信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安在”，作者/綿總。

數(shù)字生態(tài)系統(tǒng)指的是由多種異構(gòu)的數(shù)字主體和多重復(fù)雜關(guān)系構(gòu)成的使用系統(tǒng)，通過多種數(shù)字主體之間的聯(lián)動(dòng)，可以提高系統(tǒng)工作效率，促進(jìn)信息同享、主體內(nèi)部或主體之間的合作以及創(chuàng)新等等。數(shù)字生態(tài)系統(tǒng)也是企業(yè)數(shù)字化轉(zhuǎn)型的成果，通過建立和參與新興的數(shù)字生態(tài)系統(tǒng)也讓許多企業(yè)看到了其所帶來(lái)的未來(lái)收入和巨大前景。然而，大多數(shù)公司并沒有充分考慮到這些生態(tài)系統(tǒng)固有的風(fēng)險(xiǎn)和威脅。根據(jù)TCS風(fēng)險(xiǎn)與網(wǎng)絡(luò)安全研究，數(shù)字生態(tài)系統(tǒng)中的網(wǎng)絡(luò)威脅可能是企業(yè)的盲點(diǎn)。

數(shù)字生態(tài)系統(tǒng)是動(dòng)態(tài)的、敏捷的、交互式的、無(wú)邊界的、多模式的和去中心化的，這也導(dǎo)致這一系統(tǒng)往往具備多個(gè)看門人和參與者。換言之，數(shù)字生態(tài)系統(tǒng)為黑客提供了一個(gè)目標(biāo)豐富的環(huán)境，通過針對(duì)這些目標(biāo)展開攻擊，黑客可以輕易竊取或利用敏感數(shù)據(jù)，甚至是破壞組織的運(yùn)營(yíng)結(jié)構(gòu)。

因此，你所在的企業(yè)是否意識(shí)到這些風(fēng)險(xiǎn)？是否了解數(shù)字生態(tài)系統(tǒng)安全的潛在成本？在數(shù)字化轉(zhuǎn)型的當(dāng)下，不少公司受制于行業(yè)特點(diǎn)，在改革安全程序、制定新政策和技術(shù)以及縮小差距等方面是不均衡的，拙劣的，這也導(dǎo)致其數(shù)字生態(tài)系統(tǒng)的安全性岌岌可危。對(duì)此，塔塔咨詢服務(wù)公司網(wǎng)絡(luò)安全業(yè)務(wù)部門全球負(fù)責(zé)人Santha Subramoni討論了數(shù)字生態(tài)系統(tǒng)的安全以及企業(yè)如何降低其數(shù)字生態(tài)系統(tǒng)內(nèi)的風(fēng)險(xiǎn)。

數(shù)字生態(tài)系統(tǒng)帶來(lái)系統(tǒng)性風(fēng)險(xiǎn)

數(shù)字化轉(zhuǎn)型代表著組織和整個(gè)行業(yè)進(jìn)行廣泛、多模式和系統(tǒng)性的轉(zhuǎn)變。當(dāng)營(yíng)銷、供應(yīng)鏈和其他業(yè)務(wù)轉(zhuǎn)向純數(shù)字平臺(tái)時(shí)，它們會(huì)極大地改變公司在市場(chǎng)上的機(jī)會(huì)。企業(yè)數(shù)字化轉(zhuǎn)型的結(jié)果是創(chuàng)建了數(shù)字生態(tài)系統(tǒng)：大型、經(jīng)常變化的多人空間，在這里共享信息，開展業(yè)務(wù)，并將供應(yīng)商聯(lián)系在一起。

然而，數(shù)字生態(tài)系統(tǒng)不僅為組織發(fā)展提供了機(jī)會(huì)，也為黑客提供了機(jī)會(huì)。數(shù)字生態(tài)系統(tǒng)使公司系統(tǒng)面臨更多的網(wǎng)絡(luò)威脅和外部攻擊，從而失去例如對(duì)知識(shí)產(chǎn)權(quán)的控制，甚至是企業(yè)的生存狀態(tài)。黑客攻擊和網(wǎng)絡(luò)威脅的例子很多，這個(gè)問題應(yīng)該得到足夠的重視和關(guān)注。

