面对新的安全边界

尽管 2020 年发生了很多大事，但网络安全仍然占据各大媒体的头条位置。仅在 10 月份，美国网络安全与基础设施安全局就向各行业和企业发布了数条警报，相当于每天一次。美国证券交易监督委员会的负责人警告称，企业需要提高警惕，防范可能出现的攻击浪潮。

好消息是，许多企业都在关注这一问题。网络安全意识有了飞跃性的提升。最近一项调查发现，近 80% 的企业将网络安全列为他们最关注的五大问题之一，而 2017 年这一比例刚刚超过 60%。

但与此同时，就能否在实践中处理好网络安全问题而言，企业对自己的信心正在下降。原因其实不难理解：新的趋势和技术等同于源源不断的新威胁，迫使企业不断调节其能力以跟上形势。

从 2017 年至 2019 年，对网络弹性措施的信心下滑

来源: Marsh/Microsoft

到目前为止，过去几年中最大的变化在于企业试图保护的系统的性质。连接无处不在，使系统更容易被控制，并为不良分子打开了更多可能的切入点。受疫情推动，在家办公和在线活动的频率大大增加，凸显了连接的利弊。例如，最近针对美国技术高管群体开展的一项民意调查发现，89% 的组织已成为 COVID-19 相关恶意软件的攻击目标。

更重要的是，疫情以一种对安全造成负面影响的方式改变了人们的行为习惯。Thoughtworks 能力主管 Harinee Muralinath 说：“对于许多人而言，现在只能通过数字化方式进行社交。人们上网的频率更高，他们越来越频繁地在数字平台上开展社交活动，他们对当前的形势感到恐惧，因此面对‘点击诱饵’的时候肯定更容易上钩。疫情使人类惶惶不安，而利用这一点的智能化网络钓鱼攻击正在增加。”

由于威胁的增长速度不太可能放缓，唯一有效的应对措施是使安全保障方面出现可与之对抗的发展变化。需要随着企业边界以及威胁格局的变化拓展安全保障范围——这正是传统安全框架和现成解决方案所欠缺的能力。

Thoughtworks 网络安全负责人 Jim Gumbley 表示：“如果在开展安全保障工作时只是按图索骥，就不会推动产生必要的效果。这需要在文化上作出转变。”但是，组织应该从何处着手呢？

了解自己的薄弱之处

第一步是认识到威胁的性质已经发生了怎样的变化，并正视由于连接、数据和基于云的计算模型激增而产生的新的安全现实。

云计算

从内部服务器到基于云的架构的大规模迁移具有一些固有的安全优势。考虑到这是运作其商业模式的基础，主要云服务提供商在安全保障方面的投资力度以及对安全的重视程度都是很少有企业能够匹敌的。因此，任一云托管系统都有着极高的基础防御水平。

Thoughtworks 首席安全架构师 Robin Doherty 表示：“进驻云端肯定会有一个好处，那就是，各大云服务提供商都拥有几乎能够一直保护其硬件和网络的卓越能力，而你将因此而受益。”

问题是，一些企业认为将其资产交托云服务提供商就意味着安全得到了有效保障。最近针对亚太地区四个主要市场中活动的公司进行的一项研究发现，超过半数的公司认为所有安全保障基础设施要求都应由其云服务提供商负责满足，只有 40% 的公司明白安全是共同的责任。尽管事实上，正如 Doherty 指出的那样，大多云服务提供商都已明确界定了他们的职责范围——这“给他们的客户提供了很大的空间”来引入漏洞。

常见责任划分误区

来源: Frost & Sullivan/Forcepoint

关于云还有一个基本的技术要点，使它在某些方面具有更大风险。Gumbley 解释说：“如果你部署了一个内部网络，但未能正确配置，而且并非所有人都能访问，那么问题就只能到此为止了，因为存在一定程度的物理隔离。而云是为了连接到互联网而设计的，所以即使是很小的错误也可能波及甚广。” 

云意味着任一系统的有效防护强度都取决于其最薄弱的环节。正如 Thoughtworks 安全实践负责人 Neelu Tripathy 指出的那样，有时候，某些环节确实非常薄弱。

