洞见未来丨2022年，十大安全技术趋势已来！

---

党的十九届五中全会明确了我国“十四五”期间发展的战略任务和2035年远景目标，强调要统筹发展和安全，全面加强网络安全保障体系和能力建设，对网络安全技术和防护能力提出了新的更高要求。

纵观网络安全行业的发展史，可以发现这同时也是一部网络安全技术的发展史。网络安全技术既是网络攻击者打造进攻武器的原料，也是网络防护者构建牢固防线的基石。山石网科新技术研究院立足于网络安全行业的最新态势，深入洞察网络安全技术的发展脉络，针对2022年最有价值的十大安全技术进行了盘点、分析和展望。

 

一、人工智能技术全面支撑网络安全防护

 

通用人工智能或强人工智能虽然距离人们的期待还相距甚远，但以深度神经网络为代表的人工智能技术已经在机器视觉、自然语言处理、自动驾驶等领域大放异彩。在网络安全方面，人工智能技术早已经深入渗透到网络安全防护的方方面面。比如，采用PCA主成分分析自动识别API用途特征发现零日漏洞；采用循环神经网络识别二进制程序漏洞；采用图聚类模型实现基于DGA域名生成算法的僵尸主机检测；采用多层感知器实现网络流量的异常检测等等。

山石网科新技术研究院观点：

•  2022年，将会有更多的厂商投入更多的资源去深入研究人工智能技术如何提高产品的检测能力、防护能力、响应能力；
• 利用深度神经网络自动提取网络侧和主机侧源数据的特征，避免落入人工提取特征的专家系统陷阱；
• 鉴于有价值的网络攻击黑样本极少，传统机器学习模型的泛化性能受到严重制约，小样本学习对于网络安全行业就显得极有价值；
• 普适于网络安全各个分支的深度神经网络通用框架需要得到重视；
• 基于图神经网络的威胁检测技术值得关注。

二、网络安全大数据技术的基础性地位进一步加强

对网络风险进行自动化的预测、识别、响应、处置，都需要以网络安全大数据作为基础。另外，从算法和模型角度，无论是传统数据挖掘，还是先进的深度神经网络，也需要网络安全大数据作为分析的起点和前提。网络安全领域的大数据不同于普通大数据，它的获取渠道、获取难度、数据关注维度都有自己鲜明的特点。

山石网科新技术研究院观点：

• 2022年，网络安全大数据技术的基础性地位进一步加强，尤其是综合性厂商更加注重大数据的获取与分析，相关的研究投入稳步上升；
• 威胁情报大数据采集、存储和关联分析是其中一项重要的研究内容；
• 基于MITRE ATT&CK知识库建立威胁情报知识图谱对整个安全行业有诸多价值，但难度和工作量巨大，任何一个企业独立建设都不现实，应通过行业联盟牵头进行组建；
• 基于网络安全大数据的安全态势感知、分析、呈现、预测在政府和国企的需求依然强劲。

 

三、零信任网络访问技术重塑网络安全体系架构

Forrester 的首席分析师John Kindervag 于2010 年首次提出了“零信任网络”的概念。零信任是一种全新的安全理念，它对网络安全进行了范式上的颠覆，打破了网络边界的概念，引导网络安全体系架构从网络中心化向身份中心化的转变，实现对用户、设备和应用的全面、动态、智能访问控制，建立应用层面的安全防护体系。2019 年9 月，工信部公开征求对《关于促进网络安全产业发展的指导意见》的意见中，明确将“零信任安全”列入网络安全亟需重点突破的关键技术。以奇安信、山石网科为代表的一批安全厂商正在紧锣密鼓地开发零信任产品和解决方案。

山石网科新技术研究院观点：

• 2022年，大批的安全厂商将会密集推出零信任安全产品，并在政企用户中实现一定范围地落地应用；
• 多维度身份属性代理技术需要深入研究。综合用户信息、设备状态、网络地址、业务上下文以及访问时间、空间位置等各个维度的身份实体属性作为实施授权的依据，且申请授权时按需临时产生，定期失效。有效降低基于单一维度实施访问授权的漏洞风险；
• 可变信任评估技术对网络代理提供的多维度实时属性信息，进行实时信任评估和分析，通过持续量化评估网络活动风险等级，为访问授权提供判断依据。

 

