战略风险分析对产品安全和用户信任的意义

2023年5月29日11:37:03评论18 views字数 4205阅读14分1秒阅读模式

当下的监管合规要求对面向C端客户的企业带来了很大的挑战。某智能识别的科技公司因科创属性不足、数据安全隐患等方面的压力，致使其拟IPO多年都未能成功上市。据悉，该公司的主要营收仰仗于智能文字识别和商业大数据这两项业务，其中，C端业务占据总营收的70%以上。然而，由于该公司未能解决C端带来的数据安全问题，同时其产品曾遭到工信部的通报，导致IPO进程迟迟无法推进。

一家以C端为主要营收的企业，却因为C端产品阻碍了上市的进程。对此，不少业内人士表示，C端方面的安全性需要得到重视和加强。与此同时，当下的CISO已经不再局限于企业内部的安全状况，而是需要专注于保护产品和和面向公众的应用程序。

现在，几乎所有C端应用程序都是与网络强相关的，客户端展示的很多东西都是通过接口从服务器上获取的。当然，服务器也会接受大量从客户端上传的数据，这种双向通信很容易被第三方获取，导致数据被盗取、接口被盗刷。

应用安全漏洞主要体现在四个方面：

运行环境安全

程序自身保护

数据存储安全

身份认证安全

C端应用程序如果没有做好安全防护，就算其功能再强大、用户数再多，也无法长久正常运营。这对于企业来说都会带来巨大的损害，那么，CISO该如何应对和保障产品和C端应用程序的安全性？

战略风险分析对产品安全和用户信任的意义

利用战略风险评估

LeadingEdgeCyber合伙人兼ISACA成员Neil Lappage表示，通过战略风险评估可以帮助CISO提高C端应用的安全性。他表示，战略风险评估要根据用户协议和监管要求等关键因素确定安全基线，安全从业者需要了解利益相关方以及相互之间的利益关系和安全目标，要在用户协议和监管要求的参数范围内设置风险评估标准。

战略风险分析对产品安全和用户信任的意义

定义组织风险状况的过程还需要IT、网络安全和风险专业人员之间的大力合作。Lappage表示，战略风险评估涉及到网络安全团队与IT部门合作并向业务部门报告，因此需要网络、IT和风险之间协同工作。如果网络与业务隔离，那么安全就不了解业务，风险就不会得到优化。

将安全目标映射到客户信任模型

对于以用户为导向的安全，Lappage建议将内部安全目标映射到组织希望与用户开发的信任模型中，这可以让企业了解用户端解决方案的风险状况。

如果一项资产面向互联网，那么它将成为风险预测中的一个关键组成部分，在风险较高时需要采取更有力的控制措施。当这些面向互联网的系统对业务影响最大时，就必须关注这些系统，这遵循基于固有风险对投资进行优先排序的协议。

Lappage还建议到，在大型企业中，CISO可以得到向CISO报告的商业信息安全官员（BISO）的协助。组织中需要有人辅助CISO管理那些不那么重要的安全领域，这会让CISO有更多的精力关注更主要的是。但是，CISO不要因此失去大局观，下面的人可以分工，但CISO必须拥有完整的观点。

定义外部风险状况

Lexmark CISO Bryan Willett表示，在考虑如何将资源和预算投资于风险最大的领域时，必须从风险的角度来看待一切，以确定风险最大的地方。

在打印机和成像产品业务中，团队需要维护一个安全的业务系统，就像他们需要开发安全的产品一样。Willett表示，他的企业拥有后台系统和用户服务门户网站，其中包括用户数据和公司数据，这是风险评估的必经之路。

在确保产品落入用户手中时，有很多不同的考虑因素。Willett表示，以可重复的方式提供安全的产品意味着企业必须拥有一套良好的流程和一群知道提供安全产品有多难的用户。业务系统通常拥有内部监控和警报，但C端产品则需要客户有能力对其进行监控，这意味应用补丁、监控日志、固件更新等方面都需要用户来完成。

Lexmark拥有专业的安全团队，同那些订阅安全服务的用户外联，以帮助其解决安全威胁并降低安全风险。在当下的环境中，用户有义务同企业一起将补丁应用到他们的环境中。“很多时候，一个正常工作的设备往往会被忽视，但对于C端用户而言，他们有共同的责任来应用这些补丁和固件”Willett表示。

销售硬件可以包括提供相关服务，无论是SaaS、PaaS还是某种履行服务，如打印机中的墨粉。无论是B2B还是B2C，面向C端都会带来一系列复杂的安全考虑因素，因为与公司网络通信的客户设备需要以安全的方式进行通信。