她说：“因为一切都是如此分散，如果你从攻击者的角度来看，追踪后端系统难度大大提升。攻击正在向外转移，矛头对准了个人。事实证明，社交工程、网络钓鱼等在很大程度上帮助攻击者迈出了入侵组织的第一步。”  

应用云计算的连接也是一把双刃剑，因为它使许多可形成公司助力的能力和资源也能被不良分子利用。

Muralinath 表示：“随着开源软件、具有高处理能力的云系统以及让脚本编写变得简单的语言的兴起，你不需要成为一个优秀的程序员就可以编写一个机器人，让它四处嗅探，测试一个系统有多脆弱。并且，如果你正在使用从互联网上获取的底层平台或容器，事实上有很多人已经这么做了，意味着这些工具带有已知的漏洞。一个更大的知识库也已经开放供攻击者使用。”

数据

随着云平台的崛起，消费者看待其数据的方式发生了翻天覆地的变化，这迫使公司开始考虑数据安全问题。

Doherty 表示：“公司越来越重视隐私，并不一定是因为与 10 年前相比，他们现在更关心自己的客户，而是因为社会、政府的态度以及管辖范围发生了变化。”

Doherty 指出，有些组织仍在沿用有潜在危险的习惯做法，例如在测试环境中使用客户信息，或通过 U 盘共享敏感数据，但这样的组织越来越少了。因此，在许多公司中，数据保护力度越来越大。但这并不能改变一个事实，即数据量呈指数级增长，并且在实现商业智能化过程中要用到数据，意味着数据成为了一个更大、更具诱惑力的靶子。

Gumbley 表示，应用人工智能和机器学习等基于数据的工具来推动商业决策，也可能引入新的风险维度。

他说：“想要拥有一种能够解释它们为什么作出了某项特定决策的人工智能系统，这是非常困难的。如果有人能够操纵这个系统，你甚至可能无法检测到问题，原因在于，首先，你根本不明白它为什么会作出决策。对于任一系统，要确保其安全，你需要了解它，但考虑到某些决策支持系统的部署方式，这可能是一个挑战。”

物联网

更多地应用物联网 (IoT) 使公司能够实现许多关键功能自动化，在某些情况下，甚至包括安全本身。但是，随着越来越多的接入设备被部署在生产流程的关键点上，或者与员工和客户的接触越来越密切，企业的受攻击面也在扩大。

Muralinath 说：“我甚至听说过温度计之类的设备被黑客入侵。仅这一点就足以让某人进入某个网络，并借机访问其他设备和数据。我们的连接是如此密切，而这一事实也使安全威胁呈增长态势。”

Tripathy 表示，尤其是当物联网安全成为管理医疗设施或基础设施等关键资产的系统构成要素时，它“变得至关重要，因其影响是直接的，而且是对身体的影响。”

不幸的是，Doherty 称：“很多物联网产品的安全性都很差。”比如出货时默认配置便有问题，或者一直使用初始密码，可能从未被优化或更新。

当越来越多人开始远程办公，并且个人设备和工作设备之间的界限已模糊不清时，这一点尤其令人担忧。例如，美国国家网络安全联盟的一项新研究表明，约三分之一的连接设备用户并没有时常费心去更改默认密码，而半数用户经常接入不安全的 WiFi 网络。

在制造商默认设置中更改连接设备密码设置的受访者

来源: NCSA

这就要求企业应该努力搭建“零信任”架构，意味着“你不会仅仅因为某些设备存在于你的网络中就信任这些设备，也不会仅仅因为某个系统是你创建的，就信任这个系统所做的一切，”Doherty 解释道。

复杂供应链

另一个常见薄弱之处在于，公司倾向于专注于自己的实践，而忽视或低估了日益错综复杂的供应商、生产和供应链网络所带来的风险。

许多情况下，员工可能并不知道有哪些不同的组织在支持他们所使用的系统。Gumbley 表示，在众多软件服务提供商、供应商和分销合作伙伴中，“只要链条中存在一个薄弱环节（即没有应用良好的软件安全标准的环节），问题就会浮出水面。” 

不幸的是，解决这个问题并没有真正的捷径。需要对服务协议以及合作伙伴所遵循的标准进行深入审查，以发现可能存在的不足。

Gumbley 说：“确保供应链全线均按照适用标准行事就像看着油漆变干，但它可以产生很大的影响。”

