作者简介--------------------------------------------------------
李维春:某券商安全总监
徐正伟:某大型汽车集团安全技术负责人
阿肯:20+年安全老兵,多家世界500强企业安全负责人,安全业务数字化坚定践行者
---------------------------------------------------------------------
1、我们企业安全已经做了很多年,该做的已经差不多了,再做就是修修补补,以及日复一日的运营工作,个人能力没有成长;
2、我们需要安全提质提效、各种安全产品需要融合集成,但是市面上各种新概念、新产品持续出现。比如:零信任、XDR、GPT、CSPM、ASM、SCA、ITDR、隐私计算...,但却似乎没有很好地解决我的问题,不知道接下来怎么做;
3、作为一个有责任心的安全人员,始终兢兢业业,但始终觉得跟公司的业务有点远,公司发展得好、似乎和安全的关系不大,公司发展的不好、首先想到的就是对安全动刀,安全人员没有安全感;
4、企业里面总是要想办法要向上级、高层领导展现安全的价值、必要性,而且隔几年就得换个说法、换一套说辞,不来点新东西好像上上下下就觉得安全团队做的不行、没有与时俱进,但是自己说起新东西的时候有时也觉得有点心虚。
为什么企业安全人员会有这些感受和想法?笔者认为,这是因为企业所处的外部环境正在发生着深刻的变化,这些变化慢慢传导到到各行各业、以及企业经营的各个方面,进而影响到企业安全团队的定位和价值。当然,这其中有在持续发生变化的,也有稳定不变的,今天就来聊聊这些。
国家经济发展方式正在从中低端迈向高端。在高端设计制造和服务业提升的过程中,产业互联、数字化和智能化的进程会进一步加快,企业运营方式、行业生产组织方式、数据流通和产品交付方式都会发生深刻的变化。比如:金融与投资领域的,将会让有创新、有未来想象力的企业得到资本青睐,而没有想象空间的企业将很难上市(即使每年都盈利);思想和社会文化方面的变化,会促使大部分人从自己的意愿和专业能力出发(长期主义),选择一个适合自己的平台发挥特长优势,而不是都想着自己当老板赚钱、光宗耀祖;市场方面的变化,进入存量博弈的企业因为创新不足、效能低下将会被淘汰,生存下来的企业具备更好的创新能力、科技变革能力、提效降本能力(比如利用数字化、自动化和AI技术提效降本),也会有更好的利润和产品定价权,在产业链中占据更大的主动权。因此,符合未来方向又有规模预期的高科技、制造和服务类企业将会获得更多资本支持,金融、互联网都会向实体经济靠拢并倾斜资源、互联互通。在这个过程中,企业的信息系统、数据会变得价值更高,也就更容易受到内外部威胁的关注。
这些变化也将促使企业的安全建设更加贴近业务、服务业务,去伪存真、发挥实效。比如:进入存量博弈阶段,企业间的竞争加剧,能力较强的企业,会通过数字化提效降本,通过新技术新架构提高商业秘密和技术的保护水位。从事高端科技、制造和服务类企业,安全建设的关注点会从网络安全,走向数据安全、智能产品安全以及物联安全。这些不同企业的业务变化都会对安全人员的能力和思维方式提出新的要求。这其中都蕴含了哪些变和不变呢?
