乐信集团刘志诚:从乙方到甲方——网络安全的“大局观“与“急所”

aqniu
网络安全世界,红蓝攻守就像围棋的黑白棋子,在不断复杂化日益凶险的局势进程中博弈甚至搏杀。作为防守一方,甲方用户往往能站在业务角度看安全,以企业经营和风险治理的战略大局观见长,而乙方厂商则精于战术性的局部手筋和深度计算,而只有将大局观和战术性技巧融会贯通,意始气至,才能抢占真正能够决定棋局走势的“急所”。

网络安全世界,红蓝攻守就像围棋的黑白棋子,在不断复杂化日益凶险的局势进程中博弈甚至搏杀。作为防守一方,甲方用户往往能站在业务角度看安全,以企业经营和风险治理的战略大局观见长,而乙方厂商则精于战术性的局部手筋和深度计算,而只有将大局观和战术性技巧融会贯通,意始气至,才能抢占真正能够决定棋局走势的“急所”。安全牛有幸邀请到了在甲方和乙方都有丰富从业经历和经验的资深网络安全专业人士——乐信集团的刘志诚,与读者独家分享网络安全大局观与“急所”的心得与经验:

甲方乙方视角有何不同?

ICT与互联网行业网络安全市场有何不同?

如何看到隐私和软件供应链这两大安全“急所”?

乐信集团 刘志诚

乐信集团信息安全中心总监,中科院心理研究所管理心理学博士,印第安纳大学kelley商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP广东区负责人。关注企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。

引言

我在中国移动卓望公司呆了10年后,2018年4月份从深圳只身一人去了广州,从做信息安全产品的乙方转换身份,成为了做内部和产品信息安全治理的甲方,不过通信动环监控起家的上市公司高新兴仍然是在我熟悉的通信行业ICT领域。2019年12月从广州回深圳进入乐信,又从深耕了近20年的ICT行业转行到互联网金融,不得不说我每次转身的尺度之大,让人瞠目。人到中年,动不如静,为什么做出这样的选择,我给出的答案是,对新的挑战总有种时不我待的紧迫感,希望突破自己。

信息安全甲方和乙方有什么不同?

做乙方的时候,往往需要考虑通用性和针对性,针对一个信息安全风险,往往需要考察不同应用场景中共性问题是什么,对风险的治理讲究策略的有效性,不希望需求的蔓延把产品变成项目。以中国移动营业厅无纸化项目中,通过电子签名服务器实现营业厅无纸化的解决方案,就是通过营业厅移动电子签章一个点,来带动整个项目的落地。

在运营中国移动数字证书中心的过程中,对于安全的解决方案,往往是围绕数字证书的具体应用,无论是为国家邮政局寄递实名制落地的全套解决方案,还是为中国质量协会量身定做的供应链质量追溯平台,其核心都在于公钥基础设施体系在不同应用场景的创新应用。通过密钥在移动互联网和物联网环境的传输、交换和验证,创新解决业务的问题。

当然,做乙方负面作用就是,当你有个锤子,看什么都是钉子,在身份转换为甲方之后,经常碰到乙方技术交流过程中,乙方针对甲方提出的一个需求,拿出风马牛不相及或牵强的产品和方案,这样的乙方就缺少了创新和灵活性。

甲方往往是关心自己碰到的问题如何解决,考虑的是问题解决的效果和效率,虽然从问题分解的角度来说,也是从点入手,但一个问题往往涉及一个方面,例如,数据安全问题,仅从数据库审计一个点切入,显然距离甲方的视角相距甚远。

具有乙方的视角来看甲方的问题,单纯的深度对问题解决的细节大有裨益,但如果需要从面上解决问题,这就要求你具有宏观的视野和足够深厚的各领域产品的功底。我在卓望10年,做产品带团队之余,基本拿齐了国内外信息安全的相关资质认证,CISSP、CISA、CISM、ISO27001、CISP、CISAW,这也是能够进入甲方的一个原因吧,现在很多乙方的咨询顾问很难和甲方对上话,根源往往在于知识面过窄。

当然,乙方的经验会给甲方解决问题带来产品化的思路和思维,逻辑边界更清晰,问题解决方案的耦合会更合理。现在国内有些乙方的产品也希望在面上进行突破,但如果缺少甲方的经验,会造成产品耦合带来的副作用,往往一个点比较强,却带着一个薄弱的面,不同的产品之间的功能冲突给甲方带来困扰,例如在终端的安全管理层面,多个乙方客户端的功能重叠问题挺令人头疼。这也是乙方做产品可能的通病,对甲方面的理解不到位,耦合设计不合理,做出来四不像的产品。这点,国外乙方单点突破的产品往往做的比较好。

其实,你会发现,在甲乙方深入转换过身份的人,无论做甲方还是乙方,天然都会具有思维优势。

ICT和互联网行业有什么异同?

