應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊個(gè)人注冊登錄

網(wǎng)絡(luò)安全在數(shù)字轉(zhuǎn)型中扮演什么角色?

2020-04-22 09:48 安全牛

導(dǎo)讀:智能化技術(shù)能讓決策更科學(xué)、協(xié)同性更好、反應(yīng)速度更快。但總體上說,這次的決策、協(xié)同和反應(yīng)速度都不能令人滿意。否則,不會出現(xiàn)今天這樣的被動局面。

筆者的一位朋友,曾任首鋼首席研究員,最近在個(gè)人微信號上發(fā)表了一篇文章“從疫情處置看智能化推進(jìn)”。

前些天有朋友說:有校友賣車賣房捐款給學(xué)校,但錢還放在銀行里。于是我想,武漢不缺錢但缺少資源:在把錢轉(zhuǎn)化成資源的過程中出現(xiàn)了問題。有些問題是典型的資源配置問題:有的資源因人為原因運(yùn)不進(jìn)來,已有的資源不能及時(shí)公平地分發(fā)下去。

據(jù)說有位企業(yè)家3天打了上千個(gè)電話,主要解決封城導(dǎo)致的運(yùn)輸困難。有的資源運(yùn)進(jìn)來了,卻堆在倉庫中遲遲分不下去;有的因分配不公引發(fā)眾怒。信息技術(shù)的很多優(yōu)勢沒有發(fā)揮出來。有的基層單位做一件事,要給不同的上級部門填六七張類似的表格、浪費(fèi)了大量寶貴的時(shí)間:這就是共享沒做好;有的醫(yī)院建好入住了,用電、餐飲卻沒有跟上:這就是協(xié)同沒做好…..

原則上講,智能化技術(shù)能讓決策更科學(xué)、協(xié)同性更好、反應(yīng)速度更快。但總體上說,這次的決策、協(xié)同和反應(yīng)速度都不能令人滿意。否則,不會出現(xiàn)今天這樣的被動局面。

討論智能化的時(shí)候,很多人都在談算法問題、技術(shù)問題,而我和幾位朋友卻經(jīng)常談人的問題、機(jī)制的問題、利益的問題。與2003年SARS時(shí)期相比,當(dāng)今的信息技術(shù)和硬件設(shè)施都已經(jīng)有了巨大的進(jìn)步。然而,在決策、協(xié)同、反應(yīng)速度等方面,感覺上卻是不進(jìn)反退。

除了病毒本身的原因外,大概就是人的因素了。我經(jīng)常強(qiáng)調(diào):如果把智能化當(dāng)成技術(shù)人員的事情,是做不好的。這次疫情處置暴露出來的問題,充分地說明了這個(gè)道理。

_

以上是傳統(tǒng)企業(yè)信息化專家對智能化技術(shù)的反思,同樣適用于網(wǎng)絡(luò)安全。

集成化、自動化和智能化是下一代網(wǎng)絡(luò)安全技術(shù)的重大演進(jìn)方向,但是新冠疫情給我們敲響了警鐘:安全風(fēng)險(xiǎn)管理,絕不僅僅是技術(shù)問題。把網(wǎng)絡(luò)安全當(dāng)成技術(shù)人員的事情,是注定要失敗的,而且代價(jià)通常都很慘痛。

那么,在能力驅(qū)動的大安全時(shí)代,網(wǎng)絡(luò)安全在企業(yè)數(shù)字化轉(zhuǎn)型中到底該扮演何種角色?這個(gè)問題不搞清楚,網(wǎng)絡(luò)安全市場很難跳出技術(shù)流的“沙盒”。

以下我們圍繞數(shù)字化轉(zhuǎn)型的話題,一起來看看企業(yè)網(wǎng)絡(luò)安全面臨的重大挑戰(zhàn)和變革:

_

數(shù)字風(fēng)險(xiǎn)已經(jīng)超過了傳統(tǒng)安全團(tuán)隊(duì)的能力

很多企業(yè)已經(jīng)將網(wǎng)絡(luò)安全在數(shù)字戰(zhàn)略中的優(yōu)先地位提到顯著位置,而意識到危機(jī)的CISO正在將安全責(zé)任分散到整個(gè)組織中,并致力于改變IT文化。

近兩年,隨著新工藝和產(chǎn)品開發(fā)以驚人的速度向前推進(jìn),數(shù)字化轉(zhuǎn)型已進(jìn)入高速發(fā)展階段。隨著以DevOps為代表的IT和業(yè)務(wù)的敏捷化,產(chǎn)品和應(yīng)用上市速度得到極大提升,例如智能硬件、數(shù)字家電、智能應(yīng)用,供應(yīng)鏈全球化和企業(yè)競爭生態(tài)化產(chǎn)生了更大的“攻擊面”,但是安全能力和設(shè)計(jì)方面的考慮卻常常被拋在腦后,數(shù)字風(fēng)險(xiǎn)逐步累積逼近危險(xiǎn)的閾值。Gartner預(yù)測到2020年,由于安全團(tuán)隊(duì)無法管理數(shù)字風(fēng)險(xiǎn),將有60%的數(shù)字業(yè)務(wù)將遭遇重大服務(wù)故障。

