媒體聚焦BCS|齊向東:網絡安全可以走出一條“零事故”之路
“零事故”不代表“絕對安全”,也不是零攻破。
7月13日,奇安信集團董事長齊向東在2022北京網絡安全大會上表示,過去,業界普遍認為網絡安全不存在“絕對安全”的狀態,但經過實戰的充分證明,只要將“零事故”作為目標,就能滿足對“絕對安全”的無限追求。
很多企業在進行網絡安全防護系統建設時,主要針對過去出現過的安全事故,采用相應的防護技術和產品。這樣的防護系統往往存在極大的安全隱患,因為過去沒有發生,不代表未來不會發生。
在齊向東看來,只有以“零事故”為目標,努力窮盡所有可能的風險,并一一進行防護,才有可能實現網絡安全的萬無一失。
“ 因此,其認為,“零事故”應該成為千行百業網絡安全建設的新目標。而這,也是網絡安全產業向更高水平發展的必經之路。當然,“零事故”不代表“絕對安全”,也不是零攻破。齊向東指出,當個別的終端、服務器或者其他的網絡資產被破壞,只要能快速采取措施,比如隔離、停機等,最后沒有影響到辦公和對內對外的業務,它還是“零事故”。
三條標準
在齊向東看來,網絡安全“零事故”具體有三條標準,分別是業務不中斷、數據不出事、合規不踩線。
業務不中斷其實很好理解。在數字時代,業務變得越來越開放互聯,一旦中斷,就可能是重大網絡安全事故。輕則營業收入、口碑受損;重則觸犯法律,直接威脅社會生產生活和國家安全。
今年以來,國際貨運巨頭、輪胎制造巨頭、汽車租賃巨頭相繼遭受網絡攻擊,導致業務大范圍停滯,帶來嚴重的負面影響。
而數據方面,目前已經成為核心生產要素,如果擰不緊數據“安全閥”,將造成難以承受的后果。
最近幾年,數據泄露造成的損失變得越來越大。IBM發布的《2021年數據泄露成本報告》指出,2021年每起數據泄露事件帶來的平均損失高達424萬美元,同比增加10%,達到了七年來的最大增幅。
此前,我國已先后發布了《數據安全法》、《個人信息保護法》《數據出境安全評估辦法(征求意見稿)》《網絡數據安全管理條例》(征求意見稿)等。
這說明數據安全已經進入了強監管的新階段,而確保數據不出事,是實現“零事故”的重要指標。
合規方面,齊向東表示,一直以來,很多企業都對合規存在誤解,認為合規是網絡安全工作的目標。事實上,合規是網絡安全的基本要求和底線。企業不遵守安全規范,就像沒有打牢地基,注定無法長久。
尤其是現在,合規已經成為各類數字化業務安全開展的前提,并進入用結果來評判的新階段。
企業要確保合規不踩線,必須用更嚴格的標準要求自己。除了部署先進的產品,還要不斷發現新問題、解決新問題,以及提高各個系統平臺的安全防護能力。
三個要求
至于如何實現“零事故”目標,齊向東總結了三個要求:第一要求是,“零事故”要求聯合作戰。
齊向東指出,安全公司應該和客戶達成共識:網絡安全是一個技術體系,單一的產品無法實現安全。
而在一個完整的安全體系里,應該有很多執行不同任務的安全產品,它們聯合作戰,在功能上互相彌補,才能實現保衛網絡安全的目標。
第二個要求是,“零事故”要求精準防護。這里既要防外部攻擊,也要防“內鬼”。
齊向東表示,防“內鬼”的核心是管特權。特權賬號是通往企業數據大門的“鑰匙”,是在業務流程中對重要數據進行訪問或操作的都是特權賬號。
所以要防“內鬼”,首先要把“賬號特權”管起來,對特權賬號的開設、使用、注銷進行全生命周期的統一管理,再根據它進行網絡操作的行為數據分析賬號風險,及時發現“僵尸”特權賬號,消除特權賬號的安全隱患;
其次,要治理“一號多用”現象,一個賬號多人使用,導致訪問行為不規律、不可控,給數據安全管理制造了障礙,埋下了隱患,一經發現要立刻降權;
最后,要用密碼保險箱解決“賬號弱口令”問題,在實際工作中,弱口令普遍存在,并且長時間不修改密碼,黑客可以通過猜測或其他方法輕易破解密碼,而密碼保險箱可以實現“一次一密”,防范密碼泄露和身份仿冒風險。
除此之外,精準防護還需要實現全局管控。而全局管控的核心是“零信任”策略,默認任何人、任何設備都不可信,在用戶的每一個網絡訪問活動中都要重新檢查憑證,以實現“權限最小化”,從而降低被攻擊的風險。
第三個要求是,“零事故”要求深度運營。深度運營的目的是通過不斷發現問題、改進問題,既確保企業合規不踩線,又讓網絡安全免疫力不斷提升,更好地解決日益復雜的網絡安全難題。
齊向東表示,企業通過深度運營,能讓安全體系和能力真正“活”起來。比如在合規運行方面,我國已經建立起一套相對完善的網絡安全法律合規框架,企業要確保合規運行,不能僅依靠“三員”——運維員、技術員和管理員,而是要充分運用技術手段,建立能審查、能告警、能自證清白的體系。
來源:21tech(News-21)
