0
如今,數字化已經成為時代潮流,各行各業都在加速數字化轉型。
數字化有三個特征:一切皆可編程、萬物均要互聯、大數據驅動業務,其本質是軟件定義世界,城市、汽車、網絡都將由軟件定義。
這也意味著數字化讓整個網絡安全環境更加脆弱,安全風險更加無處不在,整個世界更易攻擊,造成危害也更大。
12月13日,由杭州市人民政府和浙江省商務廳主辦的2022首屆全球數字生態大會于杭州國際博覽中心成功舉辦。此外,大會同期設置“數字應用與技術”及“數字全球化”兩大分論壇。邀請了來自海內外數字領域頭部企業的技術專家和數字化項目負責人,全方位、多維度地探討了數字技術的發展路徑和趨勢以及落地應用場景,以及數字經濟時代下面臨的安全問題。
在傳統互聯網時代,網絡攻擊的主體是網民,造成的后果基本是電腦藍屏、文件損壞、惡意彈窗和個人信息被盜。
但在數字經濟時代,網絡攻擊目的是摧毀一座關鍵信息基礎設施,攻陷數據服務器等。當數據和一切實體經濟越來越關系緊密時,網絡和數據安全問題就會成為牽一發而動全身的關鍵問題。
沒有安全支撐的數字經濟,就仿佛一滴血掉進了海洋里,僅憑血腥味就能吸引無數的鯊魚。
數字經濟時代是大數據利用時代,隨著互聯網發展,數據竊取、網絡黑市數據交易等現象層出不窮。這背后反映的是,在進行數字化轉型的過程中,我們的企業面臨著更加嚴峻的網絡系統攻擊、隱私泄露等安全問題。
北美天然氣巨頭Superior Plus遭勒索、葡萄牙最大的電視臺和報紙媒體Impresa遭到勒索軟件攻擊而癱瘓、歐洲港口石油設施被黑客攻擊導致油輪無法靠港、紅十字國際委員會(ICRC)遭遇高級網絡攻擊導致數據泄漏......
每年全球企業發生的數據泄漏、勒索攻擊安全問題數不勝數。如果企業對于數字化轉型后的網絡安全工作普遍認識不足,會造成頻繁的業務停擺和安全事故。
因此要同步推動數字化發展與安全,數字安全是數字經濟發展的前提和根本保障。
云安全聯盟(CSA)大中華區副院長賈良玉
在大會現場,云安全聯盟(CSA)大中華區副院長賈良玉提出:數字經濟包括三層架構五大核心基礎。
三大架構包括了底層的和數字貨幣相關的基礎設施;中間層的數字金融、數字資產;最上層則是數字商業、數字產業、數字生活、數字政府和數字社會。
五大核心基礎包括了數據、算法、算力、網絡、存儲。
而數據已經成為除土地、勞動力、資本、技術之外的第五大生產要素。賈良玉指出數據資料變成資產,其核心要解決安全可信的問題,數據要做到保真、確權、合規不是一件容易的事情。要想讓數據創造價值,首先要有安全保障,可信的流轉才能發揮數據的價值,形成價值網絡。
我們先來看一下世界各國是如何保障數據安全的。在歐盟,也是現在世界各國用的較多《通用數據保護條例》(GDPR),他們強調的是平衡數據的流動和安全;在美國,是以市場為主導,行業監管資質為主,制定了《加州消費者隱私法》(CPPA)滿足隱私和數據治理的要求;中國是強監管保障安全,比如發布《數據安全法》《個人隱私保護法》等。
默安科技副總裁沈錫鏞
數據安全是一方面,回顧過去,可以發現企業在每個階段都對安全提出了不同的需求。據默安科技副總裁沈錫鏞總結:
第一個階段:互聯網起飛之前,基本上還是以合規驅動;
第二個階段所有的需求基本上都來自于互聯網場景,公司開始自己招聘安全技術人員,保障自己的互聯網業務不受損。
第三個階段,進入產業互聯網階段,各行各業進入數字化轉型。互聯網技術開始向各行各業蔓延,企業真正意識到純靠一些防護性的安全產品,沒有辦法跟上技術迭代所帶來的問題。安全要開始緊跟it基礎設施跟業務,走向源頭走向整個數字生態的全流程。
賈良玉告訴雷峰網:“要想發揮數字經濟的巨大作用,要在全球范圍內遵循共同的數字安全原則。例如中國提出了《全球數據安全倡議書》,聯合國也提出《全球數字契約》,希望大家融合起來一起建設一個多邊普惠安全開放、公平合作、自由共享,有序發展的網絡空間命運共同體。”
在信息化和數字化的背后,網絡安全的概念也幾經變化,變成了完全不同范疇的模樣。最早的網絡安全概念是指network security,也就是網絡的安全的意思。近些年我們所提到的網絡安全,更多的是指網絡空間安全,從認知上它是復雜的,監管者關注的是合規的問題,管理者關注的是責任的問題,對于大部分工程師來說關注的是技術問題。
Gartner在報告中指出,數字業務的發展速度比傳統業務要快得多,因此,為實現最大限度的控制而設計的傳統安全方法將不再適用于數字創新的新時代需求。
因此近幾年興起云原生安全、零信任安全、供應鏈安全等。其實沒有任何一種安全手段能夠100%的保證完全的安全。安全問題仍舊是企業邁向數字化轉型途中最令人擔憂的問題。
IDC公司也曾經調查發現,高達71% 的高管認為對網絡安全的擔憂正在阻礙其組織內的創新。2017年,WannaCry勒索病毒的影響,至今猶如眼前,150個國家,超過50萬設備被感染,在全球造成約100億美元的經濟損失。
