亚马逊云科技首席信息安全官 CJ Moses预测2023年及未来六大安全趋势
扫描二维码
随时随地手机看文章
现在,在地球的任何地方几乎都能使用云计算,甚至太空——亚马逊云科技目前为全球30个地理区域(截止至2022年12月)的客户提供服务,并通过柯伊伯计划,正在将一组卫星星群送入轨道,为全球服务未覆盖以及服务受限的社区提供快速、价格合理的宽带服务。云的广泛使用意味着数据正以指数级的速度存储在云中。2020年,人们每秒钟产生1.7 MB的数据,一些预测称,到2025年将产生463EB的数据。同时,随着企业对云计算和数据的依赖增长,企业需要更多相关技术人才帮助他们加速云上之旅。随着企业加速推动创新,数据安全显然对于企业业务的持续增长和云计算的发展至关重要。
随着技术与人的不断交互,两者的恰当组合将有助于定义云安全的未来。展望未来,我们知道自动化将是消除客户无差别的繁重工作的关键,让他们可以继续做出正确的决策,提升云中安全并快速应对可能的安全事件。
在亚马逊云科技,安全是我们的首要任务。我们每天都在努力赢得每位客户的信任。我工作的一个重点就是花时间研究如何为客户未来可能的安全需求做好准备。下面是我们对2023年及未来的安全发展方向的一些观点。
预测1:安全将成为企业工作中不可或缺的一部分
持续增加的威胁与风险将会驱动用户继续迁移上云,因为在云中安全被嵌入到企业需要的每一个方面。随着自动化安全服务和工具的增多,企业将转向关注持续的安全性和合规性,以在数字化转型早期就创建一个更容易实现安全的环境。
每天客户都会与我们分享他们如何把握机遇,从自行管理的本地部署安全技术转向云计算责任共担的服务模型,以支持并扩展业务转型架构。他们明白,安全必须尽可能地实现自动化,同业务规模保持一致,这样企业才能更容易做好安全防护。云计算在数据保护方面提供了令人激动的创新,这种创新在传统的数据中心并不常见,这种创新可以使企业在专注于业务增长的同时还保证了安全性。构建安全文化,将安全融入到运营中,都将助推企业发展的安全。
对安全的关注应始于维护一个有效的安全计划,包括管理身份和权限、保护网络和基础设施、识别和应对威胁、数据保护及合规证明。云计算让这些领域相关的日常任务实现了自动化,如:日志记录、监控、审计、修补以及集成现有工具集等。Amazon Identity and Access Management (IAM)、Amazon CloudTrail、Amazon Key Management Service (Amazon KMS),Amazon WAF, Amazon GuardDuty, 及Amazon等基础工具,可以洞察数据的存储位置、谁在访问数据以及访问时间、加密状态、移动位置、是否存在可疑操作,以及是否容易受到常见漏洞的攻击。未来几年,随着云技术的持续应用成为必然,这些领域对提升自动化能力的需求将呈指数级增长。
企业将转向持续的安全和合规。我们从客户、合作伙伴和内部从事交付与安全维护的开发人员了解到,云安全服务的快速创新使得安全集成变得更加容易,并实现持续的安全改进。这在很大程度上取决于云安全服务和工具的易用性,使客户能够提高开发速度和安全标准,从而实现安全交付。例如,使用Amazon Inspector和Amazon Systems Manager可以帮助客户自动为基础架构的服务和应用程序打补丁,减少手动修补负担,简化为多操作系统打补丁的过程,提高客户的工作效率。
预测2:多元化将有助于解决持续存在的安全人才缺口
随着云服务规模的扩大,对安全专业人员的需求也随之增长。多元化是解决这一问题的关键,我们相信,如果优先聘用具有不同教育和职业背景的人、具有思维多样性的人、以及来自不同文化背景的人,企业在安全性方面的表现会更优。
