《数字安全免疫力建设指南.docx》由会员分享,可在线阅读,更多相关《数字安全免疫力建设指南.docx(39页珍藏版)》请在课桌文档上搜索。
1、一、前瞻安全趋势2024年数字安全重要变革预测Ol二、拔高安全认知值得关注的宏观环境变化07三、重建安全范式企业建设数字安全免疫力的四个核心09四、精确安全度量运用安全评测工具评估自身水位16五、夯实安全建设为企业量身定制的六个建设指南205.1 数据安全篇215.2 业务安全篇225.3 安全运营管理篇245.4 边界安全与端点安全篇295.5 应用开发安全篇33六、结语38前瞻安全趋势2024年数字安全重要变革预测“数据要素义安全”成为数字经济繁荣发展的基石10月25日,国家数据局正式挂牌成立。根据党和国家机构改革方案,国家数据局负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用
2、,统筹推进数字中国、数字经济、数字社会规划和建设等。国家数据局提出,正在推进数据要素市场化配置改革相关重点工作。1月4日,国家数据局联合工业和信息化部等17部门正式印发“数据要素X”三年行动计划(20242026年),其中重点指出,数据对治理方式提出新挑战,需要探索适应数据特点的安全治理模式。数据要素市场建设是一项探索性、创新性、专业性很强的事业,国际上没有通行做法可以借鉴。必须坚持顶层设计和实践探索有机结合、良性互动。数据基础设施建设维度,网络、算力和数据构成“能力三角”,而安全设施成为基础支撑。数据要素市场化,需要依托数据本身的规模报酬递增、非竞争性和低成本复制三大特性,但网络安全威胁会对
3、数据的流转造成巨大威胁,阻碍其流通、增值,甚至直接摧毁数据要素本身的商业价值。因此,能否构建充分安全的数据要素产业,将成为2024年的重要课题。生成式人工智能改变攻防底层逻辑生成式人工智能技术的发展速度之快,已经超越人类历史上任何一种IT技术。更重要的是,AIGC前所未有地颠覆了人类对数据采集、使用、生成、决策的主导权(或部分主导权)。AI可以在不经人类经验与思维引导的情况下,完成创新流程,从而彻底改变数字产能的输出结构,改变人机交互的关系。AlGC改造数字世界的进程,和颠覆现有数字安全攻防体系底层逻辑的进程是一致的。一方面,应用AIGC实现攻击武器的“升维”,可能将数字安全的战场由“冷兵器”
4、时代直接带入“核武器”时代。AIGC的注入将使攻击者有能力发起针对所有被攻击者的更高频率、更具破坏力、更无差别的“遍历攻击”。其攻击武器也可能更隐匿、更难预测。另一方面,防御者也可能摆脱“阵地防御”思路,真正进入免疫防御时代。在AlGC的助力下,防御成本将大幅度下降,防御体系的自我决策和反应能力都会指数级提升,核心思路也将从攻防驱动转为风险驱动,大量低级网络攻击手段将快速失效。而作为攻防新底层技术的AIGC本身,也自然而然成为了攻防双方的必争之地。在2023年的RSA创新沙盒大赛上,针对人工智能进行安全防护的HiddenLayer获得了冠军,也显示出对人工智能安全的关注已经迫在眉睫。在大力发展
5、人工智能的同时,围绕人工智能的安全保护,包括训练数据的防污染、模型自身的安全性、AIGC使用过程中的敏感数据防泄漏等,都会成为新的攻防要素。网络安全保险催生风险共担新模式当前安全风险已是数字化稳健高速发展的最大障碍。随着各行业领域网络化、数字化、智能化发展进一步提速,在现有安全产品与服务模式基础上,探索建立网络安全保险,逐步建立相应的商业模式和服务体系,能够有效转移企业在风险中遭受的破坏性损失,优化数字化投入的配置,保障企业财务稳定性和业务连续性。目前,国内已有部分安全公司联合保险公司,针对特定场景和特定客户需求提供网络安全保险服务。然而网络安全保险业务快速兴起,依然要面对网络攻击总量波动过大
6、、不确定性高、新技术迭代对现有理赔模型挑战剧烈等现状,引发保险公司保费提升、损失率上升等变化。因此,网络安全保险的基本规则尚待完备。以美国为例,2023年上半年,美国企业的网络保险索赔频率增长了12%,索赔严重程度增长了42%。与之相对应的是,被保险企业愿意支付的保费金额下降一半以上,导致网络安全保险业务在欧美均处于“不稳定”状态,甚至有保险业协会“劝退”成员公司的新闻。网络韧性受重视程度超过“刚性”安全传统网络安全范式强调“刚性”和“对抗”。在“黑与白”的攻防战中,即便双方掌握的武器不断升级,乃至开始通过Al进行超限攻防战,但核心思维,依然是追求“零损失”,即尽可能通过情报预判攻击,或者以更
