“企业无论规模大小,在网络安全运营中,总会面临着人员和安全技能缺乏、经费不足,工具和流程不足等问题,但这些都可以逐步解决。网络安全运营的成败关键,在于企业必须确立一个清晰的目标和方向,否者,就会头疼医头、脚疼医脚,而缺乏全局全域的思考。”广电运通高级副总经理、运通奇安董事长李学军在谈及企业在网络安全运营的探索中,反复强调了确立目标的重要意义。
图广电运通高级副总经理、运通奇安董事长李学军
广电运通创立于1999年,是一家成立了23年的国有控股高科技上市企业,连续14年在金融智能终端市场占有率居全国第一、世界前三。近年来,广电运通加速从金融终端制造,向人工智能方向转型,已发展成为国内知名的行业人工智能解决方案提供商。
在数字化转型全面展开、黑客攻击日益严峻、网络安全需求激增的形势下,2021年12月,广电运通联合奇安信集团等合作伙伴,共同出资设立广东运通奇安科技有限公司。作为运通奇安的董事长,李学军对于企业数字化转型背景下网络安全保障工作,具有广泛实践和深刻领悟。
企业网络安全面临多重挑战
“目标缺失”是深层原因
李学军认为,企业数字化转型是一项同时具有长期性、复杂性、系统性的工作,需夯实四个转型基础:技术基础、管理基础、数字基础以及安全基础,其中安全是发展的前提。目前企业数字化转型过程中主要暴露的网络安全问题有四个方面,分别是缺乏顶层设计、资产信息不清、工控系统问题、数据安全挑战等。
“从更深层次的角度,造成这些原因主要来自三个方面,排第一位的就是企业安全建设目标缺失。没有目标、没有方向,表现最常见的就是传统的头疼医头、脚疼医脚,只解决眼前紧迫问题,在建设过程中缺乏全局、全域的思考。”
“目标缺失的背后其实是认知不够”。李学军谈到,总书记说过“安全是发展的前提”,然而很多人并没有领会到这方面的精髓,如果管理层停留在传统认知的话,那么企业数字化转型也不会重视安全运营的方案建设。
第二个原因是“重业务轻安全”。目前来看,企业数字化转型的关注点仍然在业务,安全建设工作并未引起足够的重视,从而导致没有投入足够的资源来满足业务发展对安全的需求。
第三是对安全队伍能力建设未予以足够重视。RSAC2020的主题是“人是安全要素”(“HumanElement”),全球范围都充分意识到人在网络安全中的关键作用。然而国内企业的现实是,“专业安全人才请不起,也不愿意培养”。
在很多人的意识里,桌面运维和网络运维人员兼职安全人员,以及“一人安全团队”的现象,仅仅存在于中小企业,但事实并非如此,即便是规模较大企业,或者管理权限和范围很大的单位,安全人员短缺的情况也非常严重。李学军分享了一个真实例子。“我们遇到某个主管单位,该单位所管辖的企业数量众多,资产相当庞大,本应具备一支专业的安全团队。但真实情况却是该单位的安全支出仅有20万,请一个专业的安全人员驻场服务都不够。这样的导致的结果就是:下辖单位频频遭遇到勒索攻击、恶意软件入侵、数据泄露等安全事件,甚至被主管部门多次通报。然而,由于安全人员不足,该单位只能将责任往下传递,由下辖企业自行处置,再遇到类似安全攻击时也只能重蹈覆辙。”
基于大量的企业案例分析研究,结合实际建设过程中的问题,广电运通探索总结出“四个保障,一个持续”,其核心是与业界优秀的企业或成熟的安全标准进行对标,通过选取关键任务定下关键指标,并将循环运转起来,以达到持续提升效果达成指标的目标。持续提升需要涉及到指标对标、安全规划、安全建设、定期演练、评估整改等等。
“在整个过程中,最难的是结合现状,选取指标进行对标的环节,而后续的环节都是对前期方向选择正确性与否的验证,方向错了,或者好高骛远、不切实际,后面的环节再努力也难以达成效果。”李学军表示。
推动安全运营
将问题处理渗透到“肌肉记忆”
