各行各业的数字化转型使得网络安全攻击面迅速扩大,而网络安全人才供给不足矛盾日益突出。中小企业转型预算有限,既要保证安全,又要保证方案预算可负担,需要在成本和方案之间做出平衡。
本期内容来自于InfoQ 和 CCF 联合推出的大咖说栏目《技术风云 | 对话 CNCC》第 3 期直播。本期大咖说我们邀请到了中国计算机学会 CCF 副秘书长,北京赛博英杰科技有限公司创始人、董事长——谭晓生老师和我们分享中小企业选择网络安全方案时需要重点考虑的因素。
在企业数字化转型的过程中,管理者与技术、业务部门往往都把关注的焦点放在了转型投入的成本与预期获得的收益等更容易“看得见”的要素上,却往往忽视了 IT 系统安全性这一至关重要的环节。然而,很多数字化转型案例恰恰是由于安全性缺陷而陷入困境或失败,甚至给企业业务带来严重的损失。
网络安全是数字化转型的成败关键
数字化转型在为企业业务带来诸多收益的同时,也大大扩张了潜在的安全攻击面。在过去,网络攻击的后果主要体现在数据损坏或丢失上,而如今随着物联网普及,越来越多的自动化控制设备进入网络,网络世界的攻击就可能会造成物理世界的事故。换言之,网络安全主题已经不仅限于数据安全,而开始影响到了我们生活的方方面面,甚至可能威胁到人身安全。以自动驾驶技术为例,随着自动驾驶技术持续演进,入侵车联网控制系统甚至可能造成《速度与激情》电影中描绘的巨大危害。因此,网络安全已经成为了企业数字化转型的成败关键。
很多中小企业,当它的业务对于网络依赖不是太重的时候,网络安全对他们的影响不是很大。例如企业的生产线自动化程度不高,即使计算机系统遭到了安全入侵,企业的生产基本上也不会停,所以对网络安全投入太大也没意义。但如果企业自动化和数字化水平较高,比如生产线全自动的,这时候如果犯罪分子入侵并控制了它的系统并进行加密,然后进行勒索,就很容易成功,也可能造成重大损失。谭晓生老师表示,“当中小企业都开始越来越多去走数字化这条路的时候,那么来自于网络世界的攻击对他们就会造成更大的影响。”
全球对比来看,我国的网络安全及服务水平目前落后于西方世界。例如国内企业往往不愿意将自己的安全日志共享给安全服务企业,而在西方这样的第三方安全托管服务相对更为普及。另一方面,很多中小企业的业务在数字化转型之前对网络没有很大依赖,因此缺乏网络安全相关的意识和重视态度。但随着这些企业逐渐踏上数字化道路,他们也更容易受到这方面的威胁和负面影响。
从安全服务市场来看,国内网络安全领域专业人才市场存在严重的缺口,导致中小企业难以寻找高水平人才,更难负担高水平安全团队的维持成本。这里谭老师特别提到,高水平安全人才往往需要很高的天分,又要具备足够的计算机专业知识,因此属于相对小众的群体,这种稀缺性更提高了这一市场的人才成本,有些重大项目聘用网络安全人员一天的薪资能达到 2 万多。
中小企业,如何制定安全策略?
