当前位置:首页 > 米乐6平台

百家 刘志诚:数字化安全的内涵与外延—从安全风险到技术治理

发布时间:2022-09-30 07:57:33 来源:米乐6 作者:米乐6首页

  “百家”,既是“诸子百家”,亦为“百花齐放”。他们是各行各业网络安全专家:有CSO、业界大咖、权威代表,更有奋战在网安一线的实践者、思想者和分享者。安在“百家”,最佳实践,真知灼见,思想火花,期待有你!

  乐信集团信息安全中心总监,关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。

  这两年笔者在很多场合谈起数字化相关的安全,对数字化的认知和理解也有不断深入和延伸的过程,虽然直到今天,数字化的概念依然存在争议和各类解读,但在吸取更多的观点和视野后,笔者对这个问题的回答却愈加清晰和简单。

  相较于信息化作用于组织管理流程标准化和效能提升,数字化更多的是对组织生产过程标准化和效能提升。不禁想起多年前通信运营商的常用二级架构,分别是一级生产系统和二级管理系统,形象地描述了两者的区别;而近年来逐渐流行的软件定义(SDX),则是提出了业务数据平面与管理数据平面的分离,实现生产与管理的解藕。这些概念有助于理解数字化和信息化的区别。

  当然,这中间既然是架构的功能区分,自然存在一定的耦合和重叠的边界。华为《数据之道》提出的关于数字化原生与数字化转型的区分窃以为比较符合实际的情况,像通信运营商的业务运营、互联网行业倾向于数字原生企业,而生产制造业和传统行业,则存在数字化转型的需求,与前几年国家推荐的互联网+异曲同工。

  既然数字化讨论的是生产组织过程的标准化和性能提升,就不得不提数字化技术的基础设施对生产过程的支持能力建设,云(计算)大物(联网)移(移动)是耳熟能详的基础设施常见描述,A(人工智能)B(区块链)C(云计算)D(大数据)E(边缘计算)是从另一个角度对基础设施的描述。从云计算的角度来看,CNCF定义的云原生四个基础概念,涵盖了企业(或组织)在数字化时代生存的基础设施运营能力。

  数字化时代企业的业务架构在信息系统之上,信息化的应用软件成为企业业务流程的核心竞争力,势必对企业软件的获取模式造成巨大的挑战,业务应用需要满足市场需求,具有独特属性才能适应市场和用户,建立核心竞争力。因此,难以像管理系统一样采购标准化的商业软件(COTS),这个意义上,传统商业软件在业务层面的消亡是一个必然的趋势。当然,构建自主的业务应用对软件人才的需求十分巨大,也需要人力资源市场足够多的储备。软件获取模式的变革,也带来软件开发模式的变革,有别于产品开发模式的SDLC管理过程,敏捷模式的集大成者DevOps成为首选。

  企业级软件实现互联互通,避免数据孤岛是由于商业软件的兼容性风险,以及烟囱式架构的必然,一度流行的企业数据总线(ESB)复杂的架构和集成成为不少企业的噩梦。而数字化的业务系统复杂性和架构设计适应业务变革的前瞻性,更是软件架构和开发难以逾越的鸿沟,而微服务架构的功能粒度和独立实现,具备了数字化业务积木式架构的可能,是适应快速变化的最佳解决方案。

  计算基础设施从物理单机时代,过度到虚拟机时代,进入混合云时代,一直致力于提升基础设施弹性的空间,降低管理成本,提升管理效率。到了容器云时代,进一步实现了非持久化资源占用,轻管理消耗的弹性基础设施。也是支持DevOps、微服务部署和运营的良好环境,为持续集成和发布奠定基础。

  DevOps通过开发运维一体化实现研发运维模式的变革,微服务实现积木式架构解藕业务功能,实现阿米巴组织对研发团队分解和管理规模的控制,也为需求的粒度控制以及项目的时间和质量的预测与度量提供了基础。容器云通过资源调度的优化和非持久化的弹性,避免了硬件扩容依赖带来的可用性风险,这一切为业务快速响应市场,灵活调整优化竞争,实现业务竞争力的持续发布成为可能。这也是业务实现数字化核心竞争力的关键。

  之所以对云原生架构进行详细解读,是因为云原生的理念已经不仅是技术特点的定义,而是关注企业数字化原生和数字化转型过程中技术的实现和影响的背景、需求,从而整合了先进的技术管理理念。相对于人工智能、大数据、区块链、物联网、移动、边缘计算而言,更需要展开。