7、强的防御体系在攻击中将损害降到极限。但“刚性”防御思维的最大缺陷,就是防守方在攻击面持续扩大的情况下,防御成本持续提高反而会制约企业业务的正常发展。在这个背景下,“韧性”成为网络安全建设的一个新的思维。它以企业数据和业务为核心,强调组织在面临网络安全攻击导致业务、服务中断等不利情况下,依然能够保持业务稳定性、连续性和持续运营增长能力,以达到与发展目标相适应的战略稳定性;将企业的数字化视作一个整体,使之遭遇重大破坏时,能够快速重建业务、恢复数据、达到客户/用户端无感;在非“战时”自动调整系统架构和核心资产分类,提高数字系统敏捷性和架构先进性,自动纠察被攻击面及持续改进。在数字安全免疫力模型中提到
8、,络安全应以“弹性、自适应、可扩展”为目标,这与韧性防御思维是高度契合的。供应链安全催化融合式风险管理升级多位专家认为,随着数字化程度的加深,数据在供应链各环节的嵌连、流转,有可能会将供应链个体不完善的安全体系带入危险境地。在经济学原理“汉德公式”中,提出供应链中的所有参与者都应对安全负责。以避免事故的成本作为安全责任分担的基本度量标准,就是基于经济学模型为安全风险的度量、定责与担责提供了具体思路。在数字系统的供应链中,应当以“最小成本”避免安全风险作为基本要求,寻找融合式风险管理能力。一是在数字供应链体系中,寻找“最小成本”共识,多方共同采取融合式的风险管理思想,通过标准化的体系与接口,确保
9、风险管理水位均衡,从而达到成本最小化。二是建立供应链全局的风险预测、管理、决策界面,使企业中的各业务主体、供应链中的各企业进行充分的风险联动。三是寻求供应链安全“大小兼顾”,尤其是针对供应链中的中小企业主体,配置低成本、高效能的安全防御工具,消除潜在短板。智能制造开拓下一个工业互联网安全建设方向智能制造,尤其是新能源汽车制造,将成为工业互联网安全建设的下一个主力军。许多智能制造企业对工业互联网的需求极高:一方面,制造环境对生产环境的IT建设提出了很高的要求,需要各种设备、传感器之间的信息交互提升生产的效率和精度;另一方面,智能制造的产品自身安全性也需要被保障;另外,智能制造往往也涉及到高新技术
10、的应用,相关数据的保密性也是必须重视的问题。受此影响,2024年工业互联网安全市场受智能制造利好,招大幅扩张,将会推动对应技术、产品等加速成熟。但工业领域数字化体系庞大复杂,尤其是供应链“蛛网”密布、不同设备生产时间地点跨度太大、各区域数字化基础不平衡等现象非常尖锐,也可能会显著提高安全产品开发和交付的难度。新的安全边界理念将逐步形成在云计算出现后,“边界模糊化”的问题就没有停止过讨论;而随着远程办公和智能设备的广泛应用,“边界模糊化”问题被进一步扩大。但是,“边界”概念本身短期内并不会消失,接入企业业务系统、内部环境的人口依然存在,包括流量、终端、外部应用等。SSE的发展是由于企业暂时不需要
11、SDTAN的能力,但是却需要SASE中其余的安全能力。SSE的出现其实正是“将人口集合作为新的边界”这一理念的体现,安全边界不再是孤立的一堵墙,而是由多种人口防御形成的组合纵深防线。在未来的一年里,随着SASE和SSE进一步被企业所认知,对应的新安全边界理念将逐步形成。云端成为数据安全焦点场景随着产业互联网的建设,以及各种行业云、政务云的出现,数据上云将是大势所趋。相比传统的数据安全,云端数据的安全一定程度上可以依托供应商的安全能力,以及云计算自有的弹性,以更低的成本实现对安全的保护。但同时,云端复杂的IT环境也会给安全人员带来新的课题。例如在多云环境、混合云环境下,如何保证数据资产的均衡安全
12、;如何在云和资产主体分离的情况下,实现数据采集、数据存储、数据使用、数据交易、数据共享过程中的用管分离;如何在数据流动过程中,为不同角色、不同业务、不同场景分配最小化账户权限;如何基于云端特性构建新的一体化云安全运营平台等。因此,在数据上云的大趋势下,企业面对数据安全的问题时,一定会对云端的特殊环境形成新的安全需求;在对云安全相关产品的采购过程中,也会关注云安全产品对云端数据的保护能力。威胁情报从大数据分析进入智能运营阶段威胁情报进入国内已有近十年时间,已成为大量企业安全建设必备模块,并被视为是现代主动安全体系的核心。从手工规则的运营到大数据分析是威胁情报的第一次跨越式发展,大幅提升了企业主动
