可观测性安全云原生时代数据驱动安全的进化 - 刘志诚

研报正文总结

数字化与云原生

• VUCA时代特征：数字化、云原生、敏捷开发、低耦合架构、DevOps等。
• 新技术新势力：
  • DevOps左移工具链：本质是未雨绸缪，通过自动化、工程化、耦合集成降低风险。
  • 容器云：静态运行时（漏洞检测、加固、完整性签名）和运行时（预警、阻断、策略管理）。
  • 微服务API：认证鉴权、限频限流、行为分析、敏感数据保护，以及东西向流量微隔离、服务治理、流量检测。
  • 持续交付编排：通过场景、剧本、自动化实现数据驱动运营。

数据驱动安全简史

• 数据驱动安全发展历程：
  • 第一代：单数据源静态数据（日志）。
  • 第一代安全运营平台（SOC）：多数据源静态数据结合人工处置分析。
  • 态势感知类产品：网络流量作为动态数据。
  • 第二代安全运营平台（SIEM）：整合多源静态、动态数据的人工智能分析。
  • XDR：多源静动态内外部数据人工智能分析的实时同步自动化编排。
• XDR进化：
  • 终端安全：防病毒到端点保护。
  • 云安全：虚拟化、云计算、容器化、K8s等整合。
  • 网络安全：状态防护、下一代防火墙、增强日志等整合。
  • 用户行为分析：客户分析、用户行为分析整合。
  • 关联分析：合规管理、安全事件管理、大数据整合。
• XDR意义：增加信息收集的可视化，提升威胁检测、安全分析和检测的准确性与及时性，自动化和编排提升响应和恢复速度。

可观测性

• 可观测性安全需求：
  • 全流量需求：从moniting、tracing、logging、chaos engining到数据安全（DLP）、业务安全（XDR）、应用安全。
  • 性能：数据存储、计算资源。
  • 合规与安全：个人隐私保护、数据安全。
  • 边缘计算：边缘人工智能、隐私计算。
• 能力+整合+应用：eBPFLstion、enovy、JVM SandBox、Data Fabric/Data Mesh、SIEM、RASP、DLP、OBS等。

数据驱动安全预测

• 可观测性安全挑战与机遇：结合全流量需求、性能、合规与安全、边缘计算等技术，推动数据驱动安全向更高层次发展。

安世加

• 安世加：专注于网络安全行业，通过互联网平台、线上线下沙龙、峰会、人才招聘等形式，致力于创建亚太地区最好的甲乙双方交流学习的平台，培养安全人才，提升行业整体素质，助推安全生态圈的健康发展。