即便現在,數字化轉型項目經常會因為引入安全過晚,或壓根沒有引入安全等問題而被迫叫停。事實表明:很多企業高管擔心他們的數字化轉型工作會因安全團隊的干預而受到阻礙或限制。
但是隨著數據泄露、惡意軟件和漏洞數量的急劇增長,讓人們意識到缺乏安全的數字化轉型將致使企業面臨更大的安全風險。
雷峰網在與許多安全企業管理者對話的過程中發現,目前很多企業在這幾年的市場教育下,已經逐漸意識到網絡安全問題的重要性。
同時,國家也開始下功夫,重新修訂一些法律法規,比如按照《網絡安全法》,以前對企業罰款從最高100萬,現在提高到5000萬或上一年度營業額的5%,對直接負責的主管人員從最高10萬元提高到100萬元。這迫使企業不得不把安全做在前頭。
賈良玉告訴雷峰網(公眾號:雷峰網),在企業數字化轉型的過程中,對于企業來說,第一,要做到合規;第二企業內生的安全需求,也就說業務的安全需求本身。
當意識問題得到解決之后,企業在進行安全建設時候,安全資源不足的問題又被擺出來了。
首先是,大多數企業普遍缺乏安全專業人才;其次,大多數企業運行的仍然是依賴傳統安全技術的復雜網絡,一來無法防御外部風險,二來,內部員工可以訪問工作信息,內鬼泄漏數據的風險增加;另外企業還要平衡業務和安全的關系,在企業發展的不同階段,對安全的需求也不一樣。
總的來看,企業在數字化轉型的過程中,面臨的最重要的三大安全問題就是數據篡改,數據泄露以及業務中斷。
那么到底怎么解決呢?
隨著產業數字化與數字產業化所帶來的場景和需求日益復雜和深化,即使是巨頭型的供應商,也都將無法滿足客戶全部需求,生態合作是通向未來的唯一選擇。
在國家層面,安全體現了自上而下的整體意志。2018年以來,網絡安全和數據安全相關的法律法規陸續出臺完善,為企業安全合規經營“劃出了紅線”。守法合規,成為數字化發展前提。
在產業層面,安全是產業數字化發展的大前提。安全風險隱藏在企業內部的業務流,也可能潛伏在供應鏈企業的每一個敞口。
在企業層面,安全是持續創新和企業責任的基礎。數據帶來巨大價值的同時,也帶來了責任。用戶把隱私數據放到平臺并給予信任,企業也必須承擔起數據保護的責任。
過去網絡安全保障的特點是準備好安全能力然后去保護企業。但是現在安全能力跟數字化業務掛鉤,逐漸形成了一種相伴相生的關系。沈錫鏞告訴雷峰網:“只要有數字化業務的場景,天然的就會從一開始考慮一些安全威脅和風險。”
以軟件供應鏈安全問題舉例來說,安全在整個數字生態中牽一發而動全身。就像在文章開頭提到的,未來數字化是軟件驅動的,這就涉及到很多開源組件的安全問題。
去年11月,全球知名開源日志組件Apache Log4j被曝存在嚴重高危險級別遠程代碼執行漏洞,其破壞力驚人,漏洞波及面和危害程度堪比2017年的“永恒之藍”漏洞。據外媒報道,漏洞發現以來,Steam、蘋果的云服務受到了影響,推特和亞馬遜也遭受了攻擊,元宇宙概念游戲“Minecraft我的世界”數十萬用戶被入侵。
根據Gartner的相關統計,到 2025年,30%的關鍵信息基礎設施組織將遇到安全漏洞,這將會導致關鍵信息基礎設施運營停止或關鍵型網絡物理系統停止。
沈錫鏞表示:“軟件供應鏈跟業務中斷強相關,這是以前的網絡安全所不曾涉及到的,原來網絡安全只有一個場景跟終端相關,就是DDoS,這是為什么軟件供應鏈安全這么重要的原因。”
舉例來說,傳統的車企原來不需要考慮數據安全的問題,對著數字化的發展,每輛車都開始記錄更多消費者的數據,而黑客也開始惦記這部分數據,但是攻擊面并不是來自于數據本身,黑客更多是從軟件層面發現漏洞進行攻擊。
華云安副總裁馬維士
華云安副總裁馬維士也告訴雷峰網,傳統的網絡安全都是一種被動的防御體系,已經不能應對新形勢下的安全威脅。現在隨著數字化轉型的深入,以及一些區塊鏈、云計算的等新技術的發展,隱蔽的攻擊越來越多,這就要求安全公司能夠針對數字化的特點,幫助企業解決一些隱蔽的安全問題,給企業提供整個安全防護。未來數字化的安全防御體系,一定是主動防御和被動防御相結合,具備基本的攻防能力。
未來,數字生態仍會飛速發展,加強網絡安全建設依然任重道遠。
任何一家單獨的企業都無法完成整個生態鏈上的安全建設。那么安全廠商應該如何助力數字生態的建設?
馬維士表示:“作為安全廠商,要做好自己的定位,我們是作為一個服務者的角度,真正的服務于企業,服務于用戶,保障他們業務能夠健康的運行。”
安全實則是整個底層基礎架構的一部分,服務于整個數字生態上層的業務,并不會直接參與到某個數字生態很具體的業務里頭去,它是服務者的角色,做好安全則會促進整個數字生態的發展。
沈錫鏞認為,在生態建設和合作上,應明確企業自身的技術能力邊界,有所為而有所不為,不求大而全,而求"專精特新”借助生態的力量,才能更好地服務客戶,數字生態才能更健康地可持續發展。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