實(shí)際上，目前仍有許多組織對(duì)數(shù)字生態(tài)系統(tǒng)固有的風(fēng)險(xiǎn)準(zhǔn)備不足。通常情況下，組織往往因?yàn)槭裁炊疾蛔龌蜃隽隋e(cuò)誤的事情而承擔(dān)重大風(fēng)險(xiǎn)。例如，在制造業(yè)和技術(shù)領(lǐng)域，企業(yè)會(huì)經(jīng)常與其全球生態(tài)系統(tǒng)合作伙伴或供應(yīng)商共享知識(shí)產(chǎn)權(quán)，但經(jīng)常會(huì)陷入與此類共享相關(guān)的風(fēng)險(xiǎn)，或未能執(zhí)行旨在降低這些風(fēng)險(xiǎn)的必要控制措施。造成這一問題的原因并非不夠重視或能力不足，而是體量過于龐大。組織有太多的供應(yīng)商需要合作和跟蹤，但由缺乏可持續(xù)、可重復(fù)和有效的流程和框架，從而無(wú)法降低其數(shù)字生態(tài)系統(tǒng)的風(fēng)險(xiǎn)。

將網(wǎng)絡(luò)安全嵌入到數(shù)字生態(tài)系統(tǒng)中

許多傳統(tǒng)制造業(yè)企業(yè)在當(dāng)下正在尋求數(shù)字化轉(zhuǎn)型，他們往往會(huì)通過建立數(shù)字化系統(tǒng)，投資智能工廠等方式提高效率，縮減成本。然而，如果在這個(gè)過程中不重視或是未提前將網(wǎng)絡(luò)安全因素嵌入到組織的數(shù)字化轉(zhuǎn)型架構(gòu)中，就無(wú)法規(guī)避相關(guān)風(fēng)險(xiǎn)，同時(shí)也無(wú)法實(shí)現(xiàn)對(duì)數(shù)字生態(tài)系統(tǒng)的保障。

連接所有需要連接的東西是物聯(lián)網(wǎng)實(shí)現(xiàn)智能工廠的基礎(chǔ)。隨著連接設(shè)備的不斷增加，攻擊面也在不斷擴(kuò)大，這使得數(shù)字生態(tài)系統(tǒng)的安全在智能工廠環(huán)境中變得更加重要，更值得高層關(guān)注。例如，如果一家汽車制造商的數(shù)字生態(tài)系統(tǒng)中，即便只有一家小型供應(yīng)商受到攻擊，都會(huì)影響到整個(gè)組織的生產(chǎn)和運(yùn)營(yíng)。

同樣，對(duì)于航空業(yè)來(lái)說，雖然它并不是網(wǎng)絡(luò)攻擊的新受害者，但它卻擁有更廣泛的生態(tài)系統(tǒng)參與者——客戶、聚合門戶網(wǎng)站、機(jī)場(chǎng)連接網(wǎng)絡(luò)、發(fā)行信用卡的銀行等等，他們的存在使威脅暴露成倍增加，任何端點(diǎn)受到攻擊都會(huì)造成業(yè)務(wù)的阻滯。考慮到航空公司可以訪問的個(gè)人身份信息的數(shù)量，任何安全漏洞都可能影響全球數(shù)百萬(wàn)人和企業(yè)。

即使在信息安全方面更為先進(jìn)的行業(yè)也存在漏洞。例如，在銀行業(yè)、金融服務(wù)業(yè)和保險(xiǎn)業(yè)，監(jiān)管機(jī)構(gòu)對(duì)這些行業(yè)的力度很高，行業(yè)內(nèi)存在的風(fēng)險(xiǎn)和相關(guān)利益也比較清晰，但即便如此，很多網(wǎng)絡(luò)安全解決方案仍然無(wú)法得到有效實(shí)施。近年來(lái)，金融科技供應(yīng)商正在崛起，他們?yōu)榻鹑跈C(jī)構(gòu)提供解決風(fēng)險(xiǎn)的安全方案，同時(shí)也會(huì)要求其關(guān)注盡職調(diào)查和安全檢查。（這是他們趕超金融科技供應(yīng)商的主要原因。）

在其他沒有重大監(jiān)管風(fēng)險(xiǎn)的行業(yè)，他們普遍不存在沒有采取適當(dāng)措施的緊迫感，他們往往會(huì)關(guān)注和重視網(wǎng)絡(luò)威脅，但經(jīng)常會(huì)忽視造成風(fēng)險(xiǎn)的另一個(gè)原因——組織內(nèi)部。組織同自己的團(tuán)隊(duì)、合作伙伴、上游供應(yīng)商和下游供應(yīng)商互動(dòng)的過程中，會(huì)因?yàn)闆]有采取安全措施從而導(dǎo)致安全事件。

主要風(fēng)險(xiǎn)的類別

在任何去風(fēng)險(xiǎn)框架中，人們必須假設(shè)網(wǎng)絡(luò)威脅的最大來(lái)源不是那些闖入者，而是那些為不速之客敞開的門。組織必須相應(yīng)地調(diào)整其狀態(tài)、流程和資源。他們需要確定主要風(fēng)險(xiǎn)包括：

