在全球新冠疫情肆虐的當下,壓力陡增的物流行業是安全形勢最為嚴峻的行業之一,根據盛邦安全的監測數據,2020年1月以來的webshell日攻擊流量達到104萬條,較2019年平均日攻擊流量上升5個百分點,有效攻擊上升15個百分點,65%以上流量來自境外;尤其值得注意的是相當一部分攻擊是針對抗疫相關的農業系統、物流系統和交通運輸系統。
此外,伴隨新冠疫情的網絡攻擊不斷活躍,互聯網威脅指數屢創新高,全球用戶對個人隱私和數據安全問題的關注也急速升溫,而業務涉及海量用戶信息的物流企業的安全能力,尤其是圍繞數據安全展開的安全體系建設、供應鏈安全、基於風險管理的內外部威脅防禦、人員意識培訓,已經不僅僅是企業合規問題,而是物流企業的核心競爭力和永續發展動力。
作為物流行業的領頭羊,順豐既是網絡安全的“用戶”,也為合作伙伴提供安全解決策略,在網絡安全領域的建樹可謂有目共睹,無論是應對物聯網、無人機、人工智能、區塊鏈領域的新興威脅,還是“人與數據”的安全管理“內功”都頗有心得和成果。近日安全牛有幸採訪了順豐集團負責數據安全的核心團隊,即順豐紅岸科技解決方案部的負責人劉新凱,就順豐圍繞“人+數據”開展安全建設的思路和觀點進行了深入交流,以下是主要內容(雖然是“十問”,但實際訪談中衍生出十三個問題):
順豐紅岸科技解決方案部負責人 劉新凱
安全牛:當前,網絡和信息安全已經成為了政府、企業以及人民群眾各個維度都在關注的焦點,根據您的從業經驗,當前信息安全建設的痛點有那些?未來的信息安全發展趨勢是什麼?
劉新凱:整個企業安全建設的發展大體經歷了以下幾個階段:
第一階段:單點建設階段。
在這一階段主要是針對不同的安全問題,來選擇相應的安全產品,簡單的補漏。通過產品的堆砌,快速形成安全技術防禦體系,實現安全防護基本保障,解決大部分的終端和網絡安全問題。
但這種被動的防禦,沒有擴展性產品之間缺乏協調聯動,無法解決系統性問題,安全人員沒有一個完整的能力來知曉與應對自己所面對的安全風險。
所以如何能夠系統的思考安全問題,解決不同品牌、不同安全產品的協調聯動,如何擴展相關功能,並且逐漸從純技術向更加完整的業務和數據安全方向轉型,成為下一階段的方向。
第二階段:體系建設階段。
在這一階段需要構建一套多層次的安全體系,使得安全人員能夠第一時間發現風險並預警。由此出現了流量分析、日誌審計等技術,搭建了態勢感知、SOC等安全平臺,使得企業更好的滿足合規、內控審計的相關需求,建立起安全風險處置與響應機制。
但這一體系往往無法從企業的業務價值來解釋,同時在適應新型技術架構發展方面有挑戰。因此如何將安全體系建設的思想同企業業務價值相關聯,便是接下來的安全建設階段。
第三階段:以數據為中心的安全建設。
企業在構建信息安全體系時,其實最終要關注的還是“人”,保護的是企業所擁有的“數據”,即安全核心逐漸從硬件、網絡、應用等逐漸轉移至業務、人員,安全的建設圍繞“信息和數據”來進行。
因此如何立足於企業擁有的數據,關注接觸和使用這些數據的人,來評估相關風險並採取相應安全措施,搭建新型安全體系是信息安全建設的發展趨勢。
安全牛:供應鏈安全是當下全球企業的關注重點,除了軟硬件技術的供應鏈外,物流供應鏈自身,以及第三方供應商未來面臨的安全威脅主要有哪些?有哪些值得期待的緩解措施?
