「百家」,既是「諸子百家」,亦為「百花齊放」。他們是各行各業網絡安全專家:有CSO、業界大咖、權威代表,更有奮戰在網安一線的實踐者、思想者和分享者。安在「百家」,最佳實踐,真知灼見,思想火花,期待有你!
這兩年筆者在很多場合談起數字化相關的安全,對數字化的認知和理解也有不斷深入和延伸的過程,雖然直到今天,數字化的概念依然存在爭議和各類解讀,但在吸取更多的觀點和視野後,筆者對這個問題的回答卻愈加清晰和簡單。
相較於信息化作用於組織管理流程標準化和效能提升,數字化更多的是對組織生產過程標準化和效能提升。不禁想起多年前通信運營商的常用二級架構,分別是一級生產系統和二級管理系統,形象地描述了兩者的區別;而近年來逐漸流行的軟件定義(SDX),則是提出了業務數據平面與管理數據平面的分離,實現生產與管理的解藕。這些概念有助於理解數字化和信息化的區別。
當然,這中間既然是架構的功能區分,自然存在一定的耦合和重疊的邊界。華為《數據之道》提出的關於數字化原生與數字化轉型的區分竊以為比較符合實際的情況,像通信運營商的業務運營、互聯網行業傾向於數字原生企業,而生產製造業和傳統行業,則存在數字化轉型的需求,與前幾年國家推薦的互聯網+異曲同工。
既然數字化討論的是生產組織過程的標準化和性能提升,就不得不提數字化技術的基礎設施對生產過程的支持能力建設,雲(計算)大(數據)物(聯網)移(移動)是耳熟能詳的基礎設施常見描述,A(人工智能)B(區塊鏈)C(雲計算)D(大數據)E(邊緣計算)是從另一個角度對基礎設施的描述。從雲計算的角度來看,CNCF定義的雲原生四個基礎概念,涵蓋了企業(或組織)在數字化時代生存的基礎設施運營能力。
數字化時代企業的業務架構在信息系統之上,信息化的應用軟件成為企業業務流程的核心競爭力,勢必對企業軟件的獲取模式造成巨大的挑戰,業務應用需要滿足市場需求,具有獨特屬性才能適應市場和用戶,建立核心競爭力。因此,難以像管理系統一樣採購標準化的商業軟件(COTS),這個意義上,傳統商業軟件在業務層面的消亡是一個必然的趨勢。當然,構建自主的業務應用對軟件人才的需求十分巨大,也需要人力資源市場足夠多的儲備。軟件獲取模式的變革,也帶來軟件開發模式的變革,有別於產品開發模式的SDLC管理過程,敏捷模式的集大成者DevOps成為首選。
企業級軟件實現互聯互通,避免數據孤島是由於商業軟件的兼容性風險,以及煙囪式架構的必然,一度流行的企業數據總線(ESB)複雜的架構和集成成為不少企業的噩夢。而數字化的業務系統複雜性和架構設計適應業務變革的前瞻性,更是軟件架構和開發難以逾越的鴻溝,而微服務架構的功能粒度和獨立實現,具備了數字化業務積木式架構的可能,是適應快速變化的最佳解決方案。
計算基礎設施從物理單機時代,過度到虛擬機時代,進入混合雲時代,一直致力於提升基礎設施彈性的空間,降低管理成本,提升管理效率。到了容器雲時代,進一步實現了非持久化資源占用,輕管理消耗的彈性基礎設施。也是支持DevOps、微服務部署和運營的良好環境,為持續集成和發布奠定基礎。
DevOps通過開發運維一體化實現研發運維模式的變革,微服務實現積木式架構解藕業務功能,實現阿米巴組織對研發團隊分解和管理規模的控制,也為需求的粒度控制以及項目的時間和質量的預測與度量提供了基礎。容器雲通過資源調度的優化和非持久化的彈性,避免了硬件擴容依賴帶來的可用性風險,這一切為業務快速響應市場,靈活調整優化競爭,實現業務競爭力的持續發布成為可能。這也是業務實現數字化核心競爭力的關鍵。
之所以對雲原生架構進行詳細解讀,是因為雲原生的理念已經不僅是技術特點的定義,而是關注企業數字化原生和數字化轉型過程中技術的實現和影響的背景、需求,從而整合了先進的技術管理理念。相對於人工智能、大數據、區塊鏈、物聯網、移動、邊緣計算而言,更需要展開。
