本文来自安全牛,作者/张安媛。
业务的安全稳定发展无疑是所有企业的重要发展目标,但影响企业业务安全的因素众多,尤其在信息化时代,数字化转型几乎已经成为所有企业的必选项,这让企业的业务流程变得更加复杂,同时也面临着更多的风险。要保证业务不会被不法分子通过设备漏洞攻击、流程缺陷等问题所威胁和破坏,企业组织必须积极建立起与业务数字化转型步伐相匹配的新一代业务安全防护体系,实现企业业务发展的长治久安。
本次牛人访谈我们邀请到了芯盾时代的联合创始人、CTO孙悦,共同围绕企业业务的安全发展进行了深入的探讨,芯盾时代结合自身的实践经验向我们展示了,新一代业务安全防护体系的重要意义和构建方法,共同探讨了零信任等热门技术理念对业务安全发展的重要意义,并对业务安全的防护发展趋势进行了分析预判。以下是访谈内容:
孙悦
芯盾时代联合创始人、CTO,曾任中国移动研究院安全产品部负责人、总经理,北京邮电大学硕士,率先提出以人为核心的业务安全理念,开创性地解决开放网络环境下各行业在数字化发展过程中遇到的业务安全问题,推动零信任业务安全产品在1000余家金融、政企、运营商、互联网等大型客户落地,为3亿+用户提供业务安全防护。承担多个国家级和省部级重大专项研发、产业化、成果转化项目。多次获得部委级信息科技风险管理课题一等奖、二等奖。
01
安全牛:
目前,企业数字化转型已经走向深入,当越来越多的业务数字化后,其应用安全面临着哪些新挑战?新一代业务安全防护体系该如何构建?
孙悦:
在数字化转型的大环境下,企业业务安全面临的新挑战来自于业务环境和网络环境的变化。
过去,无论是大型上市公司还是中小型企业,业务系统相对封闭,大家的安全体系都以边界防护产品为核心,重点关注的防护对象是服务器、网络设备等网络基础设施。
2010年之后,移动互联网、云计算、5G快速普及,数字化转型逐渐加速,企业的各类业务不得不开放在非封闭的网络环境里。尤其在疫情之下,很多员工远程办公,企业内网必须更为开放才能满足业务需求。内网环境的开放带来了很多基础网络设施之外的业务安全问题,安全防护重心也由原来的设备安全逐渐转向业务安全。为了应对随之而来的新挑战,企业需要建立新一代的业务安全防护体系。
要建立这个体系,首先要确认参与业务流程的“人”的身份,因此“人”是业务安全的核心。确认身份之后,还要继续确认这个“人”在业务流程中的行为,通过对行为的分析与控制,最终构建一个兼顾安全、体验、成本的信任模型,保证业务流程和业务系统的稳定、安全。
这是一种动态的业务安全防护机制,与过去静态的防护方案相比,这一变化顺应了数字化转型下各行业的发展需求,也促进了零信安全理念的发展和落地。
02
安全牛:
企业在建立以人为核心的新一代业务安全防护体系时,应重点关注哪些方面?
孙悦:
结合芯盾时代的实际经验,我认为要构建以“人”为核心的业务安全防护体系,应该从“人、物、事”三大维度出发,建立连续性和自适应的业务安全管理体系。其中,“人”指业务流程中的参与者;“物”指承载“人”的设备,比如手机、PC、物联网设备、车联网设备,以及设备中的系统程序;“事”代表行为,即业务流程发生时的所有行为表现。
首先,对“人”的身份认证管控,需要改变传统的静态认证管控,实现连续和自适应。举个例子,传统的使用密码或证书的认证管控均是基于静态的规则,只要输入正确的密码,就判定访问身份是安全的,这种方式在业务场景里存在巨大的安全风险。而基于“零信任理念”的身份认证管控必须贯穿于业务访问流程中的所有环节,不再仅限于登录那一刻。管控策略也不再局限于放行或阻断,而是可以自动执行多因素认证、安全提醒等多种管控手段。
其次,在“物”的维度,需要实现对终端设备的威胁感知。在业务流程中,“人”需要使用设备访问后台资源、获取各种权限。如果设备安全无法保障,很多安全风险也就无法控制。以银行App为例,如果App不具备终端设备的威胁感知能力,那转账、交易等行为的安全性就无法保障,会带来严重的金融安全风险。要保证“物”的安全,涉及到大量终端安全防护技术,比如设备指纹、数据沙箱等。
最后一个“事”,是指对人和物发生的行为进行分析决策。想要实现这一点,需要为整个“零信任业务安全平台”构建一个风险分析模型。它相当于整个体系的“大脑”,通过它去分析、判断访问行为是否存在安全威胁。威胁感知为它提供数据来源,相当于眼睛和耳朵,认证管控执行它下发的策略,相当于双手。
特别是像银行这种有C端用户的企业,采用了新型的业务安全防护体系后,其业务安全就能够得到更大程度的提升,这也是以人为核心的新一代业务安全体系中连续性和自适应性的体现。
03
安全牛:
企业用户如何才能实现业务安全防护的连续性和自适应性?
