对话Gartner：如何理解《2022年中国安全技术成熟度曲线》？

对话Gartner：如何理解《2022年中国安全技术成熟度曲线》？

作者｜真梓

6氪获悉，Gartner近期发布《2022年中国安全技术成熟度曲线》。据了解，这是Gartner首次发布针对中国市场的安全技术成熟度曲线。

Gartner表示，随着国内数字化转型的推进，尤其是云计算、大数据、人工智能、物联网和电子商务的发展，企业机构数字资产保护已成为安全和风险管理领导者的关键任务。在更重要的推动力上，国内法规日趋严格，也让安全的重要性更甚以往。综上，Gartner表示这篇报告是全新行业语境下的、中国安全创新领域技术成熟度曲线。

《2022年中国安全技术成熟度曲线》

在近期的一次分享会上，6氪等媒体也对Gartner高级研究总监高峰进行了采访，对这一技术成熟度曲线背后的逻辑进行了剖析。

高峰表示，由于法律法规、人才环境和企业使用工具的特点不同，中国安全市场对比其他国家存在独特性。因此这篇研究报告，希望依据国内特点，针对筛选一批安全创新产品和服务，帮助大家进一步了解中国本地的安全趋势。

整体来看，

本次在成熟度曲线中被提及的方向包括云安全、数据安全、零信任、应用安全、身份等。

比如，他介绍由于国内企业采用“云技术”的速度非常快，对“云”工作负载的保护也变得非常重要。基于此Gartner认为，“云”工作负载保护平台，是唯一一个在成熟度曲线中有望在两年内走向成熟并迅速扩大采用面的技术。而多数其它技术，则均需25年或者是510年才能发展成熟。

另谈及处于“期望膨胀期”的创新技术。高峰介绍，SASE（安全访问服务边缘）针对多种边缘的访问场景提供融合性的广域网、边缘的安全访问能力。通常来说，企业对边缘的保护有很多种工具（如VP、SWG）。但这些技术其实都是一个个单点，且它们在部署形式、提供的功能上有很多重合。高峰表示，Gartner认为SASE作为一个融合型的平台产品，能够把这些单独工作的边缘保护工具整合起来，减少企业的运维复杂度。

他进一步介绍，SASE在国内外的落地存在一些差别。比如，国外的SASE多以按需付费的模式定价，并且部署基于云的低延时网络，让用户以更低的延时去访问资源。但在中国，许多客户希望数据留在本地，不放在公有云或者第三方处。而且完整的SASE实施，也需要安全和网络团队一起协作，国内的SASE产品，也还需时间来提升成熟度。

而在技术萌芽区间，高峰重点谈及了云安全资源池、智慧城市信息物理系统安全和ASM（攻击面管理）。

在介绍ASM时，他表示，现在企业的资产太过庞大，不少数字资产分布在各个地方（如用户的家里、“云”上或国外），而ASM可以通过合理配置人员、流程技术和服务，持续发现企业所有的资产，并把资产存储记录并管理起来。"了解资产的存在，发现它的脆弱性是至关重要的，这也是我们为什么认为攻击面管理可以受到更多企业的关注。"高峰说。

另在分享后的交流环节，高峰就

零信任、数据安全平台、隐私计算技术和

在零信任方面，他认为零信任并不是过度防御，而是帮助企业用已验证过、并还在持续验证的信任，代替一些并不安全“隐性信任”。而在数据安全平台上，他表示，在部署单点的数据安全工具之外，企业客户也愈发需要平台型产品，从而以全局视角帮助了解自己的数据泄露、数据防护情况。但另一方面，厂商之间数据安全功能和平台的打通依然还在路上。

至于隐私计算，高峰觉得，虽然安全多方计算当前处于“泡沫破裂期”，但同属隐私计算工具集的机密计算TEE，在云厂商的推广之下，未来会被更广泛地使用。

以下是访谈部分（经6氪不改变原意的编辑）：

媒体：很多企业提出了零信任的概念和举措，但可能也会产生过度防御。你觉得企业的零信任或者其他安全措施，应如何避免过度防御？

高峰：我觉得“零信任”并不是过度防御，因为新的安全技术不一定增加安全复杂度。很多时候一些新的、平台化的安全技术，需要把之前孤立的安全能力整合起来，并未增加复杂度。“零信任”的理念，其实也是用一些持续评估的、显性信任去替代隐性信任。