盡管很難確定數(shù)字項(xiàng)目是主要原因,但高知名度的安全失誤如預(yù)期般接踵而至。IDC安全研究副總裁皮特?林德斯特羅姆(Pete Lindstrom)表示:

不管廣為宣傳的違規(guī)行為是否與數(shù)字化轉(zhuǎn)型直接相關(guān),它們都讓企業(yè)領(lǐng)導(dǎo)人重新思考風(fēng)險(xiǎn)和將風(fēng)險(xiǎn)降至最低的解決方案。

_

網(wǎng)絡(luò)安全的挑戰(zhàn):預(yù)算優(yōu)先級能否看齊云計(jì)算

Gartner數(shù)據(jù)顯示,中國在2019年的IT支出約將達(dá)到2.9萬億元規(guī)模,而信息安全市場規(guī)模為500億元左右,中國網(wǎng)絡(luò)安全支出占IT支出比例僅為1.7%,而2018年全球信息安全支出占IT支出的比例為3.05%。顯然,相對于全球平均安全支出水平還有相當(dāng)大差距。

新冠病毒和WannaCry病毒給企業(yè)決策者最大的警示就是:無論是Safety還是Security,在安全支出上省錢,最后付出的代價(jià)將極為慘痛!

年后中國股市開盤網(wǎng)絡(luò)安全板塊不但沒有暴跌,而且總體市值還創(chuàng)下歷史新高,已經(jīng)表明大多數(shù)投資者都意識到了網(wǎng)絡(luò)安全市場在“黑天鵝”時(shí)代依然有巨大的成長空間。

那么面對“黑天鵝”事件和數(shù)字化轉(zhuǎn)型的新挑戰(zhàn),企業(yè)的網(wǎng)絡(luò)安全預(yù)算優(yōu)先級和支出占比可參照大致的“國際標(biāo)準(zhǔn)”是多少?

根據(jù)最近的Altimeter調(diào)查,IT決策者不僅將網(wǎng)絡(luò)安全列為數(shù)字化轉(zhuǎn)型的首要考慮因素,而且還將其列為第二大投資重點(diǎn)(35%),略低于云計(jì)算(37%)。如果無法保護(hù)企業(yè)、其客戶或其他重要資產(chǎn),創(chuàng)新技術(shù)的大筆投資甚至成果都可能“一夜歸零”。而面對安全威脅的復(fù)雜性和發(fā)展速度,即使是最頂級的安全運(yùn)營團(tuán)隊(duì)也會面臨持續(xù)的挑戰(zhàn)和壓力。

麻省理工學(xué)院制造業(yè)與生產(chǎn)力實(shí)驗(yàn)室的執(zhí)行董事兼研究科學(xué)家Abel Sanchez博士說:

這場戰(zhàn)斗比我們的決策周期要快。如果你行動慢一些,那么從領(lǐng)導(dǎo)力的角度來看,你就變成局外人了。

他補(bǔ)充說,在安全和發(fā)展方面,需要敏捷性、靈活性和快速的決策。

在全球能源解決方案公司施耐德電氣,網(wǎng)絡(luò)安全是其轉(zhuǎn)型戰(zhàn)略的核心。面對企業(yè)并購以及從研發(fā)到供應(yīng)鏈和服務(wù)的業(yè)務(wù)復(fù)雜性,施耐德全球CISO Christophe Blassiau反復(fù)強(qiáng)調(diào)企業(yè)整體數(shù)字化安全運(yùn)營的可視性。IT和運(yùn)營技術(shù)(OT)的集成產(chǎn)生的新連接、數(shù)據(jù)源和潛在漏洞都需要防護(hù),施耐德的網(wǎng)絡(luò)團(tuán)隊(duì)必須將公司的安全性與合作伙伴和供應(yīng)商的生態(tài)系統(tǒng)由點(diǎn)到面地對接起來。

我不想擴(kuò)大安全團(tuán)隊(duì)的規(guī)模,因?yàn)檫@樣做給人的印象是,安全問題會有專人解決。在施耐德,安全是每個(gè)人的責(zé)任。

——施耐德全球CISO Christophe Blassiau

Blassiau表示:我們不是頭痛醫(yī)頭,腳痛醫(yī)腳地劃分安全職責(zé)或者資質(zhì),我們從全公司范圍的IT和風(fēng)險(xiǎn)治理設(shè)計(jì)階段就開始融入安全。

