进入到9月下旬,一则名为XcodeGhost恶意软件的消息迅速传遍了朋友圈和各大媒体。这次网络信息安全事件引发极大的关注,是因为它感染了被公认较为安全的iPhone手机,受影响的iPhone APP赫然包括了微信、网易云音乐、高德地图、58同城等。而根据腾讯移动安全实验室数据,2015年上半年新增手机支付木马病毒29762个,感染用户总数达到1145.5万,较高峰6月平均每天6.8万名用户中毒。
针对普通消费者的网络信息安全事件仅仅是冰山一角。2015年上半年,全球有记录的企业及政府数据泄露事件数量为888起,被盗档案数略少于2.46亿份。美国较大的医疗保险提供商安腾(Anthem)在今年三月遭到攻击,约7880万用户自2014年12月以来的数据被盗。Gemalto发布的2015年上半年数据泄露等级指数显示,全球受数据泄露影响较大的产业分别为医疗、政府、科技和零售。
刚收购了趋势科技中国业务的亚信安全董事长何政认为,随着云计算和大数据技术的发展,传统网络信息安全行业将会发生巨大变化,整个产业格局将产生重大调整。
千亿规模仅是开始
Gartner的较新预测数字显示,2015年全球信息安全开支将达到754亿美元,比去年增长4.7%。加上未公开的数据,2015年全球信息安全市场的规模将超过1000亿美元的水平。Gartner的研究分析师Elizabeth Kim认为,数字化企业的多个要素日益推动全球关注信息安全,尤其是云计算、移动计算和物联网等,而错综复杂、影响重大的高级针对性攻击同样起到了推动作用。
据有关统计,国内企业的信息安全投入占IT总投入比例仅为2%左右,而发达国家已经达到10%~12%左右。尽管如此,根据中国电子信息产业发展研究院的《信息安全产业发展白皮书(2015 版)》,2014 年我国信息安全产业业务收入为739.8 亿元,是2012 年的2.4倍,近三年来我国信息安全产业规模年均增长率超过了40%。基本上国内信息安全市场也达到千亿元人民币的规模。
就信息安全产业而言,全球市场达到了千亿美元、中国市场达到了千亿人民币的规模,但整体来看信息安全产业才刚刚开始,尤其是中国的信息安全产业正在经历从小到大的巨变。一方面,据中国互联网络信息中心的统计,截至2014年12月我国网民规模达6.49亿,互联网普及率为47.9%,一旦出现网络安全问题很容易造成巨大影响。另一方面,随着互联网+行动的升级,企业的安全边界正在消失。漏洞盒子的报告显示,在2015年上半年无论保险、银行、证券或是新兴的互联网金融,互联网安全漏洞的数量相比去年同期有爆发性增长,特别是互联网金融业的高、中危级别漏洞数量总和占比高达97.2%。
为什么说信息安全产业才刚刚开始,这主要是由于云计算、移动互联网、大数据等底层新技术的广泛应用。漏洞盒子的报告指出,由于支撑互联网金融的云计算、大数据等新技术发展还不完全成熟,安全机制尚不完善,而同时第三方支付、P2P等互联网金融新业务飞速发展,企业安全技术、安全意识以及运维管理水平往往难以跟上,许多互联网金融企业愿意花费几百万、上千万元投放广告,却不愿在安全方面有任何预算。而在其它行业,也在出现与互联网金融行业类似的信息安全现状。展望未来五到十年,信息安全产业有着远超千亿的发展潜力,在更远的未来则有着达万亿规模的可能。
中国市场巨变中
自2014年以来,中国信息安全市场正在经历巨大的变革期。
首先,从国家层面开始高度重视网络信息安全。2014年是我国信息安全产业发展的变革之年,中央网络安全和信息化领导小组办公室于2014年初正式成立,有效推动了信息安全行业的全面成长。2015年6月24日,人大常委审议了《网络安全法》草案,这是我国首部网络信息安全法。2015年9月,国家主席习近平任职以来首次访美,期间多次强调了网络信息安全的重要性。我国政府对信息安全的高度重视,极大推动了信息安全产品国产化的进程。