13、、量化、体系化建设安全的能力。但随着安全形势复杂、攻防节奏加快,企业陷入威胁情报的告警焦虑中。有研究显示,企业每周大约接收17000条报警,其中仅有19%是相对可信的,但安全团队仅调查处理其中4%。从追求覆盖广度到追求精度正在成为企业威胁运营的普遍共识。Al大模型以及MaaS模式的兴起,正在加速威胁情报的第二次进化一一从大数据分析向智能运营转变。从目前行业的实践来看,大模型能全面赋能情报的研判、运营、检测等环节,对话、文本摘要、报告自动生成、二进制智能分析等特点能帮助企业安全运营“降本增效提质”。这同时也意味着,企业可以降低安全运营人才的门槛,依托更加智能的威胁情报运营体系,用更少的人力实现和
14、过往一样的运营目标。拔高安全认知值得关注的宏观背景变化“安全是发展的前提,发展是安全的保障”。近年来,统筹发展与安全的战略思想深刻影响网络安全工作的开展。2023年出台的数字中国建设整体布局规划,更是明确了筑牢数字安全屏障是数字中国建设“2522”框架需要强化的一大关键能力。企业的数字化发展与安全建设,是数字中国蓝图的重要构成部分,亟待破除安全的“成本中心”思维,将企业安全建设与经营发展置于同样的战略高度,用发展的眼光看待安全,建立发展与安全融合的全新范式。同时,企业建设发展与安全协同的经营范式有了完善的法治化基础。在网络安全法、数据安全法、个人信息保护法等上位法的相互编织下,我国网络空间安全
15、治理的“四梁八柱”已经架成,以及近年来不断深入新行业、新场景、新技术的法律法规和配套的标准、认证、执法规定等日臻完善,企业安全建设有法可依。随着时代发展、技术进步,我国网络安全的发展不断深化,从早期的访问控制到防火墙兴起再到加密技术、流量分析等安全技术的发展,再到如今零信任、云安全、智能安全及数字安全免疫力等创新安全理念的演进,网络安全的防护目标一步一步跳脱出传统的设备、边界,守护更为复杂和壮阔的网络空间。随着数据生产要素的发展,让企业协调安全与发展有了更现实的抓手与导向。如今数据以及由大量数据分析、交换而形成的数字化业务存在于各行各业,全国多地更是纷纷践行“数据要素X”战略,大幅拓展数据要素
16、应用场景的广度和深度,激发数据要素在经济领域的乘数效应,数据的安全与治理成为“必答题”。尤其是北京、深圳等城市更是持续在数据交易、授权、知识产权登记等环节中明确数据安全的具体要求,激发数据要素价值的同时构建扎实的安全体系,而非传统事后防御、外挂式、单点式的安全策略,让数据以及数字化业务具备安全基因,护航数据要素市场蓬勃发展。重建安全范式企业建设数字安全免疫力的四个核心企业如何协调发展与安全?一方面,越来越多的企业意识到,安全不只是被动响应与强制合规,对安全的重视程度与投入力度,会切实影响企业发展;尤其当前数字经济发展推动供应链协同更加紧密,单一企业的安全风险,极有可能经供应链传导到全行业,甚至
17、对整个产业造成影响;“没有网络安全就没有国家安全”已成为从顶层到基层的普遍共识,这意味着安全事故的主体责任进一步放大。2023年六月,腾讯安全联合IDC共同发布了数字安全免疫力白皮书,在网络安全建设范式创新上给出了新的思想。报告提出,在数字安全免疫力的体系下,企业首先要实现的,是自身防护能力的建设。这一过程无关于企业是使用自己自研的安全产品,或者是采购外部的安全产品,是组建自己的安全运营团队,还是选择MDR、MSSP之类的外部安全服务,而是在于企业自身能否将这些“安全能力”使用得当,能否将各类安全能力融入到企业的日常运营当中,与企业的数据流、业务流融合一体一一这样才能成为企业“自带”的数字安全
18、免疫力。否则,即使企业拥有自己的安全团队,也无法真正像生物免疫系统那样能够主动、自动地发现入侵,并展开防护。当然,数字安全免疫力的建设也需要在应对未知威胁的时候,能够通过接收外界的协助,实现对威胁的遏制与清除。因此,如果我们需要给数字安全免疫力的核心进行一个总结的话,那就是:以确保企业数字化运营中数字资产(数据与业务)正常运行为最终目标,配合企业IT技术环境的发展方向,提前规划企业的安全投入,从而能够基于企业自身内部的组织、流程、工具以及长期发展,协同内、外部安全资源和能力,打造具有弹性、韧性、自适应、可扩展的企业数字安全体系。核心一I以企业运作为最终目的企业和组织存在是通过正常发展其业务,从
