数字化是目前比较热点的话题,数字化转型到底在转什么?数字化的本质含义是什么?数字化会对安全有什么样的影响?从需求和实践方面有哪些创新的点可以跟大家分享?

在国家工程实验室联合安在新媒体共同举办的首届“网安星播客”直播大赛上,来自乐信集团的信息安全总监刘志诚,给大家做了《数字化转型安全创新与实践》的专题分享,试图在这一方向上厘清数字化转型与网络安全保障与创新之间的关系与脉络。

1、什么是数字化

从信息化发展的历程来看,从印刷术到信息科技再到互联网,知识信息产生传播速度的变化可以直接影响人类发展的进程。信息化的本质是从创造到发现再到记录的过程。而数字化的本质则是从记录到发现再到创造的过程,与信息化截然相反。它把记录的信息进行编码,通过信息的重现或发现来创造知识,再用知识来实现智慧的创造。

数字化相对于信息化,是人类的一次巨大进步。但是,虽然数字化的理念是对的,但这个过程中会有很大的挑战。首先是认知的陷阱,人类擅长演绎推理和归纳推理,根据记录信息的丰富性来发现知识,但过于依赖于归纳推理其实是存在问题的;其次是技术壁垒,对信息进行编码、产生知识,这个是一个数字化的处理过程,产生知识的算法模型应该如何实现,这当中存在技术壁垒;再者是巨大的技术风险,涉及到与人的数据相关,就会涉及隐私问题,知识的发现和传播也会涉及到信息的机密性问题;最后是对业务的调整,随着业务复杂性的加大,系统会更加混乱,熵增会让问题更加难以解决和预料。

2、网络信息安全到网络空间安全

在信息化和数字化的背后,网络安全的概念也几经变化,变成了完全不同范畴的模样。最早的网络安全概念是指network security,也就是网络的安全的意思。近些年我们所提到的网络安全,更多的是指网络空间安全Cyber Security,从认知上它是复杂的,监管者关注的是合规的问题,管理者关注的是责任的问题,对于大部分工程师来说关注的是技术问题。

从管理角度来看,安全是要靠组织和流程来解决的;从公司治理的角度来讲,我们把安全看成一种风险;从心理学的角度来分析,这其实是一个信任的问题。因为绝对的安全是不存在的,那么这其实就是大家对安全策略和措施的信心问题。

从安全的理论和方法上来看,安全也是一个不断演进的过程,从70年代国防部最早提出来的PPDR概念,包括预测、预警、响应、检测等概念,逐渐演进到美国国家安全研究院的Nist Cyber Security Framework,强调风险识别,预防保护措施和检测、响应、恢复的能力,相当于从生命周期来追求静态防御的措施。

这些年Gartner又提出来自适应的安全框架和架构,本质上也是一个预防、检测和响应的流程,强调了持续的监控和分析,强调了用数字科技的技术来解决安全问题的理念。

3、数字化安全分析

数字化给我们带来了哪些机遇和挑战?从风险的角度来看,数字化主要带来了十种风险,分别是数字化转型风险、数字化高层控制风险、新基建和新技术风险、网络与云安全风险、万物互联风险、数字化供应链风险、数字业务自动化运营风险、业务弹性恢复风险、数据安全与隐私合规风险、数字技能、意识和伦理风险。

数字化安全风险会带来哪些影响?这方面中国和全球的维度略有不同,中国比较关注数据治理和隐私,新的产品、服务和流程带来的风险,网络安全,企业决策失误产生的风险,以及品牌和生意。企业决策失误产生的风险,就是在数字时代,所有的业务都承载在互联网之上,风险要远高于信息时代,如果企业不足够重视安全,因安全决策产生失误和问题,除了业务损失之外,还要承担相应的法律风险,同时还有品牌和声誉。

面对这么多风险,企业应该采取哪些决策和应对措施?这就需要分析组织所面对的攻击、威胁到底是什么样的,以及在攻击阶段、攻陷阶段和危害链式阶段的影响,并且根据网状分析,才能作为风险决策的方式。

4、数字化安全解决方案

在数字化背景下,要实现全面的安全风险应对,需要具备五项能力:

1)软件定义的边界和零信任。要识别人,更多的是强调强身份认证,不能依赖于用户名、密码等单一要素的识别和认证,要通过最少两个因素来识别人的身份。每个人身份和账号的承载都有具体的设备,无论是手机还是其他终端,所以我们更强调的设备的安全,设备的身份也需要识别的,避免账号被盗用滥用情况。不仅要识别人,还要识别设备,同时识别终端的行为。对于访问策略的决策引擎,过去无论是vpn还是sso,要么依赖于业务系统自身的账号,要么依赖于对业务场景的判断。比如接入vpn就等于接入内网,所有应用都可以访问。在零信任概念下,决策引擎相当于一对一的策略,能够做到精细化的管理。

2)强调基于隐私的设计。 原来的产品设计更注重用户的可用性、友好度,希望最大化获取用户的价值,得到用户的信息,但会带来一些问题。比如某一年的某宝年度账单活动,用户要参加就会默认同意它获取信息的要求,但这个要求其实非常不明显,并且不需要用户主动同意。这种设计方式就会让用户在不知情的情况下授权某宝访问了自己的账户信息,以至于后来被曝光之后引发了比较大的社会反响。而基于隐私设计,则希望能够最大程度保护用户的隐私。比如同样的案例,就要对相关授权信息做最大化的显示,让用户清晰无误地理解,准确地知道他要授权的事情,至于授不授权应该是用户个人的判断和决策,不要有任何的误导。

3)强调应用层之上的安全。应用层之上产生的安全需求,我们称之为业务安全。业务安全和业务风控是不同的,业务风控是判断业务用户的好坏,强调把好的用户识别出来,为他们提供服务。但业务安全要识别的是“是否”,也就是说你是不是我的用户,如果不是我可以不允许你注册,拒绝登录,并且在流量进入到业务运作之前就进行处理,也就是在应用层之上来处理。

4)数据分析驱动的安全。无论是态势感知还是日志系统,无论是siem还是soc,特别是如果只做网络和系统层的安全数据驱动分析的话,那么对企业的帮助也是有限的。

5)安全智能的自动化。这当中典型的就是soar自动化编排产品的推出,通过剧本编排的方式,让各个安全产品的策略能够自动化地实施和执行,这是一个比较好的一个理念,但是在传统的架构下也面临着一些困难。但是在数字化的时代,随着软件定义一切的理念,相信安全智能自动化未来必定是一个主流。

5、企业数字化转型安全落地要点

企业在数字化转型过程中,要有数字化安全的战略,制定目标、远景、服务线的构建等。涉及到战略其实是与业务密切相关的,业务的问题在哪?驱动在哪?这是首先要分清楚的问题,也要求了安全从业人员不能仅局限于安全技术本身,而是要从公司技术栈的角度出发,关注公司的业务战略、业务流程。安全在这个过程中能够起到什么价值和作用,要通过模型来分析出自己的数字化安全战略,这是一个很重要的要求。

战略离不开组织结构的支持,原来企业中IT负责人被称为首席信息官CIO,然后在互联网企业中又说成首席技术官CTO,但其实这两个身份是比较混乱的,O在组织结构层面上是执行层,是高于VP的角色,如果在一家企业的CTO都达不到执行级别,那数字化转型就很难成功。同理,安全也有CSO或CISO的概念,但在大多数企业,安全负责人其实能达到总监的级别就不错了,很多都还在运维或技术部门下面的小组里。这就是因为组织的判断导致了安全很难发挥自己的价值和作用,所以未来要关注CISO是否能成为执行委员会的成员之一,这就决定了一家企业对信息化安全风险关注的程度到底是怎样的。

6、数字化安全的预测和展望

最后来谈一下数字化安全的预测和展望。从安全的发展来说,第一阶段的安全是隔离的,只谈网络层和系统的安全,业务和安全两张皮。第二阶段大家强调数据、业务和安全的吻合,在业务中考虑安全怎么去做。第三阶段又面临着应用和安全分离的概念,区别于第一阶段的分离,要求我们做一个能够互不影响,又能够互相推动的安全与业务的关系,类似于软件定义的安全。

说起来容易做起来难,要实现这样的安全,需要关注到业务方方面面的嵌入,也要涉及到整个设计逻辑隔离的清晰,不会因为安全的变动影响业务,也不会因为业务的变动而改变安全。这种既关联彼此又隔离的状态,是未来需要达到的境界,这样才能真正做到devsecops。

声明:本文来自MISAS国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。