從物(wu)聯網(wang)(wang)、工業4.0,直(zhi)至(zhi)現在(zai)IoT萬物(wu)互聯的(de)(de)概念被(bei)提(ti)出之后,網(wang)(wang)絡(luo)安(an�������)全(quan)的(de)(de)覆蓋范圍(wei)隨之擴大(da)(da),在(zai)整(zheng)體上對(dui)信息安(an)全(quan)從業者的(de)(de)要求有了很大(da)(da)的(de)(de)變(bian)化,以�������前(qian)靠傳統(tong)硬件堆疊就能解決大(da)(da)多數問(wen)題的(de)(de)時代,一去不(bu)復返。
������ 反觀現狀,網絡安(an)全產品與功能的高速發(fa)展,響應與治理的分(fen)割,運營與處置的矛盾,都讓安(an)全領域亟待提(ti)升強(qiang)化(hua)(hua)。而這種強(qiang)化(hua)(hua),并(bing)不是單純追求(qiu)技術能力的提(ti)升,而是要求(qiu)企(qi)業先要從安(an)全理念(nian)上突破(po)和改變。
近來,“在(zai)安(an)(an)全(quan)上(shang)做(zuo)減法(fa),降(jiang)低復(fu)雜性”,以及“‘前(qian)置安(an)(an)全(quan)’,加強(qiang)�����管理手段”的(de)相(xiang)關安(an)(an)全(quan)理念在(zai)業(ye)界被反復(fu)提(ti)及。
物聯網對網絡安全的需求不斷增長。
近(jin)年來,物(wu)聯網(wang)越來越受歡迎(ying),目前有(you)數百(bai)萬設備連接到互聯網(wang)。然(ran)而,物(wu)聯網(wang)的擴展(zhan)帶來了(le)新的������網(wang)絡安全挑戰(zhan)。
物(wu)聯(lian)網中(zhong)的(de)(de)“物(wu)”是(shi)指(zhi)計算機、電(dian)話和(he)(he)服務器以外的(de)(de)設備,是(shi)連接到(dao)互聯(lian)網并交(jiao)換數據(ju������)的(de)(de)物(wu)理對象(xia�����ng)。物(wu)聯(lian)網設備包(bao)括可穿戴健身追蹤器、智能手(shou)表(biao)和(he)(he)谷歌主頁(ye)等語音助手(shou)。
物聯(lian)網(wang)的(de)一個(ge)主要問題是(shi),大(da)多數設(she)備的(de)安全(quan)功能都很低,容易(yi)受到攻擊。此外,大(da)量物聯(lian)網(wang)連接(jie)設(s����he)備形(xing)成了一個(ge)難以防御的(de)重要攻擊面。
為(wei)了應(ying)對(dui)這一風險,各企業應(ying)實施強有力的(de)身(shen)份驗證(zheng),和加密(mi)措施以(yi)及強大(da)的(de)監(jian)控和響應(ying)系統。此外,在發生安(an)全(quan)�����漏洞(dong)時,需要制定一個協(xie)調(diao)一致、行之(zhi)有效的(de)應(ying)對(dui)計劃,因(y��������in)為(wei)這可以(yi)減少攻(gong)擊的(de)影響,降低(di)數據丟(diu)失的(de)風險。
一(yi)味堆疊產品弊病凸顯,網(wang)絡安全亟需做減(jian)法(fa)。
近年來,數字化轉(zhuan)型(xing)升(sheng)級讓大量的(de)(de)企業都開始使用公(gong)有(you)云、遠程辦(ban)公(gong)來提高效率,從而(er)導(dao)致風險暴露面的(de)(de)擴大,再加上�������������合規建設等要求(qiu),企業們紛(fen)紛(fen)加大了(le)對(dui)終端安全的(de)(de)投入。
不過,久(jiu)而久(jiu)之,這體現�������在行(xing)動上,則成了一味(wei)堆疊產品。
“終端(duan)安(an)全(quan)產品(pin)堆疊是企業普(pu)遍(bian)存在的(de)弊病。”某網絡安(an)全(quan)廠商對鈦媒體(ti)App表示。鈦媒體(ti)App也了解到,在終端(duan)安(an)全(quan)中一味堆疊產品(pin)并不能擁有(you)1+1>2的(de)效果,相(xiang)反,有(y�������ou)時�����還(huan)會(hui)出現小于2的(de)情形。
