從物聯(lián)網(wǎng)、工業(yè)4.0�����,直至現(xiàn)在IoT萬物互聯(lián)的概念被提出之后,網(wǎng)絡(luò)安全的覆蓋范圍隨之擴大����,在整體上對信息安全從業(yè)者的要求有了很大的變化,以前靠傳統(tǒng)硬件堆疊就能解決大多數(shù)問題的時代��,一去不復返��。
反觀現(xiàn)狀���,網(wǎng)絡(luò)安全產(chǎn)品與功能的高速發(fā)展��,響應(yīng)與治理的分割�,運營與處置的矛盾,都讓安全領(lǐng)域亟待提升強化�����。而這種強化����,并不是單純追求技術(shù)能力的提升,而是要求企業(yè)先要從安全理念上突破和改變���。
近來�����,“在安全上做減法,降低復雜性”��,以及“‘前置安全’�,加強管理手段”的相關(guān)安全理念在業(yè)界被反復提及。
物聯(lián)網(wǎng)對網(wǎng)絡(luò)安全的需求不斷增長�����。
近年來,物聯(lián)網(wǎng)越來越受歡迎����,目前有數(shù)百萬設(shè)備連接到互聯(lián)網(wǎng)。然而�,物聯(lián)網(wǎng)的擴展帶來了新的網(wǎng)絡(luò)安全挑戰(zhàn)。
物聯(lián)網(wǎng)中的“物”是指計算機�、電話和服務(wù)器以外的設(shè)備,是連接到互聯(lián)網(wǎng)并交換數(shù)據(jù)的物理對象�����。物聯(lián)網(wǎng)設(shè)備包括可穿戴健身追蹤器����、智能手表和谷歌主頁等語音助手。
物聯(lián)網(wǎng)的一個主要問題是����,大多數(shù)設(shè)備的安全功能都很低,容易受到攻擊����。此外,大量物聯(lián)網(wǎng)連接設(shè)備形成了一個難以防御的重要攻擊面。
為了應(yīng)對這一風險�����,各企業(yè)應(yīng)實施強有力的身份驗證�,和加密措施以及強大的監(jiān)控和響應(yīng)系統(tǒng)。此外����,在發(fā)生安全漏洞時,需要制定一個協(xié)調(diào)一致���、行之有效的應(yīng)對計劃����,因為這可以減少攻擊的影響���,降低數(shù)據(jù)丟失的風險�����。
一味堆疊產(chǎn)品弊病凸顯,網(wǎng)絡(luò)安全亟需做減法��。
近年來�,數(shù)字化轉(zhuǎn)型升級讓大量的企業(yè)都開始使用公有云��、遠程辦公來提高效率���,從而導致風險暴露面的擴大,再加上合規(guī)建設(shè)等要求�,企業(yè)們紛紛加大了對終端安全的投入。
不過��,久而久之���,這體現(xiàn)在行動上���,則成了一味堆疊產(chǎn)品。
“終端安全產(chǎn)品堆疊是企業(yè)普遍存在的弊病����。”某網(wǎng)絡(luò)安全廠商對鈦媒體App表示���。鈦媒體App也了解到��,在終端安全中一味堆疊產(chǎn)品并不能擁有1+1>2的效果�����,相反�����,有時還會出現(xiàn)小于2的情形����。
終端瘋狂堆砌安全產(chǎn)品的另一面,是企業(yè)會打包不同網(wǎng)絡(luò)安全廠商產(chǎn)品一起使用���,這也產(chǎn)生了兩方面的不利影響:一方面�����,大量產(chǎn)品堆疊讓使用體驗惱于卡頓��;另一方面����,出現(xiàn)問題時各家廠商互相推諉扯皮的現(xiàn)象時有發(fā)生�����。