19、而实现其目标:比如大部分企业的目标是盈利,而政府等单位是其相关职能的实现而安全建设却在某些特定场景下被视为实现这些目标的“阻碍”。这一定程度上是可以理解的,毕竟相对而言,自由、灵活的操作往往意味着更高效的运转,同时减少各种注意事项又能让企业只专注于需求的实现但是安全往往却代表着更复杂的流程、更频繁的测试、更多的禁止事项,很容易成为“反作用力”。另外,相当多的安全人员会过分夸大安全的必要性;尽管大家都知道没有“银色子弹”,但又往往会对安全风险预判与处置有着极为苛刻的要求。这无疑使得IT部门、业务部门对安全部门的误解和隔阂更为严重。甚至对一些人而言,安全就是“0”和“1”,非黑即白:要么是绝对安全
20、没有风险,要么就是千疮百孔,会被人任意攻击。这显然并不是事实。将企业的正常运作(以业务与数据为核心)作为最终目的,意味着数字安全免疫力建设思路并非直接将“安全”作为第一视角,而是围绕企业运作中面临的风险展开:企业在合规层面有什么风险?企业在业务开展中会遇到哪些威胁?企业对数据的处理是否存在隐患?在供应链中潜藏的风险是否会导致业务流程中断或受损?换而言之,对于安全负责人而言,需要让安全去“拥抱”业务,基于对企业的威胁程度来思考如何进行安全建设。确保企业正常运作是数字安全免疫力最核心的理念,其最大价值在于让安全建设有了意义和方向,从而对企业的安全规划能有如下几个重要影响:贴合企业的安全:不同企业之
21、间的业务模式、IT建设都有区别,不基于企业自身的情况生搬硬套其他企业的实践,无法真正帮助企业建设属于自己的数字安全免疫力。只有基于企业自身的情况,借鉴其他企业成功案例的相似之处,才能使得安全投入产生价值。安全预算用在刀刃上:安全负责人头疼的问题之一就是安全预算似乎永远不足。在当前的经济形势下,每一分安全预算都至关重要。但是,另一方面,当前网络安全产品的品类越来越多,对企业的安全采购反而带来了一定的挑战。在这个情况下,企业只有明确自己当前面临的最大风险,才能避免将预算浪费在对当前而言并非必须的安全产品上。70%企业安全投入低于5%基准线,11%企业投入不到1%来源:腾讯安全与安在共同发起的150
22、施CSO线上、线下调研提升安全有效性:一味追求“绝对安全”其实是一件很糟糕的事情,因为这往往会让安全人员将大量的时间浪费在发生概率极低,或者对企业危害极小的风险上。将企业运作作为安全免疫力的目标,也是改变安全人员思想的一个手段:将时间和精力放在企业最重要的东西上,接受存在一定的风险,或者用其他方式来弥补。比如过去几年开始引起关注的网络安全保险,可以作为那些在自身安全建设当中不得不暂时接受的风险的补偿手段。核心二提前规划主动预案虽然安全措施往往都是“提前部署”的,但这并不意味着是“提前规划”的,因为一旦脱离了企业的业务的运行和数据的走向,安全措施往往无法防范真正的威胁,甚至无法知晓自己“还有哪里
23、没防住”。提前规划的一个意义,基于企业业务的发展目标,提前为未来可能发生的威胁做好准备:这不仅仅是为预料之中且有准备的威胁事件做好响应计划,同样也是为预料之中但因预算等问题无法填补安全隐患做未来的规划以及补救方案;甚至对于一些有余力的企业,还需要考虑如何应对意料之外的威胁事件。提前规划的另一个方向是“依据企业的业务发展规划未来的安全”。企业在业务拓展中,往往会采用新的技术。新的环境、新的工具、新的流程意味着新的风险。对于将企业运作为最终目的的数字安全免疫力建设而言,在打造企业的安全环境的时候,也必须考虑到未来企业的发展计划中,会引入哪些新的技术和流程:比如人工智能、区块链、远程会议等;从而提前
24、对相关风险进行调查、分析和预案,确保企业的数字安全免疫力建设能够跟上企业的业务发展。产业互联网的建设对于大部分企业而言,都是一个技术的跨越;而在这一过程中,需要企业的安全负责人提前为新的风险进行规划,逐步打造适应面向未来的产业互联网的安全架构,才能避免因企业的发展,导致安全投入的浪费。数字安全免疫力不是一步建成的,需要时间的积累和基于企业自身特点的反复调整。因此,面向未来的提前规划和主动预案能够让企业避免在这一过程中总是面临无准备之仗。核心三综合协调安全资源生物免疫力是机体自有的,对抗外界病毒的能力,但可以通过后天的锻炼或摄入维生素等加以提升;同样,数字安全免疫力也应该是企业自身所具备的能力。
