国际研究机构Gartner会在每年10月份左右发布下一年度的战略发展趋势预测,并在次年3月左右发布和网络安全相关的趋势预测。绿盟科技通过将近3年的趋势预行分组对比分析后发现,除了众人皆知的AI技术应用外,数据模块化、身份优先安全、行业云平台也可能会成为未来网络安全领域的主流应用趋势。
战略性技术趋势分析
2023年10月16日,Gartner在其官网发布了《Gartner Identifies the Top 10 Strategic Technology Trends for 2024》主题文章,介绍了相关分析师在奥兰多IT Symposium/Xpo 2023峰会上发布的2024年十大战略技术趋势。我们汇总了最近3年的技术趋势并进行了整理,详见下表1。
【表1:Top战略技术趋势】
通过把近3年的趋势预测做个分组归类可以发现:三年整体发展趋势类似,其中的共性趋势很多;同时,三年发展上趋势变化缓慢,逐渐递进,以下将逐一进行描述。
1.与AI相关趋势关键词:
生成式AI:Autonomic Systems自治系统技术、AI Engineering、人工智能工程Hyper automation、超自动化Decision Intelligence决策智能;AI Trust:Risk and Security Management人工智能信任、风险和安全管理、Adaptive Al自适应Al、AI-Augmented Development人工智能增强开发、Intelligent Applications智能应用程序、Democratized Generative Al民主化的生成式Al、Digital lmmune System数字免疫系统。
Gartner在2021年发布的年度技术趋势预测中就提及生成式AI,只不过那个时候还没有ChatGPT,ChatGPT从2023年年初开始爆发,AI相关话题成为讨论最多的一年,各大媒体机构高校研究院等密集发表相关洞察成果;而事物都具有两面性,新的技术发展带来便利的同时必然随之带来风险,AI的发展涉及的安全问题也成了新的趋势。
2.与分布式、模块化、可组装相关趋势关键词:
Distributed Enterprise分布式企业、Composable Applications可组合应用程序、Cybersecurity Mesh网络安全网格、Data Fabric数据结构、Digital lmmune System数字免疫系统。
随着远程和混合工作模式的兴起,传统的以办公室为中心的组织正在演变为由地理位置分散的员工组成的分布式企业。在不断变化的业务环境中,对业务适应性的需求将组织引导到支持快速、安全和高效的应用程序更改的技术架构。可组合应用程序架构增强了这种适应性,而那些采用可组合方法的应用程序在新功能实现速度上将比竞争对手快 80%。
Gartner对网络安全网格架构的描述是:这是一个由工具和控制组成的协作生态系统,用于保护现代分布式企业。它建立在集成可组合的分布式安全工具的策略之上,通过集中数据和控制平面来实现工具之间更有效的协作。结果包括增强的检测功能、更高效的响应、一致的策略、态势和行动手册管理,以及更具适应性和精细的访问控制,所有这些都可以提高安全性。因此,在网络安全网格架构中,最小单位已经从传统意义上企业内外环境以防火墙为边界,转变为以每个数据集作为最小单位。
数据结构则是为解决数据的量或者维度的增加,及现有数据孤岛的问题,通过一个跨平台,将已有的数据弹性集成,以满足不同的业务需求。这种强调灵活性、可扩展性。同时,也能减缓因为人才短缺导致的业务效率降低的问题。
数字免疫系统结合了可观察性、AI增强测试、混沌工程、自修复、站点可靠性工程和软件供应链安全等实践和技术,以提高产品、服务和系统的弹性,同时降低业务风险。强大的数字免疫系统可以让应用程序更富弹性,能够快速从故障中恢复,从而保护应用和服务免受异常影响,例如软件故障或安全问题等。在关键应用和服务遭受严重损害或完全停止工作时,数字免疫系统降低业务连续性风险。企业在确保弹性运营环境、加速数字交付和可靠的用户体验方面面临前所未有的挑战,他们希望能够快速响应市场变化和迅速创新。用户所期望的不仅仅是健全的功能,他们更想要的是高性能、交易和数据的安全以及令人满意的交互。那么,相当于让产品带有原生的安全性、适应性、自我诊断修复能力。特别是在业务中断风险情况下,有了新的缓和能力。