对于大多数企业来说,“四个保障,一个持续”要进行落地,离不开建立完善的企业安全运营机制。
企业安全运营为何有如此大的价值,李学军讲了一个形象的例子:我们知道飞机驾驶员都有一个飞行手册,在飞机起飞前的准备过程中,机长和副机长都会拿着一份Checklist逐项进行打勾确认。平时训练中,也会有一套标准化的SOP流程,将飞行中可能遇到的安全问题的处理流程要点规范化,并进行持续演练,确保烂熟于心。当问题出现时,所有操作都在电光火石间完成,以最快的方式解决问题,无需更多时间去思考讨论。
企业网络安全运营工作和飞机驾驶的复杂程度不大可比,但他们有一个共同点,就是都需要将解决问题的流程规范化、最简化,形成所谓的“肌肉记忆”,这才能在最短的时间内解决问题。当出现新的问题和新的解决办法时,及时将它补充进流程和知识库中去,从而形成“正向循环”,不断帮助企业从流程化、规范化的角度,推进安全工作的落地。
其次,就是网络安全运营可以显著提升安全工作的工程化能力。举个例子,企业内很多有经验的安全工程师,能够对怀疑一台服务器被黑进行排查溯源,查看服务器进程和各种日志记录,然而这是工程师的个人能力,背后是深厚的专业技术和经验积累,是极其难被复制的。
通过安全运营,企业可以借助相应的平台工具,将安全工程师的这种能力转变成自动化的安全监测能力,并通过安全平台进行应急响应和处理,让不具备这种能力的安全人员也能成为对抗攻击者的力量,这是开展网络安全运营工作带来的另一收益,将工程师的经验沉淀为组织的知识,真正实现复用。
企业开展网络安全运营
从“补短板”开始
很多企业深知网络安全运营的巨大价值,然而这项工作看起来千丝万缕,甚至剪不断、理还乱,导致企业不知道该从何入手。对此,李学兵基于长期的实践,给出的破解之道是“先补短板”,即从最容易受到安全威胁的薄弱环节入手来开展网络安全运营工作。
“以广电运通为例,作为智能金融终端提供商、轨道交通智能设备提供商,我们会和很多供应链环节中上下游的伙伴打交道,安全的很大威胁,就是来自于攻击者会利用我们和供应商、代理商、软件合作伙伴之间的信任关系,通过钓鱼邮件或软件合作伙伴的开源软件漏洞,开展长期潜伏的APT攻击。由于防御战线被拉的很长,很难避免某个环节存在疏漏,导致攻击者乘虚而入。”
为此,广电运通的具体实践之路是,通过和奇安信这样的专业的安全运营托管服务提供商合作,分步骤来补齐短板。
第一步是通过部署能有效应对此类安全威胁的安全产品和工具,开展长期的监测和动态预防,对相关数据进行定期分析和研判,及时发现并清除威胁。
第二步是不定期开展模拟的钓鱼邮件渗透演练,将中招结果和影响内部公布,并与各部门负责人的关键绩效指标挂钩,从而提升全员网络信息安全的主动意识。
第三步是通过培养锻炼企业自己的安全运营队伍,并对标企业安全工作成熟度标准,争取2年内通过国内企业级数据安全成熟度最高级认证。“因为核心的数据安全责任还是得自己的队伍来负责,不能认为有了合作的网络安全运营托管公司合作自己就可以高枕无忧。”
在这个过程中,广电运通和奇安信实现了很好的优势互补。其中,广电运通在数字化转型方面走在了同行前列,对网络安全高度重视,为安全运营提供了广泛而丰富的场景实践。而奇安信拥有强大的安全智库,以及网络安全态势感知能力,它不仅仅是安全产品的提供商,也拥有相当先进的安全理念,并且在国内率先落地实践,从实践层面引领数字化转型时代的网络安全体系建设。
李学军认为,奇安信所倡导的“内生安全”、“零信任”,以及基于冬奥网络安全保障总结出的“有事件,无事故”理念,具有相当的技术前瞻性,在广电运通推进企业数字化转型过程中,提供了公司总部及下属企业整体安全运营水平提升的规划思路指导,发挥了参谋作用。所有这些,都是广电运通和奇安信合作越来越紧密的重要原因。
立即拨打
京公网安备11000002002064号