网络安全在数字转型中扮演什么角色?
星期一, 二月 10, 2020
笔者的一位朋友,曾任首钢首席研究员,最近在个人微信号上发表了一篇文章“从疫情处置看智能化推进”。
我在武汉多位好友。我非常担心他们的健康。虽然大家都很努力,但令人担心的事情还是发生了:由于资源不足,病人得不到及时发现和救治。有位朋友甚至认真地对我说:万一遇到不幸,请帮我照顾好孩子。
昨天有朋友说:有校友卖车卖房捐款给学校,但钱还放在银行里。于是我想,武汉不缺钱但缺少资源:在把钱转化成资源的过程中出现了问题。有些问题是典型的资源配置问题:有的资源因人为原因运不进来,已有的资源不能及时公平地分发下去。
据说有位企业家3天打了上千个电话,主要解决封城导致的运输困难。有的资源运进来了,却堆在仓库中迟迟分不下去;有的因分配不公引发众怒。信息技术的很多优势没有发挥出来。有的基层单位做一件事,要给不同的上级部门填六七张类似的表格、浪费了大量宝贵的时间:这就是共享没做好;有的医院建好入住了,用电、餐饮却没有跟上:这就是协同没做好…..
原则上讲,智能化技术能让决策更科学、协同性更好、反应速度更快。但总体上说,这次的决策、协同和反应速度都不能令人满意。否则,不会出现今天这样的被动局面。
讨论智能化的时候,很多人都在谈算法问题、技术问题,而我和几位朋友却经常谈人的问题、机制的问题、利益的问题。与2003年SARS时期相比,当今的信息技术和硬件设施都已经有了巨大的进步。然而,在决策、协同、反应速度等方面,感觉上却是不进反退。
除了病毒本身的原因外,大概就是人的因素了。我经常强调:如果把智能化当成技术人员的事情,是做不好的。这次疫情处置暴露出来的问题,充分地说明了这个道理。
以上是传统企业信息化专家对智能化技术的反思,同样适用于网络安全。
集成化、自动化和智能化是下一代网络安全技术的重大演进方向,但是新冠疫情给我们敲响了警钟:安全风险管理,绝不仅仅是技术问题。把网络安全当成技术人员的事情,是注定要失败的,而且代价通常都很惨痛。
那么,在能力驱动的大安全时代,网络安全在企业数字化转型中到底该扮演何种角色?这个问题不搞清楚,网络安全市场很难跳出技术流的“沙盒”。
以下我们围绕数字化转型的话题,一起来看看企业网络安全面临的重大挑战和变革:
数字风险已经超过了传统安全团队的能力
很多企业已经将网络安全在数字战略中的优先地位提到显著位置,而意识到危机的CISO正在将安全责任分散到整个组织中,并致力于改变IT文化。
近两年,随着新工艺和产品开发以惊人的速度向前推进,数字化转型已进入高速发展阶段。随着以DevOps为代表的IT和业务的敏捷化,产品和应用上市速度得到极大提升,例如智能硬件、数字家电、智能应用,供应链全球化和企业竞争生态化产生了更大的“攻击面”,但是安全能力和设计方面的考虑却常常被抛在脑后,数字风险逐步累积逼近危险的阈值。Gartner预测到2020年,由于安全团队无法管理数字风险,将有60%的数字业务将遭遇重大服务故障。
尽管很难确定数字项目是主要原因,但高知名度的安全失误如预期般接踵而至。IDC安全研究副总裁皮特•林德斯特罗姆(Pete Lindstrom)表示:“不管广为宣传的违规行为是否与数字化转型直接相关,它们都让企业领导人重新思考风险和将风险降至最低的解决方案。”。
网络安全的挑战:预算优先级能否看齐云计算
Gartner 数据显示,中国在 2019 年的 IT 支出约将达到 2.9 万亿元规模,而信息安全市场规模为500亿元左右,中国网络安全支出占IT支出比例仅为 1.7%,而2018年全球信息安全支出占IT支出的比例为3.05%。显然,相对于全球平均安全支出水平还有相当大差距。
新冠病毒和WannaCry病毒给企业决策者最大的警示就是:无论是Safety还是Security,在安全支出上省钱,最后付出的代价将极为惨痛!