四、终端安全检测与响应技术迅速发展

随着信息安全技术的发展，网络攻击已经变得更有针对性、隐蔽性和持久性，终端威胁检测与响应（EDR）技术的出现为新型安全威胁的检测和与防护提供了新思路。EDR 在面对未知威胁攻击、0day 漏洞攻击和APT 攻击等所表现出的先进性和优越性，已经成为网络空间整体安全防护体系的重要组成部分。Gartner 在2013 年首次提出终端威胁检测与响应的概念之后，立即引起了安全界的广泛关注，之后在2016 年到2019 年连续进入 Gartner 的 10 大技术之列。

山石网科新技术研究院观点：

• 终端安全产品具备较高的技术门槛，市场的主要参与者历史上看大多为专业的反病毒厂商，在2022年，这一趋势将会有所变化，山石网科为代表的一批传统网络安全厂商正在加速发力切入；
• 数据采集技术需要更加重视。静态数据包括采集操作系统运行的当前状态，如资产信息、服务、端口、进程、线程、漏洞等；动态数据包括操作系统上发生的各类行为操作，如账户创建、网络访问、数据发送、文件操作等，记录并采集动作关联的进程、目标文件、动作结果、网络数据等。数据采集是EDR 进行威胁预测和安全分析的前提和基础，也是EDR 区别于端点防护平台EPP 的重要特征之一；
• 数据挖掘和分析能力是核心竞争力。EDR 区别于EPP 的另一个重要的特征就在于EDR 具有大数据分析的能力，EDR 能够将终端采集的各类异构数据进行集中存储和数据分析，通过深度学习、强化学习、关联分析、聚类分析等，发现和识别出终端上隐藏的安全威胁，挖掘出已沦陷的终端主机，发现不满足安全要求和不符合安全规定的终端；
• 重视威胁情报对EDR的作用。威胁情报能为EDR 提供海量的内外部威胁数据、恶意样本数据、攻击特征数据、黑客组织画像信息等关键数据，帮助对网络攻击进行综合研判，对样本进行识别、识别攻击家族等。通过多源情报关联信息，对攻击者进行追踪溯源，挖掘攻击者发起攻击的动机；同时，基于威胁情报数据以及大数据分析，EDR 还能高效地检测未知攻击，实现对未知攻击类型的防御。此外，EDR 本身具有威胁捕获功能，EDR 在识别和发现威胁后，通过逆向样本文件，提取威胁特征，又能生产威胁情报数据，为威胁情报的其他应用场景（如NDR、SIEM、SOC 或者态势感知）提供支撑。

五、网络攻击溯源技术机遇挑战并存

攻击者在实施网络攻击时，常采用各种技术手段隐藏自己以对抗追踪，如采用虚假IP 地址、网络跳板、僵尸网络、匿名网络等技术。网络攻击追踪溯源技术能够有效应对攻击者的隐藏手段，定位真实的攻击源头，以便及时阻断网络攻击。网络攻击溯源无论是从政府角度，还是商业用户角度，都有着迫切的需求，市场潜在空间难以估量。

然而，面临的挑战依然巨大，包括存储开销、计算开销和网络带宽开销过大，直接影响了工程实用性；传统网络体系结构和网络协议的设计缺乏对网络攻击追踪溯源的支持，导致网络攻击追踪溯源技术的设计存在较多的局限，如通过数据包标记路径信息可能会对数据包分片功能造成影响等；大部分现有溯源技术过于依赖网络基础设备的支持，导致难以落地应用。

山石网科新技术研究院观点：

• 2022年， SDN（软件定义网络）、CSMA（网络安全网格架构）等新型网络架构缓解了追踪溯源技术对网络设备的依赖性，部分溯源技术将会具备良好的工程实用性；
• 现有的攻击溯源技术几乎都难以适用物联网这类传感器网络结构，而物联网的安全形势已经非常突出，针对物联网的攻击溯源技术应开展前沿性研究；
• 基于日志存储查询、基于数据包标记的攻击溯源在理论上还存在诸多问题，应该加强研究改进，尽早实现工程化。

 

六、攻击行为模拟技术有望得到广泛重视

攻击行为模拟（Adversary Emulation）不等同于红队、渗透测试、漏洞扫描，攻击行为模拟根据特定攻击的网络威胁情报以及模拟他们如何实施攻击的过程，进而评估某一技术领域的安全性。可用于衡量企业（或其他组织）在全生命周期中应对MITRE ATT&CK模型中所有威胁的检测能力和防御能力，这对企业提高安全产品能力和安全服务能力具有很高的价值。

