诸子笔会 | 刘志诚:从供应链到生态——情景化安全的创新与挑战
自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。
从供应链安全到生态安全
——情景化安全的创新与挑战
文 | 刘志诚
刘志诚
乐信集团信息安全中心总监
中美贸易战引发的科技封锁,以及全球新冠大流行引起的地域隔离风险,在物理、网络两个边界掀起了供应链风险治理的热潮。华为在高科技限制,物理上在芯片的制约中,网络空间在android操作系统等相关的开源软件协议制约下,消费者业务遭受重创,更为高科技企业的发展敲响了警钟,在关注传统物理世界供应链安全的同时,网络空间的供应链日益重要,solarwind等一系列商业和开源软件的问题,导致漏洞被勒索病毒,网络犯罪集团,国家战争武器库的应用案例层出不穷,迫使企业审视自身依赖环境的供应链安全,完善供应链风险评估,治理机制,避免造成重大的业务风险。
从本质上而言,单纯从供应链的角度探讨安全,已经不能涵盖企业生态环境的网络空间安全风险,供应链的视角仍然是基于企业内部的观点来观察,从内部安全延伸出供应链的安全关注,是因为企业对供应链的依赖关系,但进一步来讲,企业或所处的环境,已经不再是以物理环境为关键要素,网络控制作为管理支撑补充的时代,随着互联网+的普及和数字化变革浪潮,企业需要关注的不再是内部的安全场景,而是在网络中的网状结构场景,供应链只是诸多外部场景之一。因此,不能局限于供应链安全一个点来探讨企业安全面对的新的挑战与机遇,本文尝试从企业在网络安全生态中的场景,来探讨安全的创新与挑战。
一、 场景为王
图一、企业网络环境从一企业为中心到网状结构
传统视角中,企业作为网络安全的中心视觉关注In B的内部安全风险,通过网络边界建立信任边界。在互联网业务和数字化战略中,由于业务的运作模式依赖于信息化系统,传统线下模式的交互方式迁移为系统中的对接,更多的信息流通过网络在线传输。企业已经不仅是单线的与某一业务实体线性交互,会涉及到针对供应商,合作伙伴,2B客户的整体上B2B安全生态的问题,同时,针对C端用户,也需要考虑用户的业务处理环境以及账号,交易的安全风险。在网络空间安全监管日益加强的背景下,监管部门的及时,准确,全面掌握行业的网络空间安全风险,也需要关注企业与监管部门的线上对接的场景安全风险。因此,企业的安全视角要从以企业为中心的In B评估视角转换为,企业生态环境的场景2B、2C、2G的安全风险视角。
图二、供应链场景
目前涉及到供应链场景,讨论较多的就是软件供应链安全的问题,包括商业软件(COTS)的漏洞利用带来的风险,也包括开源软件的漏洞风险和许可证风险,商业软件漏洞的修复与安全责任的承担可以通过供应商服务等级条款(SLA)进行约束,转移风险。但开源软件因免费和免责的原因,难以通过向开发者追责的方式转移风险,现在也是各软件成分分析(SCA)供应商关注的重要话题,另外,因为对开源软件的授权协议了解和分析不足,也存在违反开源方规定,需要承担额外风险的问题。
数据作为生产要素,在《数据安全法》《个人信息保护法》出台后,明确了数据处理者的义务和责任,合法数据产品的发展和流通受到国家法律法规的鼓励和保护,对促进数据的应用与发展具有重要的意义。在数据作为数字化经济核心生产力的前提下,数据供应链的安全至关重要。目前对数据合规、质量、安全的评估机制,定价机制,流通保护机制缺乏相应的方案和手段以及落地实践,这个领域将是创新创业的热土领域。
如果数据是数据时代的能源石油,算法就是数据时代的发动机,人工建模的算法实现以及人工智能算法体系的实现,将是业务竞争的核心竞争力,而算法的产品化也必然是不可逆转的趋势,但由于人工智能算法的可解释性,可信性仍面临挑战,而企业为了追求组织利益最大化,而可能损害消费者,行业和国家的相关利益,大数据杀熟,差异定价,垄断等经济问题的根源就在于算法的不透明性和不受监管,11月14日出台《数据安全管理办法(征求意见稿)》提出了算法披露接受社会监督的条款,虽然可能面对巨大的争议,但如何在企业的商业机密和算法的透明性,可解释性之间达到平衡,仍将是一个需要持续创新和探讨的话题。
依赖于专业机构的专业服务来降低企业的运营成本日益成为企业提升专业能力降低成本的必备手段,例如在安全领域,由厂商提供专业的渗透测试以及攻防演练的资源,提升企业的纵深防御的安全防守能力,面临着企业内部资源的外部暴露风险,外部系统和外部工具的介入,涉及到数据资源的处理以及服务功能对企业原由流程的变更风险。服务的质量、效果评估评价,服务的水平保障和安全责任承担,均需要深入的分析与管控。
人力资源作为企业的核心资产,在自有人员的选、育、留层面的安全管控已普遍形成共识,但企业日益依赖于动态人力资源调配的外部模式,以支持分布式,不均衡,周期性、快速试错的业务发展需求。而外包人力资源的管理,不仅是解决阶段性人力动态调配的问题,也需要关注人力资源变更对企业的效率和效能的影响,目前不少大厂的外包人力资源在质量,口碑,效果上风险日益增高,从安全的角度而言,临时性人员的安全意识教育培养,存在较大的安全风险。
图三、场景分析
