官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
清年如水- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
清年如水 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
网络安全的现状情况是:
没有出安全事件的时候,认为安全投入没有用,出现安全事件的时候,认为安全投入没效果
在此种的情况下,安全一度被认为是“奢侈品”,只有人傻有钱的人才能用的起。
1. 新技术的发展,带动安全从“专卖店”走入“小卖部”
新兴技术带来市场变革,引领安全新增长
引用:IANS&Artico,安全预算基准总结报告,2022年
基于传统网络的安全的建设比例一度低于5%,但是根据Gartner和IDC的研究表明:基于云的软件支出可占网络安全预算的20%到25%。
引起如此变化的原因:
1、新兴技术天然结合安全,企业管理者更多了解安全的作用;
2、技术不断发展,行业竞争格局加剧,安全产品价格趋于亲民;
3、旧有IT系统由于初期未做安全规划建设,深受整改的困境,因此在云上进行完整建设,避免后期出现问题;
2 监管持续升级,安全成为建设必须考虑的一环
1、投入上看:我国在十四五期间网络安全的整体投入比例占整体信息化建设的比例由 1% ~ 3% 提升到 5% ~ 10%,安全投入逐步加大,逐渐向欧美发达国家的 20% 靠近,使得安全愈发有效;
2、政策上看:《国家网络安全法》、《数据安全法》、《个人信息保护法》、《网络安全等级保护条例》这些国家基本法律均对网络安全服务提出过具体要求,对于网络安全服务能力和从事该活动机构的运营者的具体要求,深化商用密码应用安全性评估、等级保护、关键基础设施保护、分级保护“三评一保”工作机制,对关键系统实施强制保护;
3 数据安全风险持续发酵,安全保护手段急需提升
2022年我国数据泄露事件将超过5100万起,位居全球第三,数据安全已经成为企业迫切解决的问题。
IoT数据泄露事件
中国智能家居公司欧瑞博的产品数据库暴露在互联网上,该数据库无任何密码保护,运行在物联网(IoT)管理平台。该数据库超过20亿条日志,包括了从用户名、Email地址、密码到精确位置等内容。从数据泄露记录来看,20亿级别记录,为2019年度报道的国内外最大数据泄露数量事件。
敏感信息泄露事件
研究人员Bob Diachenko和Vinny Troia发现了暴露的Elasticsearch服务器,里面包含了超过4TB的的数据,存储了近12亿人的私人社交信息。泄露的数据包括姓名、电子邮件地址、电话号码、LinkedIn和Facebook的个人信息。从数据泄露记录来看,12亿级别,为2019年度报道的国外最大数据泄露事件。
客户信息泄露事件
印度国有天然气公司Indane,由于存在“绕过登陆页面,直接获得对经销商数据库的自有访问权限”的漏洞,又一次暴露了数以百万计的 Aadhaar 生物识别数据库信息,预计泄露总人数可能超过670万客户,其中包括客户的姓名、地址、以及隐藏在每条记录链接中的身份Aadhaar ID号码。
4 安全应为企业发展注入新血液,为业务带来新生机
新时代的安全建设需要更多结合业务,只有与业务相契合的情况下,才能实现更好地发展。
【低】在不影响业务、不改变业务的情况下,安全建设很容易,比如等级保护建设,对业务系统几乎没有改变;
【中】在影响业务,改变业务的情况下,安全建设很困难,比如数据安全,在现如今的技术和框架下,必须对业务系统进行修改;
【高】更有甚者比如密评,需要对业务的日志、授权、身份、用户都进行修改,遭到很多业务系统的抵制或者业务系统不进行支撑。
4.1 【业务场景】不良信息识别,守护家庭生活健康
业务场景
现如今家庭环境中都有wifi系统,手机、电脑或者其他终端都可以通过此连接上外部互联网;
融入安全
对于手机或者电脑通过wifi链接上涉黄、涉赌、涉暴、涉诈网站等,直接通过wifi系统白名单等方式上直接进行阻断,防止老人、小孩访问不健康内容;
安全优势
在现有场景中加入安全,不影响正常使用,并且降低了安全风险;
4.2 【业务场景】信息不泄露,企业更有面
业务场景
OA、CRM系统作为企业运行必不可少的信息化办公信息,包含很多企业数据和客户数据,一旦发生泄露,将严重影响企业的形象和利益;
融入安全
信息保护模块:信息加密、信息脱敏形成常用语言SDK包,直接嵌入业务系统中,安全不再作为另外的模块出现,而是一开始就与安全进行了强融合;
安全优势
在业务中有安全,安全中有业务,
4.3【业务场景】安全多共享,价格更美丽
业务场景
大多数企业并没有专职的安全管理员,来进行安全的处置;
融入安全
MSS服务,将安全业务外包,通过多家企业来分摊安全成本;
安全优势
签订安全保密协议、企业和安全厂商的成本同时都降低,安全再也不是奢侈品了;
4.4【规划场景】拥抱新技术,提升新动能
业务场景
大多数企业的机房都达不到容灾、抗暴力的要求,导致出现停机、数据丢失的情况;
融入安全
结合云技术的特点,将业务上云,云技术天生适合安全,真正从底层实现了安全的嵌入;
安全优势
业务能力和安全能力都得到了全面的提升,安全和业务都可进行托管,只专注核心自有业务即可;
4.5【规划场景】安全不串接,推广更容易
业务场景
安全设备中有不少是需要串接到网络中的,比如防火墙、IPS等,可以实现威胁的阻断功能;
融入安全
采用盘挂路由器或者交换机的方式,通过发送rest包、域名解析等方式,实现威胁的阻断;
安全优势
在不影响现网组网的方式,实现安全检测,安全不会影响到业务,推广更容易;
4.6 【规划场景】安全同步建,问题及时现
业务场景
现有安全建设的过程中未考虑安全,导致后续建设困难,特别是工业场景,无法停机;
融入安全
在项目规划建设时期,就考虑安全,以安全投资占比、全面性为考量指标;
安全优势
安全和业务双轮共同配合,在未上线前可以充分进行测试、调测,最大化实现安全能力;
后面的话
安全和业务并不冲突,安全建设的目的是为了弥补业务、网络、人员的缺陷,因此我们在与客户交流的过程中,不要仅仅局限于安全领域问题,更应该了解客户的业务是如何开展的,只有真正了解客户的业务才能够帮助安全走的更远,走的更好。
行业+安全=行业安全工程师(领域专家)
已在FreeBuf发表 50 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 50 文章数
- 106 关注者