企业安全负责人新挑战:如何实现最高性价比的安全投入?

发布者:腾讯安全
发布于:2020-12-08 09:57

根据世界卫生组织的统计——2020年新冠疫情期间,全球网络攻击增加了5倍。后疫情时代,衍生于新场景、新业态下的新安全威胁,正在考验着企业的安全技术、团队和能力储备。与此同时,各国关于加强网络安全建设的相关政策纷纷出台,促使企业在严峻安全局势和合规政策紧缩的双重压力下,持续增加在网络安全方面的预算。

国际调查研究机构ESG年初发布的《2020年度IT投入调查报告》显示,包含医疗、科技、零售/批发、生产制造和商业服务等在内的55%受访企业,表示会增加2020年度的IT投入,其中36%企业增加IT投入的原因都是改善安全与网络风险管理。这一数据意味着:网络安全已融入到各行业IT决策的每一个环节中。

安全与企业业务场景关联广度和深度的延展,促使其由单纯的“补丁”边缘角色加速向企业战略融入。Gartner分析,到2024年,网络-实体系统(CPS)安全事件的责任将直接落到75%的CEO身上。正如腾讯云与智慧产业总裁汤道生曾指出的:“产业发展新常态下,安全不再只是CTO、CIO们的工作范畴,也需要CEO的战略关注,成为CEO的一把手工程。”

安全之于企业价值角色的转变,不仅要求CISO/CTO/CIO在选择安全产品和解决方案时,以更为整体、全盘的视角进行评估,还要求其能够与CEO等企业战略决策者建立更为紧密的互动,将安全考虑纳入更广泛的商业计划中,从而以最优的投产比造就企业安全基因。

换句话说,产业安全新局势下,安全预算的增加给CISO提供更大实践空间的同时,也向其提出了新的“绩效”要求。CISO作为当前企业安全的直接负责人,继续只针对“恶意软件检测或数据安全”等具象安全问题泛泛而谈是不够的,而是应当站在更为宏观的资本价值视角,去思考安全在企业发展和降本增效方面的价值最大化问题。

然而,众所周知,网络安全价值实现的典型方式是“让什么都不发生”。在资本维度逻辑下,凸显网络安全投产价值显然并非易事。与此同时,伴随着网络安全从通用防护方案向垂直领域解决方案的演化,找准方向往往比盲目“埋头苦干”更有效果。有的方向已经表现出了旺盛生长力,成为网络安全适应资本化发展、实现商业价值最大化的隐形价值投入点。


01

零信任:“永不信任”才是收获“信任”最大化的新方式

2020年以来,程序员删库导致微盟一夜之间蒸发超10亿元市值、Twitter因VPN网络安全策略缺失陷入史上最大安全事故等的发生,都在表明同一事实:在信息技术加速迭代及应用的趋势下,企业内外网的边界愈发模糊。移动办公、线上会议、远程运维等新场景的不断涌现,传统基于单点部署的“城墙式”安全防御体系正在逐步失效乃至崩塌。疫情之下,黑客仅靠简单“诈骗”伎俩就能使Twitter遭遇“史诗级”安全事故就是这一趋势的实例佐证。

换言之,在业务暴露面扩大的背景下,企业网络即使具有完备的边界防御体系,也将因身份ID、操作行为鉴别的安全缺失,仍然存在被攻陷的风险。

面对异构网络频繁互动诱发的新威胁局面,“零信任”这一“不信任网络内部和外部的任何人/设备/系统,基于认证和授权重构访问控制”的全球主流网络安全框架之一,俨然成为打破传统默认“信任”桎梏,重构企业数字经济新周期下安全防护架构的重要手段。

通过多维身份认证、最小权限动态访问控制以及可变信任管理等策略的实施,零信任一方面能够帮助企业有效降低授权访问或阻断决策的不确定性,实现企业资源访问的持续安全防护;另一方面能够构建出灵活度、可适性更高的安全防护策略,满足开放度、复杂度都更高的业务场景需求,实现企业业务应用层访问的“一键防护”。

综合企业规模来看,以“持续验证,永不信任”为核心的零信任,无论是从安全高配,还是在降本增效方面,都是大型企业在远程业务常态化过程中进行高性价比安全建设的重要价值点。


02

云原生:应对数字时代安全问题的“最优解”

当前,数字化已成必然趋势。随着云计算技术的应用渗透和企业上云进程的不断推进,安全问题成为企业经营者的必答题。一方面,对于大多数企业而言,“安全左移”、“减少攻击面”、“供应链安全”等组合而成的传统安全解决路径,面临着门槛及成本高、周期长、研发难等瓶颈;另一方面,传统云安全构建部署困难、数据流通差、联动性差等弊端日趋凸显。此背景下,云平台的原生安全能力成为行业关注的焦点。

腾讯副总裁丁珂就曾多次提出,应当用云的方法去解决云上的安全问题。从长远来看,上云是产业应对数字化趋势发展兼顾成本、效率和安全的“最优解”。而中国信息通信研究院云大所所长何宝宏也在 CSS互联网安全领袖峰会上表示:“云原生安全是应对产业互联网和数字化带来的安全新需求的技术理念和业务方法”。

云原生安全理念强调云服务商安全技术和管理能力的深度融合,通过打造依托用户视角优化并设计的云服务原生安全属性,为云平台和云上租户嵌入安全基因;以具备开箱即用、弹性、自适应、全生命周期防护等显著优势的原生安全产品为纽带,帮助中小企业以最低的安全投入成本,实现安全联动、信息共享,实现全面安全防护和安全普惠。

