APP下载

深度解析“人是安全要素”

2020-12-30郭涛

网络安全和信息化 2020年4期
关键词:大会网络安全企业

■本刊记者 郭涛

“人是安全要素”,换个中国人习惯的说法——以人为本的安全,既是本届RSAC大会的主题,也是大会归纳出的十大趋势之首。人在信息安全及社区中的价值,以及如何从人入手实现更好的信息安全保护等焦点问题,重又摆上桌面,引人深思。

增强安全意识,让安全成为一种企业文化

近年来,网络安全技术的发展日新月异,但各项技术的发展,最终都是以人为推动力的。虽然有很多自动化的工具可以帮助人们完成众多流程化的工作,但是在关键环节,还是需要人来决策和协调。

谈到人在信息安全中的作用和价值,青藤云安全的专家表示,今天,网络威胁和防御方法处于不断变化之中,对企业内的所有员工进行安全意识培训,增强员工的网络安全意识,可以更好地应对网络安全威胁。很多企业的高管认为,网络安全完全是IT人员的职责,但实际上,网络安全的防御是每个人必须共同承担的职责,员工良好的安全意识始终是企业数字化资产防御的第一道防线。

随着各种技术的快速发展,人们很可能会忽视一个关键要素,那就是人。很多时候,人们专注于研究技术,而忽视了人在技术发展中所发挥的重要作用。2017年举行的第五届中国互联网安全大会(ISC 2017)就是以“万物皆变,人是安全的尺度”为主题,而RSAC 2020大会则包含了关于人的更多主题要点。这些再次说明,人始终是安全的一个永恒主题。

RSAC 2020以“人是安全要素”为主题,是在我们愈来愈依赖技术的情况下,让我们重新审视人与技术的关系,告诉我们该如何改变固有的思维和行为,这对未来的网络安全发展将起到非常重要的启示作用。

随着网络安全面临的威胁越来越大,对网络安全人才的需求也与日俱增。在中国,网络安全专业人才极为短缺。在很多情况下,因为员工的安全意识不强,出现人为操作失误或是恶意行为,最终导致企业面临安全风险。近期,微盟研发中心运维部一名核心运维人员的恶意破坏,导致微盟宕机36小时。

近年来,DevSecOps在概念上被炒得火热,但真正能够落地的却很少。青藤云安全专家认为,其中很大原因在于组成DevSecOps的三驾马车——开发、安全和运维之间还不能够保持有效的沟通,从而导致很多安全工作还处于事后打补丁的状态,严重阻碍了产品交付的速度。因此,更应该将安全内嵌到开发中来,从源头上就开始把握好安全问题。

回归本质,严防祸从“口”出

RSAC将今年大会的主题定为“人是安全要素”,并且在今年的创新沙盒竞赛中,专注于隐私数据防护的创新厂商SECURITI.ai最终获得冠军。大家仿佛从中看到隐私防护、合规、关键链条等成为必然趋势。但是,绿盟科技首席技术官和国际业务首席运营官赵粮却有不一样的看法。他认为,今年的主题是在之前5年甚至10年基础之上一种“被迫”的回归。

从2010年、2011年开始,安全行业就非常关注0 Day、APT高级持续威胁这样的高精尖攻击技术。但是,十年下来人们发现,其效果还是不够好。这让企业不得不进行反思,到底怎样才是更安全的?这就要回到更本质的问题上来。

大家经常讲,祸从口出,病从口入。赵粮认为,在网络安全领域,这个“口”就是人。在行业中,当出现安全问题时一般有三种可能:一是软件和IT系统开发过程中出现的脆弱性和漏洞;二是软件或App应用在使用过程中,由于使用不当或配置不当而出现问题;三就是人,比如说社会工程攻击,以及人的滥用、误用、不合理使用和欺骗等,这些都是围绕着人出现的安全问题。

说到人,又包括安全管理员和安全团队、IT管理员和IT团队、企业员工,以及企业的最终用户。这四大群体就构成了“人是安全要素”中的“人”。这四个层面中的任何一个环节出现纰漏,都会给最终的安全结果带来影响。

因此,赵粮建议:企业要不断提高安全管理员、安全团队的安全能力和安全意识;不断提高IT管理员、IT团队的安全技能和安全事件处置效率;而企业员工和企业用户要在安全产品、工具和服务方面不断变革。

“我之所以说今年大会的主题是在之前五年、十年话题基础上的回归,是因为我们发现,并不是完全依靠高精尖的技术和工具就能搞定安全问题,最后还是要解决人的问题,才能把安全的短板补上。”赵粮表示。

网络安全为人民,网络安全靠人民

既然安全问题对企业业务的发展如此重要,而人又是解决安全问题的最关键的一把钥匙。那么,如何才能真正做到“网络安全为人民,网络安全靠人民”呢?