劉新凱:供應鏈安全指的是一個網絡體系中,隨著業務的高度泛化,組織自身的應用需要面臨來自第三方合作單位的業務交互,因為各自管理制度標準的不統一,安全管控措施的差異,這可能會成為一個缺口,從而導致攻擊的發生。
供應鏈攻擊,也稱價值鏈攻擊或第三方攻擊,這一攻擊方式,在過去幾年裡極大地改變了典型的企業攻擊方式,帶來了前所未有的高風險。
供應鏈安全中所面臨的主要威脅是第三方造成的敏感數據洩露和數據濫用。我們需要從以下三個方面進行應對:
一是面臨廣泛雲化,數據大集中的情況,核心是保護企業的數據安全。數據安全保護是一個系統性工程,這也是我們強調能力型輸出的一個原因。我們要充分考慮各級供應商和合作商的綜合能力,安全資質、安全保護能力,並且進行有效監管。
二是面臨高頻交互,物理邊界消失的情況,我們要對供應商所能接觸到的數據進行嚴格管控,比如哪些數據可以提供給供應商,哪些數據由供應商流入企業內部,要對靜態、動態和存儲的數據進行安全的治理和管控,要進行數據安全態勢的感知和安全風險的自動響應;
三是面臨標準不一的問題,我們還需要和供應商就權責範圍、事後問責機制達成協議,確保一旦出現安全事件,能夠及時響應。
安全牛:從實踐角度看,在以數據和人為中心建設思路下,未來的數據安全體系架構應該是什麼樣子?發展的過程中,應該把握哪些方向和原則?CMMC這樣的成熟度框架是否適合國內企業?
劉新凱:關於建設以“數據”為中心的安全體系,結合順豐的實踐,首先在思路上要注意以下幾個問題。
第一:需要有一體化的建設思路。這樣是為了避免剛剛提到的單點產品堆砌所帶來的風險。這個一體化的建設可以不需要一次成型,可以是初步的一個思路框架。
第二:需要能力型的輸出,體系化的建設需要的是綜合能力而不是依靠單一產品,能力型的輸出技術、業務運營、最佳實踐在內的整體解決方案。
第三:需要從治理、管控逐漸向運維轉換。即需要一個良好的數據安全運營平臺,來了解數據的全生命週期情況,分析所面臨的風險。
順豐內部依據IPDRR模型建立了三層結構的數據安全框架,包含:數據安全治理與管理層、數據安全管控層和數據安全運維層。通過這樣一體化的數據安全體系,我們要解決靜態數據、流動數據和存儲中數據的安全問題。
基於上述思路和治理模型,我們提出了以業務為中心的安全戰略,提升以合規為基礎的安全管理能力,構建以“人”為中心的安全治理體系,最終落地為以“數據”為中心的縱深防禦體系。
CMMC美國國防部(DoD)對外部項目承包商約束的統一安全標準,用於衡量這些企業安全實踐和安全流程的成熟度。有很多類似的安全成熟度模型,比如系統安全工程能力成熟度模型(SSE-CMM)、國標GB/T 37988-2019 數據安全成熟度模型(DSMM),這些模型各有側重,在各自的領域具有重要的指導意義。因此,對於CMMC國內的企業可以結合其所處行業的實際情況進行參考和借鑑。
安全牛:很多用戶在展開數據安全建設時,面臨的最大困難是數據資產的梳理問題。順豐在實踐中,是如何解決類似問題的?
劉新凱:數據安全建設過程中最大的困難是數據資產的梳理。要讓數據資產清晰起來,其實首先要解決如何發現數據資產,發現之後如何對其進行分類分級,弄清以及這些數據的權屬關係。在瞭解這些信息之後,才能更好地進行溯源和保護。
為了解決上述問題,順豐自研了粹御數據安全管理平臺。第一步,我們通過數據資產管理平臺發現數據信息的載體,比如數據庫、文件服務器、應用等數據資產;第二步,利用隱私數據管理平臺明確敏感數據分佈在這些資產的哪些地方,比如哪張表哪個字段;而光有靜態的數據還不夠,因為數據是在業務流程和系統中流動的,我們還需要了解數據是如何使用和衍生的,我們通過粹御的數據溯源平臺對數據進行全生命週期的溯源。所有這些措施是後續安全事件控制和響應的基礎。
安全牛:提到了數據的加密脫敏,很多企業,尤其像順豐這樣的大企業,業務系統眾多,敏感數據的加密脫敏其實是一個很龐大的工程,導致無從下手。想問一下順豐是如何落地的,有什麼經驗?
劉新凱:順豐的業務系統眾多,要解決這個問題,就必須如之前所說,先要弄清楚有哪些數據資產,企業關心的敏感數據分佈在哪裡,數據又是如何在業務系統間流動的。
在加解密方面,我們在弄清楚了敏感數據的業務鏈路之後,便可以從源頭開始,對用戶的敏感數據進行加密,加密後的數據流入數據湖。我們搭建了統一的加解密平臺,對業務系統進行加解密統一管理,以此作為管理的抓手,來保證再有新的業務接入時,都能及時納入安全的管控。
同樣在脫敏方面,我們在弄清楚敏感數據分佈在哪裡之後,根據不同的業務場景,利用我們的粹御數據脫敏管理平臺對相關數據的使用實施脫敏管理。
安全牛:數據資產清晰後,又該如何去設計以及落地相關權限的管控呢?