不变的是,企业安全的本质还是风险管理,还是要为业务服务。但网络安全后续建设的重点、网络安全能力及效果评价方式、企业安全将从网络安全延伸到其他安全领域、安全架构和建设思路等都将发生深刻的变化。
大部分企业经过多年的安全建设,在网络安全方面,会将注意力聚焦在一直没有解决好且又非常重要的几个安全领域。比如:端侧安全、内网访问控制、安全运营提质提效、全面资产管理、数据泄密保护等领域。
1、终端安全。近两年很多企业遭受了钓鱼、勒索的攻击,有多级备份的企业可以快速恢复数据,业务就没有遭受大影响,这也是去年备份市场火热的一个原因。但是企业及安全人员还是希望增加事前检测能力,降低勒索事件的发生。很多企业的云及数据中心的安全建设已经达到了很好效果,而办公终端作为一直以来攻击的重点对象和企业安全的最薄弱点,始终是企业安全人员心中的痛。好用轻量的终端安全产品是很多企业安全人员的期待,大家希望此类终端安全解决方案能够基于底层细粒度的检测(比如进程、磁盘操作、注册表操作、DNS请求、网络操作、上下文探测、阻止探测等)和白名单方式做到事前事中的检测和保护,而不是目前大部分基于特征库、规则的事后检测;希望能够帮助企业实现准入、防病毒、检测和对抗入侵、软件管理、终端配置管理、数据防泄漏等一系列复杂而全面的终端安全管控效果,而不用去担心多个产品之间的不兼容、资源耗费问题,提高员工的办公体验。
2、安全运营提质增效。大部分企业安全人员在攻击检测及响应的运营方面依然有很高的诉求:一是因为发现安全告警之后,需要在多个安全单品之间跳转、关联分析,产品之间缺乏较好的聚合分析和联动处置能力;二是因为企业目前的安全告警的识别准确率不高(这与日志质量和分析技术没有大突破有很大关系),基本都在85%以下,导致需要耗费大量人力处理误报;三是很多企业缺乏适合自身业务特点的事件响应剧本,出现安全事件的响应时间在半天左右,很难做到30分钟—1小时内处置。目前安全大模型在检测的准确率和问答方面有一些亮点,如果能将大模型+小模型组合使用,在成本可控的前提下,高效消费各种安全产品日志/数据,进一步提高安全事件的准确率,同时根据企业自己演练好的少数剧本自动泛化出更多种响应剧本提高事件响应时效,或将头部企业的剧本采取泛化的方式输入到中小企业的运营场景中,大幅降低安全运营人员的分析、处置难度,对于安全团队来说,这将是无比美好的事情。
而人形机器人公司figure one的演示说明GPT已经可以像人一样思考,这种能力与零信任架构下有身份的安全日志结合,就相当于给安全人员配置了一个AI助手。笔者也见过GPT4在安全场景中的应用,GPT在一定程度上能像安全专业人员一样推理访问行为的一次和安全策略的合理性。这种能力与带有身份的日志和上下文信息结合,就相当于给安全人员配置了一个AI助手。这种创新技术一旦在具体场景中结合成功就能真正解决安全团队一直没有解决好的问题(比如:规则带来的漏检、误报,大量多源日志和数据带来的人工确认的疲劳低效、企业安全大量依赖专业人员而无法做到能力沉淀等)。
3、企业内网访问控制风险。一是过去HW应对过程中,企业边界的防护已经做的比较好,而内部的很多风险点并没有得到根本性解决(比如:企业内部应用的各种漏洞,数据中心对办公内网会存在高危端口/协议、弱密码、僵尸资产,网络的隔离和权限非常粗粒度,清理不完的跨区访问,服务器外联等各种脆弱点),边界一旦被突破,进入内部就一马平川;二是攻击者的手段越来越隐秘、攻击动作越来越无感,大量攻击是利用合理权限攻击、白利用维权等方式,还有驱动致盲导致检测设备失效,企业现有的攻击检测方式很难发现问题;三是企业业务发展过程中,资产暴露及风险会动态变化,企业缺乏一个持续自动发现潜在风险的手段,这会导致管理上的盲区。
所以企业安全人员期待有一种创新的技术手段,提前持续发现内外部潜在的暴露风险和过于粗放的控制策略,并按照最小原则逐步做访问策略的的优化,以及基于访问行为特征(行为DNA)识别出目前攻击检测类产品无法发现的行为异常。
