技術和服務，數據安全的兩個側面

丁海驁

“之前，經常會有客戶問我：到底要不要支付贖金？在去年之前，IBM給的建議往往是：支付贖金是企業(yè)自己的商務考量，因為支付贖金與否，主要是衡量勒索軟件對企業(yè)的影響到底有多大。但今年開始，IBM有了足夠的數據，因此我們現在為客戶提供的建議是：支付贖金的行為并不可取?！苯?，IBM發(fā)布了2022年度的《數據泄漏成本報告》，報告顯示，目前全球數據泄露事件給企業(yè)和組織造成的損失、對經濟面造成的影響，已經達到了17年以來的最高記錄，單個數據泄露事件所造成的平均經濟損失已經高達435萬美元。IBM中國科技事業(yè)部網絡安全業(yè)務總經理馮靚強調：“基于強有力的數據調查結果，現在IBM 給客戶的建議是支付贖金并不可取，應該把大部分的工作以及投資花在避免數據泄漏事件發(fā)生以及一旦發(fā)生能夠快速恢復的措施上來?！?/p>

事實上，隨著整個社會數字化進展的持續(xù)加速，各種企業(yè)和各類組織都表現出對數據、信息越來越多的依賴——數字化在讓企業(yè)和組織的業(yè)務，變得更加靈活、更具有韌性和更高效率的同時，也令其面對的風險也隨著數字化程度的加深而不斷升高。

在馮靚看來，除了“支付贖金的行為不可取”以外，2022年度的《數據泄漏成本報告》的統(tǒng)計數據結果還顯示：有近80%的受訪關鍵性基礎設施組織尚未采用零信任安全策略，他們的數據泄露平均成本高達540萬美元，比已采用零信任策略的組織高出117萬美元；與此同時，云中安全也不成熟，其中在受訪組織中，有大約43%的企業(yè)和組織尚未開始在其跨云環(huán)境中部署安全措施，或者還處在早期部署階段，這些組織的數據泄露成本比已在跨云環(huán)境中部署了成熟安全措施的組織要高出66萬美元。與這兩項數據的結果相對應的是：數據顯示，部署了專注于安全的AI和自動化的組織，其數據泄露平均成本要低305萬美元。

“另外一個非常有意思的發(fā)現是：到目前為止，實際上造成數據泄漏最大的誘因，仍然是憑證被盜，或者是憑證受損（compromised）。也就是說，即便是這么多年我們對員工、對社會去宣傳密碼的重要性，你要不停地改你的密碼，以及有各種各樣的措施去保證你的密碼不會被盜，即便是這樣，密碼被盜仍然是數據泄漏誘因的第一名，一直以來都是第一名。所以這方面我們仍然需要不斷地幫助企業(yè)去應對和完善?！毕冗M策略普及度不高，新興技術和工具部署不足，長期形成的習慣難以糾正……都使得企業(yè)數據安全問題成了一個相當“綜合性”的問題。而解決這樣綜合性問題的第一步，永遠都是技術——來自技術側的支持，往往是最直接，也是最值得信賴的。

那么，針對企業(yè)到底該如何保證自身數據安全，盡量降低數據泄露成本，馮靚首先提出了四個采用零信任策略的原則：嚴控特權訪問、從不信任、永遠驗證、假設有漏洞。

“因為這兩年疫情的影響，零信任的概念反而變得非常容易被大家理解了?！瘪T靚舉例說：所謂“零信任策略”就相當于在三年前，我們去機場乘機，不需要檢測體溫，也不需要驗證72小時核酸，更不用驗證有沒有打過疫苗?！澳莻€時候準許大家進入，是基于信任的準入機制，相信進來的人是沒有威脅的。但是當外部環(huán)境改變了，有了傳染性極強的新冠病毒，那么要進入一個密集的公共區(qū)域，其安全策略就要調整成零信任策略：你必須證明你沒有病。零信任安全策略就是類似的邏輯：因為在今天的網絡安全環(huán)境下，威脅無處不在、無孔不入、如影隨形，所以我們在整個IT環(huán)境里面必須采取零信任的策略。”

除了零信任策略，馮靚還強調企業(yè)從流程和安全管理上，需要“加強演練”；從技術應用和架構上，“要用開放的架構來降低復雜性”?！捌鋵嵨覀兒芏喟踩胧┒际潜容^零散的，或者是煙囪式的系統(tǒng)，中間只要有一點沒有被顧及到，就可能會出很大的紕漏。因此，使用開放和集成的安全方法，有助于連接起分散的云環(huán)境中的安全數據；而且開放技術也更利于構成緊密集成的安全平臺?！瘪T靚說。

