作者简介:刘志诚,乐信集团信息安全中心总监、OWASP广东区域负责人、网安加社区特聘专家。专注于企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。
一、背景:进化、熵减,根因是万物之源
达尔文的自然进化理论,物竞天择适者生存已经成为现代科学最经典的基础理论之一。《超级智能体》中解读了人的主观能动性和自主意识生物学演变的历史和本质。认为生命的本质是自然熵增理论基础上有机体实现的熵减过程,在宇宙爆炸和无限膨胀假想理论中,如果没有信息对物质和能量熵减的过程,则一切都是自然的决定论,世间万物皆有定论,不存在努力和改变。而有机体的出现,DNA突变引入的随机理论,在有机体熵减的基础上实现了自然选择的结果不定论,随机性带来结果的不同,打破了决定论的宿命。
从社会物理学和社会动力学的角度来探讨人作为具备意识建立共识之上的共同体的发展和演进,人类社会不可避免地也会进入一个熵增的过程,这就是多元化、个人主义思潮、民主社会带来熵增的混乱。而熵减的过程就是建立信息驱动的群体性组织和规则,以管理实现熵减的过程。特朗普再次当选美国总统,把美国67种性别阐述重新定义为男女2种性别,是以信息和规则在多元化带来熵增基础上实现的熵减案例。
《制造消费者》阐述了我们当下习以为常的消费主义背景下商品经济蓬勃发展背后的故事。从历史启发的角度,现代社会的形成以18世纪中期开始的内燃机引起的工业革命为发轫,如果说工业革命是供给侧革命的话,消费主义引起的需求端革命对当今社会的影响更大。而自70年代末中国市场经济改革以来,我们习以为常的商品经济沿袭西方19世纪初消费主义发展的道路,但背后的逻辑是什么?为什么消费主义兴起?消费主义的发展逻辑、脉络与背后创新发展的机制更值得我们去思考和探索。
在一篇写网络安全的文章中,为什么花费大量篇幅讨论自然进化、人类社会、消费主义?目的是阐明任何事物的发展演化都有底层逻辑的支撑和动态变化演进的规律。拿来主义,跟随战略在稳定期有其价值,但在变革期则存在巨大挑战。洞察变革背后的根因,以史为鉴,方能面对未知的挑战,抓住时代的脉搏与机遇。
二、数字化:从管理的A/B面谈起
1. Administration:信息化的本质
商业管理中大家对MBA的定义中A的英文是Administration,也可以翻译为行政管理。关注的是企业经营的管理,我们要区分一下作业管理和行政管理的区别,在信息化时代我们关注的是企业资源的管理(ERP),包括人力资源(HRM)、客户资源(CRM)、供应链资源(SRM)、公共资源(PRM)、生产制造管理(MES)、产品数据管理(PDM),财务管理(FM),风险管理(ERM)。这些以职能部门为管理视角关注的是企业的运营效率和运营评价,以及运营信息化数据的采集、分析和处理。关注管理流程,是因为信息化时代的作业过程以脱离信息化的线下物理作业为主。从行政和资源管理的角度而言,既不是作业实时数据的采集,也不是按照作业的流程进行数据的组织和流转。
2. Business:数字化的本质
业务的英文单词是Business,而Business也可以翻译为商业,从这个词语本身来看,就可以体会出内涵的丰富。在ITIL中业务有一个维度讨论用户的商业旅程,即从一个用户如何与企业打交道,使用企业的产品和服务过程中每一个触点,这是企业需要关注的客户服务的关键环节。针对这个触点的界面,是业务数字化的一个分界点,如果用户与企业沟通的过程是通过互联网或移动互联网完成的,那么这就是个典型的消费互联网场景。而企业对触点的数据和信息的流转与处理是不是一体的,有哪些是线下采集和记录的,有哪些是跨系统转化和传输的,决定了企业用户业务流程的数字化水平和整体效率。当然,这也是企业业务运营可以着力改进的细节。
用户旅程在企业的业务流程中仅是浮在冰山之上的部分,而用户看不到的企业业务处理的作业过程是冰山之下的部分。这个作业过程指实现为用户提供商品和服务过程中的运营人员参与的业务流程,是运营人员实现用户产品和服务交付生命周期的操作过程。这个过程包括营销、获客、订单处理、供应链处理、投诉服务、用户促活、用户关怀、客户服务等与用户业务生命周期相关的运营活动。在这个过程中,企业业务作业人员通过工具、平台、业务规则,利用自身的主观能动性对业务过程的决策点进行决策和操作,实现业务结果。
