樂信集團劉志誠:從乙方到甲方——網(wǎng)絡安全的“大局觀“與“急所”

aqniu
網(wǎng)絡安全世界,紅藍攻守就像圍棋的黑白棋子,在不斷復雜化日益兇險的局勢進程中博弈甚至搏殺。作為防守一方,甲方用戶往往能站在業(yè)務角度看安全,以企業(yè)經(jīng)營和風險治理的戰(zhàn)略大局觀見長,而乙方廠商則精于戰(zhàn)術(shù)性的局部手筋和深度計算,而只有將大局觀和戰(zhàn)術(shù)性技巧融會貫通,意始氣至,才能搶占真正能夠決定棋局走勢的“急所”。

網(wǎng)絡安全世界,紅藍攻守就像圍棋的黑白棋子,在不斷復雜化日益兇險的局勢進程中博弈甚至搏殺。作為防守一方,甲方用戶往往能站在業(yè)務角度看安全,以企業(yè)經(jīng)營和風險治理的戰(zhàn)略大局觀見長,而乙方廠商則精于戰(zhàn)術(shù)性的局部手筋和深度計算,而只有將大局觀和戰(zhàn)術(shù)性技巧融會貫通,意始氣至,才能搶占真正能夠決定棋局走勢的“急所”。安全牛有幸邀請到了在甲方和乙方都有豐富從業(yè)經(jīng)歷和經(jīng)驗的資深網(wǎng)絡安全專業(yè)人士——樂信集團的劉志誠,與讀者獨家分享網(wǎng)絡安全大局觀與“急所”的心得與經(jīng)驗:

甲方乙方視角有何不同?

ICT與互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全市場有何不同?

如何看到隱私和軟件供應鏈這兩大安全“急所”?

樂信集團 劉志誠

樂信集團信息安全中心總監(jiān),中科院心理研究所管理心理學博士,印第安納大學kelley商學院金融碩士(MF),香港理工大學軟件理學與工商管理(MBA)雙碩士。前中國移動電子認證中心(CMCA)負責人,OWASP廣東區(qū)負責人。關(guān)注企業(yè)數(shù)字化過程中網(wǎng)絡空間安全風險治理,對大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術(shù)在金融風險治理領(lǐng)域的應用,以及新技術(shù)帶來的技術(shù)風險治理方面擁有豐富的理論和相關(guān)經(jīng)驗。

引言

我在中國移動卓望公司呆了10年后,2018年4月份從深圳只身一人去了廣州,從做信息安全產(chǎn)品的乙方轉(zhuǎn)換身份,成為了做內(nèi)部和產(chǎn)品信息安全治理的甲方,不過通信動環(huán)監(jiān)控起家的上市公司高新興仍然是在我熟悉的通信行業(yè)ICT領(lǐng)域。2019年12月從廣州回深圳進入樂信,又從深耕了近20年的ICT行業(yè)轉(zhuǎn)行到互聯(lián)網(wǎng)金融,不得不說我每次轉(zhuǎn)身的尺度之大,讓人瞠目。人到中年,動不如靜,為什么做出這樣的選擇,我給出的答案是,對新的挑戰(zhàn)總有種時不我待的緊迫感,希望突破自己。

信息安全甲方和乙方有什么不同?

做乙方的時候,往往需要考慮通用性和針對性,針對一個信息安全風險,往往需要考察不同應用場景中共性問題是什么,對風險的治理講究策略的有效性,不希望需求的蔓延把產(chǎn)品變成項目。以中國移動營業(yè)廳無紙化項目中,通過電子簽名服務器實現(xiàn)營業(yè)廳無紙化的解決方案,就是通過營業(yè)廳移動電子簽章一個點,來帶動整個項目的落地。

在運營中國移動數(shù)字證書中心的過程中,對于安全的解決方案,往往是圍繞數(shù)字證書的具體應用,無論是為國家郵政局寄遞實名制落地的全套解決方案,還是為中國質(zhì)量協(xié)會量身定做的供應鏈質(zhì)量追溯平臺,其核心都在于公鑰基礎(chǔ)設施體系在不同應用場景的創(chuàng)新應用。通過密鑰在移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)環(huán)境的傳輸、交換和驗證,創(chuàng)新解決業(yè)務的問題。

