安全預算增加後,怎樣實現最大投資回報?
根據世界衛生組織的統計——2020年新冠疫情期間,全球網絡攻擊增加了5倍。後疫情時代,衍生於新場景、新業態下的新安全威脅,正在考驗著企業的安全技術、團隊和能力儲備。與此同時,各國關於加強網絡安全建設的相關政策紛紛出臺,促使企業在嚴峻安全局勢和合規政策緊縮的雙重壓力下,持續增加在網絡安全方面的預算。
國際調查研究機構ESG年初發布的《2020年度IT投入調查報告》顯示,包含醫療、科技、零售/批發、生產製造和商業服務等在內的55%受訪企業,表示會增加2020年度的IT投入,其中36%企業增加IT投入的原因都是改善安全與網絡風險管理。這一數據意味著:網絡安全已融入到各行業IT決策的每一個環節中。
安全與企業業務場景關聯廣度和深度的延展,促使其由單純的「補丁」邊緣角色加速向企業戰略融入。Gartner分析,到2024年,網絡-實體系統(CPS)安全事件的責任將直接落到75%的CEO身上。正如騰訊雲與智慧產業總裁湯道生曾指出的:「產業發展新常態下,安全不再只是CTO、CIO們的工作範疇,也需要CEO的戰略關注,成為CEO的一把手工程。」
安全之於企業價值角色的轉變,不僅要求CISO/CTO/CIO在選擇安全產品和解決方案時,以更為整體、全盤的視角進行評估,還要求其能夠與CEO等企業戰略決策者建立更為緊密的互動,將安全考慮納入更廣泛的商業計劃中,從而以最優的投產比造就企業安全基因。
換句話說,產業安全新局勢下,安全預算的增加給CISO提供更大實踐空間的同時,也向其提出了新的「績效」要求。CISO作為當前企業安全的直接負責人,繼續只針對「惡意軟體檢測或數據安全」等具象安全問題泛泛而談是不夠的,而是應當站在更為宏觀的資本價值視角,去思考安全在企業發展和降本增效方面的價值最大化問題。
然而,眾所周知,網絡安全價值實現的典型方式是「讓什麼都不發生」。在資本維度邏輯下,凸顯網絡安全投產價值顯然並非易事。與此同時,伴隨著網絡安全從通用防護方案向垂直領域解決方案的演化,找準方向往往比盲目「埋頭苦幹」更有效果。有的方向已經表現出了旺盛生長力,成為網絡安全適應資本化發展、實現商業價值最大化的隱形價值投入點。
01
零信任:「永不信任」才是收穫「信任」最大化的新方式
2020年以來,程式設計師刪庫導致微盟一夜之間蒸發超10億元市值、Twitter因VPN網絡安全策略缺失陷入史上最大安全事故等的發生,都在表明同一事實:在信息技術加速迭代及應用的趨勢下,企業內外網的邊界愈發模糊。移動辦公、線上會議、遠程運維等新場景的不斷湧現,傳統基於單點部署的「城牆式」安全防禦體系正在逐步失效乃至崩塌。疫情之下,黑客僅靠簡單「詐騙」伎倆就能使Twitter遭遇「史詩級」安全事故就是這一趨勢的實例佐證。
換言之,在業務暴露面擴大的背景下,企業網絡即使具有完備的邊界防禦體系,也將因身份ID、操作行為鑑別的安全缺失,仍然存在被攻陷的風險。
面對異構網絡頻繁互動誘發的新威脅局面,「零信任」這一「不信任網絡內部和外部的任何人/設備/系統,基於認證和授權重構訪問控制」的全球主流網絡安全框架之一,儼然成為打破傳統默認「信任」桎梏,重構企業數字經濟新周期下安全防護架構的重要手段。
通過多維身份認證、最小權限動態訪問控制以及可變信任管理等策略的實施,零信任一方面能夠幫助企業有效降低授權訪問或阻斷決策的不確定性,實現企業資源訪問的持續安全防護;另一方面能夠構建出靈活度、可適性更高的安全防護策略,滿足開放度、複雜度都更高的業務場景需求,實現企業業務應用層訪問的「一鍵防護」。
綜合企業規模來看,以「持續驗證,永不信任」為核心的零信任,無論是從安全高配,還是在降本增效方面,都是大型企業在遠程業務常態化過程中進行高性價比安全建設的重要價值點。
02
雲原生:應對數字時代安全問題的「最優解」
當前,數位化已成必然趨勢。隨著雲計算技術的應用滲透和企業上雲進程的不斷推進,安全問題成為企業經營者的必答題。一方面,對於大多數企業而言,「安全左移」、「減少攻擊面」、「供應鏈安全」等組合而成的傳統安全解決路徑,面臨著門檻及成本高、周期長、研發難等瓶頸;另一方面,傳統雲安全構建部署困難、數據流通差、聯動性差等弊端日趨凸顯。此背景下,雲平臺的原生安全能力成為行業關注的焦點。
騰訊副總裁丁珂就曾多次提出,應當用雲的方法去解決雲上的安全問題。從長遠來看,上雲是產業應對數位化趨勢發展兼顧成本、效率和安全的「最優解」。而中國信息通信研究院雲大所所長何寶宏也在 CSS網際網路安全領袖峰會上表示:「雲原生安全是應對產業網際網路和數位化帶來的安全新需求的技術理念和業務方法」。
雲原生安全理念強調雲服務商安全技術和管理能力的深度融合,通過打造依託用戶視角優化並設計的雲服務原生安全屬性,為雲平臺和雲上租戶嵌入安全基因;以具備開箱即用、彈性、自適應、全生命周期防護等顯著優勢的原生安全產品為紐帶,幫助中小企業以最低的安全投入成本,實現安全聯動、信息共享,實現全面安全防護和安全普惠。