劉新凱:對於順豐而言,設計並落地相關權限管控是不容易的。在順豐內部有幾十萬員工賬號,上千套應用系統,架構層級複雜,個性需求眾多,因此市面上的產品很難滿足我們的實際業務需求。
於是我們自己建設了一套4A管控系統:百源。我們通過大數據算法模型,在賬號的全生命週期實現了自動授權,在員工崗位變更時,及時收回既往權限,並賦予新的權限。同時我們還可以滿足不同業務系統個性化的權限設置需求,建立用戶、應用和數據之間的信任關係。
安全牛:當前我們不僅面臨外部威脅,同時也面臨內部威脅。那麼在權限管控的基礎上,您認為在面對內外部威脅時,怎麼去有效進行應用和數據的保護?
劉新凱:我們前面提到過,現在網絡邊界逐漸消失,安全建設將以數據為中心。在談到內外部威脅的時候,我們也需要進行觀念的轉換,不能被傳統靜態的安全思維所束縛,現在沒有單純黑白的好壞世界,灰色是安全領域的新現實。風險管理必須在生態系統層面上加以考慮,需要樹立以人為中心的新型安全策略,一種基於信任和責任的動態管控方法。安全管控要根據用戶不同的能力、背景、權責,根據其使用技術和業務應用程序做出自適應的風險決策。
Gartner推出了“連續自適應風險和信任評估”(CARTA)方法,該方法側重於幫助組織檢測和預防由於現代網絡空間固有的“灰色區域”而造成的網絡攻擊和數據洩露。通過對組織及其內部環境,應用程序和外部參與者(承包商,合作伙伴等)建立信任評定,並始終在評估和監視相對風險等級,以監控其風險。
採用這個方法可以有效實施針對應用和數據保護,其中有兩點是重中之重。
第一是資產發現,我們必須實施有效的數據安全管理和治理,這是實現後續信任關係建立,漏洞評估和指標確認的關鍵。
第二是自適應,我們必須找到原本繞過基於規則的預防系統的壞人,需要持續地監視、評估、調整和響應風險,這也是為何必須建立SOC-D體系的重要原因。
安全牛:那麼從剛剛您分享的來看,不管是權限管理還是說數據的加密、脫敏,其實都需要業務系統的參與。那在實施過程中,對業務系統有沒有什麼影響?如何去平衡安全和業務的關係?如何讓安全成為業務的促進者而不是阻礙者?
劉新凱:這個問題偏向於一個企業的安全文化或者企業的風險管控策略。業務上面的授權和安全上的授權確實是不一致,甚至長期以來大家認為這個事情是對立的。應用要求的是便利,安全要的是保障,然後會犧牲一些便利性。但是我們希望在整個的業務分析過程中找到雙贏的點,這個非常關鍵。
拿順豐在數據安全加密和脫敏的實踐來講,我們在實施之初就最大限度考慮到業務的穩定性、時效性。順豐的敏感數據是從源頭上進行加密的,所有數據在流入我們的數據湖以前就進行過加密。相關業務部門如果有解密需求,則根據流程進行申請。從實施的效果來看,我們的加解密平臺是我們最穩定的業務系統之一,即使是在雙11高峰期,有無數查詢和計算的場景下,整個集群消耗也大概只有3%,加解密用時只要3ms左右,網絡延遲10ms左右。平臺在不影響業務的前提下,最大限度保證了業務的安全性。另外在實施的過程中,業務部門也梳理清楚自己的敏感數據所在,以及那些敏感內容非業務所需,他們可以集中精力在自己的核心業務上,而無需擔心信息洩露風險,這就達到了雙贏的目的。
當然,安全的管控可能一定程度上改變了用戶的習慣,但是這種習慣的改變,如何獲得高層的認可,如何能夠跟業務部門找到中間的價值,並且認為這塊價值帶來的變化是更有意義的。這些問題它並不是一套系統解決的,而是需要通過其他的文化甚至是挖掘更多業務價值來進行體現。
安全牛:看來順豐在這條道路上也是一步一個腳印,不斷摸索出來的。我們也注意到,您剛剛還提到數據安全需要綜合治理、管控和運維,那麼企業應當如何去構建數據安全的運維管理體系呢?