作业工作节点实现方式的数据分析可以作业过程数字化程度度量和评价的指标。例如,可以以分析作业过程是通过统一的平台实现数字化作业,还是有一部分作业仍需要通过不同工具、不同系统,甚至是手工线下作业完成工作节点,然后进行系统登记补录作业信息。企业可以参考作业过程和用户旅程分析企业数字化水平,进而开展数字化转型的战略设计。
3. 数字化与信息化
如果说Administration和Business是企业管理的AB面,笔者觉得行政管理与作业管理两个角度可以区分企业信息化与企业数字化的差异。由于中国现代化的过程始于1978年,市场经济推动的企业现代化管理则差不多从90年代开始,当90年代末互联网时代扑面而来时,很多企业信息化的课还没补完。即使今天,不少企业仍停留在信息化时代前的原始社会,当然,可能有些夸张,如果说用个电脑,用户邮件和即时通信,电脑记账、系统报税算信息化的话,应该企业都已经进入了信息化时代。所以,在消费互联网带来的企业数字化变革风暴降临时,不少人对信息化和数字化之间的区别傻傻分不清楚也无可厚非。
三、网络安全进化史
从进化论的角度来看待网络安全,同样存在着物竞天择、适者生存的自然规律。当企业的管理需要从行政管理的信息化时代过渡到更需要关注业务管理的数字化时代,网络安全所处的企业环境发生了翻天覆地的变化,所面对的问题和风险也面临巨变,如果仍以历史的眼光和观点来看网络安全,势必挂一漏万,漏洞百出。
1. 信息化网络安全
在信息化时代背景下,网络安全关注的是网络边界、基础设施、采购的商业信息化系统、员工操作、商业机密保护相关的主题。此外,还涉及计算机与网络安全的漏洞管理、攻防策略、黑客活动以及针对APT组织的对抗的措施。为了应对这些挑战,各类安全解决方案不断涌现,涵盖了工作环境中的终端设备、网络架构、应用程序,以及后台系统中的服务器、中间件和数据库等多个层面。
零信任(Zero Trust)、访问控制(AC,准入,桌管)、账号安全(IAM,SSO,2FA)、终端行为安全(AV,EDR)、网络行为安全(NDR)、漏洞管理(TA)、整合日志与流量的统一分析平台(XDR、SIEM、SOC)、关注非结构化数据的防数据泄露(终端、邮件、网络DLP)、结构化数据库安全(日志审计,防火墙)等等,当然这个清单还可以列很长,有些更基本的Firewall、IDS、IDP都没列。
这个时代其实最关键的风险有两个,一个是勒索病毒,一个是商业秘密泄漏。当然,即使我们进入了数字化时代,这些安全纵深防御的解决方案,产品和服务同样不能少,甚至更进一步要通过攻防演练,红蓝对抗确保基础安全的完整性和有效性,并且通过第三方资质认证和合规性检测,保证基础设施的安全、有效、合规。
2. 数字化网络安全:狭义业务安全
但这一定不是数字化时代网络安全的全部,在保障信息化基础设施安全的同时,我们应该把视角投向业务安全的领域,关注业务过程的数字化面临的安全风险。
业务视角的网络安全首先关注的是用户旅程过程中用户旅程触点的安全,这也是消费互联网业务风控关注的重点领域,主要是识别真实的用户,避免黑灰产通过假冒,伪造用户对业务发起攻击引起的安全风险。
流量安全关注的是从网络流量特征中识别恶意用户、假冒用户,以及黑灰产流量带来的攻击;研发安全关注的是业务系统开发运营安全一体化(DevSecOps)实现的安全左移,将黑灰产攻击的代码和逻辑漏洞控制在上线前解决;账号安全关注的是用户账号的属性识别,鉴权,验证的设计,避免用户的假冒、伪造;用户行为安全关注的是用户业务逻辑、业务行为的合理性和可信性,规避假冒用户或用户有意利用业务漏洞引起的业务安全风险;数据安全更关注用户隐私信息以及业务信息的保护,从用户数据的流转角度关注采集、存储、流转、处理、应用的安全风险,建立全生命周期的数据安全防控机制,建立数据触点的监控指标,对数据泄漏的风险进行预警和处置。
