Palo Alto 亞太區首席安全官：未來中國五大安全問題突出

做企業首席安全官（CSO/CISO）是什么樣的體驗？

不少人對這個職位感到好奇：“為什么國內很少聽到CSO、CSIO”、"他們需要搞黑客技術嗎"、“如何做好一個企業安全負責人”、“企業安全團隊每天工作是不是就是抓黑客”、“CSO都需要具備什么能力？”

曾有人為CSO劃定了基本能力要素：業務賦能、安全治理、風險管理、安全技術、安全管理、業務安全、安全運營、法律合規、調查取證、安全審計、意識品牌、資源管理。這十二個因素被認為是CSO的能力集，也是一個企業安全能力的映射集。

CSO的能力決定了企業安全能力的天花板，可惜理想與現實總有落差。不少“天花板”整天關在辦公室，悶頭想方案，擼代碼，甚至還有一個人的安全部，全公司安全運維都靠兩只手。

這時候沒看到什么效果的老板開始不滿：業務業務業務！

安全要和業務結合。但究竟如何結合？多數人都雙眼迷茫，包括編輯本人。抱著這些疑問，雷鋒網和Palo Alto Networks（派拓網絡）亞太區首席安全官 Kevin O’Leary 聊了聊。

經歷

Kevin 最早在歐洲從事信息安全相關工作。

【Palo Alto Networks（派拓網絡）亞太區首席安全官 Kevin O’Leary】

這位有二十多年安全從業經歷的老兵“漂流”過不少地方，期間呆過服務最終用戶的安全企業，也進過廠家，還曾在公共機構、私營企業及大型跨國公司當顧問，近些年主要承擔企業內部CISO的角色。

2012年一個偶然的機會，Kevin來到澳大利亞在 HP（惠普公司）banking 做信息安全相關的咨詢工作。2014-2015年間，他擔任 HP 亞太及日本區CISO。

2015年，他來到中國，在通用電氣中國區(GE China)以及通用電氣旗下全球成長組織(Global Growth Organization, GGO)擔任副總裁與CISO職位。

三年后，他來到Palo Alto Networks（派拓網絡），主要在新加坡服務南亞地區的企業和用戶。

這些年Kevin考慮最多的就是怎樣幫助客戶把企業做得更加安全，而解決之道化繁為簡就是兩招，一是技術融合，二是提早預測。

“不是去說服客戶都要把自己企業安全向下一級防火墻進行遷移，雖然這是我們最主要的業務來源。而是通過全面的技術融合，其中包含終端技術、移動互聯技術，以及威脅情報感知等等。”

單點作戰時代已經過去，需要有新的技術打通關節，將各個點的安全產品無縫對接。在此過程中，可以將一些已有技術進行并用升級，提高效率。

再好的車最后也要由人來開，對企業來說將技術組件組織成一個集中管理平臺更需要專業安全人才，但目前國內現狀是基層專職安全工作人員和管理員極度匱乏，造成企業技術融合無法推進。

這也是目前國內技術和業務結合的普遍困境之一，除此之外，網安法合規性的壓力不僅推動企業加大網絡安全投入力度，也給企業造成了新挑戰。

另外，由于諸多企業有跨國業務，就需要防范來自各個地區新型威脅，如何利用最新、最快捷的威脅情報，保證企業業務安全，這也是很多企業的挑戰。

當然，這些問題都可以提早防范。

預測

所謂不打無準備之仗，作為CSO更應能預測敵人之后的攻擊方向，及早部署防御。

這些預測也要結合每個地區和國家特點，Kevin 告訴雷鋒網，比如菲律賓的數據隱私保護相關工作是一個重點領域，印尼由于有很多制造企業，用戶上下游供應鏈安全問題比較突出。而在中國，Kevin 做了五個方面的預測。

一、帶附件的商務郵件

過去五年間，全球有超過120億美元的損失源于商務郵件。

除了盜賬號密碼這種簡單粗暴的手法，攻擊者們玩起了Cosplay，比如偽裝成合作伙伴或者內部利益相關者對各類規模的企業進行攻擊?？傊瑢ι虅锗]件的攻擊一直呈現增長趨勢，攻擊者使用的手段也愈加多元和復雜，從偽裝成公司網址到鎖定員工個人社交賬號來發動攻擊。

更牛X的是這些攻擊越來越神鬼不知，可以躲開種種內部檢查。

如果一輛車有自毀按鍵，一旦有人入侵按鍵后整車都進行銷毀。當然這不現實，但在電子郵箱中是否可以加入這種技術呢？未嘗不可。除此之外，Kevin也建議企業選用一些機器學習技術，雙因子或多因子認證及生物識別技術對企業郵箱進行保護。

二、供應鏈安全問題

數字時代消除了限制，促進了全球性互聯互通供應鏈的發展，使得企業可以很方便地發掘全球供應商及外包服務。這種連接也包括數據與網絡的共享，一方面企業通過這種連接和分析功能大大提高了效率，另一方面這也給那些伺機而動的攻擊者尋找現有網絡安全漏洞大開了方便之門。

