筆者的一位朋友�����,曾任首鋼首席研究員��,最近在個人微信號上發(fā)表了一篇文章“從疫情處置看智能化推進”�����。
前些天有朋友說:有校友賣車賣房捐款給學校���,但錢還放在銀行里。于是我想���,武漢不缺錢但缺少資源:在把錢轉化成資源的過程中出現(xiàn)了問題���。有些問題是典型的資源配置問題:有的資源因人為原因運不進來��,已有的資源不能及時公平地分發(fā)下去��。
據說有位企業(yè)家3天打了上千個電話��,主要解決封城導致的運輸困難����。有的資源運進來了����,卻堆在倉庫中遲遲分不下去;有的因分配不公引發(fā)眾怒�����。信息技術的很多優(yōu)勢沒有發(fā)揮出來�。有的基層單位做一件事,要給不同的上級部門填六七張類似的表格�、浪費了大量寶貴的時間:這就是共享沒做好;有的醫(yī)院建好入住了����,用電、餐飲卻沒有跟上:這就是協(xié)同沒做好…..
原則上講,智能化技術能讓決策更科學�、協(xié)同性更好、反應速度更快�����。但總體上說��,這次的決策��、協(xié)同和反應速度都不能令人滿意����。否則����,不會出現(xiàn)今天這樣的被動局面。
討論智能化的時候��,很多人都在談算法問題�����、技術問題�,而我和幾位朋友卻經常談人的問題、機制的問題、利益的問題��。與2003年SARS時期相比����,當今的信息技術和硬件設施都已經有了巨大的進步。然而��,在決策���、協(xié)同��、反應速度等方面��,感覺上卻是不進反退�。
除了病毒本身的原因外���,大概就是人的因素了��。我經常強調:如果把智能化當成技術人員的事情���,是做不好的。這次疫情處置暴露出來的問題���,充分地說明了這個道理���。
_
以上是傳統(tǒng)企業(yè)信息化專家對智能化技術的反思�����,同樣適用于網絡安全���。
集成化、自動化和智能化是下一代網絡安全技術的重大演進方向�,但是新冠疫情給我們敲響了警鐘:安全風險管理,絕不僅僅是技術問題�����。把網絡安全當成技術人員的事情���,是注定要失敗的,而且代價通常都很慘痛�。
那么,在能力驅動的大安全時代���,網絡安全在企業(yè)數(shù)字化轉型中到底該扮演何種角色�?這個問題不搞清楚,網絡安全市場很難跳出技術流的“沙盒”�����。
以下我們圍繞數(shù)字化轉型的話題�,一起來看看企業(yè)網絡安全面臨的重大挑戰(zhàn)和變革:
_
數(shù)字風險已經超過了傳統(tǒng)安全團隊的能力
很多企業(yè)已經將網絡安全在數(shù)字戰(zhàn)略中的優(yōu)先地位提到顯著位置,而意識到危機的CISO正在將安全責任分散到整個組織中���,并致力于改變IT文化���。
近兩年,隨著新工藝和產品開發(fā)以驚人的速度向前推進��,數(shù)字化轉型已進入高速發(fā)展階段���。隨著以DevOps為代表的IT和業(yè)務的敏捷化�,產品和應用上市速度得到極大提升����,例如智能硬件、數(shù)字家電�����、智能應用,供應鏈全球化和企業(yè)競爭生態(tài)化產生了更大的“攻擊面”��,但是安全能力和設計方面的考慮卻常常被拋在腦后���,數(shù)字風險逐步累積逼近危險的閾值�。Gartner預測到2020年�����,由于安全團隊無法管理數(shù)字風險�,將有60%的數(shù)字業(yè)務將遭遇重大服務故障。
盡管很難確定數(shù)字項目是主要原因����,但高知名度的安全失誤如預期般接踵而至。IDC安全研究副總裁皮特?林德斯特羅姆(Pete Lindstrom)表示:
不管廣為宣傳的違規(guī)行為是否與數(shù)字化轉型直接相關�,它們都讓企業(yè)領導人重新思考風險和將風險降至最低的解決方案。
_
網絡安全的挑戰(zhàn):預算優(yōu)先級能否看齊云計算
Gartner數(shù)據顯示��,中國在2019年的IT支出約將達到2.9萬億元規(guī)模����,而信息安全市場規(guī)模為500億元左右��,中國網絡安全支出占IT支出比例僅為1.7%,而2018年全球信息安全支出占IT支出的比例為3.05%����。顯然,相對于全球平均安全支出水平還有相當大差距�����。
新冠病毒和WannaCry病毒給企業(yè)決策者最大的警示就是:無論是Safety還是Security����,在安全支出上省錢,最后付出的代價將極為慘痛�!
