前言
数字化转型是现代企业无法回避的命题,世界经济数字化转型是大势所趋。业务的数字化使得企业可以为客户提供更多的自助服务和新媒体互动,可以快速发布新功能以保持竞争力。习近平总书记多次指出,要加快数字经济发展。2020年4月1日在浙江考察时,总书记再次强调,要善于化危为机,抓住产业数字化、数字产业化赋予的机遇,抓紧布局数字经济。2020年5月13日下午,国家发展改革委官网发布“数字化转型伙伴行动”倡议,其中特别提到了要加强数字化生态信用体系建设,维护市场秩序、促进有序竞争。
Gartner在2020年发布的9大安全与风险新趋势中,也提到组织应建立新型“数字信任与安全”团队,专注于维护消费者与品牌之间的健全互动。消费者正通过越来越多的触达点来与品牌互动,从社交媒体到零售。消费者在触达点的安全感受程度会成为商业差异的重要来源。这些触达点的安全性通常由不同团队管理,各自运营并关注着不同的业务单元。企业通过逐步建立跨职能的信任与安全团队(trust and safety teams),以洞察整体互动过程,保障消费者与企业品牌互动时每一步的基本安全。
随着现代企业的数字化进程,对数字风险防护管理的需求正与日俱增。保护关键数字资产与数据免受外部威胁,提升在线业务运营稳健性越来越得到组织的重视,其价值已毋庸置疑。以辨证思维看待企业数字化进程,不难发现新发展阶段的机遇与挑战是共生的。在数字化转型的过程中,我们应该关注哪些风险场景,以及如何做好企业的风险防护体系呢?近日,安全牛邀请了天际友盟的CEO杨大路先生,就企业在数字时代的数字风险防护,进行深度的探讨。
杨大路,天际友盟 创始人&CEO
多年甲方安全管理经验,深刻理解安全对于企业数字化进程的意义。秉持“创造安全价值”的理念,2015年带领团队创立天际友盟,致力于威胁情报的最佳实践,为客户带去实际业务价值。
安全牛:数字风险的概念一直存在,在当前数字化转型的大背景下,数字化风险的具体范畴是什么?
杨大路:很多企业已经开始或即将进入数字化转型的快车道,企业将会拥有更多的数字平台,提供客户更多的自助服务和新媒体服务;企业将快速发布更多的在线系统和功能以保持竞争力;企业将会尝试向客户提供多租户模式的SaaS服务;企业会将更多的IT基础设施云化,甚至直接采用公有云服务。
然而数字化转型进程中每一种新技术的引入,都会增加网络、应用以及数据存储的复杂性,绝大多数企业的IT管理者都能够意识到快速的数字化转型会增加数据泄露和网络安全风险,然而很少有企业能够处理这些由数字化转型所带来的风险。仅仅做好企业内部的安全建设将不能让企业应对全面网络时代复杂多多变的安全形势,需要重新审视数字风险防护(Digital Risk Protection)的定义与范畴。
数字风险防护(DRP)包括对数字风险的在线监测、对外部威胁的分析和预警、对外部风险的处置。Forrester公司将数字风险防护(DRP)描述为“针对数字资产存在的风险提供快速事件检测和补救功能的解决方案,以便组织可以在恶意行为者利用它们之前修复问题,并且当安全事件发生时限制成功攻击的影响。”
安全牛:数字风险,和传统意义上的网络风险,两者有何不同?
杨大路:主要体现在两个方面:外部性和业务性。
外部性是指企业安全将要面对更多来自外部的威胁。很多的威胁甚至不需要进入企业内部就会对企业产生影响进而造成业务损失,仅仅做好企业内部的安全建设,将不足以让企业应对全面数字化时代复杂多变的安全形势。
业务性是指随着企业数字化转型的深入,企业安全团队将不仅要满足IT安全的要求,还需要对业务提供更直接的安全保障。这要求安全团队从网络安全、信息安全向业务反欺诈、业务合规以及风险管理的方向持续进化。
2020年的这场疫情改变了社会交互的模式,疫情驱动的数字化快速转型使得相伴面生的数字风险会比预想的到来的还要更快更迅猛,这对无法适应变化的企业来说是灾难,而对另外一些敏捷化的企业来说,反而是一次机遇。
安全牛:有哪些比较常见的数字风险类型,对企业影响比较大?
杨大路:大致上,数字风险可以分为以下几大类:
钓鱼欺诈,具体可能表现为网站、APP、社交媒体账号,通过邮件、短信等形态来散播;
数据泄露,包括文档、IP、代码、知识等各类数字化的企业数据或资产;
品牌侵权,包括恶意排名、商标滥用、威胁误报等;
网络威胁,比如失陷资产、僵尸网络、勒索或其他的攻击团伙威胁等等,甚至暗网中的相关攻击情报。
安全牛:这些新型的数字风险,防护的特点和难点是什么?
杨大路:有几个特点是具有普遍性的:1是时间敏感,对这些新型数字风险,企业如果没有足够的事前准备和有效验证的风险防护措施,碰到问题时往往手足无措,只能眼睁睁看着遭受的损失持续扩大;2是跨境沟通,大部分欺诈对象都躲在海外服务商,即便能够定位,要去关闭或剔除,需要企业跟全球各类服务机构进行沟通维权,这个沟通成本很高,对于一般企业来说很难独立完成,需要第三方专业机构辅助;3是对抗性,有些欺诈团伙会不断地迁移、复活,或采取来源屏蔽、终端限制等种种手段,目的就是为了增加处置复杂度和提高存活时间窗口来完成欺诈。
安全牛:企业该如何评估自己当前的数字风险管理体系的成熟度呢?