終端瘋������狂堆砌安(an)全產(chan)品的另一面,是企業(ye)會(hui)打包(bao)不同網絡(luo)安(an)全廠商(shang)產(chan)品一起(qi)使用,這也產(chan)生了兩方面的不利影響:一方面,大量產(chan)品堆疊讓(rang)使用體(ti)驗(yan)惱于卡頓(dun);另一方面,出(chu)現(xian)問題時(shi)各家(jia)廠商(shang)互(hu)相推(tui)諉(wei)扯皮的現(xian)象(xiang)時(shi)有發生。
總體來說“理想豐(feng)滿,現(xian)實骨感”,一(yi)味堆疊終端(duan)(duan)安全產(chan)品,也對業(ye)務產(chan)生了(le)一(yi)些負面影響。這表現(xian)在運(yun)維(wei)(wei)上,則是繁多的(de)產(chan)品讓終端(duan)(duan)運(yun)維(wei)(wei)變得繁雜、低(di)效,加大了(le)終端(d��������uan)(duan)運(yun)維(wei)(wei)工作人員的(de)負擔(dan)。
數字(zi)化辦公環境下,終(zhong)(zhong)(zhong)端(duan)已經成(cheng)為(wei)員工訪(fang)問(wen)(wen)企業(ye)數字(zi)化系統最重要的工具(ju),每(mei)當終(zhong)(zhong)(zhong)端(duan)出(chu)現(xian)問(wen)(wen)題之后,不論(lun)問(wen)(wen)題大(da)�����小,大(da)家都會條件反射地(di)對接(jie)運維(wei)(wei)人員,導(dao)致運維(wei)(wei)人員的工作量(liang)成(cheng)倍擴增。但終(zhong)(zhong)(zhong)端(duan)承載的業(ye)務、功(gong)能多元化,導(dao)致終(zhong)(zhong)(zhong)端(duan)管理本身就比較困難(nan);加之終(zhong)(zhong)(zhong)端(duan)安全方面缺乏類似可度量(liang)的指標,無(wu)法持續對終(zhong)(zhong)(zhong)端(duan)的整體安全情(qing)況進(jin)行檢測,壓垮終(zhong)(zhong)(zhong)端(duan)運維(wei)(wei)的稻草一直在持續疊加。
除(chu)了(le)(le)內憂,還(huan)有(you)黑(hei)(hei)客帶來(lai)的(de)外患。黑(hei)(hei)客組織專業化(hua)(hua)、體系化(hua)(hua)情況下,割裂的(de)產(chan)品則容易導致(zhi)攻防(f����ang)(fang)不對(dui)稱,防(fang)(fang)護效果大(da)打折扣。尤其現(xian)在人(ren)工智能攻防(fang)(fang)呈現(xian)對(dui)抗發(fa)展的(de)演化(hua)(hua),黑(hei)(hei)客基(ji)于人(ren)工智能的(de)攻擊越來(lai)越隱蔽化(hua)(hua),又加(jia)大(da)了(le)(le)�����應對(dui)難度。
不過,最(zui)近(jin)風向好像變(bian)了(le),在認識到產品堆(dui)疊的一(yi)系列問題(ti)之(zhi)后,一(yi)些(xie)網(wang)絡(luo)安全(quan)(quan)廠商開始強調(di������ao)產品要(yao)走向輕量化,減少產品堆(dui)疊,強調(diao)以提升效率(lv)為主。“網(wang)絡(luo)安全(quan)(quan)最(zui)小化,網(wang)絡(luo)安全(quan)(quan)要(yao)打合成(cheng)仗”的口號也在業內形成(cheng)了(le)此起彼伏(fu)的聲浪。
隨(sui)著技(ji)術的(de)革(��������ge)命、技(ji)術的(de)迭代,終端(duan)安全也需要(yao)做減法,變(bian)得更加簡潔、有序和有防御性。
安全(quan)治理(li)開始前置,向管理(li)角度(du)傾斜。
終端安(an)全與業務的(de)關(guan)聯(lian)示例一方面明示了(le)安(an)全治(zhi)理要(yao)做������減(jian)法的(de)思路,另一方面,也隱含了(le)安(an)全理念急需加強的(de)潛在問(wen)題(ti)。