25、要实现企业对安全能力的“自控”,就需要企业有能力去协调各类安全资源。综合协调安全资源有三个方面。首先,是企业有能力去实现已购买的安全产品的价值。安全产品至少在未来的一段时间里,都无法实现完全的自动化也就是彻底脱离人进行操作。这就代表着在企业购买了安全产品后,依然需要启动这些产品,并且有人去操作,才能体现出这些产品的安全价值。其次,是安全产品的协同。无论是态势感知,还是XDR,都需要多款产品协同,才能产生效果。事实上,无论是国内还是国外,每家企业都有大量不同的安全工具,来自多家不同的安全厂商,需要一个中间集成的安全平台,对这些安全产品进行协同,才能更为直观地了解自己企业的安全状况,从而将自己已有
26、的安全产品能力最大化。最后,是对外部安全资源的协调。正如人生病了无法自愈时,会选择服用药物、进行手术等外部辅助的方式进行治疗,企业也需要在自身无法完全解决威胁的时候,借助外部安全资源的帮助。当前,由于安全预算和人才数量匮乏的因素,国内企业依然处于自身安全人才缺乏的情况。这一前提下,企业必然会需要向外寻求安全能力,包括漏洞悬赏、安全托管、安全咨询等一系列外部的安全力量。企业也应当意识到到自身是安全的第一责任人,从而避免一个误区,即“寻求外部的安全能力之后,自己的任务就完成了”。实际上,如果企业自身不明确自己的安全需求,给外部安全人员制定清晰的安全目标,那就无法做好对外部安全能力供应商的管理,导致
27、外部的“药物”无法治愈当前的问题。数字安全免疫力最终还是企业自身的能力,如果企业无法妥善使用购买的安全工具,或者无法管理好自己的安全供应商,那这些安全资源始终都是“外部”的,而非企业自身的。核心四安全无感知比照人体的免疫系统,企业的安全免疫体系应该实现感觉不到免疫力“正在”运转,强大的数字安全免疫力也应该在非安全人员没有意识到的时候,就解决了绝大部分的安全威胁。企业安全能力的建设也应该尽量避免给员工的日常工作造成额外的负担,这就要求企业的安全体系要达到无感知的状态,具体而言有三大特点。第一,足够高的安全水位。企业安全体系与业务体系相容并进,不存在显著短板和死角,安全能力全面覆盖企业业务和内部流
28、程,能阻隔绝大部分安全攻击和风险,例如针对线上业务布局用户注册、用户互动、支付等流程的风险防范体系;对涉及数据流动的供应链建好“篱笆”;对每一个接近企业数字资产的ID都能准确验证和管理等等。第二,自迭代能力。安全攻击与威胁变化每一天都在进行,企业不仅要能识别和防御已知的、常态的安全攻击,还要能根据每一次攻防汲取经验,持续迭代自身的安全能力,反哺整体安全体系建设。例如引入机器学习,对恶意攻击、样本、特征进行学习,能从每一次攻击中提取对同类型攻击的知识沉淀,实现举一反三,保证企业安全能力处在持续动态的更新,占据攻防主动。第三,非交互式验证。安全无感知的一种实践方式就是从安全技术入手。比如在零信任的
29、架构中提到了“持续验证”的理念,并非在用户侧持续要求用户进行一些操作,而是在技术层面对用户行为进行快速分析,判断行为是否正常,再决定是否使用额外的验证手段。在安全上增加了一道防线,但是对用户使用而言,并未出现明显的干扰。同样,对于新发现的安全漏洞,能否做一些临时的安全防护,防止漏洞被攻击者利用,在常规更新时一起修复,从而尽量减小对业务的影响,这也是一种安全的无感知行为。安全往往是给流程增加更多的步骤,但是步骤的增加会导致效率的降低和人员的反感。安全无感知需要的就是加入“隐形”的步骤。尽管安全无感知对绝大部分企业而言是一个非常难以企及的目标,但是我们也应该将其作为发展的方向。只有安全无感知,IT
30、团队和业务团队才能更顺畅地推动企业发展,安全才不会成为又一个“影子IT”。精确安全度量运用安全评测工具评估自身水位安全评估企业的安全预算是有限的,安全负责人往往面临常态化预算匮乏的状况,所以需要将预算用在最需要投入的地方。因此,在开始打造自己的数字安全免疫力体系之前,首先要知道企业当前的安全水位,才能做到“知己知彼”。一般而言,安全评估可以通过寻求外部专业的安全咨询团队来进行,但这也就意味着更高的安全成本。所以,对于一些预算有限的企业,也可以使用一些免费的安全评估工具来进行自测。比如腾讯安全提供的数字安全免疫力测评,通过填写调研问卷的方式,了解数字安全免疫力建设的一些关健要点,同时能够和自己目