4、全面资产管理。安全的本质是做风险管理,而风险的载体是资产,如果看不到/看不全资产,可能就会出现千里之堆溃于蚁穴的情况;如果资产不能自动持续的更新,又会消耗大量的人力。目前绝大部份公司缺乏安全视角的全面资产管理工具,做安全风险管理就像盲人摸象,缺乏风险的全局视角。现阶段,企业安全人员需要有一种资产管理工具,能自动发现外网、内网的各类资产(比如:终端资产、网络资产、IP资产、主机资产、数据库资产、中间件资产、应用资产、API资产、数据资产等),还能记录识别物理区域、人、角色岗位等,并能自动更新、根据流程更新;同时能保持同一个资产在资产列表中的唯一身份ID,能画出各类资产分布在哪些部门、哪个数据中心、属于哪个业务系统的资产地图,每类资产最终也能对应到业务人员能理解的应用系统上;安全人员能对资产进行灵活的属性打标(能自动打标就更好了)。一旦具备了这种资产管理能力,安全人员就可以将发现的风险对应到各种资产上,并通过资产地图实时看到资产运行中的安全状态、发现影子资产、纳管未受安全保护的资产,并根据业务需要对资产灵活下发安全策略、采取风险控制措施。笔者所在企业也正在构建安全视角下的全面资产管理模块。
5、更好的数据泄密应对方案。为什么单列这项能力,是因为很多企业(比如科技制造企业、互联网企业、转型后的高端制造企业)非常看重公司的业务数据、设计文档等信息,而过去20多年的数据防泄漏保护方案和终端监控方案一直没有做好,要么是成本高且影响业务效率,要么只是事后审,而且日志不全,威慑效果不好,要么对终端侵入性太高、兼容性差。如果有一种方案能做到兼容性稳定性好、部署维护成本低、核心数据不泄密,同时也能帮助企业安全团队时不时发现1-2例主动泄密或无意违规事件,会对企业内有意的违规泄密起到很好的威慑作用。随着技术的发展,基于身份的多层数据保护方案可以更好平衡数据泄密保护与效率问题。
6、关于开发安全。虽然大家谈的比较多,但实际效果好的企业不多,本质上还是因为投入产出比不显著,我们认为短期内大部分企业还是维持现有做法,更多的是在建设完成后持续运营。因为这东西取决于企业CICD的建设情况,很多企业开发本身的数字化做的不好,那就更不用谈开发安全的左移和数字化了。如果企业CICD很完善,开发安全左移就有了基础,但是灰盒阶段的自动化基本上也处于探索阶段,短期内难以看到明显的改善。基于大模型的开发过程是否可能重构开发流程、让开发安全自动化和提效,有机会、但还需要持续观察。
7、关于云安全。云安全存在很多安全风险,比如AK和云账号本身的管理问题、容器安全、应用发布时容器调度不正确导致VPC/安全组的隔离风险,还有一些云平台本身的机制导致的潜在风险。详见《新视角下企业云化安全管控框架OCBC》,但是这些问题目前只有云厂家自身以及小部分大企业关注,大部分企业没有特别关注云安全。原因可能有两个,一是金融、政府、大企业等的核心应用还是私有云或专有云,云上暴露的风险可控;二是大部分使用了公有云的中小企业对云上安全并没有重点关注这方面的问题。按李磊的话说,目前国内云安全还处于布道阶段。
变化二、零信任安全体系是个方向,但不同企业落地方式将不一样。
大部分企业网络安全防护水位存在无法继续提升的问题,将随着零信任架构的落地而解决。因为零信任架构的存在有两个主要任务使命,一是提高企业的安全水位上限,二是改变安全人员、安全单品的工作模式,让安全人员围绕安全平台工作,将极大地解决安全人员的生产力。这两点决定了未来企业一定会逐步落地零信任体系。零信任体系也会成为企业数据安全、物联安全的关键点。具体可见《是我们不懂零信任,还是零信任不适合我们企业?》。
但不同企业安全走向零信任体系的方法是不一样的,笔者认为企业零信任的建设方式大致有如下几种方式:
-
有些企业各领域的安全产品都部署好了,也有自己的SIEM/SOC,日常使用起来也没啥问题,只是在通过数据分析发现异常的时候检测准确率不高,又废人,后续建设中更加关注利用GPT这种创新技术提高运营的质量和处置效率,大幅降低对专业人才的依赖,安全体系更趋近于零信任效果。比如:金融、科技、互联网等行业领先企业。
-
还有些企业安全产品已经购买差不多,也用了一些开源的组件搭建了SIEM或SOC,但是随着业务的数字化,安全风险的复杂性增加,原有的安全产品已经无法适应后续的发展,就可以考虑采购商业的安全平台+高质量的单品(比如DDR替换老DLP、SDP替换老VPN、采购微隔离…),让企业的安全体系逐步走向零信任;