總體來說“理想豐滿�����,現(xiàn)實骨感”����,一味堆疊終端安全產(chǎn)品,也對業(yè)務(wù)產(chǎn)生了一些負面影響�。這表現(xiàn)在運維上,則是繁多的產(chǎn)品讓終端運維變得繁雜���、低效���,加大了終端運維工作人員的負擔。
數(shù)字化辦公環(huán)境下��,終端已經(jīng)成為員工訪問企業(yè)數(shù)字化系統(tǒng)最重要的工具���,每當終端出現(xiàn)問題之后�����,不論問題大小���,大家都會條件反射地對接運維人員����,導致運維人員的工作量成倍擴增�。但終端承載的業(yè)務(wù)、功能多元化��,導致終端管理本身就比較困難���;加之終端安全方面缺乏類似可度量的指標���,無法持續(xù)對終端的整體安全情況進行檢測,壓垮終端運維的稻草一直在持續(xù)疊加����。
除了內(nèi)憂,還有黑客帶來的外患���。黑客組織專業(yè)化����、體系化情況下��,割裂的產(chǎn)品則容易導致攻防不對稱,防護效果大打折扣���。尤其現(xiàn)在人工智能攻防呈現(xiàn)對抗發(fā)展的演化���,黑客基于人工智能的攻擊越來越隱蔽化��,又加大了應(yīng)對難度��。
不過�����,最近風向好像變了����,在認識到產(chǎn)品堆疊的一系列問題之后,一些網(wǎng)絡(luò)安全廠商開始強調(diào)產(chǎn)品要走向輕量化���,減少產(chǎn)品堆疊��,強調(diào)以提升效率為主����。“網(wǎng)絡(luò)安全最小化�����,網(wǎng)絡(luò)安全要打合成仗”的口號也在業(yè)內(nèi)形成了此起彼伏的聲浪�。
隨著技術(shù)的革命、技術(shù)的迭代�,終端安全也需要做減法,變得更加簡潔��、有序和有防御性�。
安全治理開始前置,向管理角度傾斜����。
終端安全與業(yè)務(wù)的關(guān)聯(lián)示例一方面明示了安全治理要做減法的思路,另一方面���,也隱含了安全理念急需加強的潛在問題�����。
此前��,騰訊安全聯(lián)合安在��,先后對1500余位企業(yè)CSO�,50多位企業(yè)家及行業(yè)專家進行了調(diào)研,調(diào)研發(fā)現(xiàn)�����,發(fā)展驅(qū)動成為大家的普遍共識�����,即基于“治已病”發(fā)展為“治未病”的前置安全的觀念����。
騰訊集團副總裁���、騰訊安全總裁丁珂認為����,安全建設(shè)的范式正在從被動安全逐步演變?yōu)橹鲃臃烙?,是這個階段企業(yè)建設(shè)安全的核心考量。他還表示:“企業(yè)家的整體安全思維要進行變革:用主動的方式建立具有彈性�����、自適應(yīng)、可擴展的數(shù)字安全免疫系統(tǒng)�。”
但現(xiàn)實問題恰恰就在于�,企業(yè)家的思維變革并不容易。類似“先天性數(shù)字安全免疫力”�,即企業(yè)的安全文化和意識的推進也并不輕松。
對于上述問題��,施耐德電器的管理經(jīng)驗是���,通過識別�、評估�、分類分級流程后建立的風險注冊表,將可能發(fā)生的風險因素與高管們每個人的職責相綁定���,提高企業(yè)高層們對安全風險的預警意識��,認識到自己并不是游離在安全之外的因素��。而通過風險注冊表�,不僅能將安全責任落實到整個體系中��,也能通過定期、持續(xù)的評估來了解企業(yè)是進步還是退步����。