31、前的状态进行比对,发现自己的不足。同时,评估的报告也会将企业的评分情况和行业的平均水平进行对比,从而让企业更清晰地掌握自身在行业中的安全水平位置。尽管说我们期望能将安全尽可能做到最好,但是即使扫描上方二维码,评38企业安全水位不过,需要提醒的是,大部分自测用的模型都是相对普适性的,以覆盖绝大部分企业需求为目标;但不同企业会有自己独特的环境,独特的安全需求,或者暂时完全不需要一些安全能力。因此,对于当前评分低的一些项目,企业也应该深入思考相关安全能力对目前以及企业近期规划的价值,而不是盲目地将预算浪费在补足一些短期内不会过多涉及的安全领域。实现当前的“等保价值”尽管近年来,国内法律法规的完善,驱
32、动企业的安全能力快速提升,但是效果依然并不尽如人意;很重要的一个因素在于,企业对“等保”的理解依然局限于“合规”层面,只是满足了“等保要求”,并没有体现出“等保价值”。等保体系是由大量专家基于实践构建的,所以等保当中提出的安全要求是需要相关安全产品真正在企业环境中被正确使用,才能产生等保匹配的安全价值。企业往往只将等保合规作为维持运营必须进行的手段,因此只为满足等保要求对安全产品进行采购,却没有在企业的运营过程中将相关产品投入使用,或者没有对安全产品进行正确的配置一一导致表面上符合了“等保要求”,但实际上却没有实现“等保价值”。这是因为企业本身往往将满足等保要求完全交由合规企业进行,自身却缺乏
33、对等保建设的深刻理解,结果空有一系列的安全产品,企业却不具备对应的“安全能力”。只求过等保,而不实现“等保价值”无疑也是对安全预算的一种浪费,无论是合规咨询的服务,还是安全产品的采购,都不应成为企业在安全建设中的沉没成本。企业在建设自己的数字安全免疫力时,不仅要评估自己当前的安全水位,也要评估自己基于等保合规所采购的安全产品的使用效果一一在预算有限的情况下,优先将已有的安全产品的价值彻底释放,就能够初步形成企业对外部各类威胁的抵抗力。着手完善人员的安全能力企业人员的安全能力可以从两个方面来看:一个是安全团队人员,一个是非安全团队人员。对于企业的非安全人员,谈论最多的就是人员安全意识的培训。企业
34、人员的行动如果是安全的,那么企业自身的防风险能力就会大大增加。但是,仅仅靠安全意识的教育是不足的,同样需要一些安全意识演练、流程和制度的完善,多管齐下才能加深企业人员的安全意识。当然,同样,安全意识的培养也需要业务部门一定程度的参与,因为过于敏感的安全制度和技术,会导致业务效率的下降。而对于企业的安全团队,最重要的能力就是对企业安全资源的协调:当前企业中有哪些安全产品(比如EDR、防火墙、DLP等)?有哪些安全技能(比如应急响应、渗透测试、漏洞挖掘等)?有哪些外部合作的安全能力(比如漏洞悬赏、安全托管、安全意识培训等)?安全团队需要清楚自己当前需要和缺失的安全资源,同时管理现有安全资源,针对不
35、同的风险配置相关安全资源。由于企业有自己的特性,也就意味着并非任何一名外部的安全专家都能马上掌握这些情况,需要给相关人员时间去熟悉和了解,才能顺畅地对企业的安全资源进行有效的利用和调配。同时,企业的安全团队要反向融入到业务团队和公线团队中,建立一个能够俯视企业业务流数据流的“上帝视角”,以俯视的姿态观察企业的运行,而董事会也要赋予安全管理者“插旗摆阵”的权限和团队。关注以AlGC为首的新兴技术的安全企业为了更为高效地运营业务,会自然地关注新的技术一一即使是非企业层面的应用,一些员工出于提升工作效率的目的,也会使用外部的新兴技术辅助自己的工作。这一点在今年随着ChatGPT的大规模应用,显得尤为
36、明显。AIGC的应用层出不穷,许多企业的员工都会自发寻找、使用相关工具提升自己的工作效率一但是,这些外部应用是缺乏安全管控的,也为企业的安全带来了隐患。员工在使用AlGC相关工具的过程中,容易无意中输入一些企业的敏感信息,从而导致敏感信息的泄露。另一方面,许多AIGC的工具来源不明,因此本身就存在一定的安全漏洞,成为企业的安全威胁。在使用能够提升效率的新技术方面,员工的速度会比企业更快;而企业对新技术的应用也往往快于安全部门一一这就留下了巨大的安全缺口。针对性的安全产品部署或许可以延后,但是安全团队对相关威胁的认知,尤其是自身企业中这类新技术应用的情况,必须及时了解,避免出现未知的攻击面。在没
37、有针对性安全产品的情况下,通过全面禁止使用相关产品、引导使用来源安全的相关产品、利用现有安全工具填补主要威胁点等方式,防范因新技术的应用导致的安全问题。夯实安全建设为企业量身定制的六个建设指南指南一一数据安全篇数据无疑是企业宝贵的IT资产之一。无论从合规要求的角度,还是从企业自身重要机密保护的角度,数据安全都是必做的课题。在传统的数据安全中,加密几乎是“万金油”一般的存在,只需要对存储的数据进行加密,就能很大程度保证数据的安全性。然而,随着技术的发展,人们开始意识到“密封”的数据是不足以真正为企业带来价值的,数据需要进行分析和流动才能产出有价值的结果。因此,企业的数据防护已经不能局限在静态的存