  当然,其他技术的一些误区和盲区,笔者也进行了一定了理解层面的简述。区块链在笔者看来依然存在较大的争议和落地的难度,区块链作为数字货币的底层支撑体系,因其去中心化和匿名化而闻名,甚至区块链2.0、3.0概念提出的智能合约,以及社区、民主的理念,其对于数字化的意义一度可以比拟TCP/IP协议对互联网的地步,令人热血沸腾。但近5年的观察来看,匿名化和去中心化与当下社会结构的国家模式存在较大冲突,技术上匿名化和性能等依然存在缺陷,更多的仍处于实验阶段。运营商众人搭台,却没人唱戏的局面比较严重,为区块链技术未来的发展蒙上阴影,当然智能合约、代码即法律等理念在未来仍有极大的空间和影响力,仍不能小觑。

  人工智能和大数据的局限性和伦理问题即使在如日中天的当下依然存在反对与质疑的声音。面对人的隐私和基本权利保护的全面立法,大数据技术对个人敏感数据的处理如何实现个人权益的平衡面对合规的挑战;业务数据对国家安全的冲击在滴滴事件中逐渐形成共识,中美在SEC审计底稿要求导致的数据出境问题上博弈结果依然不明朗,导致搜狐等美国上市企业的退市,数据的采集、存储、应用和分享都面临巨大的挑战。网信办4月初的算法检查是对人工智能在获客、客户画像、差异定价、风控领域应用的个人隐私保护和消费者权益保护,防止大数据杀熟等方向的试点,也反映出无监督学习的人工智能应用可解释性面对挑战——技术带来的隐私泄漏,歧视以及偏见的风险如何消除。

  我们没有花时间讨论自动化、物联网与边缘计算领域的技术问题,这三个领域均涉及到虚拟空间与物理空间融合(CPS)领域,如果谈安全不仅会涉及信息安全security的问题也会设计safety功能安全或人身安全的主题。本文重点针对后台技术的风险谈起,做相应的阐述。

  之所以花这么多的篇幅讨论数字化的本质与其技术支撑体系的特点和趋势,是因为谈论数字化安全不能脱离业务的目标与本质,更不能用传统的安全架构套用数字化安全的技术支撑体系,需要建立一种基于强约束的合规与管理至上的安全机制,制约业务的发展,影响企业的发展。安全只有与企业的战略相匹配,支撑企业数字化的运营体系,为企业业务目标服务,融合进数字化技术支撑体系,提供更有价值的服务和赋能,才是数字化安全生存和发展的本质。

  可惜看明白这一点的安全企业并不多,安全产品也都围着信息化时代的企业安全来做。企业安全在这里是指以企业内部的观点来看围绕着信息化系统的狭义的安全,在一定程度上,政府机关、国企、传统行业的本质也都在信息化层面,也是传统安全企业的主要客户群。这些组织的特征是没有面向用户服务的业务逻辑,没有面向合作伙伴的融合业务逻辑,没有面向实时监管的检查逻辑,主要是职员内部使用的系统。

  当然,也不能一言以蔽之,数字政府和服务窗口,陆续也有相关功能的开放,未来的趋势也会朝数字化转型,但这个过程依然是相当漫长的,毕竟建立自主研发运维能力这件事,尚还力有不逮。而数字化业务承载与应用系统,必须面对开放给用户的2C场景,面对给合作伙伴的2B系统,甚至未来面向监管的2G系统。这种开放带来的挑战,一个是边界,一个是流量,一个是不可控的使用环境,这对安全的挑战不再只是边界和内部视角就可以覆盖。

  当然,传统的网络安全和系统安全必不可少,防火墙、防病毒、入侵检测依然必须,在等级保护2.0升级后的合规基础设施保护和检查必不可少,也需要具备攻防演练和重要保障的攻防能力,MITRE的ATT&CK作为对战略、战术、场景和技术标准化下的攻防技术指南,为攻防能力的训练和提升提供了重要参考依据,虽然个人在这个领域关注不多,依然推荐给大家仔细打磨。其中比较重要的是如何实现容器云基础设施保障的部署与落地,原子能力的抽象和集成,对传统安全企业的盒子产品是个挑战,与时俱进的原子能力安全产品市场是个可以考虑的方向。

  笔者重点还是要讨论研发安全、流量安全、数据安全、算法安全以及技术风险治理的问题。

  在数字化背景下,研发安全面对的是企业DevOps团队受制约的背景下,如何保障应用系统自身安全的问题。左移是大家谈的比较多的概念,关键是在需求评审阶段和方案设计阶段对安全需求的分析和解决方案的输出。如果有懂业务、懂安全的资深信息安全工程师是个比较容易的模式,问题是数字化企业是否有人能承担相应的任务。另一个解决办法是通过自动化的Checklist清单实现自动化,这需要融入DevOps支撑平台。在设计和编码阶段实现安全预防能力的集成,是降低应用风险的方法,依赖于安全能力的标准化水平,例如身份、认证、鉴权、访问控制、加解密、日志、数据采集等安全能力的微服务化。当然,代码和组件的白盒、灰盒、黑盒测试也是保障无漏洞上线的基础,其中灰盒测试目前竞争激烈,也是因为其对于应用安全风险自动化发现的能力带给了DevOps团队希望。运维阶段的应用安全是在WAF的基础上,考虑RASP的动态防护,这也是当下的热点,重点在于资源的消耗以及实现价值的平衡。