■缺乏治理和問責(zé)制：在許多組織中，縮小風(fēng)險(xiǎn)差距的責(zé)任落在幾位領(lǐng)導(dǎo)人身上，而不是某一個(gè)權(quán)力點(diǎn)。然而，數(shù)字生態(tài)系統(tǒng)涉及企業(yè)的多個(gè)維度，所以這種舉措勢(shì)必會(huì)帶來(lái)失敗。缺乏問責(zé)制就會(huì)缺乏采取行動(dòng)的權(quán)力，并無(wú)法將降低風(fēng)險(xiǎn)作為組織內(nèi)的優(yōu)先事項(xiàng)。

■未能正確確定風(fēng)險(xiǎn)的優(yōu)先級(jí)：如果不了解業(yè)務(wù)的背景，就很難有效地理解和補(bǔ)救風(fēng)險(xiǎn)。例如，外部供應(yīng)商可能是潛在的風(fēng)險(xiǎn)來(lái)源，但在業(yè)務(wù)中發(fā)揮著關(guān)鍵和核心作用，因此，在處理這類供應(yīng)商的風(fēng)險(xiǎn)問題可能需要特別處理和注意。同一組織的其他供應(yīng)商可能不會(huì)發(fā)揮類似的核心作用，因此，處理他們的風(fēng)險(xiǎn)可能是一個(gè)簡(jiǎn)單的問題。各組織應(yīng)根據(jù)特殊情況進(jìn)行特殊處理，并嘗試為不太重要的實(shí)體創(chuàng)建系統(tǒng)化和自動(dòng)化的方法。太多的組織沒有考慮到內(nèi)部環(huán)境，因此不知道在哪里優(yōu)先考慮他們的工作。

■未能采取基本政策：令人驚訝的是，許多組織在網(wǎng)絡(luò)威脅方面沒有簡(jiǎn)單的協(xié)議和政策。這種失敗意味著每一個(gè)風(fēng)險(xiǎn)都會(huì)得到看似精心策劃的、實(shí)則代價(jià)高昂的應(yīng)對(duì)措施。但是，簡(jiǎn)單的去風(fēng)險(xiǎn)規(guī)則可以在沒有大量討論或辯論的情況下提供大量的、有效的保護(hù)。例如，醫(yī)院在減少醫(yī)療事件所建立的檢查表，通過對(duì)多項(xiàng)醫(yī)療器械、措施的審查，就可以有效的降低手術(shù)風(fēng)險(xiǎn)。同樣的，組織可以通過流程化或自動(dòng)化的方法來(lái)消除一些最常見的錯(cuò)誤，從而解決網(wǎng)絡(luò)風(fēng)險(xiǎn)的來(lái)源，并使風(fēng)險(xiǎn)專業(yè)人員將注意力集中在風(fēng)險(xiǎn)和威脅的特殊來(lái)源或“黑天鵝”事件上。

■缺乏資產(chǎn)清單：當(dāng)組織處于風(fēng)險(xiǎn)或危機(jī)中時(shí)，往往會(huì)首先對(duì)其數(shù)字資產(chǎn)（如知識(shí)產(chǎn)權(quán)）進(jìn)行升值。這是站不住腳的，也是不切實(shí)際的。實(shí)現(xiàn)有效防御的第一步是了解你所防御的目標(biāo)的價(jià)值，并相應(yīng)地進(jìn)行投資。然而，在涉及數(shù)字資產(chǎn)、知識(shí)產(chǎn)權(quán)、客戶信息和其他關(guān)鍵要素時(shí)，太多組織未能執(zhí)行適當(dāng)?shù)馁Y產(chǎn)發(fā)現(xiàn)框架。

■未能對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估：即使組織評(píng)估其生態(tài)系統(tǒng)的風(fēng)險(xiǎn)來(lái)源，也不一定能夠遵循明確的行動(dòng)路徑。對(duì)供應(yīng)鏈中潛在風(fēng)險(xiǎn)進(jìn)行評(píng)估可以讓生態(tài)系統(tǒng)的每個(gè)子部分確立自己在解決安全風(fēng)險(xiǎn)時(shí)的地位和優(yōu)先級(jí)，并根據(jù)不同的優(yōu)先級(jí)采取不同的安全措施。這應(yīng)該由標(biāo)準(zhǔn)的風(fēng)險(xiǎn)計(jì)算機(jī)制客觀地設(shè)定。