其次,当前信息安全需求已逐渐从单一信息安全技术产品转向针对行业个性化需求的信息安全整体解决方案,但我国信息安全企业仍集中在防火墙、入侵检测、入侵防御等单点技术产品上,综合性信息安全技术发展仍处于较低水平。工业和信息化部赛迪智库网络安全研究所所长刘权指出,我国在网络安全技术方面存在大量技术短板,不能完全实现自主可控,产品同质化竞争非常严重,缺少网络信息安全龙头企业。
再次,我国企业对于信息安全的思维和认知还停留在初级阶段。企业并不是每天都会受到攻击,而一旦受到攻击则需要进行快速反应。那么解决问题需要有一个思路,如果没有进行日常锻炼的话,在受到攻击的时候企业就不会知道如何反应。赛门铁克亚太区大客户部副总裁兼大中华区总裁梅正宇介绍说,赛门铁克专门提供了攻防演练模拟平台,帮助企业进行攻防模拟,还可以进行论证和考试。但实际上,我国企业对于信息安全的认知水平还停留在购买硬件和软件层面,很少引入类似信息安全攻防模拟演练这种咨询服务。
第四,我国尚缺乏信息安全方面的国家标准,这造成了多种不同规格、不同接口、不同标准信息安全产品并存的混乱局面。国内信息安全创业公司青藤云安全创始人张福介绍,美国由美国国家标准局NIST出面制定了一套网络信息安全方面的行业标准,美国的信息安全厂商都要支持这一标准,因而美国的信息安全产业能发展出完整的生态。而我国信息安全管理现状比较混乱,缺乏国家层面上的整体策略,实际管理力度、政策执行和监督力度等也不够,相关的风险评估标准体系有待完善。
巨大的缺口导致了巨大的机会。2015年5月,360公司宣布成立了企业安全集团;6月,网宿科技发公告将3.5亿元投入云安全项目;9月,亚信科技宣布收购趋势科技在中国的全部业务,同时宣布成立亚信安全公司。2015年的中国信息安全市场,可以说是山雨欲来风满楼。
颠覆性技术:自适应安全
面对一个庞大而庞杂的信息安全技术与产品市场,企业如何以点带面地入手抓信息安全、厂商如何提纲挈领地提供技术与产品、不同的信息安全技术与产品如何形成一个生态体系,这些都是打开未来信息安全产业发展空间的关键所在。
2015年上半年,有一家叫做Illumio的美国创业公司宣布了1亿美元的C轮融资,该公司在 2013 年 1 月完成了800 万美元的 A 轮融资,当年9月又完成3450 万美元的 B 轮融资。在该公司后面的投资阵容包括了微软董事长John W. Thompson、Salesforce.com CEO Marc Benioff、Yahoo创始人杨致远、Box CEO Aaron Levie,包括Andreesen Horowit、Formation 8、Data Collective和General Catalyst在内的硅谷四大VC,以及全球较大上市投资管理集团BlackRock和五大VC之一Accel Partners。
什么让这家创业公司如何豪华级科技界明星投资人和投资机构的青睐?原来这家公司所开创的信息安全技术领域叫做自适应安全。2014年2月,Gartner发布了《自适应安全架构:应对高级定向攻击而设计的下一代安全防护平台》报告,从理论层面阐述了未来颠覆性网络信息安全技术的框架——自适应安全。自适应安全从本质上说,属于基于大数据的持续监控和分析系统,通过对企业内部、边缘和外部的大数据监控与分析,不断描绘企业信息安全现状图并且有针对性地提供解决方案的智能安全防护体系。
国内创业公司青藤云安全是目前国内从事自适应安全技术研发的公司,目前全球只有两家公司专注于研发基于自适应安全框架,这就是Palantir创始人Joe Lonsdale今年9月底到北京走访一圈后想投青藤云安全的重要原因,Illumio也是Palantir投的创业公司之一。尽管成立于2014年8月,青藤云安全的技术思路其实早在Gartner的报告之前就已经形成了。创始人张福曾在同济大学就读期间就是知名的黑客,毕业后到盛大、昆仑万维等互联网游戏公司任技术负责人等职,2014年初开始思考类似自适应安全的技术架构,获得真格、云天使及丰厚资本的联合天使投资650万人民币后开始创业。