當然,做乙方負面作用就是,當你有個錘子,看什么都是釘子,在身份轉(zhuǎn)換為甲方之后,經(jīng)常碰到乙方技術(shù)交流過程中,乙方針對甲方提出的一個需求,拿出風馬牛不相及或牽強的產(chǎn)品和方案,這樣的乙方就缺少了創(chuàng)新和靈活性。

甲方往往是關(guān)心自己碰到的問題如何解決,考慮的是問題解決的效果和效率,雖然從問題分解的角度來說,也是從點入手,但一個問題往往涉及一個方面,例如,數(shù)據(jù)安全問題,僅從數(shù)據(jù)庫審計一個點切入,顯然距離甲方的視角相距甚遠。

具有乙方的視角來看甲方的問題,單純的深度對問題解決的細節(jié)大有裨益,但如果需要從面上解決問題,這就要求你具有宏觀的視野和足夠深厚的各領(lǐng)域產(chǎn)品的功底。我在卓望10年,做產(chǎn)品帶團隊之余,基本拿齊了國內(nèi)外信息安全的相關(guān)資質(zhì)認證,CISSP、CISA、CISM、ISO27001、CISP、CISAW,這也是能夠進入甲方的一個原因吧,現(xiàn)在很多乙方的咨詢顧問很難和甲方對上話,根源往往在于知識面過窄。

當然,乙方的經(jīng)驗會給甲方解決問題帶來產(chǎn)品化的思路和思維,邏輯邊界更清晰,問題解決方案的耦合會更合理?,F(xiàn)在國內(nèi)有些乙方的產(chǎn)品也希望在面上進行突破,但如果缺少甲方的經(jīng)驗,會造成產(chǎn)品耦合帶來的副作用,往往一個點比較強,卻帶著一個薄弱的面,不同的產(chǎn)品之間的功能沖突給甲方帶來困擾,例如在終端的安全管理層面,多個乙方客戶端的功能重疊問題挺令人頭疼。這也是乙方做產(chǎn)品可能的通病,對甲方面的理解不到位,耦合設計不合理,做出來四不像的產(chǎn)品。這點,國外乙方單點突破的產(chǎn)品往往做的比較好。

其實,你會發(fā)現(xiàn),在甲乙方深入轉(zhuǎn)換過身份的人,無論做甲方還是乙方,天然都會具有思維優(yōu)勢。

ICT和互聯(lián)網(wǎng)行業(yè)有什么異同?

通信和計算機技術(shù)(ICT)和互聯(lián)網(wǎng)有什么異同,我的感覺用開發(fā)模型舉例來說,ICT是瀑布模型的陣地戰(zhàn),互聯(lián)網(wǎng)是敏捷原形迭代的游擊戰(zhàn),當然,底層的一致性,帶來必然融會貫通的趨勢,不會非此即彼。因此,當互聯(lián)網(wǎng)巨頭阿里和騰訊在2B市場攻城略地,通過云計算和智慧城市的巨型ICT項目單一來源,對傳統(tǒng)ICT行業(yè)而言,苦不堪言之余也是滿嘴苦澀。

卓望公司是2010年王曉初時代的中國移動聯(lián)合HP、沃達豐、美林證券成立的創(chuàng)新技術(shù)公司,在2017年左右談及混合所有制時,不得不說當年王曉初的創(chuàng)新意識和魄力。卓望公司頂著中國移動香港無線研發(fā)中心的金字招牌,目標直指移動互聯(lián)網(wǎng),并通過移動夢網(wǎng)的品牌在短信時代呼風喚雨,其中創(chuàng)始團隊的戰(zhàn)略眼光和視野,同樣讓人欽佩不已。在時代變遷過程中,卓望的業(yè)務屬性逐漸蛻變?yōu)橹螌傩圆⒁驗樗兄仆赓Y成分掣肘而逐漸邊緣化,從互聯(lián)網(wǎng)屬性公司成為ICT公司,令人唏噓之余未免慨嘆。