从安全策略到安全文化

技术、“零信任”架构和培训都可以帮助企业应对新出现的安全挑战，但在 Thoughtworks 专家看来，即使是最有能力的团队也只能期望构建部分安全网，并且偶尔的失败几乎是不可避免的。

与其专注于实现使组织坚不可摧这一不切实际的目标，企业领导者应该优先考虑改变对安全的看法。Muralinath 说：“保障安全方面，最大问题在于观念模式。”

首先要转变的观念是：保障安全是某个独立团队独自承担的责任。Doherty 说：“你不能再组建一个中央安全保障团队来充当‘看门人’的角色，决定什么可以投入生产，按照检查表，每六个月审查一次部署的内容，并告诉交付团队该做些什么。现在，人们一直在进行部署，而老派的控制方法已经不起作用了。”

Gumbley 表示同意：“孤立的、只以合规为导向的安全保障做法，将大量精力投注于硬件和防火墙——你可以称之为边边角角里的安全性——几乎只能算是一种戏剧表演或一块遮羞布，仅仅是为了向人们展示自己正在做一些事情。这让企业变得脆弱，很容易就被外界存在的各种风险卷走。”

更长远的方法是将保障安全定位为一种集体努力，在努力过程中，每个职能部门都会有一定损失，但也会发挥作用并拥有发言权。Gumbley 解释说：“要保障安全，必须基于多方视角。技术人员可能不了解某一组数据的特殊价值，但另一个团队却知道，因为他们专精于此，并长期与之打交道。与知道如何配置防火墙的人相比，法务部、人力资源部或企业的其他部门往往更清楚什么是利益攸关的大事，哪些方面可能会出现实际问题。”

Doherty 说：“企业可以通过部署安全团队的成员担任内部顾问来培养一种更具协作性的安全文化。在项目团队内部开展安全保障工作可以将防御机制嵌入整个开发过程，并避免采用“安全保障三明治”这类做法，即只在一个项目开始和结束时进行检查，这可能会带来惨痛的后果。

”安全保障三明治“

来源: Thoughtworks

他解释说：“在一个跨职能团队中增加一名安全人员，意味着你将在降低风险方面做得更好。你最终不会陷入这样一种局面——项目或需求随着时间推移而改变，而当项目流程接近尾声时，安全团队再次参与进来，然后发现了一堆问题。到那时候，你就不得不进行一次可怕的谈话，讨论是否需要推迟上线。”

Muralinath 表示，要让安全保障工作更加民主，可能涉及从细微处着手进行组织变革，以重塑控制和问责的平衡。这就要求在实施这一过程期间应得到高级管理层的支持，并在一定程度上扩展范围，让企业各级人员参与进来。

Muralinath 称：“像产品负责人这类更接近生产一线的员工，可能还不明白保障安全的责任现在也交到了他们的手中。很多时候，他们可能会一味拖延，说‘让我们先构建一个功能，我们把它弄出来，以后再考虑安全性。’这样的中层管理人员需要接受大量培训。” 

Tripathy 表示同意：“围绕安全保障技术进行教育并建立良好的安全意识是很重要的。要确切地告诉员工，对组织至关重要的是什么，哪些属于企业资产，哪些数据可以公开披露，哪些数据不可以。当新常态带有虚拟和社交属性，我们需要普遍培养员工，让他们能够进行批判性思考——不止是在编码的时候，更要在他们参与日常活动期间。”

应对人才短缺问题

通过集体力量建设安全保障能力，主要优势之一体现在可以帮助企业应对现实且紧迫的网络安全人才短缺问题。 

全球 IT 治理协会 ISACA 的调查数据显示，超过 60% 的组织认为他们的网络安全团队人手不足，66% 的组织发现很难留住网络安全人员，主要原因是他们经常被挖走。

2020 年网络安全状况

来源: ISACA

虽然网络安全专家始终都是必不可少的，但 Muralinath 指出：“当你孤立地思考安全保障这一课题，就会出现问题。你需要在现有的团队中培养人才，使他们了解自己需要做哪些超出了当前职责范围的事情以确保将安全工作落到实处。你应该增加的不是安全专家的数量，而是在作为某个小组一员的同时还负责开展安全工作的开发人员或其他人员的数量，这样你就有组织地扩大了安全空间。”