孙悦:
想获得新一代业务安全防护的成功实践,可以先从两个方面着手:
首先是实现对威胁风险的态势感知,尤其是用户设备威胁风险的态势感知。我之前提到过,在业务访问流程中会涉及到大量的终端设备,来自B端、C端、E端的用户。以企业的C端用户为例,想要实现对他们的态势感知,可以在他们的终端上增加设备指纹、签名验证、安全基线检查等手段;对于E端的企业内部员工,办公过程中产生的数据都要落到他们的设备上,要保证这些数据被安全下载、查看和使用,可以采用数据沙箱等防护手段,避免数据被恶意人员窃取。
第二,要建立有效的用户行为分析模型,基于模型,对用户的操作行为进行风险评估和响应处置。行为模型的建立,需要数据规则引擎和机器学习模型两大技术。数据规则引擎的要求有两个,一是“功能全”,引擎中有大量人工经验抽象而成的规则,这些规则要足够全面,尽可能覆盖所有业务场景;二是“性能好”,要保证规则执行的实时性,在几百毫秒的时间内执行几千条规则,并且快速得出结果。
数据规则引擎虽然可以满足企业用户灵活的配置要求,但因为人工总结的规则更多是面向已知的威胁,存在一定的滞后性。因此,能够应对潜在的未知风险的机器学习模型越来越受到广泛的关注。以芯盾时代自身的实践经验来说,我们目前已经建立了十几种机器学习模型,风险监测能力更强大高效。
04
安全牛:
新一代业务安全防护体系是一种动态的防御机制,打破了传统的网络边界。那么您认为,像零信任这样的新安全理念对未来业务安全体系的发展有哪些影响和帮助?
孙悦:
市场需求促进技术理念发展,技术进步助力业务安全能力提升,零信任理念在新一代业务安全防护体系的建设中发挥了巨大的作用。
目前,零信任理念在国内落地的具体产品主要是SDP(软件定义边界)网关产品。SDP有很多的技术点,比如刚刚谈到的连续、自适应的身份认证管控,还有一个核心功能“网络隐身”,很受客户的认可。我们可以这样理解“网络隐身”的概念,传统的网络安全防御手段可以看做是筑造城墙,为了避免攻击,防守方会将城墙垒得越来越高,但SDP则是通过SPA单包认证技术让攻击者直接看不到这堵墙。当我们在做攻防演练的时候,攻击方首先就会去探测防守方的网络中是否存在一些可渗透的IP或端口,单包认证让这些端口在探测时处于非开放的状态,让攻击者探测不到网络,让企业“网络隐身”。
诸如SDP网关这样的融合了零信任理念的产品,满足了当下行业用户对业务的动态安全防护需求,帮助企业用户实现了安全、快速的数字化转型高质量发展。
05
安全牛:
业务安全未来的整体发展形势如何?在技术实现上是否会有一些新变化?
孙悦:
首先,越来越多的企业认识到了业务安全的重要性。仅仅相对于五年前,企业用户在业务安全领域的预算和投入就有了明显的增高,而且这些投入很多并不是IT设施建设上的预算,而是和业务预算绑定在一起,所以我们现在经常说“业务即安全,安全即业务”。在未来,业务安全市场的发展速度会进一步提升,市场会越来越广阔。
其次,数字化转型浪潮下,越来越多的企业需要建设新一代业务安全防护体系,围绕“人、物、事”形成持续认证、动态授权、威胁发现与动态处置的闭环操作。我刚刚列举了金融行业的实际案例,这是因为金融行业的To C端业务一直处于业务安全防护技术水平的前沿,这一特征表现最为明显。随着业务环境和网络环境更加开放,政府、电力、能源、通信、物流、制造等更多的行业也会像金融行业一样,进行深度的业务安全防护建设。基于零信任理念的产品方案将从金融行业逐步下沉到这些行业中来,客户量级也会从原来的大型企业逐渐向中小型企业拓展。
另外,就零信任理念本身来说,现阶段企业用户最先关注的还是南北向流量的安全风险治理,即外网访问内网、内网连接外网这样的业务访问流行为。但现在很多客户已经逐渐呈现出对东西向流量的关注,想利用零信任理念,实现同一网络下的服务器对服务器、容器对容器,甚至API对API之间的数据访问流的安全管控。
总的来说呢,未来用户对零信任理念的应用范围将越来越广,应用粒度会越来越细,会围绕“人、物、事”,形成更加智能化、精细化、安全系数水平更高的零信任业务安全防护体系。
安全牛评
随着信息化与数据化的发展,网络安全与业务安全已经融为一体,如何满足业务安全的需求成为许多企业与厂商面临的新挑战。在此背景下,“以人为核心的业务安全”理念必将受到更多的关注和认同。解决企业业务安全的同时保证业务的效率是企业面临的永久课题,不同的企业有不同的解决思路,覆盖“人、物、事”三个维度的防护思路,具有较高的可操作性和价值。