1. 科技訊首頁
  2. 產(chǎn)經(jīng)

貝殼安全李文鵬:體系化安全建設(shè)關(guān)系企業(yè)可持續(xù)增長力

陳晨 ? ? 產(chǎn)經(jīng)

隨著近年來安全意識(shí)的普及,消費(fèi)者對(duì)安全的認(rèn)知度越來越高。與此同時(shí),隨著信息技術(shù)不斷滲透到日常生活中,安全屬性的重要度也越來越高,從以前的電腦,到如今無處不在的智能產(chǎn)品如汽車、監(jiān)控設(shè)備、手機(jī)、路由器

隨著近年來安全意識(shí)的普及,消費(fèi)者對(duì)安全的認(rèn)知度越來越高。與此同時(shí),隨著信息技術(shù)不斷滲透到日常生活中,安全屬性的重要度也越來越高,從以前的電腦,到如今無處不在的智能產(chǎn)品如汽車、監(jiān)控設(shè)備、手機(jī)、路由器、云服務(wù)等,安全越來越成為產(chǎn)品/服務(wù)的重要屬性,安全已經(jīng)或逐步成為差異化的競爭點(diǎn),當(dāng)然對(duì)安全從業(yè)者來說做好安全的難度也越來越高。

貝殼找房安全技術(shù)負(fù)責(zé)人李文鵬,是一位安全行業(yè)14年老兵,08年研究生畢業(yè)后進(jìn)入安全行業(yè),先后在建設(shè)銀行、華為、字節(jié)、貝殼從事安全建設(shè)工作,結(jié)合多年對(duì)基礎(chǔ)安全建設(shè)的經(jīng)驗(yàn)和經(jīng)歷,對(duì)安全建設(shè)的重要意義、成本中心or核心資產(chǎn)的判斷和對(duì)行業(yè)增強(qiáng)安全建設(shè)關(guān)鍵性的倡議等進(jìn)行了觀點(diǎn)闡述。
 

安全已成為互聯(lián)網(wǎng)產(chǎn)品和服務(wù)的重要屬性和持續(xù)增長力的保障

近年來,一些安全事故導(dǎo)致的業(yè)務(wù)危機(jī)和“黑天鵝”事件頻發(fā),全行業(yè)對(duì)安全建設(shè)愈發(fā)重視,安全從業(yè)者也從小眾、神秘色彩濃厚的“人設(shè)”開始愈發(fā)為人熟悉。與此同時(shí),隨著安全成本的大幅增加,一些新的聲音也開始出現(xiàn):公司花了很大成本去建設(shè)安全,是否只是尋求保險(xiǎn)的一個(gè)成本中心,安全又是否對(duì)業(yè)務(wù)有直接價(jià)值?整體說,這決定了安全部門在內(nèi)部的位置,更決定了公司對(duì)其持續(xù)投入的決心。

安全如何賦能其他業(yè)務(wù)?安全如何自證價(jià)值?安全投入和產(chǎn)出如何合理度量?李文鵬表示,作為安全從業(yè)人員,需要主動(dòng)的從業(yè)務(wù)價(jià)值角度出發(fā)審視安全。例如,如何使得我們?cè)诎踩系耐度牒湍芰榭蛻羲J(rèn)可?在想到我們的產(chǎn)品/服務(wù)的時(shí)候,客戶是否認(rèn)可他們的隱私得到了有效保護(hù)、個(gè)人數(shù)據(jù)在合規(guī)范圍內(nèi)使用?“安全性”能否成為影響客戶用腳投票的加分項(xiàng)?

首先,安全實(shí)際絕非大家潛意識(shí)的純“成本中心”,體系化的安全建設(shè)能夠助力形成產(chǎn)品/服務(wù)的競爭力。

以面向客戶的APP應(yīng)用為例,規(guī)范化獲取客戶信息、尊重客戶知情權(quán)、為客戶隱私數(shù)據(jù)提供有效保護(hù)的應(yīng)用,越來越被客戶所認(rèn)可,在保護(hù)客戶數(shù)據(jù)安全上的探索實(shí)踐,已經(jīng)成為了吸引用戶的差異化競爭優(yōu)勢(shì)。

以企業(yè)內(nèi)的辦公數(shù)據(jù)安全為例,已經(jīng)成為保護(hù)企業(yè)核心數(shù)據(jù)資產(chǎn)所必不可少的基礎(chǔ)能力。在跟同行的交流過程中,我們發(fā)現(xiàn)很多傳統(tǒng)的制造型企業(yè),也在越來越重視辦公數(shù)據(jù)安全。究其原因,是因?yàn)殡S著中國企業(yè)競爭力的提升,很多技術(shù)專利、數(shù)據(jù)資產(chǎn)已經(jīng)成為公司的核心資產(chǎn),核心數(shù)據(jù)資產(chǎn)保護(hù)的重要性不言而喻。