通信和计算机技术(ICT)和互联网有什么异同,我的感觉用开发模型举例来说,ICT是瀑布模型的阵地战,互联网是敏捷原形迭代的游击战,当然,底层的一致性,带来必然融会贯通的趋势,不会非此即彼。因此,当互联网巨头阿里和腾讯在2B市场攻城略地,通过云计算和智慧城市的巨型ICT项目单一来源,对传统ICT行业而言,苦不堪言之余也是满嘴苦涩。

卓望公司是2010年王晓初时代的中国移动联合HP、沃达丰、美林证券成立的创新技术公司,在2017年左右谈及混合所有制时,不得不说当年王晓初的创新意识和魄力。卓望公司顶着中国移动香港无线研发中心的金字招牌,目标直指移动互联网,并通过移动梦网的品牌在短信时代呼风唤雨,其中创始团队的战略眼光和视野,同样让人钦佩不已。在时代变迁过程中,卓望的业务属性逐渐蜕变为支撑属性并因为所有制外资成分掣肘而逐渐边缘化,从互联网属性公司成为ICT公司,令人唏嘘之余未免慨叹。

亲身经历卓望变革的十年,同样在阵痛中收获满满,2010年左右在智能手机尚未普及的年代,卓望公司建立中国移动认证中心,通过RFID分离卡内置的密钥机制,和广东一起打造的手机支付生态链“手机通宝”,野心勃勃,希望建立线上线下融合的用户、商户、运营商的机制,具备银联的支付能力,具备互联网的运营能力。近三年时间投资过亿,终因体制,技术成熟度,等诸多原因而被雨打风吹去。仍记得在2013年在某地市试点二维码支付的应用场景,思路是把线下商品的订单转换为二维码,智能手机线下扫码一键买单购物,没记错的话,应该比阿里和腾讯的二维码支付还早。

我们是谈安全,不能老陷入当年勇的回忆,这件事现在看来,给我两个深刻的印象,第一,ICT是为别人做嫁衣,缺少业务的主动性,或者脱离业务的运营,成功跟你的关系不大,失败的几率相当大。第二,安全的价值一定是和业务密切相关的,手机通宝的核心价值,就在于其中打造的生态安全体系在线上线下融合支付产业的应用。

阴差阳错,十年之后,到了乐信,主营新消费生态体系的乐信,核心是打造线上线下融合的消费场景,2013年创业,2017年纳斯达克上市,在成立7年之际,遇到百年不遇的新冠疫情,2020年第一季度依然交出双位数增长的成绩单。当年未能实现的梦想,现在为乐信业务的安全保驾护航,冥冥之中也许早有注定。

说到这儿,其实也已经表明了对ICT和互联网的态度,ICT只有建设,互联网却是以运营为基础的建设,那么这之间的胜负其实不言自明。

网络安全两大急所:隐私生态链保护与技术供应链安全

甲方的安全,甚至是互联网甲方的安全,大家比较熟悉,就不再多做赘述了,简单分享下我觉得目前可能重视度不够的两个问题,一个是个人信息保护领域的数据安全风险治理中共享与合作的难点问题,一个是越来越受重视的软件开发安全管理的第三方组件安全的难点问题。

个人信息保护现在是个热点问题,刚结束的人大立法计划中,对《个人信息保护法》,《数据保护法》已经提上了日程,新修订的《民法典》也涵盖到用户数据保护的相关主题,这是对2017年《网络安全法》的有机延续和增强,也是对目前因用户数据泄漏导致电信欺诈频发社会问题的回应。同时,在全球化时代中,考虑到企业走向全球的隐私保护数据对等条款以及数据跨境与海外政策对接,也需要对欧盟《通用数据保护条例》等各国立法予以关注和同步。