  笔者过去将流量安全定义为业务安全,关注的是黑灰产攻防对抗中帐号和交易行为的判断、验证、阻断,因为这些账号和行为来自于黑灰产,所以对业务无任何价值,属于应该处置的恶意流量,这需要依赖于黑灰产威胁情报和内部的业务行为判断。这里着重关注威胁情报和XDR,当然和大家日常提及的这两个概念外延有所延伸,不是指的传统意义上的系统安全和网络安全行为以及情报,而是指业务行为和黑灰产威胁情报。对黑灰产的欺骗以及对不确定性流量的捕获和行为观察也借鉴了蜜罐和业务仿真的相关观点,当然也有碰到同行纠正笔者观点的时刻,比如用安全的狭义理解来反驳笔者对业务安全的关注,综合考虑,流量安全可能更能准确表达要处理的业务安全风险。

  随着《数据安全法》《个人信息保护法》在去年的相继出台,数据安全成为炙手可热的领域,但纵观数据安全厂商的产品表现不免失望,当然这也和数据安全的领域范围,面对场景的复杂性以及目标的不统一直接相关。合规和隐私保护更多关注APP下用户权益的保障,无论是个人权利还是对终端权限调用的间接影响,伴随各监管部门的通报,对于这部分内容的治理成为最直观的表象,深受重视。各种以安全能力为目标的产品也曾出不穷,终端、网络、邮件、企业级安全关注的数据防泄漏产品(DLP),数据库的防拖库、审计、特权账号治理、加解密等从访问控制、权限控制、数据机密性、风险检测角度提供解决方案,也有一些针对微服务的创新API从协议层面发现机器人爬虫、脱敏、鉴权、流量和频率的风险,形成了一轮针对API安全的资本追逐浪潮,通过数据资产的梳理和分类分级实现数据的可知,也从管理合规的角度提供相关的服务。

  但我们发现这些产品针对的是所谓痛点的一点击破,没有从系统和运营的视角提供数据安全的整体可见、可管、可控、可审、可追溯,换言之,如何实现对企业数据资产的动态现状,这些数据资产根据分类分级的管控措施是否实施到位,是否有效,能否进行检查,对风险和事件进行预警、响应和处置,能不能提供动态的报告,以及事件审计和追溯的全面输出,也就是说数据安全运营是整体缺失的。

  算法安全是数字化时代继数据安全之后的下一个重要领域,如果说数据是数字时代的石油,那么算法就是数据时代的引擎,这个引擎是数据要素产生价值的基础,引擎的外部性就像污染一样,不仅是数据要素价值的合理性、公正性、公平性,也会影响经济、社会、文化、价值观甚至政治。但如何对算法做评价,模型和指标如何定义,如何实现自动化,并且在不损害企业商业机密、核心竞争力的前提下实现评估评价,是值得深入关注和思考的,尤其需要指出的是,不要依赖于保密协议和职业道德,这其实是技术无能的另一个表现。

  受制于篇幅的问题,本文谈的更多的是对技术安全的思考以及经验和实践的总结与反思,并未涉及安全技术本身的沿袭和变革。行文至此,若干的铺垫,谈完内涵,外延的点题其实不过寥寥几句,数字化的本质是业务的信息技术化,那么信息技术的定位就不能再是支撑系统和基础设施,而是企业的核心竞争力。越来越多的CIO变革为CTO,但定位未必是CXO的核心圈层,当下的企业CEO大多是业务或CFO出身,出自CTO的更多的是ICT领域的初创公司,但可以预见的未来,CEO将越来越多地出身自CTO以及目前崭露头角的CDO,但如果不具备T本质的CDO就没太多竞争力了。那么安全呢,在笔者的预测中,不能仅是传统基础设施安全的保障,更需要技术风险的治理和把控。除了前文描述的安全治理之外,技术本身的风险将从操作风险子集的层面,上升为与市场风险等企业核心风险并列甚至更加突出,也就回到决策层级的老话题上,晋升CXO行业,甚至跻身董事会,想必并不遥远。

  详情请关注安在新媒体—人物、热点、互动、传播,有内涵的信息安全新媒体。返回搜狐,查看更多