400-100-9516
news
CEO访谈

站内搜索

【高端访谈】数据安全实践者之路
2021-01-18 189 CEO访谈

undefined

”我和我的网安之路“系列专访

第6篇专访--全知科技CEO方兴 

我和我的网安之路

在互联网与人们生活关系如此密切的今天,网络像水、电一样走进千家万户,成为生活必不可少的一部分。网络安全引发的问题日益普遍,其危害性愈发严重,维护网络安全已经上升为国家安全战略。“我和我的网安之路”是对国内网络安全大咖的系列专访,他们中有国内顶级网络安全学者、著名白帽子、CTF挑战赛冠军、名校教授、权威测评机构专家、青年创业者等。通过倾听一线网安从业者真实的声音,向大家呈现当今网络安全世界的生动景象。

第6篇  数据安全实践者之路

本期嘉宾:方兴,现任全知科技创始人兼CEO,曾任南京翰海源创始人兼CEO、阿里巴巴集团安全部资深安全专家、北京知道创宇联合创始人兼首席科学家、美国微软MSRC全球特聘安全顾问、美国EEYE高级安全研究员、启明星辰ADLAB副经理,国际上第一个发布MS03-026漏洞(冲击波使用漏洞)细节和Windows内核远程利用技术,数百个高危安全漏洞的发布者,第一个微软BLUEHAT中国演讲者,知道创宇WEBSCAN产品核心技术开发和架构师,翰海源多款产品的技术专利发明者或架构师,被《WINDOWS利用技术的过去现在和将来》列为影响了WINDOWS安全技术发展进程里的唯一中国人。

索引

数据安全实践者方兴:随着数据时代的到来,能够创造价值的数据的生产、流动迅猛发展,带来严重的资产安全和社会安全问题,然而数据安全在方法论、技术体系和思维模式上与传统信息安全存在非常大的区别,急需构建新型安全治理体系和良性的产业环境,确保整个数据流动的知情和管控。安全从业人员要抓住潜在发展方向,遵守商业规律,在数据安全的蓝海中驰骋遨游。

 

目录

  • 01  数据安全很重要

  • 02  关键在数据流动的知情和管控

  • 03  数据安全有什么不一样

  • 04  数字化面临的安全风险

  • 05  数据安全的蓝海

  • 06  数据安全治理体系要与时俱进

  • 07  安全的“1+4”结构

  • 08  “术”和“道”的争锋

  • 09  零信任是未来的发展方向

  • 10  商业的本质是平摊价值

  • 11  不能固步自封

 

01  数据安全很重要

在安全行业中,我非常喜欢创新,喜欢走在最前列的东西,对网络安全方向、创新方向的把握,第一取决于对安全的理解。第二在瀚海源时代,我们主要以跟随国外理念并在上面提出自己的技术理解为主,我是第一个去关注国外公司做什么的人,比如它Anti-APT怎么做、威胁情报怎么做。但到数据安全时,我们在理念上已超过了国外,提出数据流动安全的根本原因在于数据安全有事实基础,即我们在阿里见到了真实面临的数据安全风险以及解决风险的最佳实践。传统安全的核心是从资产的角度保护数据安全,阿里要保护资产固定位置的数据是很容易的,但随着企业的数字化程度越来越高,企业数据是随着业务流动的,企业会主动把数据给hg8868登录入口、基层业务员工使用,以使数据的利用价值最高。因此我们能看到大量互联网企业、金融企业在这方面面临的真实风险。

undefined

IT时代,资产等核心数据在边界保护内,攻击者必须千方百计地突破边界进入内部,所以传统网络安全关注人的行为。但在数据安全时代,最麻烦的问题在于你的数据会主动给你的hg8868登录入口或基本信任的人,但你信任的人未必完全可信(可能被入侵),攻击者无需侵入边界内部,利用缺陷可直接获得大量数据。你需要主动把数据流动出去,所以核心风险不是攻击者攻击到你的内部,而是对整个数据流动的知情和管控。
 