事实上,“以人为本”早已成为国内信息安全建设的关键基因,而这与腾讯安全护航产业安全的做法不谋而合。

腾讯安全的一项战略性前瞻是,安全是企业CEO一把手工程。在RSAC 2020上收到的2400份发言申请中,众多针对“数据、威胁、风险、隐私、管理和团队”的内容均涉及安全方面的人为因素。尤其是在数据安全方面,大量数据显示,企业员工有意或无意的行为是致使企业数据资产泄露的罪魁祸首。

CIO网站的调查数据,25%的受访企业拥有CISO,11%拥有CSO,17%拥有另一位头衔不同的高层安全管理人员。这意味着近一半的企业并没有为安全团队任命任何高层管理人员。企业必须将安全置于最高等级的战略高度,体现在企业的管理责任上,就是需要企业CEO亲自抓。

腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生曾在第五届CSS互联网安全领袖峰会上表示:“安全不再只是CTO、CIO们的工作范畴,也需要CEO的战略关注。产业互联网时代,安全正成为CEO一把手工程。”

在企业从上到下给予安全足够重视的前提下,如何将安全策略、措施执行到位也是一项十分艰巨的任务。在终端安全方面,腾讯安全通过终端无边界访问控制系统(iOA)提供内网和办公终端的安全防护,让运维人员更加方便、高效地对内网庞大的终端进行管理。

安全从本质上是人与人之间的对抗,扎实的安全人才体系是开展安全工作的基础。腾讯安全凝聚了超过3500人的服务团队,支撑起腾讯安全提供安全服务的“前台、中台、后台”。仅在2019年,腾讯安全就输出了覆盖多个领域的研究成果。与此同时,腾讯安全还着眼于整个产业安全“人才池”的储备,通过发起腾讯信息安全争霸赛(TCTF)、携手发起极棒国际安全极客大赛(GeekPwn)等安全竞赛,“以赛代练”培养适应当下安全形势的安全人才。

从顶层的安全价值上升到企业CEO,再到底层的3500人服务团队,加上独具特色的安全专家服务模式输出,腾讯安全全方位打造了“以人为本”的战略安全体系。

人与技术协同,打造以人为本的安全生态

早在2017年5月,360董事长兼CEO周鸿祎在一次谈及勒索病毒的演讲中回答“网络安全最关键的因素是什么?”这个问题时曾明确回复:“是人。”

人是最大的安全漏洞。如果人不遵守安全规定,没有安全意识,即使企业拥有再好的安全架构,也抵不过公司内部有一台不受控制的服务器。对于企业来说,最有效的武器就是安全专家。在未来的网络安全战中,表面上是技术之间的较量,其实背后是人与人的较量。

在ISC 2017大会上,周鸿祎曾谈到,在大安全时代,人是一切安全问题的根源,也是安全生产力。以前,我们习惯依赖各种各样的技术体系,依靠不断堆叠的软件和硬件。但实际上,这些看上去固若金汤的安全防线很可能不堪一击。在实践中,我们必须通过人与技术的协同,建立以人为核心的安全体系和安全生态。

周鸿祎亲自参加了RSAC 2020大会,并全程参与了时长三个小时的RSAC创新沙盒大赛。在众多参赛企业中,周鸿祎发现ForAllSecure的理念和产品与大会的主题较为契合。ForAllSecure此次展出的产品是一款名为ForAllSecure Mayhem的机器人。ForAllSecure Mayhem并不打算代替人类安全分析师,而是通过分析自动化,甚至以线速修补常规类别的漏洞,从而让人类分析师能够更专注于解决真正棘手的问题。

在周鸿祎看来,如今的网络安全已经不能只依靠设备和系统维护,未来需要更多的安全专家和安全运营商,对数据进行分析、挖掘并深入追踪,只有这样才可能真正解决安全问题。

猜你喜欢

大会网络安全企业
企业
企业
企业
WAIC与WIC大会简介
敢为人先的企业——超惠投不动产
新量子通信线路保障网络安全
声讨大会
上网时如何注意网络安全?
大会选举
网络安全监测数据分析——2015年11月