親身經(jīng)歷卓望變革的十年,同樣在陣痛中收獲滿滿,2010年左右在智能手機尚未普及的年代,卓望公司建立中國移動認證中心,通過RFID分離卡內(nèi)置的密鑰機制,和廣東一起打造的手機支付生態(tài)鏈“手機通寶”,野心勃勃,希望建立線上線下融合的用戶、商戶、運營商的機制,具備銀聯(lián)的支付能力,具備互聯(lián)網(wǎng)的運營能力。近三年時間投資過億,終因體制,技術(shù)成熟度,等諸多原因而被雨打風吹去。仍記得在2013年在某地市試點二維碼支付的應用場景,思路是把線下商品的訂單轉(zhuǎn)換為二維碼,智能手機線下掃碼一鍵買單購物,沒記錯的話,應該比阿里和騰訊的二維碼支付還早。

我們是談安全,不能老陷入當年勇的回憶,這件事現(xiàn)在看來,給我兩個深刻的印象,第一,ICT是為別人做嫁衣,缺少業(yè)務的主動性,或者脫離業(yè)務的運營,成功跟你的關(guān)系不大,失敗的幾率相當大。第二,安全的價值一定是和業(yè)務密切相關(guān)的,手機通寶的核心價值,就在于其中打造的生態(tài)安全體系在線上線下融合支付產(chǎn)業(yè)的應用。

陰差陽錯,十年之后,到了樂信,主營新消費生態(tài)體系的樂信,核心是打造線上線下融合的消費場景,2013年創(chuàng)業(yè),2017年納斯達克上市,在成立7年之際,遇到百年不遇的新冠疫情,2020年第一季度依然交出雙位數(shù)增長的成績單。當年未能實現(xiàn)的夢想,現(xiàn)在為樂信業(yè)務的安全保駕護航,冥冥之中也許早有注定。

說到這兒,其實也已經(jīng)表明了對ICT和互聯(lián)網(wǎng)的態(tài)度,ICT只有建設,互聯(lián)網(wǎng)卻是以運營為基礎(chǔ)的建設,那么這之間的勝負其實不言自明。

網(wǎng)絡安全兩大急所:隱私生態(tài)鏈保護與技術(shù)供應鏈安全

甲方的安全,甚至是互聯(lián)網(wǎng)甲方的安全,大家比較熟悉,就不再多做贅述了,簡單分享下我覺得目前可能重視度不夠的兩個問題,一個是個人信息保護領(lǐng)域的數(shù)據(jù)安全風險治理中共享與合作的難點問題,一個是越來越受重視的軟件開發(fā)安全管理的第三方組件安全的難點問題。

個人信息保護現(xiàn)在是個熱點問題,剛結(jié)束的人大立法計劃中,對《個人信息保護法》,《數(shù)據(jù)保護法》已經(jīng)提上了日程,新修訂的《民法典》也涵蓋到用戶數(shù)據(jù)保護的相關(guān)主題,這是對2017年《網(wǎng)絡安全法》的有機延續(xù)和增強,也是對目前因用戶數(shù)據(jù)泄漏導致電信欺詐頻發(fā)社會問題的回應。同時,在全球化時代中,考慮到企業(yè)走向全球的隱私保護數(shù)據(jù)對等條款以及數(shù)據(jù)跨境與海外政策對接,也需要對歐盟《通用數(shù)據(jù)保護條例》等各國立法予以關(guān)注和同步。

移動互聯(lián)網(wǎng)業(yè)務為用戶帶來極大的便利性同時,也帶來了個人數(shù)據(jù)泄漏的進一步風險,APP的操作系統(tǒng)權(quán)限濫用帶來用戶數(shù)據(jù)采集的混亂也成了眾矢之的,四部委2018年啟動的專項治理,希望通過合規(guī)重拳予以打擊和治理,效果彰顯?;ヂ?lián)網(wǎng)金融產(chǎn)業(yè)鏈中,以人工智能分析為基礎(chǔ)的大數(shù)據(jù)運營公司,通過輸出用戶信用評價實現(xiàn)商業(yè)價值,其數(shù)據(jù)的獲取、交換因為爬蟲事件也在2019年受到電信詐騙牽連頻受打擊,行業(yè)龍頭遭受重創(chuàng)。2020年初疫情期間,公安部云劍行動通過電信詐騙順藤摸瓜,同樣在通信服務產(chǎn)業(yè)鏈中掀起巨浪,短信服務公司風聲鶴唳,頻受調(diào)查。這其中隱含著一條脈絡,就是隱私保護已經(jīng)脫離了企業(yè)范疇,變成了生態(tài)鏈問題。單純的做好內(nèi)部的信息安全防護,構(gòu)建縱深防御機制,關(guān)注攻防對抗,顯然對個人隱私相關(guān)的數(shù)據(jù)安全而言,顯得力所不及。