02  关键在数据流动的知情和管控

我们深刻感觉到数据安全是以数据流动为核心的,即你最重要的数据是什么、在哪里;数据从哪里暴露;数据怎么流动。数字化程度越高的企业,数据流转的中心越不在数据库或数据存储点上,而是在业务应用上面。你通过业务应用系统跟大量的hg8868登录入口进行交互,通过API、业务流、数据流等方式进行数据流动。最基层的员工不通过数据库读取数据,而是通过CRM系统、HR系统、财务系统等业务系统读取数据。但是目前Gartner定义的数据安全,均未涉及业务应用上的数据安全。阿里90%以上的数据安全事件是在业务应用层产生的,因此若业务应用没人管,攻击者通过hg8868登录入口、数据流、业务应用数据流、业务人员窃取数据,即使部署再多的DOP、数据审核,数据泄露事件仍屡禁不止。所以这就是我们现在为什么这么重视数据安全,天天上这么多手段,数据泄露事件还屡禁不止的原因。
 
实例 · 电商数据泄露实例

比如我们在阿里时,发现大量的客户数据被窃取了。最后调查发现,阿里是一个电商系统,有很多在阿里上面卖货的电商可看到自身的业务数据。为了管控数据,我们做了一个系统管理客户数据来保护数据安全,电商人员必须通过某软件认证后才能看数据。最后发现搞黑灰产、搞数据的人专门针对该认证软件定制了一个程序,把木马种植在电商客户的机器中,然后批量窃取数据。因为该认证软件客户端数量少,杀毒软件不知道这种软件的存在,也就无法判断这是正常功能还是木马,所以市面上包括赛门铁克在内的所有杀毒软件都查不出来。后来我们开发了专门针对电商木马的查杀工具进行扫描,才把风险抑制住。但我们发现收集的样本中包括大量针对航空订票、酒店等软件的木马。例如酒店有很多分支酒店,在某分支酒店上种个木马即可把该分支酒店的大量数据拿走。阿里自身有防护能力,但其他行业很少有这种能力。所以我们订了票后会接到骗子之类的电话。这是非常大的一个风险点,阿里发现并花了大力来抑制风险,但这些厂商可能连其数据怎么丢的都不知道,所以可以看到在应用数据攻防层面面临巨大的缺口。

03  数据安全有什么不一样

数据安全有三项显著特点,第一,开放的场景。数据需要大量的人来使用、挖掘,才能创造价值,一旦把它锁起来,数据本身的价值就没有了,因此首先要在一个开放的场景中才能发掘数据的价值。第二,关注的核心行为和内容关联。传统网络安全更多的关注攻击行为,但数据安全中更关注对方在拿哪些东西。第三,数据安全的损失会带来社会安全问题。数据本身的价值并不高,它还是未挖掘出来的新矿,它的风险在于这些数据可以去组合出更高的价值。信息安全的损失可能是偷盗绝密的商业文档、独有技术,直接造成的损失。但数据安全的损失很多情况下损失的是第三方(比如你的客户),诈骗者可能会用这些数据进行诈骗,带来了社会安全问题。

undefined

信息安全称为资产、财产(视角)的安全,比如你的东西被偷了。数据安全也被称为生产视角的安全,比如操作氢气、氧气时引发了爆炸,可能会给你带来微量的损失,但更多是社会的影响损失,所以数据安全更需要国家法律来规范它的行为。数据安全跟信息安全,不论是在方法论、技术体系和思维模式上都有非常大的区别,不能理解这种区别,把数据安全和网络安全、传统信息安全混在一起,是做不好数据安全的
 

04  数字化面临的安全风险

目前数据安全面临最大的问题,是大多数的企业(特别是乙方)不了解企业数字化后在数据安全方面面临的真正风险在哪里,很多乙方企业仍使用僵硬的思想、方法论指导他们对数据安全的看法。同时由于没有一个真正有说服力的数据安全体系、没有共同的认知,企业也不知道自身的数据安全体系该怎么建。

网络安全的责任方很明确,就是安全团队。数据安全牵涉到多方,比如业务团队、数据团队、安全团队、内控内审团队、法务团队(因为数据牵涉到很多法律,像DPO很多地方都是由法务团队来承接的)。目前不同团队间在数据安全的职责还未明确,大家都不愿意去推动。

 

undefined

目前有两类人士对数据安全体系理解深刻。第一是来自于数字化程度很高、数据场景非常多样、业务很开放的企业。例如阿里是我认为在数据安全体系方面认知最全面、人才最多的企业,走在数据安全的前列,他拥有很多在业务上倒逼出来的最佳实践,这些实践印证数据安全的方向。比如阿里很早就关注应用数据安全,因为业务上非常多的数据安全事件在这里产生,这是由风险和安全事件直接倒逼着阿里去做的。第二是来自于监管层,因为监管层要考虑更全面,要考虑到底有哪些问题、风险,部分做架构的监管层人士比很多甲方、乙方对数据安全的认知要多一些。