安全的保障一定是技術(shù)和組織的雙輪驅(qū)動。中國人民大學商學院教授���、國際信息系統(tǒng)學會中國分會(CNAIS)主席(理事長)毛基業(yè)表示:“我們當年講ERP是組織變革��,是三分技術(shù)�、七分管理����,今天講數(shù)字經(jīng)濟、數(shù)字化轉(zhuǎn)型還是講三分技術(shù)�����、七分組織��。最主要的是生產(chǎn)力的解放�����,要靠生產(chǎn)關(guān)系靠組織變革來完成���。雙輪驅(qū)動���,除了有技術(shù),還要有管理層面最深層的治理關(guān)系����,所有制、責權(quán)利相符����。”
將安全前置�����,以管理視角優(yōu)先���,多層面地提高安全風險意識�����,接下來還需要企業(yè)在喊口號之外�,再多走兩步���。
另外��,以下九個趨勢將在這三個領(lǐng)域?qū)RM領(lǐng)導者產(chǎn)生廣泛影響:
趨勢1:以人為本的安全設(shè)計
采用以人為本的設(shè)計原則��,將員工體驗在整個控制措施管理生命周期中的作用放在第一位�。到2027年,50%的大型企業(yè)首席信息安全官(CISO)將采用以人為本的安全設(shè)計原則��,以盡量減少網(wǎng)絡(luò)安全運營摩擦�,并盡可能推動控制措施的采用。
Gartner高級研究總監(jiān)Richard Addiscott表示:“傳統(tǒng)的安全意識培養(yǎng)計劃未能減少不安全的員工行為�。首席信息安全官必須重新審視過去的網(wǎng)絡(luò)安全事件,確定網(wǎng)絡(luò)安全運營摩擦的主要來源��,判斷在實施控制措施的同時如何通過更多人文關(guān)懷來減輕員工的負擔�,或取消那些增加摩擦卻無法有效降低風險的控制措施?���!?/p>
趨勢2:改進人才管理�,保障安全計劃的可持續(xù)性
以前,網(wǎng)絡(luò)安全領(lǐng)導者始終重視改進安全計劃背后的技術(shù)和流程���,很少關(guān)注具體的實施者����。為吸引和留住人才,不少首席信息安全官采用以人為本的人才管理方法����,推動安全職能和技術(shù)的日益成熟。Gartner預測��,到2026年���,為了解決系統(tǒng)性的網(wǎng)絡(luò)安全和招聘難題���,60%的企業(yè)機構(gòu)將從對外招聘轉(zhuǎn)向 “悄悄招聘”,在企業(yè)機構(gòu)內(nèi)部物色所需的人才�。
趨勢3:轉(zhuǎn)變網(wǎng)絡(luò)安全運營模式,推動價值創(chuàng)造
技術(shù)正在從中央IT部門轉(zhuǎn)移到各業(yè)務(wù)線��、職能部門���、融合團隊和員工個人���。Gartner的一項調(diào)研發(fā)現(xiàn),41%的員工在從事某種技術(shù)工作����,并且該趨勢預計將在未來五年繼續(xù)加深��。
Addiscott表示:“如今企業(yè)領(lǐng)導者普遍認為����,網(wǎng)絡(luò)安全風險已成為需認真對待的首要業(yè)務(wù)風險�,而不再僅僅是有待解決的技術(shù)問題。支持和加速業(yè)務(wù)成果�,既是網(wǎng)絡(luò)安全工作的核心目標,也是一項重大的挑戰(zhàn)�����?!?/p>
首席信息安全官必須調(diào)整網(wǎng)絡(luò)安全的運營模式,通過綜合方法達成工作目標����。員工必須了解如何平衡網(wǎng)絡(luò)安全、財務(wù)�、聲譽、競爭�、法律等諸多方面的風險�����。還必須將網(wǎng)絡(luò)安全與業(yè)務(wù)價值掛鉤,從業(yè)務(wù)成果和重點目標的角度來衡量和報告項目效果�。
趨勢4:威脅暴露面管理