怎么理解呢？举个例子，大家都知道企业经常把网络分成外网和内网，外网可能没办法访问企业的一些应用，要连接VP把它变成一个内网的延伸。而内网好像任何系统都能访问，而且管控也比较松，属于隐性的信任。但其实，内网并不比外网更安全。像现在越来越多的病毒、事件，很多时候并不是外部人员攻击系统之后再，更多还是内部人员的操作出了问题。所以，是我们对内网的一些“隐性信任”，造成了这些严重损失。“零信任”就是去除这个“隐性信任”。

媒体：结合场景具体怎么理解？

高峰：我们不认为内网是安全的，我们觉得内网的访问也是要经过验证的。这个验证也不会增加用户的负担，只是在访问的时候要考虑用户的多种场景。用户可能还是要输入“用户名、密码”，但又不需提供更多信息，因为这些信息其实是被动收集的。企业通过客户的综合访问与环境情景，最终决定是否授权。比如：一个用户10分钟前用中国的一个IP访问这个应用，但过了5分钟就显示为一个美国的IP，这时我们就要考虑到这个事情的风险程度。而且，这里说的是“考虑”，也不是一定要禁止。比如一个零售的企业，可能觉得用户如果用VP登陆系统，显示美国IP没有问题。但是如果是金融企业，或许就不让这个用户访问了。企业需要综合评估访问的安全性，然后再授权。

并且，企业要在用户访问的过程中持续监控。现在大部分技术没办法持续监控访问的情况，很多时候，一个人连上VP以后就一直用，等到超时才会中断。但“零信任”要求在用户的访问中，持续对用户进行监控。举个例子，用户连上一个系统后，可能会点到一些钓鱼软件或者访问一些非法网站，这会让设备暴露在风险中。所以，“零信任”就是实时在用户访问的全程，持续验证、持续发现访问风险。当风险出现的时候，如果需要的话，它能够帮企业中断访问。

总之，我觉得“零信任”是要解决已有安全部署中存在的一些问题。特别是当现在许多资产已经处在各个地方，不再有一个非常清晰的安全边界的情况下，“零信任”基于身份，是一个比较好的安全概念。

媒体：一些观点认为，“零信任”需要拿到更细粒度的业务数据才能进行精确的策略下发工作。你怎么看？以及这种思路是可以被SDP、IAM以及网络微隔离企业实现的吗？

高峰：我觉得“零信任”其实更多是一种理念吧。当然，这种观点是对的，就是有更多的业务数据，能够帮助更好的授权。但是我觉得实施“零信任”的关键，并不是一定要有更多的细粒度业务数据。它的理念是持续评估，以显性的信任去代替隐性的信任，就是用验证过的信任代替隐性的、主观上认为“这就是安全”的方式。

其实几乎所有的内网应用都不用持续验证，但是有了零信任之后，对内网的一些访问也需要进行持续验证、最小授权。更细粒度的数据，对授权的力度是相关的，但是对于实施零信任访问并没有决定性的影响。并且，“零信任”部署本来就是要进行一些持续的策略调整、需要持续的迭代。这个时候如果可以有更多数据，给零信任去做验证，改进它的授权力度，是很有帮助，但它并不是实施零信任的一个不可或缺的东西。

媒体：今年的攻击趋势是什么样的？黑客们其实也在不断地进化，企业可以怎样降低攻击概率？

高峰：攻击这些年是越来越普遍了。并且，我们越来越发现会有一些专业团体，专门去进行攻击。这对很多企业来说是非常大的挑战。

那么，怎样应对攻击？我觉得除了传统的安全管控之外，企业还要注重两个方面。首先，数据的备份和恢复。当数据被加密之后，业务也造成了一些停止，如果我们有一些备份，是可以快速回退，把数据导入恢复生产的。我之前也看到一些企业被，花了大概两天的时间就全部恢复。

