筆者的一位朋友����,曾任首鋼首席研究員,最近在個(gè)人微信號(hào)上發(fā)表了一篇文章“從疫情處置看智能化推進(jìn)”���。
前些天有朋友說:有校友賣車賣房捐款給學(xué)校���,但錢還放在銀行里。于是我想����,武漢不缺錢但缺少資源:在把錢轉(zhuǎn)化成資源的過程中出現(xiàn)了問題。有些問題是典型的資源配置問題:有的資源因人為原因運(yùn)不進(jìn)來����,已有的資源不能及時(shí)公平地分發(fā)下去���。
據(jù)說有位企業(yè)家3天打了上千個(gè)電話,主要解決封城導(dǎo)致的運(yùn)輸困難�。有的資源運(yùn)進(jìn)來了,卻堆在倉庫中遲遲分不下去��;有的因分配不公引發(fā)眾怒��。信息技術(shù)的很多優(yōu)勢(shì)沒有發(fā)揮出來�。有的基層單位做一件事,要給不同的上級(jí)部門填六七張類似的表格���、浪費(fèi)了大量寶貴的時(shí)間:這就是共享沒做好�;有的醫(yī)院建好入住了��,用電�����、餐飲卻沒有跟上:這就是協(xié)同沒做好…..
原則上講�,智能化技術(shù)能讓決策更科學(xué)、協(xié)同性更好��、反應(yīng)速度更快����。但總體上說���,這次的決策、協(xié)同和反應(yīng)速度都不能令人滿意���。否則,不會(huì)出現(xiàn)今天這樣的被動(dòng)局面�。
討論智能化的時(shí)候,很多人都在談算法問題�����、技術(shù)問題�����,而我和幾位朋友卻經(jīng)常談人的問題���、機(jī)制的問題�����、利益的問題��。與2003年SARS時(shí)期相比�����,當(dāng)今的信息技術(shù)和硬件設(shè)施都已經(jīng)有了巨大的進(jìn)步��。然而���,在決策���、協(xié)同、反應(yīng)速度等方面����,感覺上卻是不進(jìn)反退。
除了病毒本身的原因外����,大概就是人的因素了。我經(jīng)常強(qiáng)調(diào):如果把智能化當(dāng)成技術(shù)人員的事情�����,是做不好的。這次疫情處置暴露出來的問題����,充分地說明了這個(gè)道理。
_
以上是傳統(tǒng)企業(yè)信息化專家對(duì)智能化技術(shù)的反思�����,同樣適用于網(wǎng)絡(luò)安全�����。
集成化�����、自動(dòng)化和智能化是下一代網(wǎng)絡(luò)安全技術(shù)的重大演進(jìn)方向�����,但是新冠疫情給我們敲響了警鐘:安全風(fēng)險(xiǎn)管理��,絕不僅僅是技術(shù)問題��。把網(wǎng)絡(luò)安全當(dāng)成技術(shù)人員的事情��,是注定要失敗的��,而且代價(jià)通常都很慘痛���。
那么��,在能力驅(qū)動(dòng)的大安全時(shí)代��,網(wǎng)絡(luò)安全在企業(yè)數(shù)字化轉(zhuǎn)型中到底該扮演何種角色�����?這個(gè)問題不搞清楚���,網(wǎng)絡(luò)安全市場(chǎng)很難跳出技術(shù)流的“沙盒”。
以下我們圍繞數(shù)字化轉(zhuǎn)型的話題�,一起來看看企業(yè)網(wǎng)絡(luò)安全面臨的重大挑戰(zhàn)和變革:
_
數(shù)字風(fēng)險(xiǎn)已經(jīng)超過了傳統(tǒng)安全團(tuán)隊(duì)的能力
很多企業(yè)已經(jīng)將網(wǎng)絡(luò)安全在數(shù)字戰(zhàn)略中的優(yōu)先地位提到顯著位置,而意識(shí)到危機(jī)的CISO正在將安全責(zé)任分散到整個(gè)組織中��,并致力于改變IT文化�����。
近兩年��,隨著新工藝和產(chǎn)品開發(fā)以驚人的速度向前推進(jìn),數(shù)字化轉(zhuǎn)型已進(jìn)入高速發(fā)展階段�����。隨著以DevOps為代表的IT和業(yè)務(wù)的敏捷化��,產(chǎn)品和應(yīng)用上市速度得到極大提升����,例如智能硬件、數(shù)字家電��、智能應(yīng)用�����,供應(yīng)鏈全球化和企業(yè)競(jìng)爭(zhēng)生態(tài)化產(chǎn)生了更大的“攻擊面”�,但是安全能力和設(shè)計(jì)方面的考慮卻常常被拋在腦后����,數(shù)字風(fēng)險(xiǎn)逐步累積逼近危險(xiǎn)的閾值。Gartner預(yù)測(cè)到2020年���,由于安全團(tuán)隊(duì)無法管理數(shù)字風(fēng)險(xiǎn)��,將有60%的數(shù)字業(yè)務(wù)將遭遇重大服務(wù)故障��。
盡管很難確定數(shù)字項(xiàng)目是主要原因�����,但高知名度的安全失誤如預(yù)期般接踵而至��。IDC安全研究副總裁皮特?林德斯特羅姆(Pete Lindstrom)表示:
不管廣為宣傳的違規(guī)行為是否與數(shù)字化轉(zhuǎn)型直接相關(guān)����,它們都讓企業(yè)領(lǐng)導(dǎo)人重新思考風(fēng)險(xiǎn)和將風(fēng)險(xiǎn)降至最低的解決方案。
_
網(wǎng)絡(luò)安全的挑戰(zhàn):預(yù)算優(yōu)先級(jí)能否看齊云計(jì)算
Gartner數(shù)據(jù)顯示���,中國在2019年的IT支出約將達(dá)到2.9萬億元規(guī)模���,而信息安全市場(chǎng)規(guī)模為500億元左右,中國網(wǎng)絡(luò)安全支出占IT支出比例僅為1.7%���,而2018年全球信息安全支出占IT支出的比例為3.05%�����。顯然��,相對(duì)于全球平均安全支出水平還有相當(dāng)大差距���。
新冠病毒和WannaCry病毒給企業(yè)決策者最大的警示就是:無論是Safety還是Security,在安全支出上省錢���,最后付出的代價(jià)將極為慘痛�!
年后中國股市開盤網(wǎng)絡(luò)安全板塊不但沒有暴跌���,而且總體市值還創(chuàng)下歷史新高�,已經(jīng)表明大多數(shù)投資者都意識(shí)到了網(wǎng)絡(luò)安全市場(chǎng)在“黑天鵝”時(shí)代依然有巨大的成長(zhǎng)空間�����。
那么面對(duì)“黑天鵝”事件和數(shù)字化轉(zhuǎn)型的新挑戰(zhàn)��,企業(yè)的網(wǎng)絡(luò)安全預(yù)算優(yōu)先級(jí)和支出占比可參照大致的“國際標(biāo)準(zhǔn)”是多少�?