目前必须加强数据安全方面的宣传。很多企业(特别是数字化程度很高的企业)经过宣传,马上就能够理解它的风险点。此外,现在很多企业容易被传统安全牵着鼻子走,数据安全和传统信息安全、网络安全在技术上有共用的地方,但若在思想、体系、认知等方面不清晰,就会阻碍业务的发展(如数据强管控对业务的影响非常大),很可能会走向两个极端,要么数据虽然安全了,但对业务影响太大;要么对业务无控制措施,导致风险不断暴雷。

05  数据安全的蓝海

数据安全的发展前景是非常大的,国外某评估报告认为五年后隐私安全、个人数据安全市场的量级会和网络安全一样大,即2025年的数据安全市场等于2020年全球网络安全市场。实际上在国外做数据安全的创业公司中,现在估值最离谱的是成立于2016年底主要做隐私数据安全的数据安全公司OneTrust,依据全球对隐私安全市场空间的评估,他在今年3、4月份的A轮融资中的估值已经达到27亿美金了。

国内数据安全方面,第一,隐私保护方面可能比欧美滞后一些,但也在逐步启动。第二,数据安全融合了很多东西,其中很大一部分的驱动力来自于合规。合规是安全的保障,与法律、法务结合起来,对数据合规的驱动力会更大。第三,国家将要或已经出台的三部最有影响力的顶层设计法律(《网络安全法》、《数据安全法》、《个人信息保护法》)中,1/3《网络安全法》涉及数据安全,《数据安全法》《个人信息保护法》跟数据安全直接相关,故这三部最重要的法律中,二又三分之一都在讲数据安全。而且,数据安全会是未来国家介入最多的地方,其损失会涉及到社会安全和国家安全,一旦影响了社会和国家安全,国家就应该强力介入进行管理。

undefined

 

《个人信息保护法》较之其他顶层法律,在部分方面有所突破。首先,《网络安全法》对企业的罚款都在100万以内,但《个人信息保护法》中罚款上到五千万或上一年营业额的百分之五,它基本上比照了GDPR的法则。其次,《个人信息保护法》将法律责任分成了两类,一类是直接的惩罚,一类是就个人数据主体再去追责,追求赔偿。原来一百万以内的罚款,对企业来说不痛不痒,但现在这种罚则和附加责任的追责,有一个重大的威慑作用,能很好的促进企业做好数据安全,做好个人信息保护。所以实际上能把这些法律真正地落地执行好,对社会、数据安全产业的发展都非常有价值。
 

06  数据安全治理体系要与时俱进

随着近几年国家对安全的重视,网络攻防等技术层面的人才在逐步增加,但在产业层面,真正思考如何做好安全体系,进行技术、体系创新,提出更好的方法论的人才非常缺乏。我们应思考如何用创新的理念和技术去更好的解决用户真实场景下有价值的问题

多年来我们在安全上都没有走出学习西方的范畴。以前国外的IT技术比我们发达,我们可以用最低的成本跟随人家。但今天第一我们走向了信创,第二我们在数据的使用、融合、用数据创造价值等方面,已经走在西方前面了,欧美由于各种隐私保护法的限制,在数据使用和场景上的发展远低于中国。中国的业务场景资源丰富而且希望利用大数据创造价值以实现产业上的超越,比欧美相比开放一些,但风险更大。如果我们未能形成既能保证业务发展,又能控制风险的新安全体系、方法论,那就是最大的雷。我们需要在推动数据创造价值的场景上提出创新的数据安全体系来解决我们独有的问题,这样才能在保障安全的同时在产业上超越别人。原来我们跟随别人做一些技术上的创新就可以了,但是对于数据安全,我们需要在方法论、认知、体系、理念上全面的超越别人,这已经上升到支撑国家的层面了。

