随着近年来安全意识的普及,消费者对安全的认知度越来越高。与此同时,随着信息技术不断渗透到日常生活中,安全属性的重要度也越来越高,从以前的电脑,到如今无处不在的智能产品如汽车、监控设备、手机、路由器、云服务等,安全越来越成为产品/服务的重要属性,安全已经或逐步成为差异化的竞争点,当然对安全从业者来说做好安全的难度也越来越高。
贝壳找房安全技术负责人李文鹏,是一位安全行业14年老兵,08年研究生毕业后进入安全行业,先后在建设银行、华为、字节、贝壳从事安全建设工作,结合多年对基础安全建设的经验和经历,对安全建设的重要意义、成本中心or核心资产的判断和对行业增强安全建设关键性的倡议等进行了观点阐述。
安全已成为互联网产品和服务的重要属性和持续增长力的保障
近年来,一些安全事故导致的业务危机和“黑天鹅”事件频发,全行业对安全建设愈发重视,安全从业者也从小众、神秘色彩浓厚的“人设”开始愈发为人熟悉。与此同时,随着安全成本的大幅增加,一些新的声音也开始出现:公司花了很大成本去建设安全,是否只是寻求保险的一个成本中心,安全又是否对业务有直接价值?整体说,这决定了安全部门在内部的位置,更决定了公司对其持续投入的决心。
安全如何赋能其他业务?安全如何自证价值?安全投入和产出如何合理度量?李文鹏表示,作为安全从业人员,需要主动的从业务价值角度出发审视安全。例如,如何使得我们在安全上的投入和能力为客户所认可?在想到我们的产品/服务的时候,客户是否认可他们的隐私得到了有效保护、个人数据在合规范围内使用?“安全性”能否成为影响客户用脚投票的加分项?
首先,安全实际绝非大家潜意识的纯“成本中心”,体系化的安全建设能够助力形成产品/服务的竞争力。
以面向客户的APP应用为例,规范化获取客户信息、尊重客户知情权、为客户隐私数据提供有效保护的应用,越来越被客户所认可,在保护客户数据安全上的探索实践,已经成为了吸引用户的差异化竞争优势。
以企业内的办公数据安全为例,已经成为保护企业核心数据资产所必不可少的基础能力。在跟同行的交流过程中,我们发现很多传统的制造型企业,也在越来越重视办公数据安全。究其原因,是因为随着中国企业竞争力的提升,很多技术专利、数据资产已经成为公司的核心资产,核心数据资产保护的重要性不言而喻。
贝壳终端防护体系
安全体系化建设的思路,及纵深防御、风险隔离、最小授权、软件全生命周期赋能等理念,越来越成为提升安全效能的业界共识。在体系化建设的思路下,贝壳安全团队也一直在做一些有益探索,比如零信任平台、低侵入的密码服务、SOC平台、API安全治理等。最大化避免在实际业务场景中,已知威胁试图对数据安全的觊觎和攻击尝试,更大范围力争提前洞察和感知潜在威胁对业务攻击的摸索等。以统一的零信任网关建设为例,不仅提升安全管理的规范化程度,降低人工投入的管理成本,尤其降低安全上的重复投入。
贝壳零信任平台架构
安全更需增强体系化建设和整体协同
安全体系化建设,既要关注技术实现、更要重视建设路线的规划。
以贝壳安全团队建设为例,我们在基础网络安全能力建设上,首先我们着力在将碎片化的三方安全产品能力(如WAF、HIDS、IPS、防火墙等)整合起来,通过日志分析、告警、规则、处置平台的统一化,实现更有效的安全威胁、事件的快速发现、有效处置。
贝壳安全团队对已有安全检测能力的整合
在质量保障层面,贝壳安全团队目前已建设了全面的对代码质量、接口安全质量、数据安全质量的多重验证、抽检机制,全流程化的体系章程,更好促进研发团队在日常开发中更有的放矢的做出安全改进。
贝壳安全团队的SDL实践
李文鹏表示,在安全运营过程中也发现,安全能力的综合建设,也离不开业务线团队的参与和协同,同时由于术业有专攻的原因,业务团队可能并不能完全理解安全的术语,因此如何更好的将暴露风险、量化风险,是非常有价值和挑战性的目标。
如贝壳找房会在建设过程中,会着力将安全风险以业务能理解的方式,尝试量化呈现给业务研发团队,比如代码健康分、API健康分、数据风险指数等。通过该种形式,一是能让业务研发团队对安全和风险有更深刻的认识,同时也能促进业务研发团队在日常开发中更有的放矢的做出安全改进。
李文鹏指出,安全最大的挑战就是如何在不确定的风险中,确定性的有效提升系统性防护能力,这也是一直困扰整体行业包括团队建设的难题。
当下,业内都在提倡“安全左移”,安全是一个立体的工程,需要安全团队与业务团队、法务团队等密切的合作。在这里,由于大家的立场、专长不同,更需要安全行业的从业者们,有换位思考的主动意识。深入到业务中是说起来简单做起来难的事情,除了提供制度、工具,还需要了解业务的逻辑、业务的技术特点,才能更高效的提升安全落地的效率。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
责任编辑:kj005
文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com