此前(qian),騰訊安(an)全聯(lian)合安(an)在,先后(hou)對1500余位(wei)企業(ye)CSO,50多位(wei)企業(ye)家及行業(ye)專家進行了(le)調研(yan),調研(yan)發(fa)(fa)(fa)現,發(fa)(fa)(fa)展驅動(dong)成為(wei)大(da)家的普遍共(gong)識,即基于“治已(yi)病(bing)”發(fa)(fa)(fa)展為(wei)“治未病(bi����ng)”的前(qian)置(zhi)�����安(an)全的觀念。
騰訊集團(tuan)副總(zong)裁(cai)、騰訊安全(quan)(quan)總(zong)裁(cai)丁珂認為,安全(quan)(quan)建(jian)設的范式正(zheng)在(zai)從被動(dong)(dong)安全(quan)(quan)逐步演(yan)變(bian)為主(zhu)(zhu)動(dong)(dong)防御,是這(zhe)個階(jie)段(duan)企業建(jian)設安全(quan)(quan)的核心考量。他還表示(shi):“企業家(jia)的整體(ti)安全(quan)(quan)思維要進(jin)行變(bian)革:用主(zhu)(zhu)動(dong)(dong)的方(fang)式建(jian)�������立(li)具(ju)有(you)彈性、自(zi)適應、可擴展(zhan)的數(shu)字安全(quan)(quan)免(mian)疫系(xi)統。”
但現實問(wen)題恰恰就在于,企(qi)業家(jia)的思維變革并不容易。類似“先天性數字安全免疫力”,即(ji)企(qi)業的安全文(wen)化和意識的推進也(����������ye)并不輕松。
對于(yu)上(shang)述問題,施耐德電(dian)器的(de)管(guan)理經(jing)驗是,通過(guo)(guo)識別、評(ping)估、分類分級流(liu)程后(hou)建立的(de)風(feng)險注冊表(b�����iao),將可能(neng)發生的(de)風(feng)險因(yin)素與高(gao)管(guan)們每個人的(de)職(zhi)責相綁(bang)定,提高(gao)企業高��������(gao)層們對安全風(feng)險的(de)預警意識,認識到(dao)自己并不(bu)是游離在安全之外的(de)因(yin)素。而通過(guo)(guo)風(feng)險注冊表(biao),不(bu)僅能(neng)將安全責任(ren)落實(shi)到(dao)整(zheng)個體系中(zhong),也(ye)能(neng)通過(guo)(guo)定期、持續的(de)評(ping)估來了解企業是進步還是退步。
安(an)全的保障一(yi)定是(shi)技(ji)術和(he)��������組(zu)織(zhi)的雙(shuang)輪(lun)驅(qu)動(dong)。中國人民大學(xue)商學(xue)院教授(shou)、國際(ji)信息(xi)系統學(xue)會(hui)中國分會(hui)(CNAIS)主席(理事(shi)長)毛基業表(biao)示:“我(wo)們當年講ERP是(shi)組(zu)織(zhi)變革,是(shi)三分技(ji)術、七分管理,今天講數字經濟、數字化轉型還(huan)是(shi)講三分技(ji)術、七分組(zu)織(zhi)。最主要(yao)的是(shi)生產力的解(jie)放,要(yao)靠生產關(guan)系靠組(zu)織(zhi)變革來完成。雙(shuang)輪(lun)驅(qu������)動(dong),除了有(you)(you)技(ji)術,還(huan)要(yao)有(you)(you)管理層(ceng)面最深(shen)層(ceng)的治理關(guan)系,所有(you)(you)制、責權利相符。”
將安全(quan)(quan)前置,以管理視(shi)角優先,多層(ceng)面(mian)地提高(gao)安全��������(quan)(quan)風(feng)險意識,接下來還需要企業在喊口號之(zhi)外,再多走兩(liang)步。
另(ling)外,以下九個趨勢將在(zai)這三個領(ling)域對SRM領�������(ling)導(dao)者產生廣(guang)泛影響:
趨勢1:以人為本的安全設計
采(cai)用以(yi)人(ren)(ren)為本的(de)設(she)計(ji)原(yuan)(yuan)則,將員工(gong)體驗在整個控制措施(shi)管(guan)理(li)生命周期(qi)中的(de)作(zuo)用放在第(di)一(yi)位。到2027年,50%的(d������e)大型企業首(shou)席信息安全(quan)(quan)官(CISO)將采(cai)用以(yi)人(ren)(ren)為本的(de)安全(quan)(quan)設(she)計(ji)原(yuan)(yuan)則,以(yi)盡量減少網絡安全(quan)(quan)運營摩擦,并盡可能(neng)推動控制措施(shi)的(de)采(cai)用。