其中,涉及合作伙伴和生态的供应链安全管理的范畴,既包括开发安全中普遍应用的开源软件、组件的安全,也包括数据流转过程中供应链上下游合作伙伴带来的数据安全风险。
3. 数字化网络安全:业务安全下一站作业安全
即使消费互联网开始关注的数字化用户侧安全风险的处置,并以流量安全、用户账户、行为安全、开发安全、数据安全构建了数字化的安全体系,仍未完整覆盖作业过程的安全风险。这也是为什么貌似建立了网络安全的铜墙铁壁,但用户数据泄露仍层出不穷。
这里面的一个核心问题在于业务流程中运营人员的作业安全存在的业务异常风险的检测规则,机制以及自动化的检测、预警、响应和审计系统的建设,这是我们需要重点关注的作业安全范畴。
作业安全依赖于作业流程的梳理,笔者有篇文章专门阐述了作业流程梳理的重要性。对企业而言,作业流程梳理的价值不仅是为了实现作业安全,对企业的行政管理的人力、质量、风险等诸多管理领域甚至对企业数字化转型的战略支持和成熟度评价体系都具有至关重要的作用,本文就不再赘述。
建立在作业流程梳理基础上的安全架构设计,对业务系统的具体安全策略的决策,安全能力的应用,安全在应用系统的左移都具有重要意义。例如,一个账号权限是否合理,菜单权限是否合理,用户敏感数据明文展示是否合理,加密和脱敏的规则,数据是否允许拷贝、复制、下载、行为异常的阈值设计,这些产品设计阶段需要关注。同时和业务风险、安全风险控制的策略应用和安全能力集成直接相关。
作业过程中运营员工的参与,本就是利用员工的主观能动性由员工在运营系统和作业流程中利用业务规则为用户提供服务的过程,而人的主观能动性带来决策的效率和个性化用户服务决策提升用户满意度的同时,也必定会带来业务安全的风险。如何识别、判断、分析运营员工主观能动性对业务规则、作业流程和应用实现的逻辑漏洞实现有违业务目标的自利行为,是作业安全的目标也是创新的方向。
以业务为中心的安全除了对网络安全新场景、新需求的完善和补充之外,还要关注到如何跳出安全部门的职能视角,从企业发展和支撑业务的角度,为业务和其他职能部门提供应用与服务能力。
这个涉及到网络安全三层视角的问题,网络安全作为职能部门,涉及的安全策略和安全措施的落实,属于内部视角的安全能力。由于网络安全专业属性的陡峭学习曲线,跨部门和管理层沟通中安全内部能力视角带来沟通的障碍以及网络安全策略落实的困难。
跨职能和业务部门沟通,需要以第二层抽象的应用与服务视角为其他职能部门和业务部门提供他们可以理解,又需要的应用与服务。提供应用与服务,在落实网络安全策略的同时,支持其他支撑和业务部门工作的开展。
更高的第三层视角,是执行管理层和董事会的视角。管理层和董事会更关注的是网络安全工作对企业的价值,这个价值包括投入产出,利益和公司的合规、声誉以及市值管理等战略思维。
在协同促进网络安全策略落地,为其他职能部门和业务提供应用与服务层面,具体的内容因行业和企业存在差异。以内审为例,传统内部审计业务违规的过程依赖于业务部门,IT部门等一系列内部部门的线下协同,相关的证据需要通过不同工具、不同系统、不同职能结构化数据和非结构化数据的多次转换,方能形成。
即使在网络安全部门提供数据的过程中,也会涉及终端、数据库、应用系统等多个专业小组和专业人员,这个过程依赖于每次事件分析基础上的数据采集,是否全面无遗漏,数据是否完整而准确,验证和校验是否具备存疑。即使数据都是完整的、准确的、及时的,但从效率和多环节参与引起的保密性上来看,依然不是个最佳方案。
如果建立一个标准化的服务,内审人员通过系统自助实现证据的调取、分析以及处置,实现闭环,那就是网络安全提供的第二视角的应用与服务,在内审完成职责的同时,审计工作的数字化也可以在无形中建立起来。
四、结论
传统的网络安全在面对环境变化时,同样需要进行进化,进化的过程中要看到底层逻辑的变革,要关注在混乱的熵增世界中实现熵减。转换以管理为中心的思维更多从业务为中心思考网络安全,完善用户安全和作业安全的业务安全,应对网络安全的挑战,以创造网络安全的新机会。
作业过程的网络安全,涉及业务安全的深水区,仍有太多的理念需要实践检验和探索。但以业务为中心的网络安全必将是未来发展的必然趋势,这一点毋庸置疑。