貝殼安全李文鵬:體系化安全建設(shè)關(guān)系企業(yè)可持續(xù)增長力

貝殼終端防護(hù)體系

安全體系化建設(shè)的思路,及縱深防御、風(fēng)險(xiǎn)隔離、最小授權(quán)、軟件全生命周期賦能等理念,越來越成為提升安全效能的業(yè)界共識(shí)。在體系化建設(shè)的思路下,貝殼安全團(tuán)隊(duì)也一直在做一些有益探索,比如零信任平臺(tái)、低侵入的密碼服務(wù)、SOC平臺(tái)、API安全治理等。最大化避免在實(shí)際業(yè)務(wù)場(chǎng)景中,已知威脅試圖對(duì)數(shù)據(jù)安全的覬覦和攻擊嘗試,更大范圍力爭提前洞察和感知潛在威脅對(duì)業(yè)務(wù)攻擊的摸索等。以統(tǒng)一的零信任網(wǎng)關(guān)建設(shè)為例,不僅提升安全管理的規(guī)范化程度,降低人工投入的管理成本,尤其降低安全上的重復(fù)投入。

貝殼安全李文鵬:體系化安全建設(shè)關(guān)系企業(yè)可持續(xù)增長力

貝殼零信任平臺(tái)架構(gòu)

安全更需增強(qiáng)體系化建設(shè)和整體協(xié)同

安全體系化建設(shè),既要關(guān)注技術(shù)實(shí)現(xiàn)、更要重視建設(shè)路線的規(guī)劃。

以貝殼安全團(tuán)隊(duì)建設(shè)為例,我們?cè)诨A(chǔ)網(wǎng)絡(luò)安全能力建設(shè)上,首先我們著力在將碎片化的三方安全產(chǎn)品能力(如WAF、HIDS、IPS、防火墻等)整合起來,通過日志分析、告警、規(guī)則、處置平臺(tái)的統(tǒng)一化,實(shí)現(xiàn)更有效的安全威脅、事件的快速發(fā)現(xiàn)、有效處置。

貝殼安全李文鵬:體系化安全建設(shè)關(guān)系企業(yè)可持續(xù)增長力

貝殼安全團(tuán)隊(duì)對(duì)已有安全檢測(cè)能力的整合
 

在質(zhì)量保障層面,貝殼安全團(tuán)隊(duì)目前已建設(shè)了全面的對(duì)代碼質(zhì)量、接口安全質(zhì)量、數(shù)據(jù)安全質(zhì)量的多重驗(yàn)證、抽檢機(jī)制,全流程化的體系章程,更好促進(jìn)研發(fā)團(tuán)隊(duì)在日常開發(fā)中更有的放矢的做出安全改進(jìn)。

貝殼安全李文鵬:體系化安全建設(shè)關(guān)系企業(yè)可持續(xù)增長力
貝殼安全團(tuán)隊(duì)的SDL實(shí)踐

李文鵬表示,在安全運(yùn)營過程中也發(fā)現(xiàn),安全能力的綜合建設(shè),也離不開業(yè)務(wù)線團(tuán)隊(duì)的參與和協(xié)同,同時(shí)由于術(shù)業(yè)有專攻的原因,業(yè)務(wù)團(tuán)隊(duì)可能并不能完全理解安全的術(shù)語,因此如何更好的將暴露風(fēng)險(xiǎn)、量化風(fēng)險(xiǎn),是非常有價(jià)值和挑戰(zhàn)性的目標(biāo)。

如貝殼找房會(huì)在建設(shè)過程中,會(huì)著力將安全風(fēng)險(xiǎn)以業(yè)務(wù)能理解的方式,嘗試量化呈現(xiàn)給業(yè)務(wù)研發(fā)團(tuán)隊(duì),比如代碼健康分、API健康分、數(shù)據(jù)風(fēng)險(xiǎn)指數(shù)等。通過該種形式,一是能讓業(yè)務(wù)研發(fā)團(tuán)隊(duì)對(duì)安全和風(fēng)險(xiǎn)有更深刻的認(rèn)識(shí),同時(shí)也能促進(jìn)業(yè)務(wù)研發(fā)團(tuán)隊(duì)在日常開發(fā)中更有的放矢的做出安全改進(jìn)。

李文鵬指出,安全最大的挑戰(zhàn)就是如何在不確定的風(fēng)險(xiǎn)中,確定性的有效提升系統(tǒng)性防護(hù)能力,這也是一直困擾整體行業(yè)包括團(tuán)隊(duì)建設(shè)的難題。

當(dāng)下,業(yè)內(nèi)都在提倡“安全左移”,安全是一個(gè)立體的工程,需要安全團(tuán)隊(duì)與業(yè)務(wù)團(tuán)隊(duì)、法務(wù)團(tuán)隊(duì)等密切的合作。在這里,由于大家的立場(chǎng)、專長不同,更需要安全行業(yè)的從業(yè)者們,有換位思考的主動(dòng)意識(shí)。深入到業(yè)務(wù)中是說起來簡單做起來難的事情,除了提供制度、工具,還需要了解業(yè)務(wù)的邏輯、業(yè)務(wù)的技術(shù)特點(diǎn),才能更高效的提升安全落地的效率。

(本內(nèi)容屬于網(wǎng)絡(luò)轉(zhuǎn)載,文中涉及圖片等內(nèi)容如有侵權(quán),請(qǐng)聯(lián)系編輯刪除。市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣及投資依據(jù)。)

原創(chuàng)文章,作者:陳晨,如若轉(zhuǎn)載,請(qǐng)注明出處:http://m.2079x.cn/article/564531.html

陳晨陳晨管理團(tuán)隊(duì)

相關(guān)推薦