截至2021年,全球共约有419万网络安全专业人员,然而仍存在272万的人员需求缺口。弥补安全人力缺口是改善各地安全状况的关键。尽管安全专业人员不断加入,但仍然供不应求。企业可以通过以下方式帮助缩小安全专业人才缺口:致力于实现多元化、平等和包容(DE&I)的倡议,成立类似Amazon Affinity Group,重新评估招聘标准和实践,并优先考虑具有多元背景的候选人。约有半数的安全专业人员是在IT行业之外起步的,这值得鼓励。如果企业根据态度和能力来招聘员工,之后对其技术技能进行培训,我们相信企业将会更安全、更成功。大学教育和许多安全认证的高昂费用是少数族裔和不同背景的人难以进入这个行业的原因之一。企业不应只局限于特定的技术学位和认证,而是应该尝试招聘那些在其他方面有天赋或一技之长的人。
多元化的安全专业人员意味着不同的安全视角,也意味着更强大的防御。例如,英国有些机构等正在积极雇用思维多样性的员工,因为他们具备发现数据规律的独特能力。对我们来说,安全中的多元化不仅仅意味着平等,它还意味着尽可能广泛地获得解决问题的能力来优化防御水平。
多元化招聘是亚马逊云科技企业文化的重要组成部分,这意味着可以招聘没有安全工作背景的人才。有很多技能可以让一个人在安全领域出类拔萃,我们相信招聘这些人才并为他们提供安全培训是非常重要的。注重员工的成长和留住现有员工也很重要。我们一直认为教育是帮助个人和企业改善安全状况的关键,为此我们免费为员工提供亚马逊安全意识培训。云安全运营的自动化可能会在缩小人才缺口方面发挥作用,但这一问题不能仅靠技术来解决,以人为本还是第一要务。我们通过导师计划鼓励员工的未来成长,并通过与未来几代人建立连接,以推广STEM教育。
预测3:人工智能与机器学习支持的自动化带来更强的安全性
人工智能与机器学习将为云安全的自动化增加关键的一层,将有助于优化开发人员的工作流程,帮助他们创建更可靠的代码,实现持续的安全改进。
从历史上看,安全一直是一个二元的、基于规则的系统,在这个系统中,事情非“可”即“否”。我们已经建立了复杂的系统,根据一些标准来定义“可以”。云计算改变了这种模式,我们现在可以动态地构建强大的防御,采用有效的互补策略来应对已知的威胁。作为云安全演变下阶段的一部分,将人工智能用于威胁检测和修复将变得更加普遍。在未来几年,机器学习将在增强安全工程师的能力方面发挥重要作用,帮助他们在云中创建更安全的架构和应用。
人工智能与机器学习的预测能力可以帮助客户在面对不断变化的威胁环境时建立更主动的安全态势。近年来,随着居家办公和混合办公模式的兴起,人们在不同网络上工作的情况发生了巨大变化,威胁面呈指数级扩大。威胁者正在利用远程办公这一点,使用前所未有的恶意软件发起安全攻击,如勒索软件、网络钓鱼和社交工程攻击。
在这种日益复杂的混合环境中,亚马逊云科技的服务如Amazon GuardDuty、Amazon Detective、Amazon CodeGuru和Amazon Macie等,将继续为安全和机器学习的集成奠定基础,通过智能推荐为客户提供规模化支持。这些具有机器学习能力的云服务将快速迭代,这些服务能够获取大量数据,查明异常情况,并就安全漏洞、代码质量和潜在威胁提供智能建议,这些能力将为企业带来诸多益处。例如,Amazon GuardDuty推出了DNS声誉建模,将来自亚马逊云科技的DNS请求输入到一个模型中,并根据行为特征将全新出现的域名预归类为恶意的或良性的。亚马逊云科技在实践中看到,这些模型往往能提供高精度的威胁检测,在商业级威胁反馈发现恶意域之前的7-14天,就能识别这些恶意域。