另外，国外购买网络安全保险的方式，可以相对降低攻击的损失。还有一些企业也会购买比特币，在需要的时候使用。当然软件的攻击，其实对大部分企业来说都是挑战。而且安全是个整体，虽然大家过去做了一些保护，但在数据在使用、计算过程中，还有许多技术不成熟。比如我们可以在存储、传输的时候做加密，但是在使用过程中，现在只能通过隐私计算做一些保护。

媒体：当前Gartner观察到，数据安全平台对厂商和客户的意义分别是什么？

高峰：“数据安全平台”以数据发现和数据分类为起点，整合不同类型的存储孤岛和生态系统的数据保护要求而成。DSP（数据安全平台）其实是把所有的数据保护功能放在一起，成为数据保护的一种组合式产品。

这种产品，对客户的意义是能够使用一个综合的平台型产品，替代很多单独的数据保护工具，降低管理难度。另外，它可以提供一致的数据可见性。因为通常来说，各个数据安全产品会通过不同的管控点，在不同的数据流向中进行保护，很难给企业提供一个统一的可视性。比如，企业这边发现数据泄漏了，那其它地方是否也有数据泄漏的可能性？而且用户访问一个数据，可能也经过了多个需要数据保护的“点”或者保护的工具，任何一个“点”都有可能发生数据泄漏。这个时候客户希望以全方位、整体的视角去了解数据安全。而对厂商来说，希望提供更多的平台性的产品，产生更多的市场机会。

媒体：现在这类平台之间的打通情况如何？

高峰：可以是一家厂商提供数据安全功能，也可以通过提供第三方集成的方式去提供。现在越来越多的厂商也注意到，需要建设开放式的生态能力。特别是平台产品，很难有一家企业把所有的功能都做到完善。因为首先这涉及到企业专注度的问题，另外还有用户需求的问题，而用户的需求也是千差万别的，不可能一家公司能够满足所有用户的需求。

所以Gartner也认为，尤其平台企业需要以开放的方式，如API调用等集成第三方的产品。

媒体：你觉得当下各个厂商之间的开放进度如何？

高峰：安全厂商注重开放，但开放的同时也会比较注意竞争。这个还看厂商自己的策略，像一些小型的厂商，产品能力比较少也会更关注开放性。有些大的厂商，什么产品线都有，这时候可能会对第三方的介入增加一些困难。大公司要保护自己的产品竞争性，所以反而小型厂商非常希望去做一些开放性的事情。

媒体：机密计算TEE和安全多方计算，多被视作实现“隐私计算”的不同技术。比较好奇为何Gartner认为前者处于技术萌芽期，后者处于泡沫破裂期。

高峰：TEE机密计算、安全多方计算，确实都是隐私计算不同的技术方式，但它们也是不同的技术。虽然它们都是隐私计算工具集下面的两种技术，但还是处于两种不同的阶段。机密计算更多以硬件的方式去实现数据在计算、使用中的保护，而安全多方计算更多还是以软件的方式，它们还是不同的。

像安全多方计算，我们认为在过热之后还没有被广泛使用。这个技术其实已经出来很多年了，但近年中国对数据监管日趋严格，越来越多的企业关注隐私计算技术。而且安全多方计算是非常场景化的，我们看到大多数的落地项目，都是根据企业的业务场景，做很多定制化的部署。这就导致它很难被快速复制、给到其它企业使用。我觉得这是导致安全多方计算进入下降阶段的一个重要原因。

媒体：但几年前就有观点提及，因为要信任硬件本身，大家也不太愿意尝试TEE。而现在我们认为TEE处于“技术萌芽期”，是出于什么原因？

高峰：TEE主要的一个推动力是“云厂商”。各家云厂商都在推动它们的TEE，因为它们希望一个技术能被拷贝到任何企业中。而TEE是底层硬件，越是底层的东西越容易被复制。在中国，信创也做一些TEE的事情。我觉得它的接受度会越来越多，因为它基于提供一个安全环境的方式来工作，但是它现在的使用接受度还并不是那么高，主要是这个情况。