■地理敏感性：北美和歐洲的組織對(duì)數(shù)字生態(tài)系統(tǒng)風(fēng)險(xiǎn)和威脅的敏感性相較于遠(yuǎn)東和亞洲地區(qū)，要更強(qiáng)一些。因此，對(duì)于跨國(guó)公司來(lái)說，與亞洲和遠(yuǎn)東地區(qū)的組織合作需要更加關(guān)注，因?yàn)檫@類組織的業(yè)務(wù)橫跨多個(gè)主要區(qū)域，監(jiān)管機(jī)構(gòu)的要求也并不統(tǒng)一。即便如此，組織都必須在生態(tài)系統(tǒng)風(fēng)險(xiǎn)評(píng)估和補(bǔ)救框架方面達(dá)到相同的高標(biāo)準(zhǔn)。

降低風(fēng)險(xiǎn)的幾個(gè)步驟

當(dāng)下，尋求解決數(shù)字生態(tài)系統(tǒng)相關(guān)風(fēng)險(xiǎn)的組織必須采取一種破釜沉舟的態(tài)度。要知道，風(fēng)險(xiǎn)和風(fēng)險(xiǎn)是不同的，某些風(fēng)險(xiǎn)可以通過自動(dòng)評(píng)估和緩解來(lái)大大減少，但與數(shù)字生態(tài)系統(tǒng)相關(guān)的風(fēng)險(xiǎn)，由于其與業(yè)務(wù)核心聯(lián)系得更加密切，需要得到更多的重視。

采用系統(tǒng)方法降低數(shù)字生態(tài)系統(tǒng)風(fēng)險(xiǎn)的組織將對(duì)這些風(fēng)險(xiǎn)的性質(zhì)有更深刻的認(rèn)識(shí)，并將能夠建立一種更全面的方法來(lái)主動(dòng)抵御威脅。以下是可以采取的降低企業(yè)風(fēng)險(xiǎn)的一些基本步驟：

■執(zhí)行一個(gè)世界末日?qǐng)鼍埃簺]有什么能像可視化系統(tǒng)和策略更能闡明風(fēng)險(xiǎn)的性質(zhì)。通過對(duì)每個(gè)潛在威脅源、地理位置、獨(dú)特漏洞以及最佳威脅情報(bào)所提供的任何其他信息進(jìn)行上下文分層，可以對(duì)風(fēng)險(xiǎn)設(shè)置一個(gè)“世界末日”優(yōu)先級(jí)排序。評(píng)估組織中最有價(jià)值和最脆弱資產(chǎn)的潛在損失，并從中制定防御和緩解策略。

■制定一個(gè)“燃盡”計(jì)劃：制定一個(gè)減少大量漏洞的“燃盡”計(jì)劃表，雖然看起來(lái)不太現(xiàn)實(shí)，但做起來(lái)會(huì)非常有效果。某一家TCS支持的美國(guó)制造業(yè)企業(yè)在一年內(nèi)將漏洞減少了70%，其背后原因就是將“燃盡”計(jì)劃納入整體安全戰(zhàn)略的一部分。

■自動(dòng)化：自動(dòng)化的評(píng)估和風(fēng)險(xiǎn)管理方法雖然不廣泛，但可以有效地減少威脅環(huán)境。組織可用的大多數(shù)解決方案都依賴于定制的方法；然而，自動(dòng)化是唯一符合當(dāng)前威脅的數(shù)量和動(dòng)態(tài)性質(zhì)的策略。

■部署優(yōu)先方法：由于解決漏洞的工作無(wú)法以相同的強(qiáng)度完成，因此將工作分解為特定的可評(píng)分參數(shù)：共享IP、共享個(gè)人數(shù)據(jù)（個(gè)人身份信息、個(gè)人健康信息和支付卡行業(yè)數(shù)據(jù)）、數(shù)據(jù)量，以及關(guān)于支付或意外發(fā)布此類數(shù)據(jù)的規(guī)定。這些參數(shù)可以表明工作的優(yōu)先級(jí)，因?yàn)樗鼈兒芸赡艽砹孙L(fēng)險(xiǎn)相對(duì)更加嚴(yán)重的問題。

■制定工作時(shí)間表：應(yīng)通過外部風(fēng)險(xiǎn)評(píng)分解決方案制定持續(xù)監(jiān)控協(xié)議。與此同時(shí)，任何關(guān)注這些問題的人都不可能一直關(guān)注相同的風(fēng)險(xiǎn)來(lái)源。因此，制定一個(gè)時(shí)間表，以確定何時(shí)評(píng)估供應(yīng)鏈和其他生態(tài)系統(tǒng)參與者的脆弱性。