當然,其他技術的一些誤區和盲區,筆者也進行了一定了理解層面的簡述。區塊鏈在筆者看來依然存在較大的爭議和落地的難度,區塊鏈作為數字貨幣的底層支撐體系,因其去中心化和匿名化而聞名,甚至區塊鏈2.0、3.0概念提出的智能合約,以及社區、民主的理念,其對於數字化的意義一度可以比擬TCP/IP協議對互聯網的地步,令人熱血沸騰。但近5年的觀察來看,匿名化和去中心化與當下社會結構的國家模式存在較大衝突,技術上匿名化和性能等依然存在缺陷,更多的仍處於實驗階段。運營商眾人搭台,卻沒人唱戲的局面比較嚴重,為區塊鏈技術未來的發展蒙上陰影,當然智能合約、代碼即法律等理念在未來仍有極大的空間和影響力,仍不能小覷。
人工智能和大數據的局限性和倫理問題即使在如日中天的當下依然存在反對與質疑的聲音。面對人的隱私和基本權利保護的全面立法,大數據技術對個人敏感數據的處理如何實現個人權益的平衡面對合規的挑戰;業務數據對國家安全的衝擊在滴滴事件中逐漸形成共識,中美在SEC審計底稿要求導致的數據出境問題上博弈結果依然不明朗,導致搜狐等美國上市企業的退市,數據的採集、存儲、應用和分享都面臨巨大的挑戰。網信辦4月初的算法檢查是對人工智能在獲客、客戶畫像、差異定價、風控領域應用的個人隱私保護和消費者權益保護,防止大數據殺熟等方向的試點,也反映出無監督學習的人工智能應用可解釋性面對挑戰——技術帶來的隱私泄漏,歧視以及偏見的風險如何消除。
我們沒有花時間討論自動化、物聯網與邊緣計算領域的技術問題,這三個領域均涉及到虛擬空間與物理空間融合(CPS)領域,如果談安全不僅會涉及信息安全security的問題也會設計safety功能安全或人身安全的主題。本文重點針對後台技術的風險談起,做相應的闡述。
之所以花這麼多的篇幅討論數字化的本質與其技術支撐體系的特點和趨勢,是因為談論數字化安全不能脫離業務的目標與本質,更不能用傳統的安全架構套用數字化安全的技術支撐體系,需要建立一種基於強約束的合規與管理至上的安全機制,制約業務的發展,影響企業的發展。安全只有與企業的戰略相匹配,支撐企業數字化的運營體系,為企業業務目標服務,融合進數字化技術支撐體系,提供更有價值的服務和賦能,才是數字化安全生存和發展的本質。
可惜看明白這一點的安全企業並不多,安全產品也都圍着信息化時代的企業安全來做。企業安全在這裡是指以企業內部的觀點來看圍繞着信息化系統的狹義的安全,在一定程度上,政府機關、國企、傳統行業的本質也都在信息化層面,也是傳統安全企業的主要客戶群。這些組織的特徵是沒有面向用戶服務的業務邏輯,沒有面向合作夥伴的融合業務邏輯,沒有面向實時監管的檢查邏輯,主要是職員內部使用的系統。
當然,也不能一言以蔽之,數字政府和服務窗口,陸續也有相關功能的開放,未來的趨勢也會朝數字化轉型,但這個過程依然是相當漫長的,畢竟建立自主研發運維能力這件事,尚還力有不逮。而數字化業務承載與應用系統,必須面對開放給用戶的2C場景,面對給合作夥伴的2B系統,甚至未來面向監管的2G系統。這種開放帶來的挑戰,一個是邊界,一個是流量,一個是不可控的使用環境,這對安全的挑戰不再只是邊界和內部視角就可以覆蓋。
當然,傳統的網絡安全和系統安全必不可少,防火牆、防病毒、入侵檢測依然必須,在等級保護2.0升級後的合規基礎設施保護和檢查必不可少,也需要具備攻防演練和重要保障的攻防能力,MITRE的ATT&CK作為對戰略、戰術、場景和技術標準化下的攻防技術指南,為攻防能力的訓練和提升提供了重要參考依據,雖然個人在這個領域關注不多,依然推薦給大家仔細打磨。其中比較重要的是如何實現容器雲基礎設施保障的部署與落地,原子能力的抽象和集成,對傳統安全企業的盒子產品是個挑戰,與時俱進的原子能力安全產品市場是個可以考慮的方向。
筆者重點還是要討論研發安全、流量安全、數據安全、算法安全以及技術風險治理的問題。
在數字化背景下,研發安全面對的是企業DevOps團隊受制約的背景下,如何保障應用系統自身安全的問題。左移是大家談的比較多的概念,關鍵是在需求評審階段和方案設計階段對安全需求的分析和解決方案的輸出。如果有懂業務、懂安全的資深信息安全工程師是個比較容易的模式,問題是數字化企業是否有人能承擔相應的任務。另一個解決辦法是通過自動化的Checklist清單實現自動化,這需要融入DevOps支撐平台。在設計和編碼階段實現安全預防能力的集成,是降低應用風險的方法,依賴於安全能力的標準化水平,例如身份、認證、鑒權、訪問控制、加解密、日誌、數據採集等安全能力的微服務化。當然,代碼和組件的白盒、灰盒、黑盒測試也是保障無漏洞上線的基礎,其中灰盒測試目前競爭激烈,也是因為其對於應用安全風險自動化發現的能力帶給了DevOps團隊希望。運維階段的應用安全是在WAF的基礎上,考慮RASP的動態防護,這也是當下的熱點,重點在於資源的消耗以及實現價值的平衡。