07  安全的“1+4”结构

从技术域上,安全体系可划分成几大框。最基础、最底层的是网络系统基础安全,是所有安全的基础,若存在漏洞会影响所有的业务。上面可分为信息安全、数据安全、业务安全、内容安全四大块。信息安全更多的是我们传统的敏感信息的安全,他本质上是资产程度的安全,控制企业重要的资产能给谁访问,基本上管控越严越好,减少其泄露风险。数据安全是生产视角的安全,是企业的生产要素,是从公众利益和企业收益考虑,在数据合理发挥价值时能平衡、控制其风险。业务安全就是跟人打交道,比如欺诈、薅羊毛等均属于业务安全的,其主要靠风控,核心是收益远大于损失。内容安全(比如互联网企业的UGC(用户生产内容)部分)是国家管控最严格的部分,因为它最后会影响意识形态。

undefined

上述划分清晰地阐述了整个安全体系,其每项安全的目标是不一样的。基础安全更多的是从整体上将能被人渗透的东西阻挡好;信息安全比较严格;数据安全是对整个数据流、资产流动方面的管理、控制以及对风险的实时监测;业务安全更多在关注人的行为;内容安全更偏人工定义。

 

08  “术”和“道”的争锋

 
产品、技术的包装可分为“术”和“道”两类。“术”即我利用了什么技术去做,比如AI、大数据。“术”不是面向客户直接价值的(例如大数据应用面很广,可做数据安全、基础安全或内容安全),只能说明解决某问题时采用了最先进的技术,效果可能更好一点。客户不太关注“术”,更关注能解决什么问题,所以“术”的包装并没有太大价值。
实例 · 态势感知的核心理念

例如“态势感知”是我们最先提出的,但现在很大程度上变成了一个可视化的东西。当时我提的“态势感知”,这四个字是有逻辑关系的。首先是“感”,整个网络的威胁、安全方面的内容,需要通过部署各种各样的感应探头将信息感应回来。“感”之后是“知”,是把信息很好地呈现出来,能看到、知道所有情况。然后才是“态”,即把我知道的、感应的东西形成一个整体、全局的“态”,从而掌握大局。最后“势”(趋势)是通过历史数据的“态”的积累,能区分出未来会向什么方向发展,应该采用何种措施使其向好的方向发展,应该如何积极促成、控制“势”的趋势,即如何在“感”的基础上把我的响应和“态”、“势”结合起来。所以这四个字不是随便提的,但现今很少人知道当初提这个理念背后的思考,导致“态势感知”最后变成了一个为了说而说的名词,真正理解这四个字中的理念的人太少了。

我认为“道”是值得包装的,它是为客户提供一个新的方法、思路,去解决该领域未解决的疑难杂症。因此真正的包装是提出一个理念,并不是一个名词,而是对这个名词的阐释。真正要包装的“道”是用可控的成本解决安全中真正面临的疑难问题,去践行这个理念,把有价值的东西做出来。例如提出数据流动安全理念,要把数据流动安全的本质、核心、这个体系该怎么做,说的很清楚。
实例 · 数据生命周期的灵魂三问

当我们提出一个体系理论的时候,很多人是没有对其进行思考的。Gartner提出依据数据的生命周期做安全时,我提出三个问题,但很多人都难以回答。数据生命周期可分成采集、传输、存储、使用、共享、销毁6部分,其中传输、存储、销毁是物理过程;采集、使用、共享是业务过程,故第一个问题是为什么把两个不同维度的东西凑成一个生命周期,他们两个是交叉关系不在一个层面,为什么要划这六个周期,以此为凭据做安全会有什么问题?第二,数据生命周期描述的是一个业务系统的数据流动,但是数据安全、数据流动最大的问题来自于跨系统、跨业务、跨组织的流动,数据生命周期能不能覆盖、解决这个风险?第三,数据生命周期是一个很典型的拆解法(例如把一幢大楼拆成门、窗等组件),对事物认知很容易,但是如果要去建一栋大楼,核心考虑的不是它有什么结构,而是这个结构是如何一层层传递到地基的,数据安全也是这样,其本质是风险的传递。所以用数据生命周期这样的拆解法,作为测评没有问题,但是数据安全建设体系能用拆解方来做吗?

不管提出的道是否正确,只有深入思考把每个利益想清楚,才能去推动、才能在发展中不断完善。首先不要人云亦云,比如任何一套业界很流行的数据安全体系,我都可以明确告知它面临的问题,因为我思考过、实践过。其实“道”是真正从一个更高的level来理解一套理念,首先要对企业和要解决的问题很清楚,然后知悉其创新和价值分别是什么。比如零信任也是一个“道”,但是业界对零信任真正有深刻理解的很少。首先,零信任想解决什么问题;能解决什么问题;需要做哪些事情,才能让一个企业成本可控的、高效率的利用零信任的优势来化解问题。零信任现在面临的一个较大问题是需要动企业IT架构,这已经超出安全、CRO可控的范围了,客户应该如何解决这个问题?其次,零信任的价值在哪里,认证场景的目的是什么?本质上来说零信任的核心是将场景的安全级别分级,然而分级的意义是什么,分级之后怎么解决后面的问题?所以不是这个包装有多好,你超越别人的地方在于对这个东西的理解更深刻,能够真正解决用户的痛点问题,并且去践行它。通过独特的思考和见解,才能在市场上真正做出有价值的东西,为社会和客户带来核心价值。
 