現(xiàn)代企業(yè)面臨的攻擊面十分復雜,導致安全防護人員身心疲憊����。首席信息安全官必須改善評估方法,實施連續(xù)威脅暴露面管理(CTEM)計劃來了解威脅暴露情況��。Gartner預測�����,到2026年���,根據(jù)CTEM計劃確定安全投資優(yōu)先級的企業(yè)機構(gòu)將有能力使安全泄露事件減少三分之二�。
趨勢5:身份編織免疫
身份基礎(chǔ)設(shè)施的脆弱性來自于身份編織中的不完整���、配置錯誤或脆弱的要素�。到2027年�,企業(yè)機構(gòu)將依靠身份編織免疫原則阻止85%的新攻擊,進而將安全泄露所造成的財務(wù)影響減少80%����。
趨勢6:網(wǎng)絡(luò)安全驗證
網(wǎng)絡(luò)安全驗證匯集了多項技術(shù)�����、流程和工具�����,旨在對潛在攻擊者利用已知威脅暴露面的方式進行驗證���。支持網(wǎng)絡(luò)安全驗證的工具已取得重大進步,已實現(xiàn)可重復以及可預測評估環(huán)節(jié)的自動化����,支持對于攻擊技術(shù)、安全控制和流程的常規(guī)基準化分析���。到2026年���,超過40%的企業(yè)機構(gòu)(其中三分之二為中型企業(yè))將依靠整合平臺來執(zhí)行網(wǎng)絡(luò)安全驗證評估。
趨勢7:網(wǎng)絡(luò)安全平臺整合
由于企業(yè)機構(gòu)希望簡化運營���,各廠商正在圍繞一個或多個主要的網(wǎng)絡(luò)安全領(lǐng)域進行平臺整合���。例如,通過一個集治理�����、特許訪問和訪問管理功能于一身的共同平臺提供身份安全服務(wù)����。SRM領(lǐng)導者需要持續(xù)盤點安全控制措施,以便了解哪些領(lǐng)域存在功能重疊���,并通過整合平臺減少冗余�����。
趨勢8:組裝式業(yè)務(wù)需要組裝式安全
為應(yīng)對不斷加快的業(yè)務(wù)變化步伐�����,企業(yè)機構(gòu)必須從擺脫對單體系統(tǒng)的依賴��,轉(zhuǎn)而向各類應(yīng)用添加模塊化功能�。組裝式安全是指將網(wǎng)絡(luò)安全控制措施整合到架構(gòu)模式中�,然后以模塊化方式運用至可組裝技術(shù)中��。到2027年�,超過50%的核心業(yè)務(wù)應(yīng)用將使用組裝式架構(gòu)��,因此需要一種新方法來保護這些應(yīng)用的安全�。
趨勢9:董事會擴大網(wǎng)絡(luò)安全監(jiān)管權(quán)限
由于網(wǎng)絡(luò)安全責任的歸屬日益明確,而董事會成員在治理活動中的責任也越來越大�����,因此董事會對網(wǎng)絡(luò)安全更加重視��。網(wǎng)絡(luò)安全領(lǐng)導者必須向董事會提供相關(guān)的報告�,證明網(wǎng)絡(luò)安全計劃對企業(yè)機構(gòu)短期和長期目標的影響。
鄭州博觀電子科技有限公司是一家提供科技類物聯(lián)網(wǎng)開發(fā)軟硬件定制化方案服務(wù)商�����、也是中原地區(qū)領(lǐng)先的物聯(lián)網(wǎng)終端設(shè)備解決方案提供商��。致力共享換電柜���、智能充電樁����、共享洗車機、物聯(lián)網(wǎng)軟硬件等服務(wù)平臺的方案開發(fā)與運維�����?����?偛课挥诤幽鲜∴嵵菔懈咝聟^(qū)�����,已取得國家高新技術(shù)企業(yè)認證證書��。經(jīng)過10多年的業(yè)務(wù)開拓����,公司已經(jīng)形成了以中原地區(qū)為中心���、業(yè)務(wù)遍布全國的經(jīng)營格局�����。