移动互联网业务为用户带来极大的便利性同时,也带来了个人数据泄漏的进一步风险,APP的操作系统权限滥用带来用户数据采集的混乱也成了众矢之的,四部委2018年启动的专项治理,希望通过合规重拳予以打击和治理,效果彰显。互联网金融产业链中,以人工智能分析为基础的大数据运营公司,通过输出用户信用评价实现商业价值,其数据的获取、交换因为爬虫事件也在2019年受到电信诈骗牵连频受打击,行业龙头遭受重创。2020年初疫情期间,公安部云剑行动通过电信诈骗顺藤摸瓜,同样在通信服务产业链中掀起巨浪,短信服务公司风声鹤唳,频受调查。这其中隐含着一条脉络,就是隐私保护已经脱离了企业范畴,变成了生态链问题。单纯的做好内部的信息安全防护,构建纵深防御机制,关注攻防对抗,显然对个人隐私相关的数据安全而言,显得力所不及。

关于隐私保护,IAPP的CIPT认证是个从技术领域看隐私保护的最佳理论与实践,其中的PbD(pravicy by design)理念值得仔细揣摩,如果单纯的从合规的角度跟着法律和规范走,始终处于被动和整改的状态,对业务发展,对技术实现,无论成本还是效益都谈不上最佳实践,而以业务为中心的产品和技术,往往是走向检查,整改,检查循环的老路,劳民伤财,伤筋动骨。如果从设计隐私的角度入手,以用户为中心进行隐私保护的设计,提前思考布局,会起到事半功倍的作用。

从生态链角度而言,需要关注合作伙伴的用户隐私泄漏风险的生命周期管理,在引入合作伙伴阶段需要做好安全风险的评估,一般来说,安全能力水平,安全技术保障,服务水平协议是评估的三个要素,需要做到,能力有第三方评估佐证,技术方案具备攻防思维考验,服务水平明确相关义务和责任。根据评估筛选出合格的合作伙伴合作,对于各方面均差强人意的合作伙伴需要敬而远之。

在合作过程中要具备持续监控的能力,通过相关泄漏指数的跟踪和设计,做到对相关风险的及时发现和预警,对于风险趋势走高的合作伙伴,通过约谈、协同排查、业务降比等手段,来降低和规避相关风险。

出现隐私泄漏相应的事件后,要能及时止损,追溯、确定责任,对风险进行整改,对策略和方案进行调整和回顾,逐步优化。

安全软件开发过程管理(SDL)在安全领域的应用,随着大家攻防的视角从基础公共系统延伸到业务系统,治未病的理想状态和投入产出比(ROI)的理想分析来看,应用软件的安全越来越关注到需求和设计阶段,代码审计、模糊测试、渗透测试等关注软件代码安全质量的漏洞挖掘也越来越受到重视。

从APP到微服务,业务模块化使业务的开发足够敏捷,部署足够灵活,SDK和开源组件的使用从避免重复制造轮子的角度来说,为程序员和架构师的效率提升带来了难以预估的价值。同时,不可避免的引入了软件的安全风险,Zoom的事件因facebook的SDK带来的隐私灾难险些导致Zoom公司破产,阿里着名开源组件fastjson组件频发的漏洞,忙的各大公司网关产品升级改造鸡飞狗跳,无不预示着隐藏在应用系统背后的软件供应链安全风险。

当然,软件供应链安全的治理,同样遵循着PDCA的过程管理,做好引入阶段的备案与评估,避免引入高风险的第三方和开源组件。同时,在关注到漏洞与安全的同时,也需要关注组件的可用性与兼容性问题,在中美贸易战激烈时刻,已有开源公司软件变更许可证阻止中国企业应用,对第三方软件涉及到知识产权以及许可证的条款足够清晰,避免侵权以及可用性遭受致命打击影响业务,同样十分关键。

在应用阶段,注意关注第三方组件的漏洞威胁情报,及时发现、预警,并做好整改与版本发布工作,要在受到根本影响时,做到完全切换的替代方案,例如,fastjson被大面积替换为gson,其实也是一种应急预演。

当然,信息安全工作永无止境,需要关注热点,也不能只跟热点,做好基础防护工作同样至关重要,时间原因,就不再赘述。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论