国内信息安全水平比较发达的城市,当属北京和上海。两者的信息化普及程度和人员的IT水平均为国内领先,尤其是后者,由于大批跨国企业的存在,其安全市场也更加具有开放竞争的属性。除了网络安全提供商以外,活跃在安全市场上的,是这个市场的另一重要角色信息安全官。近日,安全牛记者走访了一家500强企业的CISO,顾伟。
个人简介:顾伟,某世界 500 强企业日本及亚太地区业务信息安全官。负责日本及亚太地区所有业务部门相关联的信息安全,风险管理和合规隐私。顾伟先生有超过 14 年的信息安全领域工作经验,在多个世界 500 强跨国外企中担任过信息安全架构和信息安全管理等工作。同时,还是国内最早从事云安全治理、数据安全、ISO27001、CARTA模型等方面咨询的专家顾问。
一、安全的价值在于推动业务 安全牛:作为一名知名外企的CISO,主要日常工作都有哪些?顾伟:网络安全工作是多种多样的,传统意义上的信息安全主要指技术上的IT安全,但企业合规、内部控制、风险管理,甚至是业务开发和财务管理也都有相应的安全工作。
比如,遇到收并购的时候,就需要对被购方进行信息安全的风险评估,因为许多企业即使营收方面非常好,但有可能信息安全能力非常低下。如果又是以数据为核心资产的话,其数据安全的风险就会非常大,再加上一些潜在的法律、合规方面的风险。像埋下了一颗地雷,不管是被私下盗取还是公开泄露,都会对给公司的价值评估带来巨大的影响,雅虎被收购时价值缩水10亿美元就是非常典型的例子。
此外,中国的移动互联网产业高速发展,已经超越了国外。在手机App上可以做很多事情,电子商务、移动支付、甚至是CRM之类的办公业务办公,所以在安全运营的可控范围内,如何让跨国企业更好的借助这些优势,是我们这些CISO们要做的事。
安全牛:我们知道安全工作与业务效率是个平衡关系,越安全就越不方便,你是如何看待并解决这个问题的呢?顾伟:做信息安全有时相当于在放栅栏,必然会让业务部门感到不便,所以要尽量以业务部门习惯的方式来处理安全问题,让他们觉得安全对业务和项目有推动作用,最终达到一种彼此之间拥有信任感的关系。
安全牛:话虽这样说,安全如何推动业务?有哪些具体例子?
顾伟:比如我们的微信平台。做微信平台是为了与病患以及医生有更多互动,建立起一个智能化的双向沟通渠道。信息安全在其中所做起到的作用,就是保证所有数据的平稳交付。如最基本的CIA,完整性、可靠性和机密性,要贯穿整个数据管理生命周期。
数据生成之后,不管是在企业内部流动,还是通过微信平台流转到外部,都要保证CIA。通过信息安全团队的审核,以确定哪些数据可以在哪些地方进行怎样的发布。哪些信息是恰当的,可以给到哪些特定人群。以避免企业的利益受到损失。这些事情都要和其他部门配合进行,包括业务部门,甚至还有法务部门。
还有一个非常重要的事情,是从公司文化的角度去潜移默化员工,把员工的安全意识和形为融入到公司整个的安全战略里。比如,邀请其他部门的员工参观我们的安全运营中心,去看看安全专家每天是如何过滤垃圾邮件、防御网络攻击,保护信息资产不被恶意入侵,保障供应链安全,保障企业的生产,这些才是信息安全工作的价值。安全的终极意图不是在控制或监视员工,而是把员工都当作体系里面的一份子,充分发挥自己的作用。
二、最关注数据安全与政策合规 安全牛:你最关心哪些可能的安全风险?顾伟:安全的方方面面有很多,对于我们来说,一个很大的风险是数据泄露。分为外部黑客攻击和内部无意或恶意的泄露两大块。
外部攻击方面,用的是比较成熟和通用的技术。如防火墙、IPS、WAF之类的。作为一个500强跨国企业,我们一个月能收到700万封钓鱼邮件,中国大陆和美国都是重灾区,还有海量的报警。目前主要靠全球化的SOC,利用自动化工具去做安全防护,如终端扫描、补丁更新、攻击告警处理等。内部威胁方面则是使用了DLP数据防泄露技术来防止数据的外泄。将来还要提升本地安全运维能力,包括对业务的支撑能力。
内部泄露方面,因为我们对数据保护更加注重,所以刚才说到了使用DLP。并且,我们还在自己的SOC里运用了安全自动化技术,智能化的收集和分析日志,结合外部情报做判断,最后再做处置,我们叫ASOC(Advanced SOC)。
安全牛:企业的业务现在都上云了吗?
顾伟:上云了,但不是全部。无论国内还是国际,大家其实都面临一样的问题,如果数据敏感度很高,是不是还要放到云上?云化并不是指一定要把所有的东西都放在云上。要么全部上云,要么干脆不上云,这两种思路都有问题的。我们要去评估,哪些数据可以放在云上,也有足够能力去保护。哪些数据不适合放在云上,要进行本地保护。
而且,每个国家的安全能力和网络态势是不一样的,这也是一个评估因素。是不是需要考虑更多的风险,外部环境是否可控,有没有资源去做这样的事情等等?而且,安全的决策在西方主要是以业务为导向,但是在国内更多的权重则放在本地法律的合规上。
我们大部分业务已经迁移到云上,亚太区在中国就租用了AWS。为什么单独在中国做,是为了中国的网安法。合规和数据保护一样,也是对业务的重要促进和推动。数据的流动才能创造价值,但是对数据的本地化保护是许多国家和地区的要求,包括日本、印度、新加坡、香港、泰国,甚至是台湾,都有各自的隐私保护法。中国大陆也不例外。
三、安全需要信任感 灌输和强制反人性安全牛:本地化过程的主要困难在哪里?