Doherty 表示赞同：“在 Thoughtworks 我们确实有这样的体会，有相当一部分员工，他们的工作职责可能并未涉及安全方面。但他们非常关心安全，并希望提高自己的安全保障能力。如果你能找出这样的员工，并让他们在改革过程中发挥作用，那将是非常有益的。 

Gumbley 说：“如果招不到你需要的优秀人才，那就亲自培养。就像过去的 DevOps 一样，现在围绕安全已形成了一个庞大的社群，拥有各种资源和机会进行合作和学习。它比我有生之年的任何时候都更加多样化、更令人兴奋、更富有创新性。安全不再是一个枯燥的话题。”

衡量绩效的新标准

Doherty 认为，自上而下地发布命令或推行控制措施将无法培养出公司应该追求达成的安全保障共识。他说：“必须培养行为习惯并制定规范，而要做到这一点，仅靠最高层管理人员告诉众人‘这些就是规则’是没有太大帮助的。他们必须腾出空间，而且必须调整激励机制。”

具体来说，需要对激励机制作出改变，从而表明开展安全工作的最终目标与组织中的其他职能工作目标没有区别，那就是创造价值。 Doherty 解释道：“我经常听到产品负责人谈论需要创造用户价值，很少提到安全工作。但保障安全就是保护用户价值，降低风险就意味着增加预期价值。” 

在许多组织中，对安全绩效的衡量标准反映了这样一种看法，即保障安全只是一种控制机制或权宜之计，而不是一种价值贡献。Doherty 说：“安全工作 KPI 的设计往往非常糟糕。如果你要求人们减少事故数量，他们有一个简单的方法来做到这一点——只需要不告诉你到底发生了什么。这意味着情况永远不会随时间推移而好转。”

同样，如果仅仅激励安全团队以降低风险为目标，他们往往会与组织内其他部门，特别是交付团队产生矛盾，因为通常都会推动交付团队尽快发布成果。

Gumbley 认为，说到解决办法，仍然是让风险成为衡量每个人工作的“试金石”。他表示：“围绕风险管理确定的最佳实践办法就是问题的解决方案。可能是创建一份风险登记单——一组按优先处理级别列出的风险，要围绕这些风险协调整个企业各方面的工作。重要的是，应由企业而非安全团队来管理和把控这些风险。”

同时，Muralinath 认为应该围绕检测到漏洞的位置和时间点构建更多指标。她问：“你过了多久才发现缺陷——是在早期开发过程中，还是在生产过程中？你的流水线应该被设置为，如果某些类型的测试失败了，你的构建工作就不会继续进行并进入某种特定环境中。你真正要衡量的是这些计划的有效性，以及你的团队所达到的知识和认识水平。”

当不可避免的事已发生

无论怎样对安全性进行评估和鼓励开展安全保障工作，几乎可以肯定的是，每个企业最终都不得不面对某种事故或漏洞。然而，如果企业已经做好了 Gumbley 所说的“起始步骤——计划、实践和准备”相关工作，就没有必要将之与灾难划上等号。 

他说：“如果你没有做好准备，你就没有机会。先假设你的防护层会被攻破，然后仔细想想在这种情况下你会联系谁，无论是寻求法律支持、数据保护还是技术支援，这么做是值得的。

Tripathy 说，万一发生事故，当务之急应该是识别并处理漏洞。“如果软件因为版本过旧而被利用，那就升级软件；或者，如果是在后端暴露了某个数据库，就关闭网络边界。” 但紧接着要“走出去并通知你的客户——并保持相关信息‘透明’。”

Muralinath 表示同意：“如果你的客户信息受到了影响，最好的办法就是直接公开并予以披露。重要的是，你要足够了解（入侵）的深度，以便能够准确地披露它，并就接下来发生的事情采取具体步骤。你需要在提供有关问题的信息同时给出解决方案，这样你就不仅仅是让客户意识到发生了问题，同时也是在建立信任。”