根據(jù)最近的Altimeter調(diào)查����,IT決策者不僅將網(wǎng)絡(luò)安全列為數(shù)字化轉(zhuǎn)型的首要考慮因素,而且還將其列為第二大投資重點(diǎn)(35%)��,略低于云計(jì)算(37%)�。如果無法保護(hù)企業(yè)、其客戶或其他重要資產(chǎn)�����,創(chuàng)新技術(shù)的大筆投資甚至成果都可能“一夜歸零”���。而面對(duì)安全威脅的復(fù)雜性和發(fā)展速度,即使是最頂級(jí)的安全運(yùn)營(yíng)團(tuán)隊(duì)也會(huì)面臨持續(xù)的挑戰(zhàn)和壓力����。
麻省理工學(xué)院制造業(yè)與生產(chǎn)力實(shí)驗(yàn)室的執(zhí)行董事兼研究科學(xué)家Abel Sanchez博士說:
這場(chǎng)戰(zhàn)斗比我們的決策周期要快��。如果你行動(dòng)慢一些�,那么從領(lǐng)導(dǎo)力的角度來看�,你就變成局外人了����。
他補(bǔ)充說,在安全和發(fā)展方面�,需要敏捷性、靈活性和快速的決策�����。
在全球能源解決方案公司施耐德電氣����,網(wǎng)絡(luò)安全是其轉(zhuǎn)型戰(zhàn)略的核心。面對(duì)企業(yè)并購以及從研發(fā)到供應(yīng)鏈和服務(wù)的業(yè)務(wù)復(fù)雜性����,施耐德全球CISO Christophe Blassiau反復(fù)強(qiáng)調(diào)企業(yè)整體數(shù)字化安全運(yùn)營(yíng)的可視性。IT和運(yùn)營(yíng)技術(shù)(OT)的集成產(chǎn)生的新連接�����、數(shù)據(jù)源和潛在漏洞都需要防護(hù)��,施耐德的網(wǎng)絡(luò)團(tuán)隊(duì)必須將公司的安全性與合作伙伴和供應(yīng)商的生態(tài)系統(tǒng)由點(diǎn)到面地對(duì)接起來��。
我不想擴(kuò)大安全團(tuán)隊(duì)的規(guī)模�,因?yàn)檫@樣做給人的印象是,安全問題會(huì)有專人解決���。在施耐德����,安全是每個(gè)人的責(zé)任�����。
——施耐德全球CISO Christophe Blassiau
Blassiau表示:我們不是頭痛醫(yī)頭����,腳痛醫(yī)腳地劃分安全職責(zé)或者資質(zhì),我們從全公司范圍的IT和風(fēng)險(xiǎn)治理設(shè)計(jì)階段就開始融入安全����。
施耐德對(duì)網(wǎng)絡(luò)采取了雙向方式,制定了一個(gè)全新的網(wǎng)絡(luò)安全實(shí)踐計(jì)劃�,并在每個(gè)實(shí)踐和整個(gè)公司中嵌入網(wǎng)絡(luò)專業(yè)人員(數(shù)字風(fēng)險(xiǎn)經(jīng)理和區(qū)域CISO)�����,以創(chuàng)建一個(gè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者社區(qū)���,他們接受培訓(xùn)并專注于特定的網(wǎng)絡(luò)風(fēng)險(xiǎn)����。此舉讓Blassiau 在數(shù)字空間中有了一種“控制感”。
每個(gè)片區(qū)都有一個(gè)網(wǎng)絡(luò)安全負(fù)責(zé)人向數(shù)字實(shí)踐執(zhí)行領(lǐng)導(dǎo)匯報(bào)����,同時(shí)也向我匯報(bào)。
_
融入業(yè)務(wù):安全團(tuán)隊(duì)也必須轉(zhuǎn)型
安全團(tuán)隊(duì)面臨的最大挑戰(zhàn)仍然是如何讓安全跟上企業(yè)數(shù)字轉(zhuǎn)型的速度�,確保安全性覆蓋每一個(gè)新的內(nèi)部數(shù)字流程、新產(chǎn)品開發(fā)和外部互聯(lián)網(wǎng)機(jī)會(huì)����。Sanchez說,大部分安全解決方案都?xì)w結(jié)于IT和安全部門的文化��。安全團(tuán)隊(duì)也必須經(jīng)歷一場(chǎng)變革�。但這并不容易,許多員工必須愿意學(xué)習(xí)新技能�,才能與企業(yè)業(yè)務(wù)人員互動(dòng)。
其中一些安全轉(zhuǎn)型可以通過重組來實(shí)現(xiàn)�����。例如��,許多安全測(cè)試人員正在消失���,測(cè)試工作由軟件工程師完成�。誰能比產(chǎn)品開發(fā)者更懂得如何保護(hù)它呢?其他開發(fā)領(lǐng)域也是如此���。