-
也有些企业刚开始建设安全能力,一开始就可以按照“高质量的单品+带身份的日志/数据+融合平台(比如:安全ERP)+AI/GPT”的方案,分场景快速构建零信任体系。
基于网络安全以上的几点变化,笔者根据过往在企业安全建设中的实践以及身边大企业网络安全数字化建设情况,更新了安全ERP2.0架构图。这个图重点想表达就是企业网络安全走向零信任体系的过程中,需要一个技术创新的新方案:高质量的单品+带身份的日志/数据+融合平台(比如:安全ERP)+AI/GPT。这个新方案的关键点:一是建设带有身份的全局安全日志/数据的底座;二是建设融合平台,将已有安全产品、新购高质量安全产品,以及安全日志/数据连接起来,结合小模型+大模型,构建适度信任、持续评估的访问控制能力,赋能企业安全各领域逐步走向零信任体系(比如:办公安全、网络接入安全、云&IDC安全、数据安全、IOT安全等)。
在这方面,不变的是,企业安全负责人一直在努力找寻、明确、展现、量化安全对于企业的业务价值。为啥要坚持不懈、苦苦寻找?因为安全这东西就像买保险,平日没啥事,出事又不一定能保护。安全团队经常是到了年底就跟领导PPT讲一下,好点的可以季度或半年跟公司高层做一次汇报。所以实际上安全建设到底保护了企业哪些东西,产生了什么作用,对公司的业务有什么直接价值,领导层没有一个实时、可以直观感知的认知。
变化的是,现阶段去做安全能力和价值的量化指标好像具备了条件。一方面是网络安全真的折腾差不多了,有点时间可以专心研究下安全效果量化的事情;另一方面是安全团队也希望安全产品能融合联动、安全漏洞和风险能实时可视可处置,而零信任和大模型这种新架构新技术为安全工作的数字化提供了加速的机会。比如:公司领导想知道哪些资产和数据处于安全保护中,看安全平台的实时统计报表;CSO想知道哪些资产经常被攻击,看实时风险地图;哪些部门出现可疑事件最多,看可疑统计数据;CIO想知道哪个业务系统的安全漏洞最多而且一直不修复,看各应用漏洞等级和类型实时分布图;CSO想知道安全团队的应急能力,看事件处置的真实数据就行;安全团队是否要加人,让领导看安全团队的实时能效数据就行。通过实时数据和报表展现企业安全能力和价值,就可以让领导和业务部门具像化看到安全如何护航企业业务发展。
变化四、企业安全建设方向和重心将从网络安全逐步扩展到数据安全、智能产品安全和物联安全
1、数据安全已经成为企业安全的重要关注点,有几个因素推动着企业数据安全的发展:数据作为生产要素大力发展的前提是数据安全、合规监管要求(多个行业主管部门提出强监管、国家对重要数据资产的争夺以及由人工智能引发的对数据的控制权之争)、企业业务本身对数据安全的要求(安全和数据安全的紧密融合提升了数据安全的重要性)。虽然这是企业安全建设关注的新方向,但是这领域一点也不好做,需要厘清几个关键的问题,比如:数据安全与网络安全的关系、数据安全的场景和痛点、数据安全的框架和新技术突破、数据安全在企业内部的组织分工等。只有这些问题清晰了,数据安全的发展才能进入快车道。
笔者认为,一个企业的数据安全场景可以分为传统意义上的企业内部数据安全(主要解决敏感/重要数据在哪里、流转过程、识别出数据风险),比如:普通员工访问业务、特权人员访问系统/DB、大数据开发场景、合作伙伴访问业务系统、客户访问业务系统(人/系统访问)、DB库的安全合规(审计、异常监测、加密脱敏等)、数据出境、隐私保护等,以及数据交易的安全(主要解决数据可用不可见和可用可控的问题;这里说的交易不是卖数据本身,而是交易数据的价值,比如基于隐私计算的精准营销、三方数据建模等)。没有基于准确身份的数据操作日志、融合平台,企业内部数据安全一定用不好;没有GPT加持,对数据的理解、对数据流动的理解将始终限于规则,无法及时响应变化,无法带来很好的管控效率和体验,也就很难得到业务的认可;没有隐私计算和可信基础设施,数据资产、数据交易这个产业一定走不远,安全也就无从谈起。