年后中国股市开盘网络安全板块不但没有暴跌,而且总体市值还创下历史新高,已经表明大多数投资者都意识到了网络安全市场在“黑天鹅”时代依然有巨大的成长空间。
那么面对“黑天鹅”事件和数字化转型的新挑战,企业的网络安全预算优先级和支出占比可参照大致的“国际标准”是多少?
根据最近的Altimeter调查,IT决策者不仅将网络安全列为数字化转型的首要考虑因素,而且还将其列为第二大投资重点(35%),略低于云计算(37%)。如果无法保护企业、其客户或其他重要资产,创新技术的大笔投资甚至成果都可能“一夜归零”。而面对安全威胁的复杂性和发展速度,即使是最顶级的安全运营团队也会面临持续的挑战和压力。
“这场战斗比我们的决策周期要快。”麻省理工学院制造业与生产力实验室的执行董事兼研究科学家Abel Sanchez博士说:“如果你行动慢一些,那么从领导力的角度来看,你就变成局外人了。”他补充说,在安全和发展方面,需要敏捷性、灵活性和快速的决策。
在全球能源解决方案公司施耐德电气,网络安全是其转型战略的核心。面对企业并购以及从研发到供应链和服务的业务复杂性,施耐德全球CISO Christophe Blassiau反复强调企业整体数字化安全运营的可视性。IT和运营技术(OT)的集成产生的新连接、数据源和潜在漏洞都需要防护,施耐德的网络团队必须将公司的安全性与合作伙伴和供应商的生态系统由点到面地对接起来。
我不想扩大安全团队的规模,因为这样做给人的印象是,安全问题会有专人解决。在施耐德,安全是每个人的责任。
– 施耐德全球CISO Christophe Blassiau
Blassiau说:“我们不是头痛医头,脚痛医脚地划分安全职责或者资质,我们从全公司范围的IT和风险治理设计阶段就开始融入安全。
施耐德对网络采取了双向方式,制定了一个全新的网络安全实践计划,并在每个实践和整个公司中嵌入网络专业人员(数字风险经理和区域CISO),以创建一个网络安全领导者社区,他们接受培训并专注于特定的网络风险。此举让Blassiau 在数字空间中有了一种“控制感”。“每个片区都有一个网络安全负责人向数字实践执行领导汇报,同时也向我汇报。”Blassiau说道。
融入业务:安全团队也必须转型
安全团队面临的最大挑战仍然是如何让安全跟上企业数字转型的速度,确保安全性覆盖每一个新的内部数字流程、新产品开发和外部互联网机会。Sanchez说,大部分安全解决方案都归结于IT和安全部门的文化。安全团队也必须经历一场变革。但这并不容易,许多员工必须愿意学习新技能,才能与企业业务人员互动。
其中一些安全转型可以通过重组来实现。例如,许多安全测试人员正在消失,测试工作由软件工程师完成。谁能比产品开发者更懂得如何保护它呢?其他开发领域也是如此。
未来,数字化转型和网络安全不再是两件事,而是一件事。NTT美洲安全首席执行官(Matt Handler)表示,整个安全团队变得更加平易近人,成为业务的一部分。尤其是内部威胁管理,对网络安全在企业文化和业务流程的中融合提出了更高要求。
根据Forrester的报告,2020 年许多公司的内部威胁管理不仅将关注如何降低风险,而且还会兼顾隐私、透明性和员工满意度。2020 年,将是企业把内部威胁功能从临时措施变为可重复和可改进“固化流程”的一年。
安全团队必须是敏捷化,成为业务创新的推动者而不是阻拦者。这是“过去一年左右发生的新趋势。”