对于中小企业而言,积极开展与具备完备云原生安全防护产品体系的云服务商间的合作显然是CISO兼顾成本和效率的最佳发力点。在巨大市场需求的推动下,云原生安全产品的打造也成为云服务商近年来的重要发力点。以腾讯安全为例,目前已围绕安全治理、数据安全、应用安全、计算安全、网络安全五个层面搭建了完备的云原生安全防护体系,致力为行业伙伴提供“用得起、用得上、用得安心”的云原生安全产品,推动数字经济新周期的加速前行。


03

数据流安全:一键开启全生命周期保护的高效投入点

前有5亿新浪微博用户数据遭泄露,后有快递公司泄露超40万条公民个人信息事件。数据泄露事件仍旧是时常占据2020年网络安全大事件头条的“常客”。而伴随着数字化进程的深入,数据泄露所带来的损失也呈现出上升趋势。

从业务层上看,据安全研究中心Ponemon Institute和IBM Security联合发布的《2019年数据泄露成本报告》显示,过100万条记录的泄露预计会给企业带来4200万美元的损失,当泄露记录超过5000万条时,预计带来的损失将达到3.88亿美元;另一方面,来自诸如GDPR高达企业全球营业额2%-4%罚款的严厉监管处罚,更是让企业不堪重负。一定程度上,阻断数据安全事件的发生本身就是企业安全投入效果最大的表现。

数字化时代下,企业不得不认清的事实是:数据已非静态化的存在,而成为涉及传输、存储、处理、分析、访问与服务应用的“数据流”。这意味仅聚焦在于关键节点的数据防护手段已然无法真正达到安全防护效果。遵循数据流动特征,贯穿数据全生命周期的一键安全防护成为满足新发展大潮下数据安全需求的重要策略。

数据全生命周期防护体系旨在解决数据管理过程中常见的分类及治理管理、加密和脱敏保护、密钥管理、事件监测分析等“四大难点”。通过安全能力和技术方法的整合输出,打造管理、加密、运营等的极简安全防护链路,实现对数据的动态防护,从而规避数据泄露引发的各种额外经济资本损失和成本支出。

伴随着数据成为各行业的核心资产,基于数据流的全生命周期安全防护显然是所有CISO和企业都必须直面和发力的方向。


04

威胁情报:“未攻先防”占据先机

相比“应对”威胁,“提前感知”威胁,显然是提升安全防护效率、降低安全风险最经济的方式。然而,网络攻击表现出的目标精准化、技能多元化、破坏不确定化等的趋势特征,使得越来越多的企业将威胁情报作为安全建设的重要一环,纳入企业整体安全战略。ESG调查报告分析显示,威胁检测年年都是网络安全领域投入的重点。

在企业攻防中,威胁情报实际上扮演着重要角色。威胁情报的安全投入不仅能够帮助企业更高效地识别高危病毒和APT攻击并进行攻击溯源分析,还能对未知的威胁进行风险预估和防御。这对企业占据攻防先机至关重要,也是企业在安全左移趋势下做好安全前置的有效途径。全球最大信息安全培训机构SANS调查数据显示,有80%的组织认为自己从威胁情报中获益。


简单来说,威胁情报是企业更快、更好应对新威胁挑战的重要“利器”。而从情报的收集、处理、分析、传递,到应对策略反馈等,每一环节都需要海量数据以及强大技术作为后盾支撑。因此,基于企业业务场景,如何以有效的模式和途径,构建具有高价值效果的威胁情报,毫无疑问是CISO提升安全价值的重要内容。


05

AI应用安全:不容忽视的未来指向

在GeekPwn 2020 大赛上,一场虚假人脸 AI 识别自动取货、取钱的模拟,以及变脸口罩挑战机人脸识别算法的演示,再次刷新了国际极客对AI应用安全的认知。正如国际安安研究团队趋势微观(Trend Micro)在《人工智能的恶意使用和滥用》研究报告中指出的:人工智能在塑造一个更广阔前景的同时,也因应用门槛的降低,成为诱发新数字、物理和政治威胁的额外动力。

实际上,AI应用安全攻击在安全界不是一个新现象。早在2018年,腾讯安全玄武实验室就首次披露了广泛应用于安卓手机中的智能技术——屏下指纹的严重漏洞,即“残迹重用”漏洞。利用该漏洞,攻击者只需一秒钟就可解锁手机。而在更为前沿的自动驾驶领域,腾讯安全科恩实验室对Tesla汽车系统的AI对抗样本攻击,更是让各行业重新审视着人工智能应用的安全问题。


显然,作为第四次工业革命的核心应用技术之一,AI会是承载企业业务的重要载体。其应用场景中衍生的安全问题势必成为企业安全投入的重点部分。深化对现有AI应用领域的安全的理解,循序渐进地加大安全投入,是提升企业未来安全应变能力以及确保人工智能应用效益最大化的关键。该领域所产生的投入价值效益将显现出巨大空间和潜能。


总体来说,受疫情和新基建共同催生的新安全建设生态下,以CISO为代表的企业安全管理者在安全建设中,注重“防患未然”维度的同时,还需要将安全投入商业价值最大化纳入规划考量。“以最小投入获取效果最大”显然是为企业决策者和市场喜闻乐见的局面。而这一格局实现的前提是,CISO需要运用新的战略、技术、机制思维和方式,找准最适合业务场景的安全投入方向。



声明:该文观点仅代表作者本人,转载请注明来自看雪