青藤云安全的技术思想主要是在获得企业同意情况下,向企业IT系统投入类似电子爬虫的探针,在企业的内部、边缘和外部描绘企业信息安全的现状图。这非常类似电影《普罗米修斯》中向一个未知山洞投下几个不断移动的探头,通过返回信号清晰地描绘出山洞的内外部3D构造图。这份企业信息安全现状图相当于是对企业的IT和数据资产进行了盘点,根据盘点的结果再提供标准化解决方案模块组合,用于修补漏洞和加固系统,整个过程的90%都由机器自动化完成。而企业信息安全图还将定期被重绘,让安全措施自适应业务和IT的变化与发展。青藤云安全的一个技术优势和技术壁垒,在于对企业IT资源的消耗极低,能控制在0.1%以下,这得益于青藤云安全团队对于操作系统技术的深入理解。
转型的运维:安全咨询与托管服务
以青藤云安全和Illumio为代表的下一代自适应安全技术主要针对互联网和云计算这样的大规模IT,对于传统企业而言仍需考如何从安全服务方面提高企业的信息安全运维水平。
针对纷繁复杂的网络信息安全技术与产品,企业的安全运营中心(SOC)显得格外重要。安全运营中心就相当于企业信息安全的“大脑”,能够调度、组织和编排企业采购的各类信息安全技术与产品,共同服务于企业的整体信息安全需求。
赛门铁克大北区安全解决方案技术支持部总经理马蔚彦介绍说,安全运营中心在国际上较为主流,但对于中国市场来说则属于较新的概念。目前赛门铁克在全球有9大安全运营数据中心,位于欧洲、美洲、亚洲、澳大利亚等全球各地,通过专业化的安全专家和大数据分析团队,为企业提供安全运营中心的托管服务以及全球信息安全大数据收集与情报分析等工作。实际上赛门铁克在全球较成功的业务其实是安全托管服务,托管安全服务在国外相当的流行,很多企业都选择把网络信息安全托管给专业安全厂商。无论从性价比、人才培养和维护、安全大数据积累等方面来看,安全托管服务都比企业自建安全团队有着天然的优势。
随着中国市场的变化,以赛门铁克为代表的国际安全厂商也在调整针对中国市场的策略,信息安全咨询服务将是赛门铁克接下来在中国的重点推广业务。梅正宇坦言,在过去一年半的时间里,赛门铁克在中国的业务基本呈下降趋势,但在过去的6个月中赛门铁克进行了大力转型,加大了信息安全咨询服务业务的力度并取得了积极成效。信息安全情报服务、信息安全系统规划、信息安全大数据分析、信息安全培训、信息安全攻防演练等都是赛门铁克在中国逐步展开的服务业务。特别是信息安全培训业务,赛门铁克集合自成立以来33年的专业经验,可以说是信息安全领域现实中的大学,展开培训业务有着得天独厚的优势,而中国奇缺信息安全人才也将为信息安全培训服务创造刚需。
刚收购了趋势科技中国业务的亚信安全董事长何政表示,自从去年亚信科技开始向产业互联网转型,就在围绕产业互联网设计网络安全的战略布局和发展策略,构建了亚信安全的能力蓝图和安全框架,包括安全智能分析、威胁治理管控、安全管理支撑、安全运营、云管端协同等多个技术、产品与服务层面。通过走“产品、服务、运营三位一体”的模式,亚信安全将帮助企业用户建立积极防御体系,实现网络安全管理的集中化、主动化、可视化和智能化。
安全行业的未来在哪里?青藤云安全创始人张福有着非常独特的看法。他认为,目前国内信息安全行业没有统一的标准,这是因为行业的成熟度不够。当行业的成熟度达到一定阶段后,自然将产生相应的行业标准。而一旦出现成形的行业标准,这将意味着巨大的商业价值。
信息安全行业标准将产生什么样的商业价值?张福介绍说,现在美国出现了较早家数字资产保险公司,这是由美国前国防部长创立的一家新型保险公司,专门承接单笔1000万美元以上的数字资产保单。而对数字资产的安全进行定损,则需要公正的第三方定损机构,这就是基于行业标准的信息安全企业未来发展方向之一,也是信息安全产业有朝一日达到万亿规模的路径。 (文/吴宁川)