Gartner高(gao)級研究總監Richard Addiscott表示:“傳(chuan)統的(de)安(an)全(quan)意識培養計劃(hua)未(wei)能減少不(bu)安(an)全(quan)的(de)員(yuan)工行(xing)為(wei)。首席信(xin)息(xi)安(an)全(quan)官必須重新審視過(guo)去的(de)網絡(luo)安(an)全(quan)事件(jian),確定網絡(luo)安(an)全(quan)運營摩擦的(de)主要來源,判斷在實(shi)施(shi)(shi)控制措施(shi)(shi)的(de)同時如何通過(guo)更多人文關懷來減輕員(yuan)工的(de)負擔,或取消那些增加(jia)摩擦卻無(wu)法(fa)有效降(jiang)低(di)風險的(de)控制措施(��������shi)(shi)。”
趨勢2:改進人才管理,保障安全計劃的可持續性
以前,網絡(luo)安(an)(an)(an)全領導者始終重(zhong)視改進安(an)(an)(an)全計劃背后的(de)技術(shu)和流程,很少(shao)關注具(ju)體的(de)實施者。為吸引(yin)和留住(zhu)人(ren)(ren)才,不(bu)少(shao)首席信(xin)息安(an)(an)(an)全官采用以人(ren)(ren)為本的(de)人(ren)(ren)才管理方法,推動安(an)(an)(an)全職能和技術(shu)的(de)日益成熟(shu)。Gartner預測(ce),到2026年(���nian),為了解(jie)決系統性的(de)網絡(luo)安(an)(an)(an)全和招聘(pin)(pin)難題,60%的(de)企(qi)業機構將從(cong)對外招聘(pin)(pin)轉(zhuan)向 “悄(qiao)(qiao)悄(qiao)(qiao)招聘(pin)(pin)”,在企(qi)業機構內部(bu)物色所需(xu)的(de)人(ren)(ren)才。
趨勢3:轉變網絡安全運營模式,推動價值創造
技(ji)術正(zheng)在從中央IT部門轉移到各(ge)業務(wu)線、職能部門、融合團隊(dui)和員(yuan)工(gong)個人。Gartner的一項(xiang)調(diao)研發(fa)現,41%的員(yuan)工(�����gong)在從事某種技(ji)術工(gong)作,并且該趨(qu)勢預計將在未來(lai)五年繼續(xu)加深。
Addiscott表示:“如今企業領導者普遍認為,網絡安(an)全(quan)風險(xian)已(yi)成(cheng)為需認真(zhen)對待的首要業務(wu)風險(xian������),而不再(zai)僅(jin)僅(jin)是有待解決的技術問題。支(zhi)持和加速業務(wu)成(cheng)果,既是網絡安(an)全(quan)工作(zuo)的核心目標�����,也(ye)是一項(xiang)重大的挑(tiao)戰。”
首席信息安(an)全官必(bi)(bi)須調整網絡安(an)全的(de)運營模式,通過(guo)綜(zong)合(he)方法達成(cheng)工作(zuo)目(mu)標。員工必(bi)(bi)須了(le)解如何平衡網絡安(an)全、財(cai)務(wu)、聲譽、競爭、法律等諸多�����方面的(de)風險。還必(bi)(bi)須將網絡安(an)全與業務(wu)價值掛鉤,從(cong)業務(wu)成(cheng)果和(he)重點目(mu)標的(de)角度來衡量和(he)報告項(xiang)目(mu)效(xiao)果。
趨勢4:威脅暴露面管理
現代企業面臨(lin)的(de)攻擊面十分復(fu)雜,導致(zhi)安(an)(an)(an)全(quan)(quan)防護人員身心疲憊。首席信(xin)息安(an)(an)(an)全(quan)(quan)官必須改善評估方法,實施(shi)連(lian)續威脅(xie)暴露(lu)面管理(li)(CTEM)計劃來(lai)了解威脅(xie)暴露(lu)情(qing)況。Gartner預測,到2026年(nian),根據(ju)CTEM計劃確定安(an)(an)(an)全(quan)(q�����uan)投資優先級的(de)企業機��������構(gou)將(jiang)有能力使安(an)(an)(an)全(quan)(quan)泄露(lu)事件減(jian)少三(san)分之二。
趨勢5:身份編織免疫