杨大路:一个完整的数字风险管理体系,至少需要具备4方面的要素,以形成管理闭环。
识别:第一步是需要弄清楚企业最想要保护的数字资产是什么,这是我们所熟知的所有风险评估工作的起点。有很多成熟的评估框架和风险管理实践可以指导我们开始进行这项工作。
监测:随着数字化进程的深入,企业对自己所拥有的数字资产的控制力度将持续降低,为了发现这些数字资产的暴露情况,需要一整套覆盖全球Web网站、App商店、社交媒体、网盘存储、知识社区、深网&暗网等渠道的全球数字风险监测系统,这中间需要综合使用包括威胁情报、网络空间探测、搜索引擎等在内的多种工具和技术。根据企业数字资产的分布,结合威胁组织的技战术方法,企业可以在上面的监控体系中尝试建立一系列场景,更好的监测发现不同类型的数字风险。
响应:企业还需要具备对数字风险的处置或缓解能力。我们可以从战术执行、持续运营和战略决策三个层面进行能力规划,执行响应流程和程序,减少攻击面,关停违规内容,网络行为阻断,以防止事件扩散、缓解事件影响和消除事件。同时也需要针对事件活动酌情与内部和外部利益相关方沟通协调,包括寻求执法机构的外部支持。
恢复:外部的数字风险也会传导到企业内部,所以无论是威胁情报或者是其他数字风险防护策略,都应该能够被企业已有的安全设备和防护措施自动化应用。与内部和外部各方协调恢复活动,执行和维护恢复流程和程序,以确保及时恢复受网络安全事件影响的系统或资产。吸取经验教训,纳入今后的改进恢复计划和流程。
安全牛:要做好完备的数字风险管理,需要具备哪些能力?
杨大路:一个完备的数字风险管理体系,技术能力仅仅是其中一部分,需要多种综合性能力,共同构建起这个体系。
在技术层面,随着数字资产的多样性(商标、文件、课件、视频等),具备自然语言处理、图像识别、机器学习等各类能力已成为构建持续监控能力的根基,还要能够对发现的风险目标建立完整的威胁评估体系。
在法律层面,不同的数字资产在不同的风险场景下,所使用的法律维权依据各不相同。如果侵权目标架设在海外,还要根据当地的法律规范来进行合理申诉,在这一点上,法律能力与技术能力在实操中同等重要。
在服务层面,准确地为业务场景进行画像,通过SaaS平台提升自动化服务交互能力和响应,建设并不断完善全球服务合作体系,甚至团队的多语言能力和时差管理等,都对最终服务效果有着质的影响。
安全牛:数字风险管理,对于企业的业务价值表现是什么?
杨大路:数字风险管理的业务价值主要体现在以下几个方面,一是完善应急响应体制。主动发现,积极防御,将数字风险防护融入到日常工作流程中。做到一旦检测到威胁发生,可以立即处置,快速止损;二是提升内部风险意识。市场、法务、风控、人力资源、财务,包括企业的高管,都是数字风险的潜在目标,用案例和事实说话,可以提升内部业务部门的风险意识;三是清理隐患。建立了数字风险管控体系的企业,可以定期的梳理面临的各类外部数字风险,及时发现隐患,提前排除;四是抵抗行业潮汐风险。恶意组织通常会同时向一个行业或一种类型的多家企业发起恶意攻击,比如面向金融机构的钓鱼活动,由于对于攻击者的成本是固定的,这时,风险防御机制不完备的客户,可能会成为被集中攻击的高危目标。
除此外,在实际的数字风险防护工作中,我们往往还会收到客户业务部门或者法务部门的一些特殊请求,最常见的就是请求我们协助定位数字风险事件背后的人。所以如果你的团队具备威胁狩猎的能力,并能够恰当的使用,将会成为画龙点睛的一笔。
安全牛:国际上,数字风险管理的市场发展如何?
杨大路:Forrester、Gartner、Momentum Cyber等国际机构,都从不同角度在关注这一新兴的业务领域,一些国际厂商也在这方面做了很多前瞻、专注的拓展。比如Digital Shadows、RiskIQ、Zerofox等等。海外用户的业务场景和国内企业的有关场景相比略有不同,比如海外对暗网、代码泄露、名人和高管的社交媒体侵权的关注度相比国内要更高,而国内用户对于文件泄露和APP仿冒更加重视。
在数字风险防护的领域,中国安全企业有明显的地域特色和优势。一方面,对于国内企业而言,跨境对抗能力是基本要求,因为欺诈中国企业的目标往往都藏身海外;另一方面,对于跨国企业而言,语言和对中国本地业务的理解是独有优势,国际厂商无法解决中文语境下的风险识别。
总之,数字风险管理当前已成为网络安全扩展到新领域的一个重要内容,应当引起我们高度重视,并提前准备和加以应对,为组织数字化转型过程中数字资产保护提供可靠的方法与工具。