對於中小企業而言,積極開展與具備完備雲原生安全防護產品體系的雲服務商間的合作顯然是CISO兼顧成本和效率的最佳發力點。在巨大市場需求的推動下,雲原生安全產品的打造也成為雲服務商近年來的重要發力點。以騰訊安全為例,目前已圍繞安全治理、數據安全、應用安全、計算安全、網絡安全五個層面搭建了完備的雲原生安全防護體系,致力為行業夥伴提供「用得起、用得上、用得安心」的雲原生安全產品,推動數字經濟新周期的加速前行。
03
數據流安全:一鍵開啟全生命周期保護的高效投入點
前有5億新浪微博用戶數據遭洩露,後有快遞公司洩露超40萬條公民個人信息事件。數據洩露事件仍舊是時常佔據2020年網絡安全大事件頭條的「常客」。而伴隨著數位化進程的深入,數據洩露所帶來的損失也呈現出上升趨勢。
從業務層上看,據安全研究中心Ponemon Institute和IBM Security聯合發布的《2019年數據洩露成本報告》顯示,過100萬條記錄的洩露預計會給企業帶來4200萬美元的損失,當洩露記錄超過5000萬條時,預計帶來的損失將達到3.88億美元;另一方面,來自諸如GDPR高達企業全球營業額2%-4%罰款的嚴厲監管處罰,更是讓企業不堪重負。一定程度上,阻斷數據安全事件的發生本身就是企業安全投入效果最大的表現。
數位化時代下,企業不得不認清的事實是:數據已非靜態化的存在,而成為涉及傳輸、存儲、處理、分析、訪問與服務應用的「數據流」。這意味僅聚焦在於關鍵節點的數據防護手段已然無法真正達到安全防護效果。遵循數據流動特徵,貫穿數據全生命周期的一鍵安全防護成為滿足新發展大潮下數據安全需求的重要策略。
數據全生命周期防護體系旨在解決數據管理過程中常見的分類及治理管理、加密和脫敏保護、密鑰管理、事件監測分析等「四大難點」。通過安全能力和技術方法的整合輸出,打造管理、加密、運營等的極簡安全防護鏈路,實現對數據的動態防護,從而規避數據洩露引發的各種額外經濟資本損失和成本支出。
伴隨著數據成為各行業的核心資產,基於數據流的全生命周期安全防護顯然是所有CISO和企業都必須直面和發力的方向。
04
威脅情報:「未攻先防」佔據先機
相比「應對」威脅,「提前感知」威脅,顯然是提升安全防護效率、降低安全風險最經濟的方式。然而,網絡攻擊表現出的目標精準化、技能多元化、破壞不確定化等的趨勢特徵,使得越來越多的企業將威脅情報作為安全建設的重要一環,納入企業整體安全戰略。ESG調查報告分析顯示,威脅檢測年年都是網絡安全領域投入的重點。
在企業攻防中,威脅情報實際上扮演著重要角色。威脅情報的安全投入不僅能夠幫助企業更高效地識別高危病毒和APT攻擊並進行攻擊溯源分析,還能對未知的威脅進行風險預估和防禦。這對企業佔據攻防先機至關重要,也是企業在安全左移趨勢下做好安全前置的有效途徑。全球最大信息安全培訓機構SANS調查數據顯示,有80%的組織認為自己從威脅情報中獲益。
簡單來說,威脅情報是企業更快、更好應對新威脅挑戰的重要「利器」。而從情報的收集、處理、分析、傳遞,到應對策略反饋等,每一環節都需要海量數據以及強大技術作為後盾支撐。因此,基於企業業務場景,如何以有效的模式和途徑,構建具有高價值效果的威脅情報,毫無疑問是CISO提升安全價值的重要內容。
05
AI應用安全:不容忽視的未來指向
在GeekPwn 2020 大賽上,一場虛假人臉 AI 識別自動取貨、取錢的模擬,以及變臉口罩挑戰機人臉識別算法的演示,再次刷新了國際極客對AI應用安全的認知。正如國際安安研究團隊趨勢微觀(Trend Micro)在《人工智慧的惡意使用和濫用》研究報告中指出的:人工智慧在塑造一個更廣闊前景的同時,也因應用門檻的降低,成為誘發新數字、物理和政治威脅的額外動力。
實際上,AI應用安全攻擊在安全界不是一個新現象。早在2018年,騰訊安全玄武實驗室就首次披露了廣泛應用於安卓手機中的智能技術——屏下指紋的嚴重漏洞,即「殘跡重用」漏洞。利用該漏洞,攻擊者只需一秒鐘就可解鎖手機。而在更為前沿的自動駕駛領域,騰訊安全科恩實驗室對Tesla汽車系統的AI對抗樣本攻擊,更是讓各行業重新審視著人工智慧應用的安全問題。
顯然,作為第四次工業革命的核心應用技術之一,AI會是承載企業業務的重要載體。其應用場景中衍生的安全問題勢必成為企業安全投入的重點部分。深化對現有AI應用領域的安全的理解,循序漸進地加大安全投入,是提升企業未來安全應變能力以及確保人工智慧應用效益最大化的關鍵。該領域所產生的投入價值效益將顯現出巨大空間和潛能。
總體來說,受疫情和新基建共同催生的新安全建設生態下,以CISO為代表的企業安全管理者在安全建設中,注重「防患未然」維度的同時,還需要將安全投入商業價值最大化納入規劃考量。「以最小投入獲取效果最大」顯然是為企業決策者和市場喜聞樂見的局面。而這一格局實現的前提是,CISO需要運用新的戰略、技術、機制思維和方式,找準最適合業務場景的安全投入方向