38、储数据,更需要关注数据在流动、使用过程中的安全情况。另一方面,数据的所在环境也有所变化。随着云计算的普及和被接纳,云端数据的安全性又为企业带来了新的风险。建设意见在数据安全建设中,必不可少的就是数据的分类分级,这也是让大部分企业头疼的地方。在实践过程中,企业可以通过分解“分类分级”的方式来一定程度简化海量、繁杂的数据:“分类”是根据数据的属性和特征进行区分和归类,更多是从业务的角度出发,更好地利用数据;“分级”则是从数据的敏感性出发,考虑数据安全的属性被破坏之后会造成什么样的影响。因此,在“分类”的时候,安全部门如果能得到业务部门的支持,工作效果从长远来看会更有价值;而对于“分级”,在各类合规
39、要求的指导下,能够对大部分数据进行有效的规整。不过,企业同样需要注意的是,除去合规要求的信息外,企业内部一些商业机密、财务信息、合作方信息等,一旦被泄露或者篡改,也会给企业带来巨大损害,在“分级”的时候同样要匹配对应策略。随着企业业务的变化和法律法规的修订,“分级分类”本身也是一个持续性的运营工作,并不是一劳永逸的。除此以外,企业对云的使用同样会给数据安全建设带来新的变化。只要企业将“云数据”作为未来发展的一环,安全团队就需要了解云数据的流动方式、涉及的数据范围、数据应用的目的等,从而提前预备云数据的安全方案。工具建议根据等保的要求,企业已经有一定的数据安全产品的积累,最重要的依然是前文所提到
40、的“实现等保价值”,将已有的安全产品投入使用,并评估其效果,从而打造数据安全的防护基线。在这个过程中,企业可能会面临的另一个问题,是数据安全产品线的复杂性,包括数据脱敏、DLP.数据库审计等多种安全产品,导致数据安全整体缺乏一个中心化运营体系。有这方面需求的企业,可以寻求集成型的数据安全平台进行统一化管理;而对于云端的数据安全,则能和云安全能力的结合,从云安全角度进行统一的管控。其次,将数据安全作为一项长期的安全运营内容,需要协同业务持续地对数据进行分类分级。无论是持续性的要求,还是当前庞大的数据量,这一工程显然是无法完全依靠人力完成的。建议企业将自动化数据分类分级的产品纳入到企业的日常安全产
41、品当中。指南一业务安全篇业务是企业实现其价值的最直接途径,不同企业有自己独特的业务。而不同的业务场景,如金融、票务、工业生产、数据、信息、服务等等,也会带来不同的业务风险,而对应的业务安全(风控)应对措施也各有特点。相对其他领域的安全而言,业务安全往往是业务部门更为在意的一块,因为针对业务的威胁与破坏会导致业务的效果不达标这是和业务部门的业绩直接挂钩的。缺乏安全能力护航的业务,甚至可能成为黑灰产的“提款机”。建设意见业务安全是业务部门理论上面对安全态度最积极的一个领域,安全部门可以以此为契机拉近和业务部门的协作,从而推动整体数字安全免疫力的建设。然而几乎所有企业的安全部门对业务具体流程都知之甚
42、少,继而无法提前预知潜在风险,只能基于现有的安全能力和安全资源进行防护。因此,安全团队需要和业务团队一起,了解业务的具体流程、业务成功的评估标准、需要重点防范的业务风险、现有的安全措施以及需要补足的安全方向。一些安全能力可以作为企业常驻的数字安全免疫力功能,包括人机识别、风控引擎、内容安全、业务安全合规等;另一些安全能力可以在特定业务场景通过外部力量协助,比如营销活动中针对反黑灰产的额外安全服务等。工具建议相当数量的企业不具备自己处理业务安全的能力。正如上文提到的,业务安全和传统的纯技术层面的攻防对抗存在不小的差异。这就要求安全团队必须同时具备业务的理解和敏感度,一般的安全团队是难以满足这样的
43、要求的。对于大部分企业而言,业务安全方面的工作需要从外部获取一定的协助。金融行业是业务风险控制的“重灾区”,因此其业务安全相比其他行业,是更为日常的高频刚性需求。一定程度上,金融行业的“业务安全”很难将“业务”和“安全”完全剥离开。以金融行业的借贷场景为例,其业务风险可以划分为“能力风险”和“欺诈风险”:能力风险是指借方本身由于各种原因可能无力偿还贷款;而欺诈风险则是指借方通过伪造、欺骗等手段假装有偿还贷款的能力,从而骗取高额贷款。从原因上来看,“能力风险”可能更倾向于传统的金融风险管理,即业务层面的风险,而“欺诈风险”则倾向于业务安全层面的风险;但是从日常应用出发,企业需要的是能够快速判断综