筆者過去將流量安全定義為業務安全,關注的是黑灰產攻防對抗中帳號和交易行為的判斷、驗證、阻斷,因為這些賬號和行為來自於黑灰產,所以對業務無任何價值,屬於應該處置的惡意流量,這需要依賴於黑灰產威脅情報和內部的業務行為判斷。這裡着重關注威脅情報和XDR,當然和大家日常提及的這兩個概念外延有所延伸,不是指的傳統意義上的系統安全和網絡安全行為以及情報,而是指業務行為和黑灰產威脅情報。對黑灰產的欺騙以及對不確定性流量的捕獲和行為觀察也借鑑了蜜罐和業務仿真的相關觀點,當然也有碰到同行糾正筆者觀點的時刻,比如用安全的狹義理解來反駁筆者對業務安全的關注,綜合考慮,流量安全可能更能準確表達要處理的業務安全風險。
隨着《數據安全法》《個人信息保護法》在去年的相繼出台,數據安全成為炙手可熱的領域,但縱觀數據安全廠商的產品表現不免失望,當然這也和數據安全的領域範圍,面對場景的複雜性以及目標的不統一直接相關。合規和隱私保護更多關注APP下用戶權益的保障,無論是個人權利還是對終端權限調用的間接影響,伴隨各監管部門的通報,對於這部分內容的治理成為最直觀的表象,深受重視。各種以安全能力為目標的產品也曾出不窮,終端、網絡、郵件、企業級安全關注的數據防泄漏產品(DLP),數據庫的防拖庫、審計、特權賬號治理、加解密等從訪問控制、權限控制、數據機密性、風險檢測角度提供解決方案,也有一些針對微服務的創新API從協議層面發現機器人爬蟲、脫敏、鑒權、流量和頻率的風險,形成了一輪針對API安全的資本追逐浪潮,通過數據資產的梳理和分類分級實現數據的可知,也從管理合規的角度提供相關的服務。
但我們發現這些產品針對的是所謂痛點的一點擊破,沒有從系統和運營的視角提供數據安全的整體可見、可管、可控、可審、可追溯,換言之,如何實現對企業數據資產的動態現狀,這些數據資產根據分類分級的管控措施是否實施到位,是否有效,能否進行檢查,對風險和事件進行預警、響應和處置,能不能提供動態的報告,以及事件審計和追溯的全面輸出,也就是說數據安全運營是整體缺失的。
算法安全是數字化時代繼數據安全之後的下一個重要領域,如果說數據是數字時代的石油,那麼算法就是數據時代的引擎,這個引擎是數據要素產生價值的基礎,引擎的外部性就像污染一樣,不僅是數據要素價值的合理性、公正性、公平性,也會影響經濟、社會、文化、價值觀甚至政治。但如何對算法做評價,模型和指標如何定義,如何實現自動化,並且在不損害企業商業機密、核心競爭力的前提下實現評估評價,是值得深入關注和思考的,尤其需要指出的是,不要依賴於保密協議和職業道德,這其實是技術無能的另一個表現。
受制於篇幅的問題,本文談的更多的是對技術安全的思考以及經驗和實踐的總結與反思,並未涉及安全技術本身的沿襲和變革。行文至此,若干的鋪墊,談完內涵,外延的點題其實不過寥寥幾句,數字化的本質是業務的信息技術化,那麼信息技術的定位就不能再是支撐系統和基礎設施,而是企業的核心競爭力。越來越多的CIO變革為CTO,但定位未必是CXO的核心圈層,當下的企業CEO大多是業務或CFO出身,出自CTO的更多的是ICT領域的初創公司,但可以預見的未來,CEO將越來越多地出身自CTO以及目前嶄露頭角的CDO,但如果不具備T本質的CDO就沒太多競爭力了。那麼安全呢,在筆者的預測中,不能僅是傳統基礎設施安全的保障,更需要技術風險的治理和把控。除了前文描述的安全治理之外,技術本身的風險將從操作風險子集的層面,上升為與市場風險等企業核心風險並列甚至更加突出,也就回到決策層級的老話題上,晉升CXO行業,甚至躋身董事會,想必並不遙遠。
推薦閱讀
齊心抗疫 與你同在
留言列表