■采用動(dòng)態(tài)評(píng)估：考慮到風(fēng)險(xiǎn)的動(dòng)態(tài)和變化性質(zhì)，將風(fēng)險(xiǎn)評(píng)估常態(tài)化是不明智的。相反，組織需要建立動(dòng)態(tài)和不可預(yù)測(cè)地測(cè)試數(shù)字生態(tài)系統(tǒng)的系統(tǒng)，并進(jìn)行持續(xù)的監(jiān)控和攔截。

■創(chuàng)建與政策和協(xié)議綁定的框架：這些框架可以借鑒ISO/IEC 27001和NIST開發(fā)的行業(yè)框架。這些框架將包括組織風(fēng)險(xiǎn)管理系統(tǒng)中的所有法律、物理和技術(shù)控制——至少，這些為個(gè)性化框架提供了堅(jiān)實(shí)的基礎(chǔ)。

專家觀點(diǎn)

樂信集團(tuán)信息安全中心總監(jiān)劉志誠(chéng)表示，數(shù)字化轉(zhuǎn)型的需求與ICT基礎(chǔ)設(shè)施技術(shù)的發(fā)展，以及數(shù)字化轉(zhuǎn)型的組織結(jié)構(gòu)變革，組織的安全風(fēng)險(xiǎn)的治理，同樣面臨著巨大的挑戰(zhàn)和機(jī)遇，安全自身的數(shù)字化是一方面，基于安全數(shù)字化提升安全風(fēng)險(xiǎn)治理的效率，降低安全治理的成本是組織安全團(tuán)隊(duì)面對(duì)的一個(gè)課題，自動(dòng)化未必是唯一的良方，但一定對(duì)風(fēng)險(xiǎn)治理降本增效起到重大促進(jìn)作用。

某研究機(jī)構(gòu)表示，時(shí)至今日，網(wǎng)絡(luò)安全無(wú)疑已經(jīng)成為數(shù)字化轉(zhuǎn)型過程中企業(yè)組織必須面對(duì)的核心要素，因?yàn)閿?shù)字化轉(zhuǎn)型技術(shù)一旦無(wú)法保護(hù)業(yè)務(wù)、客戶或者其他關(guān)鍵資產(chǎn)，就會(huì)變得毫無(wú)意義。同時(shí)，在復(fù)雜的基礎(chǔ)架構(gòu)、大規(guī)模的運(yùn)營(yíng)，以及愈加嚴(yán)峻的安全形勢(shì)下，組織依然需要對(duì)敏捷性、靈活性和快速?zèng)Q策的數(shù)字化轉(zhuǎn)型能力不懈追求。

中國(guó)工程院院士、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)咨詢委員會(huì)主任鄔賀銓表示，現(xiàn)在很多企業(yè)都開始進(jìn)行數(shù)字化轉(zhuǎn)型，我們不可能要求所有的中小企業(yè)配備網(wǎng)絡(luò)安全人才，以及配備很強(qiáng)的網(wǎng)絡(luò)安全防御的產(chǎn)品，這種情況下就需要依靠第三方提供網(wǎng)絡(luò)安全服務(wù)。目前有些網(wǎng)絡(luò)安全企業(yè)已經(jīng)這樣做了，接受了具體企業(yè)的委托。對(duì)于這些網(wǎng)絡(luò)安全企業(yè)來(lái)說，這不僅僅是服務(wù)一個(gè)企業(yè)，而是根據(jù)被服務(wù)企業(yè)所積累的經(jīng)驗(yàn)，繼而可以服務(wù)上萬(wàn)企業(yè)。這樣既節(jié)省了人力，也提升了對(duì)網(wǎng)絡(luò)事件的感知，一定程度上實(shí)現(xiàn)了網(wǎng)絡(luò)安全威脅情報(bào)的共享。

結(jié)語(yǔ)

組織數(shù)字化轉(zhuǎn)型勢(shì)必會(huì)推動(dòng)著數(shù)字生態(tài)系統(tǒng)的建立，數(shù)字生態(tài)系統(tǒng)的安全決定了組織數(shù)字化轉(zhuǎn)型的程度和狀態(tài)。當(dāng)外部威脅已經(jīng)得到足夠的重視后，也不要忽略來(lái)自內(nèi)部的安全威脅。將供應(yīng)鏈上的所有合作伙伴的安全能力拉齊是個(gè)很艱難的問題，這需要組織建立一個(gè)自動(dòng)化、流程化的解決方案，解決所有已知的，影響不大的安全威脅，從而讓安全人員有更多的精力去針對(duì)潛在的，高危的安全風(fēng)險(xiǎn)。