而除了以上因素外，馮靚尤其強調了目前企業(yè)用戶對于安全面對的另外一個重大“挑戰(zhàn)”——人才?！鞍踩膶I(yè)人才在中國是非常少的：在北美以及歐美發(fā)達的地區(qū)，整個IT預算在安全方面的投入占比大概是15%到20%；但是在中國，基本上是1%都不到，這也導致了安全人員的配備是很挑戰(zhàn)的?！比瞬诺娜狈κ沟帽姸嗟钠髽I(yè)實際上雖然知道數據安全的重要性，也知道需要從技術上、戰(zhàn)略上需要補足更多的關鍵基礎設施的不足，但往往力不從心。即便是通過IT技術提供商部署了最新的技術，但后續(xù)所需的維護、升級等有專業(yè)門檻的工作，對于很多企業(yè)用戶而言挑戰(zhàn)都很大，都存在非常多的問題和隱患。所以從根本上說，企業(yè)的數據安全并非是單純的技術問題，很多時候，企業(yè)對于安全服務的需求，與對安全技術、安全理論和邏輯的需求，同樣迫切。

“在中國，源訊標志性的項目是奧運會，從2008年的奧運會到2022年的冬奧會，源訊都是作為整個IT系統(tǒng)集成商來提供服務。奧運會通常也是黑客的盛事，他們都想證明有能力攻陷全世界數十億人都在關注的賽事。從2014～2015年開始，源訊（Atos）就通過自己的工具和一些安全相應的腳本，去監(jiān)測整個奧運會的安全運營。到了2017年，我們就開始把這樣的服務推廣到了企業(yè)當中，幫助那些跨國企業(yè)和大公司，把他們所有的企業(yè)資產、相關的日志、信息集成到安全運營中心（SOC）進行集中的管理和安全服務?！痹从崳ˋtos）中國大數據與網絡安全事業(yè)部經理何成財反復強調，作為國際上知名的IT系統(tǒng)集成商和服務商，源訊（Atos）在網絡安全服務領域也在歐洲排名第一（Gartner排名），同時也被Gartner在2022年認證為托管服務全球排名第一的廠商。而以第三方服務的方式，為企業(yè)補足安全人才的不足，則是源訊（Atos）在安全領域的優(yōu)勢之一。

2022年6月1日，源訊與IBM聯合宣布，在國內正式推出基于亞馬遜云科技中國云市場（Marketplace）的安全托管服務（Managed Security Service，MSS）——該服務依托源訊專業(yè)的安全運維服務經驗，并基于IBM Security QRadar XDR技術，幫助企業(yè)快速準確識別安全事件，全面開展調查并及時采取響應行動，從而有效地保護企業(yè)混合多元環(huán)境中的重要資產。

何成財認為，安全運營中心最核心的價值，在于解決企業(yè)用戶對于數據安全的幾大痛點問題：第一，就是解決安全運營人員不足的問題；第二，是會根據整個數據安全領域的發(fā)展態(tài)勢，不斷地去投入新的技術與應對環(huán)境的改變和黑客手段的升級；第三，能夠最大程度提高企業(yè)用戶在數據安全方面的投入產出比。

“國內的制造業(yè)、醫(yī)療行業(yè)，跨國公司在中國的分公司，他們管理的資產是非常重要的，但是安全人員的實力是不足的。在這種情況下，如果自己的企業(yè)給自己提供7×24小時全天候的安全風險監(jiān)控和應急響應服務，其實是不太可能的?！焙纬韶攺娬{，源訊、IBM和亞馬遜云科技此次合作推出的安全運營中心（SOC）服務，實際上就是整合了三方的優(yōu)勢資源：“IBM和源訊都是亞馬遜云科技的核心合作伙伴，我們三方推出基于IBM QRadar的安全SaaS服務之后，可以把很多亞馬遜云科技企業(yè)客戶的部分繁重、重復的安全運營工作，完全交到源訊專業(yè)的安全運營團隊。這樣一來，企業(yè)就不再需要去采購一套單獨的安全管理平臺或投入硬件、投入軟件去搭建自己的安全運營中心團隊。只需要把IT相關的資產接入 IBM和源訊的安全托管服務，就能得到量身定制的安全運營管理服務，享受到非常好的安全保護，從而可以把更多的精力投入到與核心業(yè)務相關的工作?！焙纬韶斦f。

寫在最后

安全，是整個IT行業(yè)當中相當專業(yè)的技術領域，因此對于相當多的企業(yè)用戶而言，要想完全、充分地規(guī)劃、實施、部署和維護一個能夠與時俱進的安全架構，難度相當大。因此從某種程度上說，當技術+服務，以SaaS的方式提供給企業(yè)用戶時，其具有顯而易見的低門檻優(yōu)勢，對于眾多缺少IT專業(yè)能力的企業(yè)而言，不失為是一個投入產出比最高的選擇。