面对这样的行业现状,而安全问题又是不容忽视的关键因素,那么中小企业在数字化转型过程中该制定怎样的信息安全策略呢?谭晓生老师从自身的经验出发给出了几条建议:
1、准备充足的安全预算。欧美企业往往会将 IT 预算的 10% 以上用于安全投资,国内在这方面差距很大,这是首先要解决的问题。
2、根据自身业务采取安全措施。企业应该评估各项业务受攻击的概率与被攻击造成的后果,并以业务遭受的损失预期为基准分配安全投资。
3、重视供应链信息安全管理。通过严格的审核、安全性认证等措施减少上下游合作方带来的潜在安全威胁。
4、需要充分意识到,网络安全威胁只能尽量控制,而不可能彻底消除。
此外,企业在评价安全防护投入时需要从根本上转变观念,意识到安全投入并非单纯的成本型业务,而是像主营业务一样可以产生很高的价值。安全投入应该与企业的业务规模相匹配,只有充分认识到这一现实才能为长期的安全工作打好基础。
谭晓生老师强调,选择适合的安全服务对于企业的数字化转型也十分重要。目前市面主流的安全服务类型有 MSS 和 MDR 两种。MSS 全称安全托管服务,是指企业网络安全设备委托给第三方代管,后者负责收集安全设备日志并做分析,出现问题或警告时通知委托人安全团队进行处置。MDR 全称托管威胁检测与响应服务,其范围与 MSS 相比更窄更深,主要事件响应。MSS 和 MDR 服务还可以互相配合,MSS 发现异常后交给 MDR 做深入分析和响应。
当企业没有足够资源维持 7x24 安全响应能力,或针对响应进行深度处理时,就适合选择第三方提供的 MSS 与 MDR 服务,从而获得更专业的安全防护水平并节省成本。当然,很多企业担心第三方团队会引入新的安全风险,对此谭晓生老师认为这类风险可以通过更严格的管理或法律追责手段控制在极低水平,相比引入第三方团队带来的收益而言是能够接受的。但在实践推广过程中,更多企业会出于管理者的责任归属问题而不愿意引入深度第三方服务,因此在国内 MSS 并没有受到广泛欢迎,MDR 更处于起步阶段。
谭晓生老师提到,MSS、MDR 为企业带来的主要收益是完整的安全防护能力与更快的安全事件响应速度。尤其对于中小企业而言,这些用户很难像大企业一样建设按照自身业务贴身定制的安全体系,难以支付高水平安全人才的培养与维持费用,因此必须采购通用的安全防护产品与服务。对他们而言,MSS 与 MDR 提供了可负担的优质安全防护水平。而对于大企业而言,MSS 与 MDR 的价值就要小很多。
但需要注意的是,如果企业有复杂的内网环境,存在层层安全隔离体系,MSS 与 MDR 服务就难以顺利部署和发挥作用。很多国企因为政治风险等问题,在管理体制上很难做出将企业内部数据交由远程第三方管理的决策,这就从根本上限制了这类第三方服务的推广普及。
从另一角度来看,在国内 MSS 与 MDR 领域还没有形成比较完善和严格的规范体系。MSS 与 MDR 供应商并没有相应的资格与能力审核、评价标准,企业在选择供应商时会面临“无章可循”的困境。在这样的局面下,企业管理者就更难做出与第三方合作、将敏感数据托付给他人的重大决定。随着 MSS 与 MDR 行业的发展,谭晓生老师认为这是全行业亟需解决的一大关键问题。
第三方安全服务缺乏灵活定制的缺陷也是企业需要关注和纳入考察范围的。第三方服务往往是通用型方案,很难根据企业自身的特点和具体的安全事件进行针对性定制,也很难做到深度参与企业自身产品的研发维护过程,找出潜在的安全漏洞并给出相应的解决方案。因此企业依旧需要维持一定水平的安全团队,不能将安全问题完全托付给他人。
在诸多因素限制下,目前国内 MDR 服务市场规模很小,可选的供应商数量也较少。但随着行业逐渐步入良性发展轨道,这一领域已经呈现出快速发展的态势,年增长率甚至将达到 100% 的高水平。接下来的几年这一市场会涌现越来越多的供应商和服务品牌,届时企业能够选择的余地也会扩大许多。