身份基礎設施(shi)的(de)脆(cui)弱性來自于(yu)身份編(bian)織中(zhong)的(de)不(bu)完(wan)整、配置錯誤(wu)或脆(cui)弱的(de)要素。到2027年,企業機構將依(yi)靠身份編(bian)織免疫(yi������)原(yuan)則阻止85%的(de)新攻擊,進(jin)而將安全泄露所造成的(de)財(cai)務影響減少80%。
趨勢6:網絡安全驗證
網絡安(an)全(quan)驗證(zheng)匯集(ji)了多項技術、流(liu)程(cheng)(cheng)和(he)工(gong)具,旨在對潛(qian)在攻擊(ji)者(zhe)利用已(yi)知(zhi)威脅(xie)暴露面(mian)的(de)方式進(jin)行驗證(zheng)。支(zhi)持網絡安(an)全(quan)驗證(zheng)的(de)工(gong)具已(yi)取得重大進(jin)步,已(yi)實現(xian)可重復以(yi)及可預測評(ping)估環節的(de)自動化(hua),支(zhi)持對于攻擊(ji)技術、安(an)全(quan)控制和(he)流(liu)程(cheng)(cheng)的(de)常規基準化(hua)分析。到2026年,超(chao)過40%的(de)企業機(ji)構(其中(zhong)(zhong)三分之二為中(zhong)(zhong)型企業)將依靠整合(he)平臺來執行網絡安(������an)全(qua����n)驗證(zheng)評(ping)估。
趨勢7:網絡安全平臺整合
由于(yu)企業(ye)機構希望簡化運營,各(ge)廠(chang)商正在圍繞一個(ge)或(huo)多個(ge)主要(yao)的網(wang)絡安(an)全(quan)領域進行平(ping)臺整(zheng)合。例如,通過一個(ge)集(ji)治理(li)、特許訪問和(he)訪問管理(li)功(gong)能于(yu)一身的共同平(ping)臺提供(gong)身份安(an)全(quan)服務。SRM領導(dao)者(zhe)需要(yao)持續盤�������點安(an)全(quan)控制措施,以便了解哪些(xie)領域存在功(gong)能重疊�����,并(bing)通過整(zheng)合平(ping)臺減少冗余(yu)。
趨勢8:組裝式業務需要組裝式安全
為(wei)應(ying)對不斷加快的(de)業務變化(������hua)步(bu)伐,企業機構必須從(cong)擺脫對單體系統的(de)依賴(lai),轉而向各類應(ying)用(yong)添加模塊化(hua)功能(neng)。組裝式安全是指將(jiang)(jiang)網絡安全控(kong)制措施整合到架(jia)構模式中,然后以模塊化(hua)方式運用(yong)至可組裝技(ji)術中。到2027年,超過50%的(de)核心業務應(ying)用(yong)將(jiang)(jiang)使用(yong)組裝式架(jia)構,因此需(xu)要一(yi)種(zhong)新方法來保(bao)護這些(xie)應(ying)用(yong)的(de)安全。
趨勢9:董事會擴大網絡安全監管權限
由于(yu)網絡(luo)安(an)(an)全責任的(de)歸屬(shu)日益明確,而董(dong)事(shi)會成員在治理活(huo)動中的(de)責任也越來(lai)越大(da),因此董(dong����)事(shi)會對網絡(luo)安(an)(an)全更加重視(shi)。網絡(luo)安(an)(an)全領導(dao)者必須向董(dong)事(shi)會提供(gong)相(xiang)關(guan)的(de)報告,證明網絡(luo)安(an)(an)全計劃對企������(qi)業(ye)機構短期和長期目標的(de)影(ying)響。
鄭州博觀電子科技有限公司是一家提供科技類物聯網開發軟(ruan)硬件定制化(hua)方(fang)案(an)服(fu)(fu)務(wu)商、也是中(zhong)原(yuan)地(di)區領先的(de)物(wu)聯網(wang)終端設(she)備解決方(fang)案(an)提供商。致力共(gong)享(xiang)換電柜(ju)、智能充(chong)電樁、共(gong)享(xiang)洗車機、物(wu)聯網(wang)軟(ruan)硬件等服(fu)(fu)務(wu)平臺的(de)方(fang)案(an)開(�����kai)發與(yu)運維。總(zong)部位于(yu)河南省鄭(zheng)州市高新區,已取得國家高新技術企業認證證書。經(jing)過(guo)10多年的(de)業務(wu)開(kai)拓,公(gong)司(si)已經(jing)形成了以(yi)中(zhong)原(yuan)地(di)區為中(zhong)心、業務(wu)遍布全國的(de)經(jing)營格(ge������)局。