一旦尘埃落定，进行事后反思可以将事故变成学习的机会，但不应陷入一味追责的境地。正如 Tripathy 指出，大多数事故发生“不仅仅是因为某一层被攻破，通常是多层都存在配置错误。”这使得我们很难归咎于某个人或故障点。

Gumbley 表示赞同：“即使是对于未遂事故，你也必须做一些回顾性的工作。但归根结底，归责并不能帮助你防止下一次事故的发生。入侵情况是如此复杂，总是有多种原因，而且现在许多系统都是由不同组织和劳工体系所组成的多个供应商拼凑而成，这可能是一个真正的雷区。”

精益安全循环

来源: Thoughtworks

Doherty 说：“最重要的是要从小型事故中吸取教训。当你追求进步时，会出现一种诱惑，就是只顾埋头往前跑，但抵制这种诱惑是很重要的。承认你犯了错，幸运的是，这次你没有登上新闻头版头条，但稍有差池，可能就不一样了。当分配安全责任时，每个人都需要意识到这些发展。你应该分享的不仅仅是信息，还应该告诉人们事情是如何发生的，让人们能联系到自身，看到哪些方面没有做对就会让自己陷入同样的境地。”

结论：未雨绸缪

今年的状况很好地提醒了我们：没有企业能够预测潜伏在前路上的风险或安全威胁。但 Gumbley 认为，这不能成为企业不试着为 2021 年做计划的理由。

他说：“你应该不断地探测、集思广益并设法发现潜在的威胁，衡量它们可能造成的影响或风险有多大，如果足够严重，你就要采取行动。“（勒索软件攻击）WannaCry 就是一个很好的例子——有长达六个月的‘宽限期’，组织可以提前感知它的到来，然后对他们的一些服务器漏洞进行修补。你总是能完美预见到即将发生的事情吗？不可能。但是，除了被动地等待，你还能做得更好吗？绝对可以。”

自动化，特别是采用了基础设施即代码的形式，以及在测试、威胁检测和报警等领域实现自动化，具有巨大的潜力来帮助企业通过加速流程和减少人为错误实例以提高安全性。 

但 Thoughtworks 专家告诫：不要急于投资最新的人工智能安全解决方案。Doherty 说：“你很容易陷入一种思维定式——你需要人工智能来解决某个问题，因为听起来它会是某种灵丹妙药。但事实并非如此，而且在大多数情况下，企业在开始担心之前，可以做更多的事情来了解自己的系统中发生了什么。”

Tripathy 说：“如果你在一个系统中定义了你可以识别和测量的参数，就可以利用人工智能，但这也取决于实际的利害关系。总有一些事情最好是由人工完成。保障安全应遵循的一个基本原则是，你投入的控制成本不能高于你要保护的企业资产的价值。”

虽然风险继续上升，但专家们也看到在保障企业安全方面，未来还有很大的进步空间，并且前景光明，因为越来越多的组织在尝试采取有前瞻性、甚至富有创造性的措施。 

Muralinath 表示：“我确实看到人们在保障安全方面投入了更多，而且抛开其他一切不谈，高层管理人员的确非常关注安全问题，这意味着，如果你在做安全咨询，他们愿意倾听。

Tripathy 指出，实施“漏洞赏金”计划，即公司奖励发现问题或漏洞的第三方，作为一个实例很好地展示了人们在安全实践方面如何开始推陈出新。

她说：“各组织开始意识到，他们可能没有足够的资源来感知所有被引入的攻击或其应用程序中潜藏的问题。当你是局内人时，你的思维中会存在很多假设，所以外部的观点可以向你展示一些非常不同的东西。听取多方观点当然需要谨慎，但这是关注安全的一种非常聪明的方式，使我对未来的发展持乐观态度。”

诸如此类的趋势强调了这样一个理论：当涉及到加强对新出现的威胁的防御时，努力拓宽视野可能会使企业获益最多。

Doherty 解释说：“控制措施固然很好，但仍有很多人在决策过程中不考虑安全问题。重要的是要培养评估总体风险的能力，而不仅仅是安全风险。这是一件困难的事情，因为作为一个人或一名技术专家，你需要担心的事情范围已经扩大，我们每个人都有越来越多的事情需要内化并相应承担一些责任。但是，这种理解的力量无论怎样强调都不为过。”