顾伟:主要是业务和安全解决方案的契合问题,解决方案是否能够真的帮助业务部门。在全球,本地化都是一个很大的趋势。中国用微信,韩国则用Line,美国则是Whatup。不管用什么,数据都要放在本地。于是,我们就更倾向于找本地供应商,来省去诸多的合规流程。
对内则是要比业务部门较早地了解新的技术。不管是大数据还是AI,如何把这些技术和业务,在安全的条件下强有力的整合起来。这就需要不断的加强学习,在技术语言和业务语言之间,做到灵活的转换,这对安全和业务部门双方都非常有好处。
安全人员可以学习到如何把安全嵌入到技术中去,以及实现内在的控制。而业务部门通过与安全人员的协同工作和交流沟通,双方可以逐渐建立信任。我强调一下,在任何业务驱动的组织中,安全人员与业务人员之间的信任感,是安全能否更好支撑业务最为重要的基础之一。灌输和强制都是反人性的。
另外我们也在做大数据,通过数据分析精准研发方向,节省人力成本。现在各种企业的数据已经非常之多,但如何妥善使用是一个很考究的课题,即要带来价值又不能越界。我们的理念就是“永远以善为本,不作恶”。我们做的数据分析、挖掘,都是要造福于病患,广告、推销,那些灰色地带是绝对不碰的。
四、国内安全公司的定制化能力优于国外安全牛:如何看待国内的安全供应商?安全能力与国外相比有何区别?
顾伟:国内的安全公司有一个优势,就是定制化能力比国际厂商高,可做到快速迭代,快速响应客户需求,还有服务能力、工程化能力等,毫不夸张的讲,中国的网络安全企业,已经完全有能力能够独当一面地为国内企业服务,甚至于能够输出到国外。
但是,国内的网络安全提供商在国际化或说产品标准化方面,以及创新能力方面,与国外厂商还有差距。尤其是后者,国外有好多小公司,在服务用户的独特需求方面做得很深。反观国内,跟风现象非常严重,每当一个新概念出来之后就会有一大堆公司一拥而上。我觉得这其实不是我们的技术能力不够,而是我们的创新思维较窄,创新意识弱。
我认为,国内的安全公司会有一个很光明的未来。现在很多外企都在使用中国厂商的产品和服务,对于外企来说必须要有一个强有力的合作伙伴,更贴近业务,更快速的响应。这种合作模式,会给厂商未来的国际化运营打下重要基础。
安全牛:选择安全产品主要会看重哪些因素?顾伟:使用效果和性价比是最最关键的两个因素,尤其是使用效果,哪怕会贵上一些。比如某一产品有几个供应商,如果没有其他特定原因的话,一定会选那个使用效果最好的。当然,性价比也是一个重要的考量纬度。毕竟一般来说,产品的价格和使用效果是成正比的。
五、关心三大技术方向:CARTA模型、UEBA和AI安全牛:除了选择供应商和产品,还有哪些建议可以分享给同行的?
顾伟:建议谈不上,我谈谈自己的体会吧。首先扎根公司的业务,做到自我认知。不管是到了新的环境还是在一个环境里,都要不断的更新自我认知。公司的业务其市场在哪里,核心因素是什么,关键数据有哪些,公司的强项在哪里,竞争对手都有谁等等。
再者要借鉴最优,参考最佳实践。包括参加各种协会组织的各种活动,与业务高管和安全相关的专业人员交流,阅读咨询公司的报告、专业媒体的文章等等,比如你们安全牛的报告和文章我就经常看。
还有一点非常关键,就是排好优先权,把最好的资源投入到最能推动企业业务的工作上。以上三点做好之后,再去弥补其他的一些细节,安全体系中可能存在的弱点。安全的价值一种是体现在帮助或推动业务交付方面,另外一种就“润物细无声”式的,为什么在社会上从来没有听到过你的数据被泄漏,被黑客攻击勒索之类的事情,因为我们具备很好的防御体系,成熟的安全运维人员,紧密合作的高级安全专家,这时安全的价值也可以体现出来。
安全牛:刚才提到了报告和专业文章,站在未来的角度,你更关心哪些技术趋势?顾伟:最近在关注三种技术,第一个是CARTA模型,持续自适应风险与信任评估。现在很多公司在上云时犹豫不决,上了云又不知道该如何做安全,而CARTA就可以很好的帮助决策、选型,再到具体的安全控制措施。
另外一个是UEBA。把海量的日志结合起来,对用户和实体行为进行分析和预测,可以大大节省SOC的运营成本。SOC最大的问题就是需要合格的安全运维专家,需要24小时的去看日志。塔吉特就是一个例子,安全系统已经报警,但没有人处理,结果出了那么大的事情。SOC的安全运营人员需要有3到5年的安全工作经验,我们知道现在安全人员短缺,这样的人很难招到,而UEBA技术可代替一部分人力。
最后是AI,人工智能,把AI技术嵌入到我们的产品设计中来。很多情况下,安全问题的产生不是因为我们的技术不够,而是我们从一开始设计的时候就有问题,所以要从设计角度着手,一直到开发、测试、上线,风险评估、漏洞扫描、合规管理等,把能够触发警报的条件全部交给AI,贯穿整个生命周期。
要和供应商达成信任与合作,必须做审核,要做安全风险管理的评估。包括了解它的内部运维环境,如何存放数据,依据哪些标准,有没有加密、命名、容灾备份等。最终确认这个供应商是否处于一个比较低的风险状态。