這種風險尤其表現在醫療領域，比如核磁共振成像（MRI）和X光機等醫療設備接入醫院內部網絡與第三方網絡相連，這就為更多新型攻擊面和漏洞提供了機會，而這些醫院系統往往無法控制。

“這里要提到的概念是'零信任'，就是即使對企業內部網絡也不應該完全信任，要看清網絡間的互聯關系，內網交易也不能完全信任，要用'零信任'的概念來設計自己的安全架構?！?/p>

換個說法，首席安全官要對網絡流量嚴密監測，確保敏感信息與外部設備和系統隔離。一旦多個未經保護的設備與公司網絡相連接，比如物聯網（IoT），短時間內就會成為“有威脅的互聯網”。

這就要求企業確保固件和應用實時更新，登錄默認設置一定要修改。如果網絡中安裝有第三方系統或設備，一定要采用零信任模式，將全部流量置于特定區域，對其進行檢測和區分，只允許授權用戶和應用與其通訊。 

三、數據安全問題

2018年國內數據泄露事件風起云涌，而2019年相關事件只高不低。

四、云安全問題

現在是一個應用驅動的時代，部分原因是因為有了云計算。云計算可以幫助企業無需在計算資源上面花費巨資便可交付產品和服務，因此成為企業不可或缺的資源。一方面，云計算可以幫助我們簡化某些領域的安全問題，但另一方面也會帶來新的挑戰。

實施云戰略便意味要在任務關鍵型數據和系統方面與第三方展開合作，這就要求安全地存儲和傳輸這些數據，而且只能由授權人員訪問，這一點相當重要。

Kevin表示，企業在實現快速創新和快速交付全新服務的同時，還要處理復雜的計算資源網絡，就很容易忽略確保網絡安全的要求。DevOps可以幫助加速開發，但會給網絡安全帶來挑戰，特別現在是正處于由傳統IT管理向DevOps過渡的階段。

云安全不僅僅是云服務提供商一家的責任，企業更要投入到保護數據、應用、操作系統、網絡配置等諸多安全的戰斗中來，另外要將流程、技術以及最重要的人才等安排就位，確保系統足夠安全。

五、關鍵基礎設施安全

這一部分指的不僅僅是公共設施或者資源，還包括其他重要領域，比如銀行和金融服務、電信和媒體等。由于關鍵基礎設施在向數字化和自動化發展，企業與工業網絡之間相互作用，很容易成為網絡罪犯的攻擊目標。

特別是對于包括數據采集與監控系統和工控系統在內的工業系統尤其危險。工業系統對于能源、供水、公共交通等領域十分重要，而且這一系統無法如傳統系統打補丁。

對這些基礎設施擁有者來說，他們更關注信息保密性，往往忽略了信息完整性和可用性。技術創新嚴重倚賴遙測和不間斷連接，那些對千百萬公眾生命安全負責的系統，要求數據必須精確且可獲取。

在這種情況下，Kevin認為無論是公有還是私有基礎設施，都需要將零信任系統部署到位，并確保訪問隔離。

結語

不久前編輯看了一篇文章：為什么程序員總在改Bug，就不能一次改好嗎？

在日常生活中，即便每個物品都有使用說明書，可一千個用戶就有一千種使用方式。例如用諾基亞手機砸核桃，用iPad當切菜板，所以說程序是確定的，但用戶的使用場景是不確定性的。

各種不按套路出牌的操作會給系統帶來挑戰，例如網上有個段子說：

一個人走進一家酒吧，要了一杯啤酒；

一個人走進一家酒吧，要了0.7杯啤酒；

一個人走進一家酒吧，要了-1杯啤酒；

一個人走進一家酒吧，要了2^32杯啤酒；

一個人沖進一家酒吧，要了500杯啤酒咖啡洗腳水野貓狼牙棒奶茶；

一個人走進一家酒吧，要了一杯美國啤酒，一杯德國啤酒，一杯比利時啤酒，一杯青島啤酒

……（以下省略N個沙雕要酒法）

最后酒吧炸了。

這就是說，軟件設計中最大的現實是：設計難以完全覆蓋現實。對應到業務層面，技術和數據可能難以覆蓋所有業務場景。

 Kevin舉了個例子，有些企業在自己的安全運營中心（SOC）中可能會關注來自不同系統的數據源，看到一系列安全事件，里面會有敏感信息。這時候怎樣識別這些安全事件哪些對企業業務發展影響更重要呢？

比如對一個生物制藥公司，數據完整性比數據精密性更加重要；對大型制造業公司來說，數據可用性更加重要；而對諸如銀行、醫院等需要數據驅動的領域，數據的機密性更加重要。

所以對每個企業安全負責人來講，必須要了解企業的業務方向和戰略，這樣才知道保護的數據哪方面屬性更重要。進而把企業安全和業務關聯在一起，不僅是一個技術層面的技術決定。也能使資金投入更加明智，避免在某個領域花錢過多或過少。

總之對于安全業務來說，要從開始著手，而不是零敲碎打，東修西補。

雷鋒網宅客頻道（微信公眾號：letshome），專注先鋒科技，講述黑客背后的故事。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。