未來,數(shù)字化轉(zhuǎn)型和網(wǎng)絡(luò)安全不再是兩件事�,而是一件事。NTT美洲安全首席執(zhí)行官(Matt Handler)表示�����,整個(gè)安全團(tuán)隊(duì)變得更加平易近人���,成為業(yè)務(wù)的一部分�����。尤其是內(nèi)部威脅管理�,對(duì)網(wǎng)絡(luò)安全在企業(yè)文化和業(yè)務(wù)流程的中融合提出了更高要求�。
根據(jù)Forrester的報(bào)告,2020 年許多公司的內(nèi)部威脅管理不僅將關(guān)注如何降低風(fēng)險(xiǎn)��,而且還會(huì)兼顧隱私��、透明性和員工滿意度。2020 年����,將是企業(yè)把內(nèi)部威脅功能從臨時(shí)措施變?yōu)榭芍貜?fù)和可改進(jìn)“固化流程”的一年。
安全團(tuán)隊(duì)必須是敏捷化���,成為業(yè)務(wù)創(chuàng)新的推動(dòng)者而不是阻攔者�。這是“過去一年左右發(fā)生的新趨勢(shì)����。”
Handler補(bǔ)充道:
CISO也必須不斷發(fā)展�,在部署應(yīng)用程序或新技術(shù)的部門中擔(dān)當(dāng)內(nèi)部顧問和合作者的角色。網(wǎng)絡(luò)安全部門不再是負(fù)責(zé)‘說不’的部門�。與其說不,不如說‘讓我們看看我們?nèi)绾文鼙M快做到這一點(diǎn)��,并安全地做到這一點(diǎn)�。’我認(rèn)為�,單憑這句話就改變了CISO的局面。
_
安全的未來:安全設(shè)計(jì)和安全智能
多年來�,CISO一直在倡導(dǎo)從設(shè)計(jì)階段就植入安全性。現(xiàn)在����,由于更加靈活和動(dòng)態(tài)的組件��,“安全設(shè)計(jì)”的實(shí)現(xiàn)也變得越來越容易����。特別是云計(jì)算以及可用的內(nèi)置安全功能越來越豐富���,企業(yè)可以更深入地研究堆棧——從網(wǎng)絡(luò)和基于主機(jī)的安全��,到應(yīng)用程序和數(shù)據(jù)安全����,以及“零信任網(wǎng)絡(luò)架構(gòu)”的實(shí)現(xiàn)方式。
此外���,投資者預(yù)計(jì)��,隨著利基網(wǎng)絡(luò)安全供應(yīng)商數(shù)量的鞏固�����,使用機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全公司很可能在2020年脫穎而出���。不過�,由于人工智能的過度炒作�,企業(yè)界變得更加警惕,更加看重人工智能安全技術(shù)的實(shí)際效用和交付能力���。擁有大量安全數(shù)據(jù)的公司可以將算法��、分析和機(jī)器學(xué)習(xí)結(jié)合起來����,大大縮短威脅的檢測(cè)和響應(yīng)事件(MTTD和MTTR)����。
Handler說:
從CISO的角度來看,如果您能夠以最快的速度提供安全性���,并幫助企業(yè)實(shí)現(xiàn)其里程碑和目標(biāo)�,并且安全性從一開始就融入到流程中����,那么您就能立于不敗之地,這絕對(duì)是一個(gè)未來的理想狀態(tài)����。
有一點(diǎn)可以確信的是�����,人工智能不是安全的終點(diǎn)�����,而是起點(diǎn)�����,人工智能本身會(huì)帶來新的高級(jí)安全威脅,“深度偽造”只是人工智能威脅的初級(jí)應(yīng)用����。
未來,網(wǎng)絡(luò)犯罪/APT攻擊的組織化����、敏捷化和人工智能技術(shù)的武器化擴(kuò)散,將是企業(yè)安全團(tuán)隊(duì)面臨的重大議題����。
_
大安全時(shí)代:每個(gè)企業(yè)都是網(wǎng)絡(luò)安全企業(yè)��,每個(gè)員工都是安全人員
“零時(shí)代��,大安全”�����,是安全牛對(duì)始于2020年的安全市場(chǎng)大變革的研判和預(yù)測(cè)���。“零時(shí)代”指的是零信任時(shí)代的安全能力新基準(zhǔn)����、新框架,以及安全技術(shù)和方法的顛覆趨勢(shì)�����;“大安全”指的是需要站在國家政治����、經(jīng)濟(jì)、社會(huì)治理的高度�����、從企業(yè)信息化的角度,基于風(fēng)險(xiǎn)管理大框架來看安全問題�����,安全能力不再是一個(gè)技術(shù)人員的問題��,而是所有人的問題����!