企业2B的网络安全场景分析可以参考供应链的分析,只不过,除了作为需求方要求供应链企业保障上游安全的同时,需要考虑作为下游的供应链保障下游的安全,下游的风险评估,需求分析,安全保障能力建设,服务水平协议的签署,需要做好提前的准备工作。
2C的网络安全保障需求散落在不同的业务需求或不同团队之中,涉及到终端安全的保障能力,相应的终端厂商和独立第三方2C安全产品厂商有对应的解决方案,这里面存在一个主动与被动的问题,问题用户的环境自然不会通过加强终端的安全保障而限制自己的欺诈行为,因此企业对C端的终端安全保障不能依赖于用户的主动保护,对终端安全的检测和监视,也是需要关注的重点领域。
应用的安全因移动互联网的发展APP成为当下安全的重点方向,从国家层面的APP作为数据入口和移动操作系统权限的关键节点,做好用户的保护工作,同样企业要做到终端应用的安全,从防篡改开始,保障应用的完整性,可用性,防假冒至关重要,作为用户业务和数据的承载环境,数据的安全性在终端环节的保护也需要具备相应的措施。
账号和交易安全保障能力,很多企业纳入业务风控团队管理,涉及到风控的话题,不同语境可能含义未必完全相同,例如金融相关企业的风控主要依赖用户数据和模型,做企业盈利的相关控制策略,是一个比较重的后评估模型,但互联网属性明显的企业往往通过技术手段做技术相关的风险控制,例如设备指纹,IP,地理位置,终端行为相关的基于威胁情报的安全风险处置。这里的边界在于前置评估还是后置评估,对流程和性能的影响以及创造价值的综合判断。
2G主要设计面向监管科技的未来的在线监管场景的配合,从目前来看主要关注对用户数据相关的权利保护以及从反垄断,反歧视的市场公平性监管,体现在数据的应用以及算法的透明性和可视性监管。传输内容的安全保障,需要关注。
综上所述,企业在数字化动态环境中,线下信息流的线上化趋势难以避免,对企业传统信息化关注的安全边界造成巨大的冲击,必须从企业In B的视角转换为企业生态网路安全的视角。
二、 风险闭环
图四、生态安全治理模型
相对于In B视角的安全治理,涉及到跨组织,跨能力的安全生态链建设,传统的安全治理模型难于在相应的制约因素下,完成治理工作。需要创新的方法论和管理治理流程,完善供应链安全的治理。
首先需要进行影响分析,了解业务过程涉及到的相关利益相关者,明确各利益相关者在生态链的位置,功能,承担的网络安全责任。风险评估的前提是信息资产的确定,由于跨组织带来的资产不确定性,风险难以准确评估,因此需要影响分析前置,做好相应的评估准备工作。
其次是风险评估的相关工作,重点关注利益相关者自身的安全能力,安全水平和安全策略的落实情况,分析利益相关者安全治理和管理的实践中存在的漏洞和脆弱性,面对可能的攻击,以及利益相关者的相关风险处置能力对企业的安全治理和管理带来的影响和可能性,从而形成对生态链利益相关着的风险评估。
利益相关者的风险评估结果作为风险接受水平下的安全策略处置,相对于内部风险安全策略实施的便利性,对利益相关者一般通过服务协议,规定双方的义务和责任,从而转移和规避相关的安全风险。当然,对于双方交互的边界安全可以通过部署创新的安全产品降低相关风险,并提升安全事件的检查和预防能力,实时监控相关安全风险。
持续监测是服务协议落实的依据,因此,通过技术手段实现利益相关者安全风险持续监测,是发现安全事件,界定安全责任,避免安全事件影响扩大,追溯和调查安全事件必备的技术手段,需要企业具备相应的解决方案和能力,才能有效落实服务协议规定的权利和义务。
安全的预防,检查措施难以避免安全事件的发生,安全事件的相应,在响应,调查,恢复,追责的基础上,需要关注跨组织的利益相关者的责任界定与追责,涉及到服务协议的修改调整以及商业上的赔偿措施。并进一步引起影响分析,形成闭环。
生态安全是在传统企业以自我为中心的In B视角到以生态为中心的2B、2C、2G视角的转换,也对安全企业提出了关注In B到2B、2C、2G中的产品空白,通过产品创新,模式创新,实现生态安全体系的构建。但确实由于场景的复杂性,安全企业的现有产品体系存在对生态场景覆盖的空白点,也难以落实相关需求,这就需要各行业的领先企业,加强影响分析和风险评估,确认相关的空白场景,结合安全厂商的能力,共同打造出创新的安全产品,适应生态安全需求。
推荐阅读
诸子笔会 |11月征文合集《供应链安全》
张永宏:从供应链安全看企业信息化系统风控诸子笔会 |10月征文合集《安全周》
张永宏 王振东 赵锐 蔚晨
刘志诚 刘顺 肖文棣 季奖公布
诸子笔会 |9月征文合集《安全团队》
刘志诚 张永宏 刘顺 杨文斌 蔚晨
王振东 孙琦 肖文棣 赵锐 月奖公布
诸子笔会 |8月征文合集《数据安全》
赵锐 刘顺 刘志诚 杨文斌 张永宏蔚晨 王振东 孙琦 肖文棣 月奖公布
诸子笔会 | 7月征文合集《安全自动化》
张永宏 肖文棣 杨文斌 于闽东 孙琦 刘志诚 蔚晨 赵锐 季奖公布
诸子笔会 | 6月征文合集《安全数字化》
张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布
齐心抗疫 与你同在