山石网科新技术研究院观点：

• 2022年，越来越多的安全厂商不再追捧宣传MITRE ATT&CK这个概念，而是更加务实地把ATT&CK知识库应用于自身的产品和服务中；
• MITRE官方推荐的CALDERA值得关注，提供了一个智能的自动化攻击模拟系统，可以减少安全团队进行常规测试所需的资源，使他们能够聚焦其他关键问题；
• 攻击行为模拟的开源项目越来越多，可以关注以下几个：Metta、ATP Simulator、Red Team Automation、Invoke-Adversary、Atomic Red Team、Infection Monkey、Blue Team Training Toolkit(BT3)、DumpsterFire、AutoTTP。

 

七、主动防御技术任重道远

随着网络攻击呈现攻击自动化、智能化、高强度、多类攻击技术组合、隐秘程度高的特点，当前的网络攻防态势极端不对称，表现在攻防成本的不对称、攻防技术不对称、攻防时间与空间不对称。传统网络安全防御主要采用入侵检测/ 防御系统、防病毒网关和防火墙等被动安全防御系统和技术对网络事件、流量和行为等进行检测和控制，并通过打补丁、软件升级等方式减少可能存在的软硬件漏洞。通常是在攻击发生以后通过分析网络攻击、蠕虫和病毒等威胁行为特征，并辅以蜜罐、沙箱等手段捕捉攻击行为，形成威胁模式规则库，后期基于已有规则进行威胁行为识别和检测；通过禁止网络恶意行为和非法操作来阻碍攻击过程，降低攻击影响，为网络信息系统的安全运行起到了一定的保护作用。

但是，这些手段无法从根本上消除漏洞，也不能应对基于未知的可利用漏洞和后门的威胁，是一种滞后的防御手段，其自身固有的缺陷也制约了其在网络安全防护中所能发挥的作用。

网络主动防御技术是相对于传统被动防御技术提出的，强调系统能够在攻击的具体方法和步骤不为防御者所知的情况下实施主动的、前摄的防御部署，从而有效抵御和应对攻击对系统的破坏，提升系统在面临攻击时的生存性和弹性。主动防御技术通过构建安全的系统架构或运行方式，增大攻击难度，降低攻击成功率，从而对攻击行为进行有效遏制，实现系统的安全。典型的主动防御技术，有入侵容忍、动目标防御和拟态安全防御等。

山石网科新技术研究院观点：

• 2022年，很多主动安全防御技术依然停留在“创造概念、过度假设、落地无门”的尴尬境地；
• 美国在2009年提出了动目标防御（Moving Target Defense，MTD）的概念，后将MTD 确定为“改变游戏规则”的革命性防御技术，MTD相关的理论研究和实验验证较多，值得关注；
• 部分研究内容具备落地应用的前景，包括但不限于：基于IP地址、端口跳变的主动防御，基于路由路径随机变换的主动防御，基于网络流指纹的主动网络管控。

 

八、云访问安全代理技术在万物上云时代大有可为

云计算引领了IT 产业的变革，无论是大型的企业和政府部门，还是小型的公司乃至个人，都不可避免受到云计算浪潮的影响。传统的信息系统消耗大量的软硬件成本，因此越来越多的企业将业务系统迁移至云上，不再建设数据中心等IT基础设施。尤其是对于初创的企业，这将节省大量成本。但是，将业务系统迁移至云上，将数据交给不可信的第三方云平台保管，导致用户失去对数据的安全控制权。

云访问安全代理作为一种新兴的技术，旨在解决用户使用云计算服务时的安全问题。它能够针对不同用户业务系统以及不同的云计算平台，实施定制化的安全策略，发现并防范非授权行为，从而对云服务进行安全风险监测，保证用户使用云计算服务时的安全，进而推动云计算的发展。

山石网科新技术研究院观点：

• 2022年，云基础设施的投资以及针对云计算服务的网络攻击都会不断增长，云安全市场快速发展；
• 云安全领域眼花缭乱的新概念较多，需要区分概念、理念、愿景、功能与核心技术之间的区别，始终保持对核心技术的研发投入以支撑云安全产品的持续演进；
• 基于机器学习的云访问威胁检测与响应是重点的研究内容，对用户以及云端的各种行为进行记录与分析，包括各种请求操作、云端服务、应用执行情况、文件操作等。为了增强行为分析的准确性，提高威胁与风险行为的识别率，应当具备强大的行为库与知识库。