人工智能和机器学习在安全领域的的另一个用例是合规。在我们服务中构建的人工智能技术,如自动推理,使客户能够更好地了解复杂系统的合规状况,自动检测在全球数据集中构成合规风险的异常情况。从传统意义上看,许多安全和合规任务因需要人工交互来评估合规状态和权限变化而受到阻碍,管理这些领域是一个被动的过程。亚马逊云科技的服务如Amazon Audit Manager、Amazon Identity等有助于自动消除人工干预,因此客户在部署对IT基础设施更改之前可以更好地了解他们的合规状况和权限级别信息。Amazon Audit Manager可以为客户所需的合规性框架(如支付卡行业数据安全标准、互联网安全中心和美国国家标准与技术研究所NIST)自动收集证据,让客户不必依赖即时人工评估。这种证据收集也是连续的,让客户可以随时调取他们遵守所需框架的合规性报告。IAM Access Analyzer使客户可以监控其策略,防止对其资源和数据的过度广泛访问。一旦策略被写入(IAM Access Analyzer也可以帮助), IAM Access Analyzer就会在不需要人工干预的情况下监控授权。未来几年,安全领域中这种持续改进的概念将会成倍增长,整个云供应商、合作伙伴网络和云用户生态将进一步发展自动化能力,推动全球云安全的全面进步。
如上所述,人工智能和机器学习驱动的安全创新正在帮助客户解决安全从业者面临的实际挑战,例如减轻SOC分析师的工作量,让安全架构师将更多的时间进行威胁建模,而不必验证应用程序是否关闭了防火墙、服务器是否打了补丁。目前我们只是触及了云安全领域AI/ML的皮毛。随着云计算的指数级增长,安全需求也将同样快速增长,从而推动对自动化和智能驱动安全的需求。
预测4:加大对数据保护的投入
数据保护仍然是亚马逊云科技客户和全世界人们最关心的问题之一,尤其是在创建的数据量继续呈指数级增长的情况下。在这种增长水平下,我们将看到更多的数据保护立法、对数据保护和相关项目的更多投入,以及实现向自动化的转变。
欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)和其他本土法律只是数据保护立法的开端。Cisco 2019年的一项调查发现,近一半(47%)的受访者认为如果公司遵守GDPR,就更值得信赖。随着数据保护领域的成熟,公众对数据保护法的需求不断增长,我们将看到更多政府通过实施立法做出回应,我们也会看到更多企业满足这些要求。Gartner预测,到 2024 年底,全球 75% 的个人数据将受到法规的保护。
在接下来的几年里,我们还将看到企业加大对数据保护的投资。Gartner 预测,到。部分投资将用于包括评估数据风险、执行持续管理和资源管理任务以及开发工具在内的数据保护计划,在保持高功能的同时降低数据风险。
在亚马逊云科技,赢得客户信任是我们业务的基础。我们将持续关注隐私监管和立法情况的动态发展以识别变化,并确定客户可能需要的工具来帮助满足他们的合规需求——这是我们一贯的承诺。我们确保客户可以通过使用亚马逊云科技服务和工具(例如Amazon IAM、CloudTrail、Macie等)来控制数据,确定数据存储位置、安全性以及数据访问权限。我们还通过提供服务和功能实施隐私保护措施,让客户实现自己的隐私控制,包括高级访问、加密和日志功能。客户可以选择在亚马中存储数据。通过使用亚马逊云科技的服务,我们的客户可以放心地将他们的数据存储在选定的亚马逊云科技区域中。
要了解有关亚马逊云科技数据保护的更多信息,请访问亚马、亚马逊云科技数据保护和我们的数据隐私中心。
预测5:更先进的多因素身份验证将更加普遍
未来,通过采用更多的生物识别和多模式身份验证形式,多因素身份验证(MFA)将安全性和可用性相结合,确保用户在改善安全状况的同时获得顺畅的体验。
MFA是客户能够使用的最简单且最重要的安全保护方式之一,使恶意攻击者难以在密码泄露于网络或其员工受到社会工程攻击时获取帐户。密码通常等级低且容易遭受数据泄露,客户可使用MFA来加强帐户和应用的安全性,在密码外还需要额外的验证因素(他们的所有物、熟知事物或生物特征识别)。