3.与平台工程相关趋势关键词:平台工程Platform Engineering
互联网的时代,使得软件开发、软件工程变得更加普及,涉及敏捷迭代、DevOps等新的开发交付模式也有着越来越多的接受度。Gartner对于平台工程的描述是:这是一门构建和运营自助服务内部开发平台的学科。每个平台都是一个层,由专门的产品团队创建和维护,旨在通过与工具和流程交互来支持其用户的需求。平台工程的目标是优化生产力、用户体验并加速业务价值的交付。基本上,产品开发人员、测试人员、运维人员完全在一个大平台上实现了协作,简化了因为各自工具独立而导致的信息、工作流、协作的壁垒,大大提高了交付的频率和效率。
4.与行业云平台相关趋势关键词:Cloud-Native Platforms云原生平台、Industry Cloud Platforms行业云平台
过去理解的行业云平台大多指的是SaaS或者PaaS单一服务的行业属性,而Gartner所描述的行业云平台是指将底层 SaaS、PaaS 和 IaaS 服务组合到具有可组合功能的完整产品中,实现与行业相关的业务成果,强调了3个层次的融合。绿盟科技认为,这个属性特别适用于我国企业的云计算应用状态并且会逐渐壮大。因为在国内,由于法律体系的不同、大家对数据安全的关注以及公有云服务商并行竞争的情况下,健康云、金融云、政务云等具有强行业属性与特色的云共同发展。而这些云建设的背景大多与Gartner描述的3个层次云应用融合具有很好的契合度。
一个趋势的诞生到爆发变热在Hype Cycle中大约需要3年的时间,上表也能看出来,一个趋势的持续火爆是会连续出现的。而以当前来看我们好像在走2022年的趋势。那么,我们通过推理也可以自行预测出2024年什么技术可能会是热点。
网络安全趋势分析
2023年3月份,Gartner在官网发布Top Cybersecurity Trends for 2023推文,我们用同样的方法把Gartner最近3年针对网络安全方面的趋势汇总归类下,详见表2:
【表2:网络安全趋势预测】
通过将与网络安全趋势相关的关键词分组归类并分析,有共性趋势的关键词可以分为3组。其中与分布式、模块化、可组装相关趋势关键词已经在上文战略技术趋势中有提及,不再赘述。另外两组是:
1.与身份(Identity)相关趋势关键词:
Identity-First Security身份优先安全、Managing Machine Identities管理机器标识、Identity Threat Detection and Response身份威胁检测和响应、Identity Fabric Immunity身份结构免疫。
对企业组织而言,以身份(Identity)为主的安全建设趋势正在变得非常重要,特别是在刚刚提到的分布式的、去中心化的、模块化的发展下,过去以往的以边界安全的场景逐渐向以最小单位为数据为边界,那么第一步就是识别数据使用相关的身份信息。而在安全攻击事件发生时,首要任务也是要获得合法身份信息、进行提权。随着量子计算等新技术的发展,和身份相关的发展不再局限于验证,而是由被动地使用变为主动的检测和响应。可见,与身份相关的产品方案(如IAM,PAM,零信任等)会逐渐成为行业新热点。以下概述了4个和身份相关的趋势点:
身份优先安全: 多年来,任何用户、任何时间、任何地点的访问愿景(通常称为“身份作为新的安全边界”)是一种理想。由于技术和文化的转变,加上 COVID-19 期间现在大多数远程劳动力,它现在已成为现实。身份优先的安全性将身份置于安全设计的中心,并要求从传统的 LAN 边缘设计思维中做出重大转变;