九、工业互联网安全技术事关国家安全

在新基建浪潮下，中国的工业互联网以及工业互联网安全受到更多关注。工业互联网发展提速，也面临着传统网络安全防护手段在复杂环境下捉襟见肘的问题。2020年5月，工信部发布的《关于工业大数据发展的指导意见》中提到，我国34%的联网工业设备存在高危漏洞，仅在2019年上半年嗅探事件就高达5151万起。指导意见指出，目前工业网络安全责任体系建设还是空白，技术上尚无法有效防护工业数据安全，进而导致工业互联网安全防护能力滞后于工业融合发展进程。

山石网科新技术研究院观点：

• 2022年，随着全球主要国家在各个领域的对抗加剧升级，针对关键基础设施相关的工业互联网的网络攻击，无论是攻击强度还是数量将会出现明显上升；
• 网络安全的主要厂商要积极加入国家工业互联网标准总体组，参与国家标准制定工作，不仅有利于把握工业互联网核心技术方向，对厂商自己的工业互联网产品的合规性也大有裨益；
• 工控协议深度解析是重点需要进行攻关的，尤其是对私有协议的黑盒解析，以此为基础研发工业防火墙；
• 工业威胁情报对工业互联网安全至关重要，应加强基于各类工业安全设备的数据采集分析和情报生产、分发和利用能力；
• 工业互联网领域涉及关键基础设施安全，上升到国家安全毫不过分，因此，高级持续威胁APT攻击将会大比重、大概率存在此领域；
• 针对工业互联网的APT攻击检测能力将会成为工业互联网产品核心能力的体现。

 

十、物联网安全技术、车联网安全技术伴随新型场景蓬勃发展

物联网设备数量的激增是未来的趋势｡根据最近的预测，物联网设备将按市场需求呈指数级增长，2030年物联网设备的数量将达到1250亿｡海量物联网设备的使用和其应用技术的普及方便了我们的生活，但其在服务､技术､设备和协议(如无线､有线､卫星､蜂窝和蓝牙等)上的异构性使得物联网的管理愈加复杂。由于很多智能设备的生产供应商都是不具备网络安全专业知识的传统家用电器制造商，因此很多设备先天存在漏洞｡攻击者利用有漏洞的设备接入目标网络，潜伏伺机发起攻击，从而导致目标网络面临严重的安全威胁｡

车也是物的一种，理论上车联网也可以算作物联网，但是汽车行业的市场体量巨大、汽车安全关乎人命，把车联网作为一个单独领域来讨论也是合乎情理。不过，物联网和车联网面临的安全挑战在技术层面没有严格的界限。

山石网科新技术研究院观点：

• 2022年，在5G技术和自动驾驶技术的驱动下，物联网和车联网将迎来快速增长，同时也面临更严峻的安全挑战；
• 物联网设备的探测与识别是物联网安全防护的前提和起点，一方面借鉴和参考现有开源项目可快速具备一定程度的设备识别能力，如Satori、Shodan、Censys、Zmap、Ztag、p0f等；一方面参考学术界最新的、基于机器学习的研究成果进行补充和提高；
• 车联网涉及到的安全网关、代理访问技术、加密隧道技术在传统网络安全领域较为成熟，具备直接落地应用的条件，但要充分考虑硬件产品、软件产品的车规级要求；
• 车联网里最核心的自动驾驶技术涉及的安全问题，既包括机器学习模型本身的识别能力导致的安全问题（严格说这个不属于网络安全问题），也包括在线学习过程的数据投毒问题。

展望

2022年，我国经济发展面临需求收缩、供给冲击、预期转弱三重压力。世纪疫情冲击下，百年变局加速演进，外部环境更趋复杂严峻和不确定。网络安全形势更加严峻，市场空间进一步扩大，给网络安全厂商带来更多的增长点和市场切入点。但是，网络安全市场竞争激烈程度日益提高，给网络安全厂商提出了新的更高要求。

网络安全厂商既要“吃着碗里的”，还要“顾着锅里的”，更要“盼着地里的”，把过去的技术积累、正在开展的技术攻关、未来的技术战略布局协调好、统筹好、执行好。