年后中國股市開盤網絡安全板塊不但沒有暴跌,而且總體市值還創(chuàng)下歷史新高�,已經表明大多數(shù)投資者都意識到了網絡安全市場在“黑天鵝”時代依然有巨大的成長空間。
那么面對“黑天鵝”事件和數(shù)字化轉型的新挑戰(zhàn)����,企業(yè)的網絡安全預算優(yōu)先級和支出占比可參照大致的“國際標準”是多少?
根據最近的Altimeter調查�,IT決策者不僅將網絡安全列為數(shù)字化轉型的首要考慮因素,而且還將其列為第二大投資重點(35%)����,略低于云計算(37%)���。如果無法保護企業(yè)、其客戶或其他重要資產�,創(chuàng)新技術的大筆投資甚至成果都可能“一夜歸零”。而面對安全威脅的復雜性和發(fā)展速度�����,即使是最頂級的安全運營團隊也會面臨持續(xù)的挑戰(zhàn)和壓力���。
麻省理工學院制造業(yè)與生產力實驗室的執(zhí)行董事兼研究科學家Abel Sanchez博士說:
這場戰(zhàn)斗比我們的決策周期要快�����。如果你行動慢一些��,那么從領導力的角度來看����,你就變成局外人了��。
他補充說�����,在安全和發(fā)展方面���,需要敏捷性����、靈活性和快速的決策����。
在全球能源解決方案公司施耐德電氣,網絡安全是其轉型戰(zhàn)略的核心���。面對企業(yè)并購以及從研發(fā)到供應鏈和服務的業(yè)務復雜性�,施耐德全球CISO Christophe Blassiau反復強調企業(yè)整體數(shù)字化安全運營的可視性�。IT和運營技術(OT)的集成產生的新連接、數(shù)據源和潛在漏洞都需要防護�,施耐德的網絡團隊必須將公司的安全性與合作伙伴和供應商的生態(tài)系統(tǒng)由點到面地對接起來。
我不想擴大安全團隊的規(guī)模�,因為這樣做給人的印象是,安全問題會有專人解決���。在施耐德�,安全是每個人的責任。
——施耐德全球CISO Christophe Blassiau
Blassiau表示:我們不是頭痛醫(yī)頭��,腳痛醫(yī)腳地劃分安全職責或者資質����,我們從全公司范圍的IT和風險治理設計階段就開始融入安全。
施耐德對網絡采取了雙向方式�,制定了一個全新的網絡安全實踐計劃,并在每個實踐和整個公司中嵌入網絡專業(yè)人員(數(shù)字風險經理和區(qū)域CISO)���,以創(chuàng)建一個網絡安全領導者社區(qū)����,他們接受培訓并專注于特定的網絡風險�����。此舉讓Blassiau 在數(shù)字空間中有了一種“控制感”��。
每個片區(qū)都有一個網絡安全負責人向數(shù)字實踐執(zhí)行領導匯報���,同時也向我匯報��。
_
融入業(yè)務:安全團隊也必須轉型
安全團隊面臨的最大挑戰(zhàn)仍然是如何讓安全跟上企業(yè)數(shù)字轉型的速度�����,確保安全性覆蓋每一個新的內部數(shù)字流程���、新產品開發(fā)和外部互聯(lián)網機會����。Sanchez說����,大部分安全解決方案都歸結于IT和安全部門的文化���。安全團隊也必須經歷一場變革���。但這并不容易,許多員工必須愿意學習新技能��,才能與企業(yè)業(yè)務人員互動���。
其中一些安全轉型可以通過重組來實現(xiàn)�。例如���,許多安全測試人員正在消失�,測試工作由軟件工程師完成。誰能比產品開發(fā)者更懂得如何保護它呢���?其他開發(fā)領域也是如此��。
未來���,數(shù)字化轉型和網絡安全不再是兩件事,而是一件事����。NTT美洲安全首席執(zhí)行官(Matt Handler)表示,整個安全團隊變得更加平易近人�����,成為業(yè)務的一部分��。尤其是內部威脅管理�����,對網絡安全在企業(yè)文化和業(yè)務流程的中融合提出了更高要求�����。
根據Forrester的報告,2020 年許多公司的內部威脅管理不僅將關注如何降低風險��,而且還會兼顧隱私���、透明性和員工滿意度����。2020 年���,將是企業(yè)把內部威脅功能從臨時措施變?yōu)榭芍貜秃涂筛倪M“固化流程”的一年。
安全團隊必須是敏捷化���,成為業(yè)務創(chuàng)新的推動者而不是阻攔者����。這是“過去一年左右發(fā)生的新趨勢�����?��!?/p>
Handler補充道:
CISO也必須不斷發(fā)展�,在部署應用程序或新技術的部門中擔當內部顧問和合作者的角色。網絡安全部門不再是負責‘說不’的部門����。與其說不,不如說‘讓我們看看我們如何能盡快做到這一點�,并安全地做到這一點?�!艺J為�����,單憑這句話就改變了CISO的局面��。
_
安全的未來:安全設計和安全智能
多年來�,CISO一直在倡導從設計階段就植入安全性。現(xiàn)在��,由于更加靈活和動態(tài)的組件�,“安全設計”的實現(xiàn)也變得越來越容易。特別是云計算以及可用的內置安全功能越來越豐富�����,企業(yè)可以更深入地研究堆棧——從網絡和基于主機的安全�,到應用程序和數(shù)據安全,以及“零信任網絡架構”的實現(xiàn)方式��。
此外���,投資者預計�,隨著利基網絡安全供應商數(shù)量的鞏固���,使用機器學習的網絡安全公司很可能在2020年脫穎而出����。不過��,由于人工智能的過度炒作��,企業(yè)界變得更加警惕����,更加看重人工智能安全技術的實際效用和交付能力���。擁有大量安全數(shù)據的公司可以將算法��、分析和機器學習結合起來���,大大縮短威脅的檢測和響應事件(MTTD和MTTR)�����。
Handler說:
從CISO的角度來看�,如果您能夠以最快的速度提供安全性�����,并幫助企業(yè)實現(xiàn)其里程碑和目標���,并且安全性從一開始就融入到流程中���,那么您就能立于不敗之地,這絕對是一個未來的理想狀態(tài)����。
有一點可以確信的是,人工智能不是安全的終點���,而是起點�����,人工智能本身會帶來新的高級安全威脅�����,“深度偽造”只是人工智能威脅的初級應用��。
未來���,網絡犯罪/APT攻擊的組織化�、敏捷化和人工智能技術的武器化擴散����,將是企業(yè)安全團隊面臨的重大議題。
_
大安全時代:每個企業(yè)都是網絡安全企業(yè)��,每個員工都是安全人員
“零時代�����,大安全”���,是安全牛對始于2020年的安全市場大變革的研判和預測�?!傲銜r代”指的是零信任時代的安全能力新基準、新框架����,以及安全技術和方法的顛覆趨勢;“大安全”指的是需要站在國家政治���、經濟�����、社會治理的高度�����、從企業(yè)信息化的角度�,基于風險管理大框架來看安全問題��,安全能力不再是一個技術人員的問題��,而是所有人的問題���!
根據安全牛之前的報道“決定網絡安全市場錢途的五組數(shù)字”��,未來兩年網絡犯罪造成的損失是6萬億美元�,而全球網絡安全支出約1萬億美元。也就是說����,安全支出與安全損失的比例是1:6,損失6元錢才舍得在安全上花1元錢��,在中國這個比例更低�,因為中國企業(yè)的安全支出占比遠低于全球平均水平。
更糟糕的不是安全支出與安全損失的失衡�����,而是網絡安全在中國數(shù)字化轉型中定位的邊緣化——道具化和龍?zhí)谆?����。這也是大量網絡安全企業(yè)呼吁“內生安全”和“安全能力”的原因���。一個健康的安全的數(shù)字化生態(tài)��,安全應當是每個政府部門、每個企業(yè)、每個員工����、每個產品的能力,而不僅僅是安全技術產品的能力��;其重要特征是網絡安全用戶變成技術應用的創(chuàng)新者����,而不局限于網絡安全企業(yè)的產品和概念,以下這些虛構的新聞也許能帶給我們些啟示:
某國家銀行開源了一個人工智能反欺詐安全工具���、某石油化工企業(yè)發(fā)布了一個先進的物聯(lián)網蜜罐���,企業(yè)招聘市場、產品和技術人員時需要考核GDPR等隱私安全法規(guī)��,某企業(yè)智能體脂秤因為泄露用戶隱私被罰款2000萬RMB…
_
毫無疑問���,2020年這場疫情注定將對國家����、企業(yè)和數(shù)字社會的轉型進程產生無法估量的巨大影響��,“全民云辦公”的IT應用場景和需求訴求發(fā)生顛覆性變化,這對無法適應變化缺乏創(chuàng)新和執(zhí)行的網絡安全企業(yè)來說是災難�����,而對另外一些敏捷化的網絡安全企業(yè)來說�,則是在這場人類史上最大規(guī)模的數(shù)字化遷徙中把握水源地機會,成長為全球一流企業(yè)的關鍵契機�。正如本文所提到的正在發(fā)生和必將發(fā)生的安全變革:從伴生安全到內生安全;從技術問題上升到管理問題��;從預算“邊料”變成支出重點����;從合規(guī)驅動到能力驅動。