09  零信任是未来的发展方向

 

身份认证一直是老大难的问题,现在包括密码、人脸、指纹、生物认证、令牌在内所有的身份认证都具有或多或少的问题,缺乏安全、简洁、低成本的身份认证方式。例如人脸识别等生物认证的操作很方便,但安全性太差且一旦泄露终身泄露,人脸可以通过照片窃取,指纹可通过特殊的握手窃取,还没有在安全、简洁等方面取得最佳平衡的方式。身份认证是所有安全的基础,有很大的需求(如零信任的前置部分中包含各种场景要素的身份认证),若有创新突破则可能会颠覆这个行业。

undefined

 

零信任是未来的方向,但目前大多只解决了前端场景的分级,在分级带来的价值方面(如何利用场景,让用户认为既安全又可用)做的太少。零信任的前景是移动办公,比如原来民警查户籍只能在办公网内查,现在他们天天在外面执勤,如何通过互联网等不安全的环境下安全进行即时远程办公。目前很少有人思考如何解决企业的业务发展与资源控制的便捷映射问题,故很多客户认为零信任就是在原有VPN上加几个产品认证,阻止我认为不可靠的设备远程接入我的网络,严重地偏离了零信任的本意,难以为客户产生最大的价值。
 

10  商业的本质是平摊价值

 

像工控安全、物联网安全等特殊领域,其本身技术受限影响其发展前途。工控安全实际上以实时性为主,如果真正做到安全一定会影响到实时性,这可能会造成更大的灾难。工控安全还面临着商业上的困难,一个核心问题是你的客户是谁。若想做到深入又不影响实时性,就一定要做到芯片层次,会面临跟芯片厂商合作的问题。这涉及一个商业逻辑,客户度集中越高时,别人去干的驱动力就越大。假设这是一个很有价值、很有利润的事情,厂商会自己做安全。商业的本质是平摊价值,平摊研发成本,所以客户集中度越高,客户可能会觉得自己干比较合适,当客户很广的时候,客户自己干要几千万,买一个100万就够了,那他肯定倾向于购买。

 

11  不能固步自封

 

我做安全这么多年,觉得安全最大的弊病就是太容易固步自封。一个人的发展首先是眼界的扩充,看到、听到不同的东西。首先我们要虚下心来,看到不同的东西,思考更多的东西,别人有什么长处,为什么要这样做,他的出发点、要解决的问题是什么,我们能学到什么。很多搞技术研究的人是很厉害,但去做产业时要了解用户真实的痛点,真实的问题,站在业务角度为客户解决问题。所以我想对乙方的老同学说:多走出来,多听一听,多去了解。

undefined

其次,每个人都有自己的时代,不要永远把自己局限在技术域,当你年纪大了,永远会有年轻人超越你,所以为了这个产业我们一定要扶持年轻人。当然年轻的同学要承认老同志的历史价值,老一辈的人愿意去给自己更好的职业规划,并且带动、鼓励更多的新鲜血液加入这个产业,只有这样才能形成一个良性的产业环境。受到尊重的老一辈人,可以更好的规划自己的职业方向,比如技术人员未来可以尝试带团队,努力在产业上进行创新,开创更有价值的东西。目前有些人太容易固步自封,不愿意去看外部的东西,实际上这对他们的未来发展是有限制的。英雄再厉害都有老去的时候,你今天擅长挖漏洞,明天能不能更擅长带团队,后天能不能创造一个新的产品理念去打造产品,只有这样你的人生规划才是一步步走向更高境界的,所以要鼓励新人,然后把自己上升到更高的高度中去。

我的精力比不过年轻人了,但我积累的经验、对产业的认知,可以支撑我做比技术研究更能创造价值的事情,让更多的人在我这里创造价值。哪怕新人只能创造你原来80%的价值,但带10个人就是8个你,有100个人就是80个你,所以何乐而不为呢?

 

在线客服