Taking Enterprise Security to the Next Level

将企业安全性提升至更高水准

来自 Akamai Technologies 企业副总裁兼总经理 John Summers 的观点

对于当今的网络安全威胁,企业领导者需要了解的首要事项是什么?

一般威胁的时代已经结束。有的黑客企图窃取某些信息(通常是知识产权或个人信息、财务信息),您的组织将因此受到高度针对性的威胁。黑客也可能只是入侵并窃听您组织的活动。

这些黑客技术娴熟,资源充足。突破网络防御的一些“好手”是民族国家的威胁源。他们坚持不懈、耐心等候,他们尽最大努力与您的基础设施和业务进行互动,并使人们尽可能看起来未受侵害和一切照常,从而保持低调行事。这是全新级别的威胁。这种威胁在过去几年中不断加剧,确实使安全性面临更加严峻的挑战。

与此同时,企业领导者必须推动其组织提升敏捷性,并为客户和业务合作伙伴、供应链及分销链增添新的价值。企业必须实现数字化,以便能够加快运营和变革的速度。出于必要性,他们进行广泛连接、加强通信,并且更多地使用云基础设施。

威胁源在渗透企业的技术基础设施方面明显变得更加狡猾,与此同时,企业开辟互联途径以使企业更具竞争力,又使其基础设施更具渗透性。这是当今网络安全矛盾的集中体现。如何既能开放业务以加快行动速度,又能认清和防范所受到的威胁?

企业领导者应该如何了解当今常见的安全措施?

随着时代的发展,安全行业已经告别了网络安全层。网络安全层通过“护城河”和“高墙”将网络分为内外两部分。但是,这样的防御方式正在消失。高度互联的企业在其他地方分布着少量基础设施和用户 — 不是在“高墙”之内,而是与客户和业务合作伙伴同在“高墙”之外,然后有时从偏远的地点往回连接业务关键型应用程序。

这种普遍连接使得传统的网络安全思维在很大程度上变得无关紧要。当您通过互联网访问应用程序时,网络安全层不会遍历您控制的网络,因此网络层控制在发现和转移网络威胁方面十分低效。

那么,必要的替代方案是什么呢?

安全视角需要从网络层转到用户、数据和应用层。这是新的控制点,是在云基础设施领域控制业务交互的地方。您需要知道用户是谁。您需要知道他们应该具有哪些应用程序的访问权限,并且只授予他们必要的访问权限。而且您需要确保用户和应用程序之间的数据遍历涉及正确的数据,并且在传输过程中是安全的。我称其为从“数据包、端口和协议”到“用户、数据和应用程序”的安全演变。

面临的挑战是需要更多接受过新方法和新控制培训的安全专业人员。在高度分散和互联的世界中,供应商必须转变对企业安全的思考。Akamai 在这方面具有真正的优势,因为我们通过互联网安全地提供内容,我们直接在网络结构中构建我们的平台。我们在资产层面(包括用户、数据、应用程序以及与我们通信的设备运营)已达 19 年之久。无论使用何种网络,都需要强大的身份验证、强大的加密和完全的可见性。

互联网由大约 15,000 个不同网络组成。当您在互联网中间运营时,确保资产层安全是您唯一的选择。我们渴望与客户分享我们在这 19 年中学到的关于如何将安全性提升到下一个必要水平的知识。

请详细说明后台必须采取哪些措施来保护这些资产。

您需要了解您的资产及其行为,以确定资产的可信任程度以及信任它们可能会带来多大的业务风险。

我们在传统的企业安全模型中始终使用用户身份,但现在这些身份必须用来访问驻留在云端而非数据中心的应用程序,包括主要的 SaaS 应用程序。

随着用户使用扩展设备,我们需要了解他们正在使用的设备。它是由公司管理的设备,还是由用户选择的基本未托管设备?安全策略和实践必须考虑自带设备,以便为用户提供便利。

对于云端的任何应用程序,我们需要知道用户正在访问正确的应用程序,以及应用程序是否是完全受信任的,还是说这些方面一无所知。这一点非常重要,例如,用户会因为点击貌似熟悉来源或正常业务的电子邮件链接而成为鱼叉式网络钓鱼攻击的牺牲品。为了检测可能受到的攻击,我们需要知道所传送的内容以及目的地的可信度。

接下来涉及到数据。要确保数据的安全,首先要了解其重要性。用户和应用程序之间传输的数据对业务至关重要,还是不那么重要,或者我们不关心它是否会失窃?在大多数企业中,数据的分类还是相当低级的。人们会在必要时讨论数据分类,却很少有组织做好分类。一位金融服务主管透露,他们基本上只有两类数据:“可能会产生麻烦的数据和所有其他数据。”

在保护所有这些资产时,我们必须认识到,安全决策和行动绝非老生常谈。这与批准或阻止访问 IP 地址无关。它不是非黑即白。我们需要在安全决策中细致入微,我们需要更加精确地了解正在发生的事情,而且我们需要更多地基于业务风险来应用安全策略。

注重风险的网络安全模型会给业务带来哪些优势?