劉新凱:其實我們剛剛提到了,企業要構建數據安全的運維管理體系,首先還是需要先做好數據管理與治理、數據安全管控。即首先弄清楚企業有哪些數據資產,有哪些敏感數據,它們的權屬關係如何,是如何流轉的。第二步便在響應的風險節點上,部署對應的所需的數據安全管控產品,如DLP、UEBA、DBF等等。
在清晰企業數據資產情況,並通過對數據流量、數據事件、數據行為等分析,便可以通過大數據模型構建AI智能決策來進行判斷,給自動響應引擎下發命令。而這整個流程以及全貌,都可以通過數據運營平臺來實現數據安全態勢感知與數據安全風險可視。SOC-D採用連續自適應風險和信任評估(CARTA)方法,通過風險的連續評估用於安全性策略的動態調整,以適應不斷變化的應用和數據安全態勢。
安全牛:順豐如何看待威脅情報(開源情報、商業情報、暗網情報等)在數據安全管理和安全運維管理體系(SOC)中的定位和作用,順豐有哪些相關項目或者計劃?
劉新凱:在安全運營中,我們經常遇到雖然有大量安全設備堆砌,但是也面臨海量事件、眾多漏報和誤報的困境,安全運營的成本增加、效率低下。因此威脅情報的引入當前企業安全體系建設中很重要的一塊,也是企業安全由治理、管控走向運營的重要一環。但光有威脅情報其實是遠遠不夠的。
在數據安全運營中,建模的維度還是圍繞著數據資產的威脅、脆弱性、風險這三者來進行的。那麼第一步就是要弄清楚企業到底有哪些數據資產,哪些敏感數據,他們怎麼流轉的;在這之後,才能針對這些已知的數據資產,去分析他們所面對的威脅,暴露的脆弱性以及相關風險。那麼在威脅的分析過程中,威脅情報就可以使得企業瞭解的更全面,更有針對性,從而更好地更高效的去處理相關安全運營。
順豐在完成了相關資產梳理後,也開始關注威脅情報的建設工作。我們一方面與專業廠商合作,獲取最新的威脅情報,另一方面聯合相關甲方企業建立了安全聯盟,一起共享相關威脅情報。
安全牛:今天,用戶的隱私保護不是一家企業能夠完成的,業界在隱私合規和違規責任方面經常會出現扯皮現象,順豐如何看待多方隱私計算的發展方向?
劉新凱:關於問題中提到的責任方互相推諉的情況,或者說是在多方共同處理敏感信息時,無法確定信息的洩露源頭的問題,我認為應該從以下幾個方面來考慮。第一,根據最小權限原則,先判斷處理該業務,哪些數據是必須的,哪些是沒必要的;第二,是否需要明文的隱私數據,匿名的數據是否滿足要求;第三,是否有完善的行為監控系統、安全運營平臺;第四,供應商的安全資質和信息安全建設水平如何;最後再來考慮是否使用同態加密、安全多方計算等技術。
這裡要特別提醒的是,即使有良好的同態加密、安全多方計算等技術,也不意味著就有了完整的全面的隱私數據安全解決方案,亦不能成為數據濫用的藉口。
安全牛:這次新冠疫情給順豐的網絡安全工作帶來了哪些挑戰,順豐如何應對新冠疫情帶來的新安全威脅?
劉新凱:這次疫情最重要的變化,其實來自於遠程辦公。我們依舊從保護企業數據為核心,從以人為安全建設中心來看,遠程辦公使得傳統企業的網絡邊界更加模糊,以網絡邊界為中心的安全建設體系已不再適用。
因此順豐在基於其本身數據治理、權屬管控的基礎上,進一步加強了數據管控層的建設,同時通過SOC-D等手段,對全網數據資產、敏感數據的操作進行監控,以此來保證順豐的數據安全。
安全牛:我們今天聊了很多數據安全建設的相關話題,那您從網絡安全、數據安全長遠發展角度,對物流行業同行以及安全廠商還有什麼建議?
劉新凱:隨著雲計算、移動互聯、大數據技術等發展,企業的傳統網絡邊界將逐漸消失,過往以網絡邊界為中心的安全建設將不再適用,數據本身將成為企業的最核心的資產。因此我認為,未來企業數據安全將會成為企業安全建設的核心,而企業數據安全的建設最終,也必然會從治理、管控逐漸形成以SOC-D為標誌的數據安全運營轉變。對於安全的從業者而言未來需要從更高的維度去思考和解決安全問題,要從體系的角度出發,逐步去實現安全的智能化和自動化。
閱讀更多 安全牛 的文章