国内安全市场与社区现状
网络安全服务至关重要,但从行业整体来看,目前国内安全服务企业共有四千余家,市场总规模约 531 亿元,市场整体呈碎片化和激烈竞争的态势。在全行业数字化转型的浪潮推动下,安全服务市场的规模正在迅速扩大。谭晓生老师的企业正是为这些安全产业创业企业提供服务,帮助他们在这一领域取得优势,提前锁定行业发展红利。
身为 CCF 副秘书长,谭老师还介绍了 CCF 的整体概况。CCF 主要面向计算机行业从业者,目前是全球第二大计算机社区,参加 CCF 可以为学术界、产业界的从业者带来诸多好处。从业者只需访问 CCF 官网(www.ccf.org.cn)即可在线申请加入。CCF 提供了很多线上资源、数字图书馆,还有大批行业大咖、产业界大牛入驻。
CCF 下设一系列专业委员会,如计算机视觉专业委员会、计算机安全专业委员会等等。每个专委会每年都会组织众多会议,来探讨交流前沿技术、分享产业界经验。在网络安全领域方面也有很多活动和专题,例如《中国计算机协会通讯》会员期刊就有安全栏目,也会组织主题闭门会议,讨论各类安全话题。
数据安全法等法规对中小企业的影响
国家新制定的数据安全法与个人信息保护法规定了严格的数据安全保护要求,并设立了严厉的处罚措施。例如个人信息保护法会对违规企业处以全年营业额 5% 的罚款,因为企业掌握用户数据超过一百万条规模后,一旦出现泄漏等安全事件会造成严重后果,甚至直接影响国家信息安全。
作为中国第一位首席隐私官,谭老师认为这两部法律的诞生标志着国内数据安全领域迎来了转折点。在全社会快速全面数字化转型的背景下,数据泄漏危害愈加严重,影响非常深远。如今一系列严格的法律法规出台正是为社会整体数字化转型做好护航与管理工作。国家希望通过这些立法的引导,能够让企业及时意识到数据安全保护的重要性,在这一领域加大投入,提高重视程度。
对于数据资产已经达到较大规模的中小企业来说,建立一整套数据安全治理体系是非常必要的。
数据安全治理需要解决以下几个问题:
1、明确定义企业已有的数据资产;
2、对所有数据资产进行分类和分级。
3、基于分类和分级结果,对敏感数据做脱敏、隐藏等适当处理;
4、防止敏感数据泄漏,从网络和终端两个层面制定数据防泄漏策略。
谭晓生老师也提到,很多行业目前并没有完善的数据资产分类分级标准,企业需要在实践中自行探索,行业也要在这一领域不断发展进步。
网络安全技术的未来展望
近年来,网络安全领域的创新逐渐增多,新方案不断涌现。与此同时,云计算的推广普及也带来了许多新的安全问题与挑战,反过来刺激了安全方案的创新进步。以 MSS 和 MDR 为例,这些服务能够很好地解决社会数字化转型时大量企业难以建设专业安全团队的问题,是目前唯一能够在大范围低成本增强安全能力的解决方案。
那么,在企业网络安全体系的建设过程,最需要关注的要素有哪些?就此问题,谭晓生老师认为:
根据企业业务特点进行网络安全攻击建模。不同企业业务差异巨大,可能面对的安全攻击风险也大不相同。因此企业需要根据自身业务进行攻击威胁建模,分析哪些系统最易受到攻击,锁定最薄弱的攻击面。
找到薄弱攻击面后,针对性采取具体防范措施。企业建设网络安全体系时不可能做到面面俱到,因此需要将有限的资源投入到最可能出问题的环节上,有序调整安全防护策略。
重视人员与系统的配合、内部安全体系与外部服务的配合,适当选择 MSS、MDR 等服务增强防护能力,实现对安全事件的及时响应和恰当处置。对于有兴趣进入网络安全领域的从业者而言,谭晓生老师建议大家在初步了解安全相关基础知识后,根据自己对相应知识的理解和领悟来做决定。安全人员很需要天赋和悟性,对具体细分领域真正感兴趣的从业者才能坚持走好自己的职业道路。
作为国内网络安全领域的资深从业者,谭晓生老师也希望通过自身的努力帮助更多创业企业和从业人员进入这一行业,为中国网络安全产业贡献更多力量。
评论