44、合风险的产品,而不是“分类讨论”风险来源。因此,金融行业,尤其是银行业,一定会需要一个能够综合评判业务风险的风控引擎。这一类日常使用的业务安全风控引擎,面临的最大挑战是实时的对抗。传统的风控引擎是基于业务,以及用户行为习惯变化不频繁的情况下,可以通过策略来判断业务风险。但是其在当下业务快速迭代,同时用户习惯和行为随着社会环境变化而改变的情况下,企业需要转变思路,用更为动态的自适应风控模型来对抗,而不是依赖于相对固定的模型和规则。企业必须和业务安全的供应商协同,结合企业的数据源积累、供应商的平台模型、配合双方团队的分析能力,打造出基于业务理解的动态模型。当然,由于模型的对抗会更具有定制化的属性,
45、相比于传统的规则对抗,成本也会更高,但是如果企业本身面临较多的日常业务风险,风控引擎是一笔必要的投入。指南一边界安全与端点安全篇随着云计算的发展,“边界模糊化”甚至“无边界”的说法从来没有停止过。从网络拓扑的角度来看,这无疑是正确的:传统的内外网拓扑,边界泾渭分明;而到了云计算环境中,公有云、混合云的出现,使得企业的内外网分界越来越模糊。随着数字化转型的加速,云计算在越来越多企业被应用是大势所趋,因此“边界模糊化”的问题会越来越严重。在这个大前提下,与其说继续讨论“边界模糊化”的问题,不如重新思考“什么是边界”。如果一定程度抛弃网络拓扑模型观念下的边界,将边界理解为企业11,环境“入口”的集合
46、,这种概念层面的“边界”或许会让已经模糊化的边界更加抽象,但是从企业入手解决边界安全的角度来看,却能有一定的指导价值。比如随着远程办公、移动办公的兴起,员工自身的计算机、移动设备都有可能接入企业的内网,而这些设备就成了进入企业内网的“入口”,也就是端点成为了企业的“新边界”。类似情况,还包括了身份准入一一进入企业的IT环境是需要身份的,而对于身份的鉴别,同样可以构成企业安全的新边界。相较于模糊化的安全边界,大部分企业已经基于等保做了一定程度的端点安全加固:尤其是在PC这类传统终端设备上。但是,随着技术的发展和业务场景的拓展,端点环境开始出现异构的特点,对于传统单一类型终端的防护方式出现了不小的
47、挑战:不仅仅是企业中使用的计算机设备,员工自身的计算机和移动设备、公司内的一些物联网设备、企业的云环境,都会为端点安全带来新的挑战。尽管在讨论安全产品的时候,我们依然会将边界安全产品和端点安全产品分开分析,但是在安全建设的时候,不妨试着将两者相结合:端点本身承载了员工日常办公和企业IT运作的职能,同时又构建成为了新安全边界的一部分;而新的安全边界则还包含了流量、身份等入口。任何一个单独的存在都无法真正守护好企业的边界,需要统一协同才能成为新的企业安全护城河正如在XDR的体系中,无论是EDR还是NDR,都是不可或缺的。建设意见大部分企业已经在传统PC端的安全能力上有了一定的积累,无论是传统的反病
48、毒,还是针对过去几年比较盛行的勒索病毒进行一定程度的应对,甚至对传统PC端进行统一管理的层面,都具备相关的安全产品。下一步在PC端上要解决的风险,一方面是能否应对未知风险,比如APT攻击,另一方面是如果有移动办公需求,如何满足员工远程使用自己设备接入企业内部系统和信息的威胁。安全团队需要在这两个方面衡量如何提升当前的端点安全能力。而在异构结构角度,云安全是企业在未来一两年内都需要开始考虑的问题。无论是私有云,还是公有云,在安全层面都有其优劣:私有云需要企业更高的技术能力去运维,但是也更明确了责任方,企业能够更为自由地选择安全解决方案;公有云成本更低,同时供应商也需要承担一部分的责任,但是相对而言,企业可能会在解决方案的采用上面临一些困难,同时也会有企业依然对公有云本身的安全性存在顾虑。同理,混合云、行业云等也会有类似的问题出现。还未上云的企业的安全部门应当提前对云安全进行规划,而已经上云的企业则需要持续关注当前自身云环境的安全态势。这些对云安全的把控,不仅仅有助于打造更为安全的云计算环境,同时也增强了安全新边界的强度。另外,移动安全也可以成为安全团队提前关注的方向,这很有可能成为企业IT的下一个入口。在传统边界安全层面,防火墙已经几乎是所有企业的安全标配产品,从传统的网络架构