關(guān)于隱私保護,IAPP的CIPT認證是個從技術(shù)領(lǐng)域看隱私保護的最佳理論與實踐,其中的PbD(pravicy by design)理念值得仔細揣摩,如果單純的從合規(guī)的角度跟著法律和規(guī)范走,始終處于被動和整改的狀態(tài),對業(yè)務發(fā)展,對技術(shù)實現(xiàn),無論成本還是效益都談不上最佳實踐,而以業(yè)務為中心的產(chǎn)品和技術(shù),往往是走向檢查,整改,檢查循環(huán)的老路,勞民傷財,傷筋動骨。如果從設計隱私的角度入手,以用戶為中心進行隱私保護的設計,提前思考布局,會起到事半功倍的作用。

從生態(tài)鏈角度而言,需要關(guān)注合作伙伴的用戶隱私泄漏風險的生命周期管理,在引入合作伙伴階段需要做好安全風險的評估,一般來說,安全能力水平,安全技術(shù)保障,服務水平協(xié)議是評估的三個要素,需要做到,能力有第三方評估佐證,技術(shù)方案具備攻防思維考驗,服務水平明確相關(guān)義務和責任。根據(jù)評估篩選出合格的合作伙伴合作,對于各方面均差強人意的合作伙伴需要敬而遠之。

在合作過程中要具備持續(xù)監(jiān)控的能力,通過相關(guān)泄漏指數(shù)的跟蹤和設計,做到對相關(guān)風險的及時發(fā)現(xiàn)和預警,對于風險趨勢走高的合作伙伴,通過約談、協(xié)同排查、業(yè)務降比等手段,來降低和規(guī)避相關(guān)風險。

出現(xiàn)隱私泄漏相應的事件后,要能及時止損,追溯、確定責任,對風險進行整改,對策略和方案進行調(diào)整和回顧,逐步優(yōu)化。

安全軟件開發(fā)過程管理(SDL)在安全領(lǐng)域的應用,隨著大家攻防的視角從基礎(chǔ)公共系統(tǒng)延伸到業(yè)務系統(tǒng),治未病的理想狀態(tài)和投入產(chǎn)出比(ROI)的理想分析來看,應用軟件的安全越來越關(guān)注到需求和設計階段,代碼審計、模糊測試、滲透測試等關(guān)注軟件代碼安全質(zhì)量的漏洞挖掘也越來越受到重視。

從APP到微服務,業(yè)務模塊化使業(yè)務的開發(fā)足夠敏捷,部署足夠靈活,SDK和開源組件的使用從避免重復制造輪子的角度來說,為程序員和架構(gòu)師的效率提升帶來了難以預估的價值。同時,不可避免的引入了軟件的安全風險,Zoom的事件因facebook的SDK帶來的隱私災難險些導致Zoom公司破產(chǎn),阿里著名開源組件fastjson組件頻發(fā)的漏洞,忙的各大公司網(wǎng)關(guān)產(chǎn)品升級改造雞飛狗跳,無不預示著隱藏在應用系統(tǒng)背后的軟件供應鏈安全風險。

當然,軟件供應鏈安全的治理,同樣遵循著PDCA的過程管理,做好引入階段的備案與評估,避免引入高風險的第三方和開源組件。同時,在關(guān)注到漏洞與安全的同時,也需要關(guān)注組件的可用性與兼容性問題,在中美貿(mào)易戰(zhàn)激烈時刻,已有開源公司軟件變更許可證阻止中國企業(yè)應用,對第三方軟件涉及到知識產(chǎn)權(quán)以及許可證的條款足夠清晰,避免侵權(quán)以及可用性遭受致命打擊影響業(yè)務,同樣十分關(guān)鍵。

在應用階段,注意關(guān)注第三方組件的漏洞威脅情報,及時發(fā)現(xiàn)、預警,并做好整改與版本發(fā)布工作,要在受到根本影響時,做到完全切換的替代方案,例如,fastjson被大面積替換為gson,其實也是一種應急預演。

當然,信息安全工作永無止境,需要關(guān)注熱點,也不能只跟熱點,做好基礎(chǔ)防護工作同樣至關(guān)重要,時間原因,就不再贅述。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論