Handler补充道,“CISO也必须不断发展,在部署应用程序或新技术的部门中担当内部顾问和合作者的角色。”网络安全部门不再是负责“说不”的部门。“与其说不,不如说‘让我们看看我们如何能尽快做到这一点,并安全地做到这一点。’我认为,单凭这句话就改变了CISO的局面。”
安全的未来:安全设计和安全智能
多年来,CISO一直在倡导从设计阶段就植入安全性。现在,由于更加灵活和动态的组件,“安全设计”的实现也变得越来越容易。特别是云计算以及可用的内置安全功能越来越丰富,企业可以更深入地研究堆栈——从网络和基于主机的安全,到应用程序和数据安全,以及“零信任网络架构”的实现方式。
此外,投资者预计,随着利基网络安全供应商数量的巩固,使用机器学习的网络安全公司很可能在2020年脱颖而出。不过,由于人工智能的过度炒作,企业界变得更加警惕,更加看重人工智能安全技术的实际效用和交付能力。拥有大量安全数据的公司可以将算法、分析和机器学习结合起来,大大缩短威胁的检测和响应事件(MTTD和MTTR)。
“从CISO的角度来看,如果您能够以最快的速度提供安全性,并帮助企业实现其里程碑和目标,并且安全性从一开始就融入到流程中,那么您就能立于不败之地,这绝对是一个未来的理想状态,” Handler说。
有一点可以确信的是,人工智能不是安全的终点,而是起点,人工智能本身会带来新的高级安全威胁,“深度伪造”只是人工智能威胁的初级应用。
未来,网络犯罪/APT攻击的组织化、敏捷化和人工智能技术的武器化扩散,将是企业安全团队面临的重大议题。
大安全时代:每个企业都是网络安全企业,每个员工都是安全人员
“零时代,大安全”,是安全牛对始于2020年的安全市场大变革的研判和预测。“零时代”指的是零信任时代的安全能力新基准、新框架,以及安全技术和方法的颠覆趋势;“大安全”指的是需要站在国家政治、经济、社会治理的高度、从企业信息化的角度,基于风险管理大框架来看安全问题,安全能力不再是一个技术人员的问题,而是所有人的问题!
根据安全牛之前的报道“决定网络安全市场钱途的五组数字”,未来两年网络犯罪造成的损失是6万亿美元,而全球网络安全支出约1万亿美元。也就是说,安全支出与安全损失的比例是1:6,损失6元钱才舍得在安全上花1元钱,在中国这个比例更低,因为中国企业的安全支出占比远低于全球平均水平。
更糟糕的不是安全支出与安全损失的失衡,而是网络安全在中国数字化转型中定位的边缘化——道具化和龙套化。这也是大量网络安全企业呼吁“内生安全”和“安全能力”的原因。一个健康的安全的数字化生态,安全应当是每个政府部门、每个企业、每个员工、每个产品的能力,而不仅仅是安全技术产品的能力;其重要特征是网络安全用户变成技术应用的创新者,而不局限于网络安全企业的产品和概念,以下这些虚构的新闻也许能带给我们些启示:
某国家银行开源了一个人工智能反欺诈安全工具、某石油化工企业发布了一个先进的物联网蜜罐,企业招聘市场、产品和技术人员时需要考核GDPR等隐私安全法规,某企业智能体脂秤因为泄露用户隐私被罚款2000万RMB…
毫无疑问,2020年这场疫情注定将对国家、企业和数字社会的转型进程产生无法估量的巨大影响,“全民云办公”的IT应用场景和需求诉求发生颠覆性变化,这对无法适应变化缺乏创新和执行的网络安全企业来说是灾难,而对另外一些敏捷化的网络安全企业来说,则是在这场人类史上最大规模的数字化迁徙中把握水源地机会,成长为全球一流企业的关键契机。正如本文所提到的正在发生和必将发生的安全变革:从伴生安全到内生安全;从技术问题上升到管理问题;从预算“边料”变成支出重点;从合规驱动到能力驱动。