MFA正在越来越广泛地用于商业和个人用途,我们相信下一个前沿应用将更普遍地采用多模式生物特征的认证,因为它们更便利且安全性更高。多因素指的是使用两个或更多的因素用于认证,可以包括漫游(如Yubikeys和 Virtual Authenticators)和平台(如 Windows Hello 和 Apple FaceID等设备)。多模式指的是使用多种生物特征来访问系统。生物特征认证是依靠个人独特的生物特征来验证其身份,通常包括一个物理或行为特征。更多依赖生物特征识别将使MFA为客户提供更加顺畅、自然的体验。在多模式生物特征系统中,我们将看到物理生物特征因素(指纹、声音、虹膜或面部识别)与行为因素(键击、手势、抓握等)的组合。
MFA 的使用将受益于政府和知名安全企业在过去几年对安全的日益重视。 FIDO 联盟、NIST 和美国政府等实体组织正在推动 MFA 作为在线保护的基线。
我们鼓励客户在未来几年中继续关注MFA的发展,了解它们将如何改进现有功能或将新的MFA功能构建到企业的日常工作中。我们将继续通过亚马逊云科技上MFA概述页面向客户提供有关MFA进展的信息。
预测6:量子计算将有利于提高安全性
量子计算可能还不是每个人的首要关注点,但它正在逐步推进,量子安全也以加密技术的形式随之推进。亚马逊云科技已经开始着手为后量子时代做准备。从长远来看,我们希望量子计算能够帮助提高安全性,但就目前而言,各公司应该确保他们使用最新的加密方法来保护数据安全。
一些证据表明,量子计算将在有朝一日变得普遍且实用,目前尚不清楚将是在 5 年还是 50 年之后。但这一天一旦到来,预计会削弱某些类型的加密技术,包括我们用于 HTTPS 和 TLS 等数据传输安全协议的加密算法。业界目前正在研究所谓的量子安全或后量子加密技术,其中不同的算法和不同的密钥大小提供了与我们今天相同的安全级别,甚至可以匹敌量子计算机。随着加密算法和协议不断演进以应对未来的潜在风险,我们将看到设备相互连接方式的转变。我们的手机、笔记本电脑和服务器将采用量子计算这项新技术,以确保通信的隐私。
从长远来看,我们期待量子计算推动云安全的发展。一旦企业更多地使用量子计算和量子算法,他们将开始以不同的方式思考经典算法。在新的量子算法的启发下重新思考经典算法,可以激发对现有功能的创造性解决方案,并基于量子计算的新思路开发新的算法或对经典算法不断演进。例如,一名量子研究人员已经能够将传统计算机与量子计算机的能力尽可能地匹配,实现向用户推荐喜欢的产品的功能。
随着业界对量子计算风险的考量,加密技术的标准将继续发展。NIST 已经在努力,通过多年的后量子加密技术标准化的努力和多轮评估,计划在2024 年之前制定新的量子安全标准。包括亚马逊云科技在内的大型企业也正参与其中做出贡献。我们提交了两个选项(BIKE 和 SIKE),均通过了第一轮筛选,并将 82 个原始提案缩减至 26 个。考虑到不同的方法会权衡性能的不同方面(例如更快的计算但更高的网络负荷),NIST 可能会对多个提案进行标准化。
亚马逊云科技将与其他企业合作共同实施未来标准,也将继续开发和实施后量子加密。Amazon KMS 已经支持 TLS 1.2 的一些混合后量子密钥交换算法。
结束语
随着企业数字化转型,云使用规模也将随之壮大。我们相信,安全将成为企业一切工作的核心,并成为一种安全文化。在这种文化中,每个员工都会为安全负责,能够对企业的安全产生积极影响。安全实践将成为技术创新和各岗位员工集体推动、持续的追求。这些因素将影响企业和个人安全观的转变,将安全视为业务和创新的驱动力,而不是一个只坚守IT规则发出拒绝指令的部门。亚马逊云科技将继续通过提供基础创新和最佳实践,推动云安全领域的前沿发展,让安全成为客户未来业务和技术创新的核心力量。