施耐德對網(wǎng)絡(luò)采取了雙向方式,制定了一個(gè)全新的網(wǎng)絡(luò)安全實(shí)踐計(jì)劃,并在每個(gè)實(shí)踐和整個(gè)公司中嵌入網(wǎng)絡(luò)專業(yè)人員(數(shù)字風(fēng)險(xiǎn)經(jīng)理和區(qū)域CISO),以創(chuàng)建一個(gè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者社區(qū),他們接受培訓(xùn)并專注于特定的網(wǎng)絡(luò)風(fēng)險(xiǎn)。此舉讓Blassiau 在數(shù)字空間中有了一種“控制感”。

每個(gè)片區(qū)都有一個(gè)網(wǎng)絡(luò)安全負(fù)責(zé)人向數(shù)字實(shí)踐執(zhí)行領(lǐng)導(dǎo)匯報(bào),同時(shí)也向我匯報(bào)。

_

融入業(yè)務(wù):安全團(tuán)隊(duì)也必須轉(zhuǎn)型

安全團(tuán)隊(duì)面臨的最大挑戰(zhàn)仍然是如何讓安全跟上企業(yè)數(shù)字轉(zhuǎn)型的速度,確保安全性覆蓋每一個(gè)新的內(nèi)部數(shù)字流程、新產(chǎn)品開發(fā)和外部互聯(lián)網(wǎng)機(jī)會。Sanchez說,大部分安全解決方案都?xì)w結(jié)于IT和安全部門的文化。安全團(tuán)隊(duì)也必須經(jīng)歷一場變革。但這并不容易,許多員工必須愿意學(xué)習(xí)新技能,才能與企業(yè)業(yè)務(wù)人員互動。

其中一些安全轉(zhuǎn)型可以通過重組來實(shí)現(xiàn)。例如,許多安全測試人員正在消失,測試工作由軟件工程師完成。誰能比產(chǎn)品開發(fā)者更懂得如何保護(hù)它呢?其他開發(fā)領(lǐng)域也是如此。

未來,數(shù)字化轉(zhuǎn)型和網(wǎng)絡(luò)安全不再是兩件事,而是一件事。NTT美洲安全首席執(zhí)行官(Matt Handler)表示,整個(gè)安全團(tuán)隊(duì)變得更加平易近人,成為業(yè)務(wù)的一部分。尤其是內(nèi)部威脅管理,對網(wǎng)絡(luò)安全在企業(yè)文化和業(yè)務(wù)流程的中融合提出了更高要求。

根據(jù)Forrester的報(bào)告,2020 年許多公司的內(nèi)部威脅管理不僅將關(guān)注如何降低風(fēng)險(xiǎn),而且還會兼顧隱私、透明性和員工滿意度。2020 年,將是企業(yè)把內(nèi)部威脅功能從臨時(shí)措施變?yōu)榭芍貜?fù)和可改進(jìn)“固化流程”的一年。

安全團(tuán)隊(duì)必須是敏捷化,成為業(yè)務(wù)創(chuàng)新的推動者而不是阻攔者。這是“過去一年左右發(fā)生的新趨勢。”

Handler補(bǔ)充道:

CISO也必須不斷發(fā)展,在部署應(yīng)用程序或新技術(shù)的部門中擔(dān)當(dāng)內(nèi)部顧問和合作者的角色。網(wǎng)絡(luò)安全部門不再是負(fù)責(zé)‘說不’的部門。與其說不,不如說‘讓我們看看我們?nèi)绾文鼙M快做到這一點(diǎn),并安全地做到這一點(diǎn)?!艺J(rèn)為,單憑這句話就改變了CISO的局面。

_

安全的未來:安全設(shè)計(jì)和安全智能

多年來,CISO一直在倡導(dǎo)從設(shè)計(jì)階段就植入安全性?,F(xiàn)在,由于更加靈活和動態(tài)的組件,“安全設(shè)計(jì)”的實(shí)現(xiàn)也變得越來越容易。特別是云計(jì)算以及可用的內(nèi)置安全功能越來越豐富,企業(yè)可以更深入地研究堆?!獜木W(wǎng)絡(luò)和基于主機(jī)的安全,到應(yīng)用程序和數(shù)據(jù)安全,以及“零信任網(wǎng)絡(luò)架構(gòu)”的實(shí)現(xiàn)方式。