与外网的用户设备链接意味着风险，其中包括网络协议和操作系统漏洞，以及确保API网关安全的应用程序级问题等等。目前，针对API攻击的安全事件越来越多，对API的预防、检测和解决正在逐渐兴起。

与此同时，分析风险需要考虑到客户设备与企业内网进行固件更新时的连接口。外部产品或系统与企业的内网和系统之间不可能有一条完全开放的隧道，必须有一种控制措施来验证所有从用户侧返回的内容，以防止任何的恶意输入。

战略风险分析对产品安全和用户信任的意义

学术合作对企业制定风险解决方案中的作用

在某些情况下，战略风险分析可以突出特定的安全需求或差距。为了制定解决方案，CISO可以求助于学术合作，对不同问题进行专门的研究。

Lappage认为，组织接受学术合作有很多积极因素，比如能够利用一些学术思维提供意见和想法，同时还可以通过引入年轻人来获取创新思路。

与此同时，学术合作还可以以战略合作的方式开发最佳的解决方案。当下的网络安全不是一个人或一个组织就可以做到万无一失，而是需要集体的努力和思维。对此，南澳大利亚大学SmartSat CRC的网络安全主席Jill Slay表示，学术界和行业的合作可以帮助制定更好的解决方案。

SmartSat是一个有学术和行业合作关系的合作研究中心。Slay表示，合作研究中心（CRC）模式的好处是能够培养关系，获得某种利基培训，或者能够与一两个熟悉某个领域的人开发利基产品和概念。

值得注意的是，企业和供应商对于学术论文并不感兴趣，他们更关注与专业领域和实用主义，学者应该应用研究、知识和解决问题来满足需求，并开发某种新的工具或解决方案，而非写论文。

Slay表示，当合作双方都能从学术合作中明确想法时，合作的效率和效果会大大提升。因此，有必要制定一个共同的研究问题和商定的合作研究方法，同时，为了发挥最大的作用，CISO需要非常清楚公司本身、议程、想要探索或开发的内容及其要求。

战略风险分析对产品安全和用户信任的意义

专家观点

信息安全专家陈圣表示，一群关注信息安全领域的从业者组合在一起，可能是一个平台。比如通过诸子云集结的为数众多的甲方们，在企业安全领域进行研究和交流，并共同推动该领域的发展。行业从业者能够在这里相互交流合作，发表自己研究的成果或项目，并一起就目前当下实时的信息安全动态或事件发表观点、探讨并引发共鸣。

在这一过程中，对不同的领域、行业的安全从业者而言，特别在制定安全策略或从事信息安全相关工作的提升一定是有积极作用的。在这个所谓的信息安全甲方“学术圈”中，大家通过发表观点、发表沉淀下来的文章，或者参加研讨会议、安全峰会、线上线下闭门座谈、讲座等方式进行交流合作，每个参与者通常在行业或者企业中都有着较为扎实的技术或专业背景，彼此从事的研究和管理具有一定的实操价值和借鉴意义。不仅可以为广大安全从业者提供一个共同的平台和交流渠道，促进合作和共同进步，还能帮助彼此建立广泛的人脉和合作关系，更加容易获取想要的信息和资源，甚至是碰撞出闪亮的火花，这对行业乃至个人工作质量和效率的提升也有积极意义。

个人觉得信息安全甲方“学术圈”可以说是推动行业创新和发展不可或缺的一股力量，它为从业者们提供了一个展示自我及和提升自我价值的平台，也为行业提供一种检验研究成果和发现问题的机制。具体体现在以下几点：

1.专业技能的提高——参加研讨会、闭门会、论坛等活动可以了解最新的行业研究进展和安全技术发展趋势，帮助自己保持专业技能及行业最新发展动态的更新和提高

2.人脉及资源的拓展——行业间的交流和合作，甚至是跨行业领域的安全痛点的借鉴，认识更多的优秀同行及专业领域的专家，建立合作关系和纽带，获取更多的信息和资源，有助于公司及个人的工作和发展

3.职业竞争力的提升——提高职场的专业程度及机会

4.工作能力及研究成果的认可——对自己的工作能力及研究内容进行评审和讨论，获得广泛的认可和反馈，从而提高行业知名度及影响力和声誉，进一步提升自我潜力。

某白帽子安全专家表示，我们的手机和其应用程序APP存储并处理我们的个人信息、照片、录音、录像、笔记、银行账户信息、购物信息、社交信息、定位等等。入侵了一个人的智能手机，就相当于得到对这个人的生活的所有信息。对比于电脑，智能手机这类移动设备容易丢失或被盗，并且随着恶意软件愈演愈烈，对手机上面的敏感信息保护需求就愈发显著。

从黑客的角度来看，C端应用程序需要具备以下安全标准：