身份威胁检测与响应: 狡猾的威胁行为者正在积极针对身份和访问管理 (IAM) 基础设施,而凭据滥用现在是主要的攻击媒介。Gartner 引入了术语“身份威胁检测和响应”(ITDR),用于描述用于保护身份系统的工具和最佳实践的集合。Gartner分析师Firstbrook认为:ITDR 工具可以帮助保护身份系统,检测它们何时受到损害并实现有效的补救措施;
身份结构免疫: 脆弱的身份基础结构是由身份结构中的不完整、配置错误或易受攻击的元素引起的。Gartner预测,到 2027 年,身份结构免疫原则将能够阻止 85% 的新攻击,从而将违规的财务影响降低 80%。分析师Addiscott 表示:身份结构免疫不仅通过身份威胁和检测响应 (ITDR) 保护结构中的现有和新 IAM 组件,而且还通过完成和正确配置它来加强它;
管理计算机标识: 机器身份管理旨在建立和管理对与其他实体(如设备、应用程序、云服务或网关)交互的机器身份的信任。现在组织中存在的非人类实体数量越来越多,这意味着管理机器身份已成为安全策略的重要组成部分。
2.与供应商整合相关趋势关键词:
Security Vendor Consolidation安全供应商整合、Vendor Consolidation供应商合并、Cybersecurity Platform Consolidation网络安全平台整合。
Gartner认为,与供应商整合涉及2个层面,一是公司内部不同产品方案侧的合并,另一个则涉及为了获得一个综合方案而牵扯到的并购整合,如XDR、SASE等。当然,供应商整合的根本驱动力还因为网络安全是个技术碎片化领域,需要多种安全能力和工具的协作协同。对于最终用户来说,同时和多个厂商交易是费力费神的事儿,牵扯到方案联动的情况下不仅消耗大量的精力钱财,在投入运营后能否解决真的问题,或面临事件后责任划分的问题也是模糊的,容易扯皮的。
结语
总结一下Gartner对2024年整体战略趋势和安全趋势的预测分析,我们有如下几点感受:
1.在疫情的背景下,远程办公、混合办公成为趋势,而对应地,公司内部的业务系统需要支持灵活办公的需求。分布式、模块化的发展方向得到促进与加强。疫情也促进了企业应用和数据的逐渐上云,不管是私有云还是公有云,亦或是混合云,上云的步伐前进了一步,涉及相关的发展、敏捷、DevOps、协作平台、行业云平台成为新的趋势。数据的流转变得自由起来,传统边界变得不清晰了,数据需要自带身份,更需要主动检测身份。新的形态尚未完全熟悉,已经存在了许多需要做的事情,需要修补的漏洞,需要完善的机制,这些尚未解决的事情都是潜在的风险,潜在的暴露面。只要黑客比你专业,轻松拿捏你的弱点。
2.国内安全公司上千家,安全类别复杂多样,每次看到全景图,密密麻麻的公司logo拥挤在一个小框框内,感觉到拥挤、感觉到压力,也感觉到竞争,这个不仅给客户带来选择困难,也给厂商带来迷茫,这么多的行业从业者,能否坚持到最后,能否能收获一杯羹?因此,厂商的整合,也代表着方案的整合,化繁为简,显而易见,这对于大公司来说是优势。
3.地缘军事冲突和国际政治环境的不断变化也促进了网络战的发生概率,为了保证业务连续性,保障安全很重要,但提升系统韧性更重要。在很多时候,复杂的网络安全管控措施并不能解决业务连续性的本质问题,加强安全能力建设,增强安全意识,仍然是现代企业组织当前需要重点投入的事情,虽然,当前看不到明显的利益和效果,但其价值始终存在。
4.科技变化迅速,人才永远跟不上科技的发展,AI技术能够帮助解决很大一部分问题。从历史的发展来看,变革替代总是慢慢的、小步的、一点点的,AI的进步就像婴儿成长为小学生、中学生,已经有了一定的学习能力和判断能力。需要强调的是,需要让AI系统在应用时明确知道道德底线在哪儿,安全红线在哪儿,法律法规在哪儿,这就是和AI应用相关的风险信任管理。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,如果你对网络安全入门感兴趣,需要的话可以在下方
4045
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
