安全领域正从被动检测转向主动预防。传统监控成本高且效率低。未来,通过架构级预防攻击,可大幅减少漏洞和警报,实现更经济、高效和安全的云原生环境。
译自:Is the End of Detection-Based Security Here?
作者:Jed Salazar
我在2000年代末开始从事安全工作,主要负责入侵检测和事件响应。自那时以来,世界经历了云原生复兴,但安全监控在很大程度上仍旧一成不变。尽管检测已从网络流量分析转向运行时检查,但大多数创新都集中在提高传感器的计算效率上。
安全监控在云原生环境中仍然很重要,但它常常被视为安全的唯一方面。在2025年,最大的安全公司仍在构建美化后的仪表盘和日志生成器。前提很简单:云是不安全的,所以监控一切并在出现可疑情况时提醒工程师。周而复始。
这反映了在容器镜像中修复漏洞的西西弗斯式任务——直到Chainguard、Minimus和Docker等公司推出了强化镜像。这些公司没有构建改进的扫描器;它们只是简单地移除了漏洞。
与其增加更多的运行时检测,不如我们直接移除漏洞。
检测优先安全的基本缺陷
监控日志并不能让计算更安全——它只是告诉你何时有人利用了现有的不安全性。这种被动方法就像在没有锁的房子里安装监控摄像头。安全日志还会给工程师带来负担,他们必须将晦涩难懂的操作系统系统调用转化为攻击者行为,并做出瞬间的事件响应决策。
安全日志不仅消耗有限的工程认知和时间,还通过昂贵的安全信息和事件管理系统 (SIEM) 和日志汇消耗资源。Honeycomb最近的一份报告发现,可观测性成本通常占基础设施账单的15%到25%。
这种经济模式是不可持续的。我们正在将宝贵的安全资源不是投向从一开始就强化和确保计算安全,而是投向构建改进的仪表盘,以突出不断增长的漏洞列表和复杂的警报系统。根据Palo Alto的《2024年事件响应报告》,"近45%的事件在24小时内导致数据丢失。"防御者只有数小时而非数天的时间来响应,这造成了一场不可能的竞赛。
行业的应对方法?使用人工智能来加速检测。但物理学不会说谎:无论检测大型语言模型 (LLM) 变得多快,如果底层组件在设计上就不安全,它们根本无法阻止攻击。你无法通过监控来摆脱不安全的默认设置。
预防革命已经到来
新一代安全公司正在涌现,它们秉持着截然不同的理念:预防攻击而非检测攻击。这不是渐进式改进——而是一场范式转变,使得针对不安全默认设置的传统监控在很大程度上变得无关紧要。
这种转变正在进行中,各组织在生产部署之前就缓解容器镜像漏洞——不再指望运行时检测能够捕获每一个漏洞或恶意容器。团队现在在容器运行时级别本身就预防攻击。Edera等公司不再监控运行时攻击,而是构建强化运行时环境,从架构上使其逃逸不可行,设想了从设计上就安全全新的堆栈。
为什么预防将赢得市场
随着组织面临经济现实:它们正被安全警报淹没,市场对以预防为中心的安全需求正在加速增长。平均而言,企业每天收到超过11,000个安全警报,而安全团队调查的警报不到49%,这造成了不可持续的倦怠和漏报,而预防措施则能消除这些问题。
默认安全的措施独立于基础设施规模进行扩展,在架构增长时保持成本不变,而安全监控则随着组件数量线性扩展。合规框架越来越倾向于预防性而非响应性控制,这使得证明攻击的不可能性比证明充分的检测和响应速度更容易。
最关键的是,没有足够的熟练安全工程师来配置24/7全天候的安全运营中心 (SOC) 并手动调查警报,这使得预防措施对人工的依赖减少,不仅具有吸引力,而且对于组织的生存至关重要。
预防如此有效,每个警报都物有所值
在设计上安全的计算堆栈中,监控扮演着不同的角色。安全的默认设置减少了因误报和基础设施成本而产生的工程认知负担,并使得大多数警报变得无关紧要。
这并非理论。消除攻击面而非监控攻击,可以显著减少警报量,因为根本不存在可被利用的底层漏洞。剩下的警报才真正值得调查。
安全运营的未来将截然不同:工程师将专注于速度和更快的市场交付,而不是警报分类;事件响应团队将随着事件变得罕见而缩小;SIEM投资将转向审计和合规,而非威胁搜寻;安全预算将从检测工具重新分配到预防平台。
前方的行业转型
在未来十年主导安全领域的公司,将不再是构建更好的监控仪表盘或更快的警报系统——它们正在构建从设计上就能预防攻击、而非事后检测的计算平台。
市场正在做出回应。以预防为中心的安全公司正经历前所未有的增长,而传统的SIEM和监控供应商则在商品化中挣扎。采用预防优先策略的企业获得了竞争优势:更低的运营开销、更少的人员需求以及显著改善的安全态势。
这种转型不会一蹴而就,但却是不可避免的。摩尔定律倾向于预防而非检测,经济学也越来越如此。那些及早认识到这一转变并投资于预防优先架构的组织,将获得从根本上更安全、运营效率更高的地位。
响应无休止的安全警报这一西西弗斯式任务正在终结。未来属于那些根本不会产生此类警报的系统。
问题不在于监控是否会过时,而在于你的组织将多快地拥抱预防革命,从而使其变得不那么重要。