目标是降低业务风险和品牌风险,同时不妨碍创新、提速和变革。理想情况下,安全实践实现业务敏捷性,能使企业持续推出新的应用程序,而且每次新品发布都不会使企业面临额外的风险。

这代表着一种深刻的转变。安全性曾被认为是实现业务目标的过程中必须跨越的障碍。安全人员通常认为自己是守门人 — 有些事情可以做,有些事情不能做。

其实,安全性应该是为企业提供如何以最低风险和最大可能实现目标的建议。企业必须将安全性视为风险评估的来源,并用来指导如何充分降低风险以便企业抓住业务机会。首席安全官需要为业务伙伴提供选择性,以改变企业可以承担的风险。任何安全组织都不能完全消除风险。

能否举例说明实现业务敏捷性的安全实践?

我们曾经与大型金融服务公司的数字化团队合作过。合作内容完全是关于新应用程序、快速创新、快速实验和新业务价值的。他们希望能够快速部署新应用程序,并对其安全性充满信心。我们共同开发了一个具有内置安全层的应用程序部署框架,因此所有应用程序从一开始便具有扩展性和安全性。

他们使用安全工具进行检查监视、身份验证及访问控制,这些工具全都包含在这一框架中。因此,开发人员只需要完成构建新应用程序的工作。安全性无需额外添加,它是内置在其中。安全性方法的角色从阻碍者变为促成者。

以下是该方法的一种扩展。应用程序越来越多地包含 API 和计算机之间的通信。大多数组织不太关心计算机之间、API 之间、软件位与软件其他位之间的通信安全性。它们将一整套 API 关联在一起,仅在应用程序与 Web 或用户对话时添加安全包装器。

然而,如果您可以在 API 层构建安全通信,那么对于使用这些 API 的任何应用程序而言,这都是一个巨大优势。安全性内置于软件中,用于控制 API 发送和接收有效的内容。应用程序可以更快地部署,同时具有更加彻底的安全性。

这里的基本原则是,在考虑业务基础设施时必须设计安全性,并且必须将其集成到基础设施中,而不是在以后进行叠加。当您创建新数据时,便应该考虑它对业务的重要性,而不是等到以后再尝试添加安全性分类。部署应用程序时,应该已经嵌入了安全性。这是组织的安全实践必须跨越的下一个门槛。

组织应该如何开启更注重资产和风险的安全性?

您希望将安全性直接集成到业务结构中。首先应该围绕业务流程而不是基础设施进行探索。查看流程中各个步骤之间交换的数据,并评估每个步骤中丢失部分数据对业务造成的潜在风险。然后围绕谁可以参与流程、通信的每一端需要什么身份验证以及对这些通信应该采取什么限制和控制,相应地采用正确的安全控制措施。如果您可以考虑业务流程层的安全性,那么当您向下移动到基础设施层时,这会使事情变得清晰许多。

您还希望将安全防御和应用程序开发更加紧密地结合在一起。人们常说安全性人人有责,但是您无法将所有开发人员培训成安全人员。但是,正如刚才所讨论的,您可以创建一个应用程序框架,使人们可以更轻松地开发具有内置安全性的新应用程序。在此过程中,您将看到针对应用程序层安全性以及用户和数据的访问控制机制,安全小组需要具备哪些额外的能力。

关于如何将网络安全加快提升到新水平,您对首席信息官和首席安全官的最终建议是什么?

首先,不应该担心采用云服务,而是应该主动接受。实际上它可以帮助您变得更加安全,同时它可以帮助您的企业变得更加敏捷、更加盈利,并且能够加快发展。

其次,遵循零信任原则。您应该假设所有内容都可能受到损害,并据此制定业务和安全策略。只有在简单情况下,才能辨别孰好孰坏。大多数安全领域都是中间灰色地带。因此,您需要评估事情的风险程度,并随时间的推移收集证据以更新您的安全态势。

第三,担负起业务风险的指导责任,而不仅仅做出“看门人”决策。这是一个分量更重、更有价值的角色。安全专业人员实际上是风险专员,他们需要专门考虑安全风险如何影响业务风险,而不仅仅考虑安全风险本身。这样,企业可以对安全战略和策略做到细致入微,如同对待业务战略和战术一样。

Related CIO Content