2、在企业数字化转型、产业互联和高端制造的加速发展中,像智能家具、智能汽车、新能源、智能工厂、智能制造、智慧城市等业务场景会不断增多,智能产品出口的安全合规、车联安全、工控安全的需求也在逐渐增加。只是这些场景安全的爆发需要等到黑灰产的青睐(安全行业真的很神奇)。
跟传统网络安全不一样的地方在于,这类安全本身就是是业务的一部分。相同的是,不管是网络安全还是物联安全,都会基于零信任体系去建设安全,安全风险管理需要基于身份、可视可控。
企业任何一件事情都需要有相应的组织来承接,否则长期就很难持续。一旦安全方向发生了变化,承接安全的组织也会发生变化。这就跟一个企业要从电子行业转型做汽车、低端产品转型到高端产品一样,产品和客群发生了变化,企业的组织、机制、工作思路等都要相应的变革,否则业务就难于成功推进。
企业安全组织也是一样。根据前面提到的几个安全变化,我们可以大致推断一下,企业将会逐渐收缩传统网络安全的投入;同时,企业会增加数据安全、智能产品、互联网业务、工控等跟业务密切相关的安全投入。网络安全团队主要职责聚焦于办公安全、员工及合规安全、数据中心安全、攻防及应急响应等工作,而企业的智能产品业务、互联网业务、数据安全会有独立的安全团队,并且这些安全团队会跟业务团队关系更加紧密、融合。关于企业安全组织可以看《企业安全组织到底有什么用,应该怎么建?》
当然,这里说的安全组织变化主要是作为实体组织的信息安全部和执行组织。企业作为一个整体,安全委员会大概率还是会保持不变。
1、不变的是,企业安全的本质还是风险管理、服务业务。
无论外部环境如何变化、企业的数字化程度高低,在企业环境下做信息安全工作的本质还是风险管理,这就意味着安全人员不需要控制或消灭所有的安全风险,只需要解决主要风险就可以。因此在信息安全的各个方向上,采取访问控制和检测响应两项措施,是根本之道。比如:访问控制就是通过落实某种身份和权限的控制和隔离措施,实现企业的资产不会被外部攻破,特权人员不敢违规操作,员工不能故意泄密。一旦发现以上异常就要进行告警、降权、注销、隔离、增强认证等;检测与响应就是通过内外网全面检测人员、终端、网络、主机、应用和数据有没有被攻击、控制、取权、拿数、绕过,一旦发现就快速响应止损。这就要求企业安全人员在各个方向上采用高质量的单品,而在总体架构上采用基于零信任思体系,就能够很好地实现访问控制、检测响应能力的大幅提升。
同时,我们认为安全团队的工作除了保护信息技术基础设施,仍然要立足服务业务、保护业务。公司的核心竞争力是什么、在哪里,公司的主要收入、重点利润、重点增长在哪个领域,公司的关键客户在哪里,安全就应该出现在哪里、就应该保护哪里。这个立足点应该持续不变,否则安全始终是容易被基础设施团队替代的一个功能模块。
2、变化的是,企业安全建设方案需要有新的清单(高质量的安全单品+带身份的数据+融合的安全平台(比如:安全ERP)+大模型/小模型),在企业原有安全建设的基础上逐步升级到零信任体系,解决传统技术一直无法解决好的问题,提高安全团队效率和企业安全水位的上限。
今天,行业中大部分人都切身体会到了这种变化,还没有体会到的稍安勿躁,风会来的。目前经济环境下,很多企业安全团队也需要提质、增效、降本,这给从业者带来了压力,也是安全体系变革升级的一个好机会。如何抓住这个机会,笔者想到了几条:
1、拥抱安全新体系新技术,高质量单品+融合的安全平台(比如:安全ERP)+带身份的安全日志/数据+小模型+大模型是后续企业安全团队的心菜谱。
2、以业务视角思考安全投资和价值,与企业管理层不断对齐部门目标和价值。比如:以IPD体系思考安全建设如何服务于业务,这可以让企业安全人员大致了解并服从于成功企业运作过程的基本商业逻辑。
3、安全建设要项目化、闭环思维和效果量化,每个安全项目立项要考虑ROI,结项要考虑效果数字量化;每个安全领域尽量提前想到事前、事中、事后的闭环方案。
4、调整安全团队人才结构去适配企业未来需要,比如:增加懂业务、开发、大数据以及AI的人员比例等。
以上这些变化,有些是未来1-2年就会发生的,有些是一个长期的方向。变化是一个挑战,也是一个机会。长江后浪推前浪,愿更多年轻的安全同行可以顺势而为,跟随着时代的新方向/新技术,找到自己未来的新定位新机会。
原文始发于微信公众号(阿肯的不惑之年):企业安全的变与不变
评论