根據(jù)安全牛之前的報(bào)道“決定網(wǎng)絡(luò)安全市場(chǎng)錢途的五組數(shù)字”,未來兩年網(wǎng)絡(luò)犯罪造成的損失是6萬億美元���,而全球網(wǎng)絡(luò)安全支出約1萬億美元��。也就是說�,安全支出與安全損失的比例是1:6����,損失6元錢才舍得在安全上花1元錢���,在中國這個(gè)比例更低���,因?yàn)橹袊髽I(yè)的安全支出占比遠(yuǎn)低于全球平均水平����。
更糟糕的不是安全支出與安全損失的失衡���,而是網(wǎng)絡(luò)安全在中國數(shù)字化轉(zhuǎn)型中定位的邊緣化——道具化和龍?zhí)谆?���。這也是大量網(wǎng)絡(luò)安全企業(yè)呼吁“內(nèi)生安全”和“安全能力”的原因���。一個(gè)健康的安全的數(shù)字化生態(tài)����,安全應(yīng)當(dāng)是每個(gè)政府部門����、每個(gè)企業(yè)、每個(gè)員工���、每個(gè)產(chǎn)品的能力�,而不僅僅是安全技術(shù)產(chǎn)品的能力�����;其重要特征是網(wǎng)絡(luò)安全用戶變成技術(shù)應(yīng)用的創(chuàng)新者,而不局限于網(wǎng)絡(luò)安全企業(yè)的產(chǎn)品和概念���,以下這些虛構(gòu)的新聞也許能帶給我們些啟示:
某國家銀行開源了一個(gè)人工智能反欺詐安全工具�、某石油化工企業(yè)發(fā)布了一個(gè)先進(jìn)的物聯(lián)網(wǎng)蜜罐���,企業(yè)招聘市場(chǎng)�、產(chǎn)品和技術(shù)人員時(shí)需要考核GDPR等隱私安全法規(guī)��,某企業(yè)智能體脂秤因?yàn)樾孤队脩綦[私被罰款2000萬RMB…
_
毫無疑問��,2020年這場(chǎng)疫情注定將對(duì)國家�、企業(yè)和數(shù)字社會(huì)的轉(zhuǎn)型進(jìn)程產(chǎn)生無法估量的巨大影響,“全民云辦公”的IT應(yīng)用場(chǎng)景和需求訴求發(fā)生顛覆性變化�,這對(duì)無法適應(yīng)變化缺乏創(chuàng)新和執(zhí)行的網(wǎng)絡(luò)安全企業(yè)來說是災(zāi)難,而對(duì)另外一些敏捷化的網(wǎng)絡(luò)安全企業(yè)來說�,則是在這場(chǎng)人類史上最大規(guī)模的數(shù)字化遷徙中把握水源地機(jī)會(huì),成長(zhǎng)為全球一流企業(yè)的關(guān)鍵契機(jī)���。正如本文所提到的正在發(fā)生和必將發(fā)生的安全變革:從伴生安全到內(nèi)生安全;從技術(shù)問題上升到管理問題��;從預(yù)算“邊料”變成支出重點(diǎn)��;從合規(guī)驅(qū)動(dòng)到能力驅(qū)動(dòng)。
