一个企业自己做网络安全的成本有多高?
首先,从流程环节来看,这个企业需要有相应的配套安全产品、适配业务的安全标准、还需要相应的安全专家来做相应的策略,进行线上攻防应对。当然,想要取得好的安全业务效果,这些投入不能只是蜻蜓点水,而是需要有“下血本”的打算。
对于本来就不富裕的企业来说,这无疑是雪上加霜。
尽管,资金与人力、能力让许多企业的安全建设进入困境,但几个现状令他们必须选择迎难而上:
首先是来自品牌业务层面的需求,一方面在智能化发展时代,用户对于数据、隐私的需求不断升级;另一方面,犯罪者的攻击手段不断更新,安全事件增加。所以,基于对市场变化需求的满足、自身品牌声誉的维护及业务稳定等需求,新基建安全建设势在必行。
此外,值得一提的是企业内鬼。“日防夜防,家贼难防”,与外来入侵略者相比,内鬼的泄露往往对企业是致命打击。以近期Twitter、思科等企业的内鬼事件来看,内部的安全建设也必须提上日程。
最后,还有来自法律、合规性的规范。从《网络安全法》到数据安全法草案,法律规则已从大方向界定了网络安全相关的标准,而且也从细节上明确划分了责任人。如今,企业出安全事故了,企业会面临处罚,这是非常硬核的驱动力。
新冠疫情及新基建更是催化了上述大环境,企业的安全建设争分夺秒。但巧妇难为无米之炊,由于缺乏经验及资源,大多数企业急需可信、成熟、完整的安全产品解决方案,安全市场需求被进一步刺激。一组数据证实:Gartner预测2020年中国安全市场支出将增长7.5%,达到299亿人民币。
目前,安全市场的产品、服务形形色色,结构日益丰富。多数安全产品较为单一、垂直,不过安全需要整体协同,完整的体系建设会产生更理想的效果。在此背景下,大型互联网企业的经验分享对于安全市场发展的推动来说,显得至关重要。
近日,阿里安全发布了新的安全基建大图及应用安全企业标准。阿里安全的技术专家就该新一代安全架构,向FreeBuf做了详细介绍。这些细节信息,是基于阿里20年的安全经验总结出的“秘籍”,可以为企业的安全基建思路提供新的思考以及更高效的解决方案。
新一代安全架构主要包括安全技术、安全基建和安全运营三层核心。安全技术层是阿里底层能力的集合;安全基建层将能力沉淀为标准的体系和配套的流程、产品,形成中台,通过中台建立可信的应用体系,达到风险预防免疫的效果;安全运营层是直面外部的攻击,利用中台的能力,能够做高效的响应,针对业务做快速的适配,针对风险能够做准确的应对,三层互相配合。
简单来说,阿里安全将多年的经验汇聚并打造了一个“安全专家“,这个专家可以到有需要的企业方传递经验,为企业提供了安全标准与实施指南,企业可以根据自身业务场景做相应的标准挑选,再进行实战。
根据阿里安全高级安全专家林峻的形象比喻,安全基建层相当于是人体的免疫系统,可以做风险预防。其中,“标准“体系的建设是核心,因为只有建立了度量衡,才能更有效地定义、识别及解决问题。在标准的建立过程中,其主要基于自身的实践经验总结,及参考采外部的评估服务,如微软的SDI、BSIMM、等保、openSAMM等。
图说:阿里安全高级安全专家林峻
博取众家之长,其标准涉及了四部分内容:
第一是完整的应用安全流程,将原来分散提供安全服务的产品整合到一站式安全产品“安全服务中心”上,深度结合Devops,做到研发全流程管控。
第二是构建相应的管理体系,包括建立各层的安全组织,还有触达到用户相关规则条例、安全培训,建立用户的安全心智。
第三是度量体系,一方面,将IAAS层、软件供应链、研发过程,运行时环境、流量网关、应急响应、人员等维度的安全水位量化,来评估安全位置;另一方面是规范日常运营执行的细节。
- 企标层面,需要制定安全红线,打造安全检出产品,并执行“凡有要求必有检出”的要求。
- 软件供应链层面,主要涵盖隐私、漏洞等风险,形成安全认同的供应链库。
- 运行时防护,阿里安全自研的RASP产品抛弃了传统大而全的方案,强调解决入侵相关的风险。
第四是安全检测。其白盒产品可以将外部的请求到最后落库整个链路完整串起来。黑盒在扫描的规则上,会有阿里专用的适配规则集。此外还有基于流量的漏洞自动挖掘。整个流程经过层层检测,从源代码扫描、灰盒测试,线上的黑盒以及流量的分析,完成整个检测体系。
俗话说:安全是个动态话题。除了技术不断迭代带来的挑战变化,作为安全领域的重要角色,人也是一个不可忽视的因素。代码是人写出来的,所以人的安全意识与教育上升至关重要。
就像林峻提到的,代码应用网络的风险可以通过技术度量,但人的介入,无论是编码行为还是蓄意入侵,都会令问题更复杂。毕竟技术再灵活也是被动的,而拥有主观意识的人往往是主动而多变的,如攻击方式层出不穷的黑客。
阿里安全在人的层面希望通过意识和能力两个维度去辅助安全建设。其将相关的研发人员分为不同的熟练等级,再适配不同的学习课程,设置安全成长体系,培养他们主动发现风险,解决风险,上报风险的习惯。值得一提的是,阿里安全还联合清华大学发起了安全AI挑战者计划,旨在为未来新基建建设过程中AI面临的安全风险培养人才。
图说:阿里安全资深技术专家铁花
这套方法论,可以支撑缺乏经验和大规模安全产品布局能力的企业,低门槛完成安全防护,提升自己整体安全水位。据透露,安全基建在阿里新零售事业部已经落地,共发现整改了接近300项的风险,线上宣传触达的人数也超有4万人。阿里安全资深技术专家铁花总结表示,这是一套即插即用的标准化安全架构,可帮助社会各界在数字化进程中构建完整的安全基础设施。
解决了令人头疼的安全建设问题,互联网企业的数字化进程又多了一些前进力量。
其实,回归到文章开头提到的问题:为什么许多企业自己做安全难?核心在于此前很多人或者企业意识较为淡薄,所以投入与了解、经验积累几乎为零。近几年,智能化、数字化发展速度非常快,随着技术应用加深,这些当初较为隐性的问题大面积暴露,令人措手不及,无从适应。不过,法律的细节化,加上商业市场的打开,供需市场会逐渐热闹起来。接下来,对于安全意识的引导,拥有丰富经验的企业有必要作为引路人,从产品层面去推动市场教育。
未来,网络安全的状态需要有所变化。铁花表达了自己的愿景:未来安全不只是协同。希望未来在一个系统新生成的时候,安全就是默认的属性,而不是脱离产品与体系存在。的确,截止到目前,整个安全状态还是以问题出现后再去修补为主,然而这种方式只会令自己处于被动位置。如果有一天,安全能成为一种渗透性的意识。成为各岗位人员的共识,成为系统的伴生属性,那么,恶意攻击事件将难以生存。