此外,投資者預(yù)計(jì),隨著利基網(wǎng)絡(luò)安全供應(yīng)商數(shù)量的鞏固,使用機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全公司很可能在2020年脫穎而出。不過,由于人工智能的過度炒作,企業(yè)界變得更加警惕,更加看重人工智能安全技術(shù)的實(shí)際效用和交付能力。擁有大量安全數(shù)據(jù)的公司可以將算法、分析和機(jī)器學(xué)習(xí)結(jié)合起來,大大縮短威脅的檢測和響應(yīng)事件(MTTD和MTTR)。

Handler說:

從CISO的角度來看,如果您能夠以最快的速度提供安全性,并幫助企業(yè)實(shí)現(xiàn)其里程碑和目標(biāo),并且安全性從一開始就融入到流程中,那么您就能立于不敗之地,這絕對是一個(gè)未來的理想狀態(tài)。

有一點(diǎn)可以確信的是,人工智能不是安全的終點(diǎn),而是起點(diǎn),人工智能本身會帶來新的高級安全威脅,“深度偽造”只是人工智能威脅的初級應(yīng)用。

未來,網(wǎng)絡(luò)犯罪/APT攻擊的組織化、敏捷化和人工智能技術(shù)的武器化擴(kuò)散,將是企業(yè)安全團(tuán)隊(duì)面臨的重大議題。

_

大安全時(shí)代:每個(gè)企業(yè)都是網(wǎng)絡(luò)安全企業(yè),每個(gè)員工都是安全人員

“零時(shí)代,大安全”,是安全牛對始于2020年的安全市場大變革的研判和預(yù)測?!傲銜r(shí)代”指的是零信任時(shí)代的安全能力新基準(zhǔn)、新框架,以及安全技術(shù)和方法的顛覆趨勢;“大安全”指的是需要站在國家政治、經(jīng)濟(jì)、社會治理的高度、從企業(yè)信息化的角度,基于風(fēng)險(xiǎn)管理大框架來看安全問題,安全能力不再是一個(gè)技術(shù)人員的問題,而是所有人的問題!

根據(jù)安全牛之前的報(bào)道“決定網(wǎng)絡(luò)安全市場錢途的五組數(shù)字”,未來兩年網(wǎng)絡(luò)犯罪造成的損失是6萬億美元,而全球網(wǎng)絡(luò)安全支出約1萬億美元。也就是說,安全支出與安全損失的比例是1:6,損失6元錢才舍得在安全上花1元錢,在中國這個(gè)比例更低,因?yàn)橹袊髽I(yè)的安全支出占比遠(yuǎn)低于全球平均水平。

更糟糕的不是安全支出與安全損失的失衡,而是網(wǎng)絡(luò)安全在中國數(shù)字化轉(zhuǎn)型中定位的邊緣化——道具化和龍?zhí)谆_@也是大量網(wǎng)絡(luò)安全企業(yè)呼吁“內(nèi)生安全”和“安全能力”的原因。一個(gè)健康的安全的數(shù)字化生態(tài),安全應(yīng)當(dāng)是每個(gè)政府部門、每個(gè)企業(yè)、每個(gè)員工、每個(gè)產(chǎn)品的能力,而不僅僅是安全技術(shù)產(chǎn)品的能力;其重要特征是網(wǎng)絡(luò)安全用戶變成技術(shù)應(yīng)用的創(chuàng)新者,而不局限于網(wǎng)絡(luò)安全企業(yè)的產(chǎn)品和概念,以下這些虛構(gòu)的新聞也許能帶給我們些啟示:

某國家銀行開源了一個(gè)人工智能反欺詐安全工具、某石油化工企業(yè)發(fā)布了一個(gè)先進(jìn)的物聯(lián)網(wǎng)蜜罐,企業(yè)招聘市場、產(chǎn)品和技術(shù)人員時(shí)需要考核GDPR等隱私安全法規(guī),某企業(yè)智能體脂秤因?yàn)樾孤队脩綦[私被罰款2000萬RMB…

_

毫無疑問,2020年這場疫情注定將對國家、企業(yè)和數(shù)字社會的轉(zhuǎn)型進(jìn)程產(chǎn)生無法估量的巨大影響,“全民云辦公”的IT應(yīng)用場景和需求訴求發(fā)生顛覆性變化,這對無法適應(yīng)變化缺乏創(chuàng)新和執(zhí)行的網(wǎng)絡(luò)安全企業(yè)來說是災(zāi)難,而對另外一些敏捷化的網(wǎng)絡(luò)安全企業(yè)來說,則是在這場人類史上最大規(guī)模的數(shù)字化遷徙中把握水源地機(jī)會,成長為全球一流企業(yè)的關(guān)鍵契機(jī)。正如本文所提到的正在發(fā)生和必將發(fā)生的安全變革:從伴生安全到內(nèi)生安全;從技術(shù)問題上升到管理問題;從預(yù)算“邊料”變成支出重點(diǎn);從合規(guī)驅(qū)動到能力驅(qū)動。