安全运营发展的驱动力可以从技术发展、市场需求和政策导向三个 维度展开详细分析。
技术创新正迅速成为企业发展和成功的最重要因素之一,可以帮助企业在竞争中领先于行业竞争对手的能 力,使企业的运营、服务、产品能够满足客户及不断变化的市场需求。但企业对创新的需求与保障安全性之间存在 冲突,当今技术创新颠覆的步伐促使企业优先考虑业务上线的速度,快速推出新产品并保持领先于竞争对手的竞 赛中。但此行为往往以牺牲安全性为代价,导致企业因为忽略安全防护的重要性而面临无法预估的安全风险。
简而言之,安全是企业技术创新战略的核心组成部分,两者之间存在不可避免的共生关系,安全是技术创新 发展的必要推动因素,也是企业成功的核心要求。因此,对企业来说,保持安全性和技术创新并存至关重要。否则, 创新对企业来说可能变成无法承受的负担和弱点,将创新与安全对齐需要付出不断的努力,但实现安全并不是购 买最新的安全产品,而是将创新与效率构建到促进整体业务优先级的流程中,而不破坏关键的安全先决条件。
实施网络安全措施旨在保障业务正常运行而不是阻止业务创新的进程,了解网络安全重要性后的新技术创 新更有利于长期的成功和客户的信任。事实上,与安全事件发生后在实施补救计划相比,从一开始就考虑网络安 全风险通常会带来更成功的结果和更低的安全成本。因此,在企业业务所有阶段嵌入安全实践是必经之路,而安 全运营提供了一种综合方法,通过将安全实践集成到所有阶段来最大程度地降低安全风险。
随着数字经济的急剧扩张,新型的网络威胁层出不穷,同时业务的全球性、云技术的使用以及技术的不断创 新导致保护企业安全性以及应对安全威胁的难度不断增加,网络犯罪分子利用最新的攻击技术来渗透基础设施 并窃取各种规模组织的数据信息甚至是个人信息,这些攻击呈现出规模大、危害强、更难发现和更难防控的特点。
网络犯罪在频率、影响和复杂性上持续升级,企业无论规模和产业大小均会受其影响,面临更复杂、更普遍 的安全威胁。尤其是专业网络犯罪组织发起的攻击,其创新性和复杂性明显提高,反制措施难度极大。网络犯罪 分子通过利用未修补的 0Day 攻击的发生率不断上升。此外,越来越多的恶意软件试图将 IoT 设备连接到僵尸 网络,然后可以对企业和大型机构发起大规模发布式拒绝服务(DDoS),从而导致一些行业出现前所未有的大规 模停工。
同时,网络犯罪分子不再关注更多的受害者,而是越来越多地将目标锁定为网络安全防御不够全面、可利用 资产更多或者与其他强大组织有着特别复杂联系的特定受害者。例如,1.1 亿 Target 客户的个人和信用卡数据泄露始于窃取 HVAC 分包商登录凭据的恶意软件,由于企业依赖数字生态系统的互操作性,威胁形势的复杂性 正在不断加深。
虽然安全威胁愈发严峻,但企业的防护手段往往相对滞后,难以抵抗愈发严峻的安全威胁。传统的依赖单一 产品能力和产品堆砌的做法都显得力不从心,难以为继,无法保护由远程工作人员、工作场所、合作伙伴和客户 交互组成的现代 IT 生态系统,也无法保护员工可能随时访问的数据。
近年来,使用过时安全方法的企业所面临的网络攻击风险一直在不断加剧,攻击者可以利用员工电脑上过 时且未打补丁的操作系统或不安全的应用程序开展网络攻击。同时,企业还可能会面临中间人攻击,在这种攻击 中,攻击者秘密地进入用户和访问的 Web 服务之间。例如,一个受损的 WiFi 系统可能会让攻击者获取用户发 送的任何信息,包括用户的隐私密码等。
不仅如此,随着数字化转型的热潮,组织的攻击面呈指数增长,并且变得难以定义和防御,从而使组织的数 据资产暴露在攻击者面前。对攻击者来说,组织的攻击面越大,其可以瞄准攻击的目标就越大。同时,由于虚拟 机、容器和微服务的广泛使用,企业 IT 环境处于不断变化的状态。这意味着任何了解和管理企业攻击面的方式 都必须使用基于实时数据的敏捷、智能的工具来进行。因此,面对日新月异的攻击技术和手段,安全防护技术和 手段也需要不断发展和演进。
为了保护组织在面对网络犯罪时变得更有弹性,企业需要考虑更广泛的生态系统并应用适应性强的网络安 全实践方案。通过第三方安全厂商将技术、人员和流程整合建立安全运营保障体系,不断更新优化相应安全规 则,建立统一的安全运营流程将安全事件和威胁信息转化为可操作的情报,推动安全预防、检测、分析和响应流 程,帮助企业加强常态化安全防护能力,以应对日益复杂的网络威胁并持续改进。
随着国内外网络安全形势的持续变化,促使政府、企业及各类行业组织不断推进安全工作的进一步迭代。同 时,伴随着企业业务逐渐上云,网络安全形势变得愈加严重,新型 IT 环境下安全运营体系建设成为保障企业安 全能力的重点,其次是政策合规促进安全运营发展。《网络安全法》、《数据安全法》、《个人信息保护法》以及等级 保护 2.0 等法律法规的相继出台,促使我国的安全顶层设计逐步完善,推动我国安全运营体系的建设过程。
在当今快节奏的数字世界中,保护客户信息隐私和安全是一项艰巨的任务,政府和行业组织越来越重视网 络安全合规性,国家层面通过发布政策法规推动增强合规管控要求,强化网络安全建设基线标准,提升足以应对常态化对抗事件的能力,行业组织通过发布行业标准,推广行业运行资质,提升行业监管和行业自律力度,这是 旨在帮助企业保护数据机密性、完整性和可用性的强制措施。
企业通过将安全合规性作为优先事项,可以免受数字威胁并持续保障和客户之间的良好关系。随着时间的 推移,持续满足安全合规性要求的企业将被称为值得客户信赖的企业。良好的合规性不仅仅可以避免罚款甚至 可以免遭网络攻击,当一个组织处于安全合规之上时,他们通常也处于良好的数据管理实践之上,可以跟踪敏感 数据资产,避免数据泄露的风险。数据泄露已经成为企业普遍面临的安全风险之一,根据 uniper Research 的 数据,从 2018 年到 2023 年,超过 1460 亿条记录将因数据泄露而暴露。数据泄露造成的威胁范围不仅限于业 务中断和财务损失,违规行为还可能会无法挽回地损害企业的品牌声誉和客户的信任。
基于上述,企业需要进行安全合规管理,监控和评估系统、设备和网络以确保企业符合法规要求以及行业和 本地网络安全标准的过程。但保持合规性并不总是那么容易,尤其是对于受到高度监管的行业和部门,法规和标 准经常变化,企业必须快速响应以保持合规性,不合规将使企业和客户面临违规、被攻击的风险,甚至被监管机 构罚款。因此,对组织来说建设安全运营体系保障安全能力进而掌握安全合规性管理非常重要。
