloggers like this: