一、背景
又到了一年中总结过往规划未来的季节,差不多5年的基础安全能力建设,网络安全进入深度运营区,如何做好明年的安全规划,是我思考最多的话题。
以往的规划也做过分享,是从分工专业化的角度,对公共能力建设与安全运营进行领域划分,着眼于如何做的角度,以麦肯锡MCME相互独立,完全穷尽的方式进行工作分解,围绕着业务场景的安全风险评估,以企业风险接受程度为限进行规划,指导预算申请,沟通以及项目建设。
以往的规划遵循了网络安全战略与业务战略一致性,并且从业务角度关注业务场景中的安全需求,并从价值驱动的视角,实现网络安全与公司战略和业务发展的一致性。针对数字化业务的典型特征,在传统网络安全的基础上,更加注重数字化作业平台的研发安全管理体系,实现安全左移能力建设。围绕企业安全之外的运营安全,产品安全,提出了跳开网络安全方法论,从数据的可复制性、流动性资产特征出发,建设全流程的数据安全跟踪溯源机制,跳出企业数据安全的局限,严控数据生态合作企业数据安全能力评估与监测,以监控和元数据分析为核心,重构数据安全底层逻辑的理念与实践。围绕着2C场景的用户数据保护,电信欺诈,业务欺诈以及黑灰产对抗,全面建设业务安全网关,实现业务安全的持续升级。
所以,过往的规划虽然在研发安全,数据安全,业务安全领域面对数字化挑战,积极创新,通过合作实现突破。但仍是一种独立于业务的网络安全规划,并没有从业务视角看网络安全规划。
在网络安全建设周期从全面建设的快速发展期进入稳定发展期,不妨从业务视角出发,重新审视网络安全的风险对业务战略的影响,查缺补漏,实现网络安全规划的新定义,指导网络安全工作的持续改进。
二、消费者保护网络安全支持
1、消费者个人信息保护:
作为消费者保护首要的因素是个人信息保护,个人信息保护是在《个人信息保护法》《数据安全法》合规框架下的安全建设能力,从业务个人信息影响分析(PIA)开始,在业务产品和系统设计阶段的基于隐私的设计(PBD)第三方国际组织和国内外标准均有涉及,业界具有最佳实践指南。只不过不同企业的产品周期以及相应能力存在巨大差异,执行的完整性和可靠性需要独立评估。
从合规监管的角度,移动互联网应用(APP)是监管的切入点,隐私政策和技术实现的脱节是检查的重点,为了实现应用跟踪与管理的运营能力而进行的终端数据采集的范围,频率,调用系统权限的需求,是监管的重点。另外,企业APP集成的第三方SDK,满足业务运营需求的同时,容易忽略其通过动态加载对用户隐私数据以及系统权限调用的监管。
以APP为合规监管的切入点是个双刃剑,对系统权限以及用户数据采集的限制,也制约了业务方防止用户在终端被第三方攻击,利用,欺诈的能力。如何通过公共用户基本能力的建设,为业务提供用户状态监控的能力,保障用户免受第三方侵害,是亟须解决的问题。
如果APP是用户个人信息保护的显性入口,是浮现在海面的冰山部分,业务系统的用户个人信息以及信息权益保护是整个冰山海面之下的部分。应用,API,数据库,大数据,转非结构化,第三方处理。场景涉及到数据的复制、流动的特征,经过的人,设备,系统,是否可以完整的追踪,并可以进行溯源,是进行泄漏事件分析的元数据,而元数据跟踪系统的建设依赖于强大的元数据采集能力与分析能力。这不是传统的单点API安全,数据库审计,数据库防火墙,终端、网络DLP,数据加解密,数据资产单独授权的产品和机制可以保障,需要系统化的数据安全全流程运营能力建设。
2、消费者权益保护
消费者权益保护是业务安全与用户安全交叉的核心部分,用户被欺诈,账号被假冒,权益被侵占,由于账号标签被歧视,区别对待,遭受不公正待遇,缺少救济渠道等都是消费者被侵害的典型场景。消费者权益的威胁方包括黑灰产的欺诈、攻击,业务方的规则漏洞以及运营人员错误决策。
用户被欺诈的典型场景包括用户被虚假营销短信,虚假APP,虚假客服,虚假私域营销人员,虚假权益保护方,虚假投诉平台进行欺诈。利用消费者的轻信导致消费者权益受到威胁。假冒业务方及其工作人员对业务方而言是个巨大的治理黑洞,单纯的企业力量难以获取,追踪全量的假冒者信息,而缺乏强制力支持也难以对发现的假冒方进行惩戒。整个治理既需要通过外部情报数据源建立监控跟踪机制,也需要与监管部门建立紧密合作关系,进行阻断,拦截,并及时对用户发布预警。
假冒用户欺诈业务系统的场景包括突破业务系统用户的认证鉴权机制,假冒用户操作更换通信方式,地址,金融账号绑定信息,以用户身份进行交易的行为,造成用户权益受损。因此,对用户终端行为的分析,对用户异常行为的分析,对用户异常行为的身份校验,对用户变更信息的校验,需要考虑多种补偿和监控措施,人脸SDK被Deepfake等CAN破解而造成的风险需要关注,避免因用户信息变更造成的用户权益损失。
错误的业务控制策略场景包括,用户画像,用户赋予业务标签,用户自动化决策等依赖错误数据,错误算法造成的用户权益受损。在人工智能日益强大的今天,错误业务控制策略和算法逐渐受到重视,信息错误的误判,会对用户权益造成重大损害。
同时,需要关注平台策略与决策的公平性和公正性问题,业务的算法规则不能利用业务平台的信息不对称而对消费者造成显失公平的歧视。这涉及到技术规制背景下的平台规制监管的话题,一般会从反垄断和消费者保护的角度进行分析,但目前相关研究和规制仍处于早期阶段,企业需要构建自身的严格管控机制,对技术规制的决策,需要上升到企业社会责任的高度,做到自我约束。
3、消费者救济
有效的消费者救济通道,是消费者与业务方彼此沟通,实现信息共享,从而实现公平公正的对话,纠错,补偿机制的办法。
消费者纠错不是单纯的满足消费者的需求,而是实现消费者和业务方的平等对话。业务方通过对消费者诉求的平等的分析和解读,给出合理的解决方案,有效保障双方合法合理权益。避免用户通过第三方利益的投诉平台造成的消费者权益进一步受损的风险。
从行业现状来看,具有盈利目的的第三方通过恶意的误导,伪造,舆论控制实现消费者控制和对业务方进行敲诈,成为横亘在消费者与业务方之间的顽疾。本因在于消费者缺少业务方提供的公平公正的高效救济渠道以及接受的信息对称的技术服务支持。
消费者保护的网络安全支持是围绕着用户为中心的用户与业务安全的核心能力建设和运营能力支持,通过外部数据源的威胁情报和内部消费者消费行为数据的综合分析,识别,溯源,分析消费者与业务方受损权益的攻击链,以及外部恶意第三方通过平台,攻击,信息的相关威胁,以网络安全风险分析和控制的策略为消费者权益保护提供技术支撑。
以网络安全方法论对消费者权益保护技术支持进行创新和突破,势必为企业和用户带来双赢。
三、海外业务的安全保障
出海是实现经济低迷状态改善的突破口,但海外业务的开展同时也带来网络安全的全剧管控挑战。有别于企业安全涉及到的海外分支机构,互联网性质的海外业务涉及到海外消费者相关的个人信息和业务合规需求,网络安全需要在保障业务安全的同时,符合业务所在地网络安全合规的需求,其能力建设涉及到的产品,运营涉及到的合规需求,均需要遵循本地化的法律法规。
1、网络安全合规
网络安全既是风险控制的实践也是合规管理的底线,遵循业务运营地本地化业务网络安全合规的要求,提供相应的信息,接受监管部门的检查和审查,提供相应的检查和审计报告,获得认可的第三方资质。安全能力建设的产品需要符合法律法规的标准与要求,运营的制度和规则满足风险和事件报告的要求。符合法律法规的要求,满足监管方的监管治理,是网络安全的本地化底线。
2、本地办公终端安全
本地化员工访问本地化运营系统以及集团办公系统,访问集团办公系统遵循集团统一安全政策的基础上考虑本地安全合规要求进行裁剪。使用的安全产品和策略符合本地安全需求的同时满足集团总部的安全要求。
3、本地化公有云业务系统安全
考虑本地消费者个人信息保护和权益保护,在本地个人信息和数据安全法律法规的基础上构建本地化业务运营基础设施。对以公有云为承载平台的业务系统,以IASS、PASS为边界与公有云厂商确定安全服务边界与安全责任标准,由公有云厂商保障底层网络安全。业务建设网络安全需要考虑公有云工作负载安全(CWPP)的相关能力建设,对云安全态势进行全面管理(CSPM),实现云原生应用保护能力(CNAPP)。
4、跨境API调用安全保障
考虑海外业务调用集团公共服务能力的需求,需要保障海外业务访问开放服务API的安全。以API网关实现海外业务与集团业务的隔离,在网络鉴权,应用鉴权,行为审计,内容审计,访问策略方面进行全面管控。具备威胁、攻击检测,预警,拦截,阻断,事件响应和处置能力,实现内容受控与业务隔离审计。
5、海外业务安全运营
针对海外业务用户与欺诈风险,在符合所在地法律的前提下,建立业务安全网关,实现恶意流量的发现,拦截与处置,为业务风险提供业务安全相关的数据支撑。
建立统一的海外业务安全运营平台,对海外业务云基础设施,应用,数据,业务的安全资产,脆弱性,威胁和风险与事件进行统一的管理。由于安全风险,控制措施,解决方案与安全产品的差异化,所需安全运营的技能和模式与集团体系不同,需要在集团统一安全运营体系保持海外业务安全运营的运营和团队独立性,同时也要从集团安全风险管理的角度,考虑风险的统一视图,实现安全建设和运营体系有机统一。
四、委外与供应链安全
数字化安全的生态特征决定了企业在关注传统企业安全的范畴之外,更加重视产品安全和运营安全,以及业务生态的非可控外部安全。
1、传统外包安全
职能和业务环节的外包是首要关注的环节,传统人员外包在纳入员工管理体系的基础上按照内部员工管理,可以控制相关风险。实现能力的项目外包,需要关注的是项目交付成果的产品安全,IT项目可以通过SSDL等研发过程安全管理体系进行约束,以及对产品的安全检测与深透测试保障交付物的安全。业务职能的外包涉及到业务运营环节的委外处理,相对独立的运营环节委外,主要关注数据转移的安全控制,可以纳入供应链安全管理审核环节处置。
2、共享作业系统委外安全
比较复杂的是业务职能的分层外包,即在共享作业系统前提下的职能外包。区别于内部员工受控的人员安全,终端安全,网络安全的受控工作环境,委外单位处于人员,终端,网络非受控的工作环境,带来人员,终端,网络层面的风险,从而影响业务系统安全以及带来业务欺诈相关风险。因此,如何建立共享作业系统委外的人员,终端,网络受控的安全体系,并能保障委外机构作业的独立性,自主性,不增加委外机构的额外成本和降低委外作业的性能,是解决方案的关键。
SLA的服务条款需要具备技术方案的检查,监控和审计,能够及时发现违反SLA条款的行为,并能及时预警和拦截,并为纠纷的处理提供溯源证据,是建立委外安全体系需要考虑的重点环节。
3、供应链安全
供应链安全体系的建设,包括事前的准入审查机制,对供应链的安全进行全面的形式或实质审查,确保供应链的安全体系符合合作的要求。并对供应链系统交互的安全控制包括应用鉴权,行为内容监控,数据安全控制措施,风险与事件预警响应进行方案确认与落实验证,确保事中的安全控制措施的有效性。在事后进行审计,并对风险和事件进行追溯和溯源,为SLA纠纷与奖惩提供依据。
安全网关所提供的在线的行为内容检测与分析,识别业务安全与数据安全的风险与事件,为预警和响应提供技术支持,为审计和事件处置提供依据,是典型的解决方案。但需要关注网关对性能和效率的影响,以及成本和效能的评估。涉及到旧有系统的改造还包含加密内容SSL卸载方案的整改和整合,是攻克供应链安全的重点与难点工程。
五、总结
以安全能力职能为中心的规划,可以明确分工,适合安全团队内部视角。以业务为视角适合进行业务与公司管理层沟通风险分布与成本分摊,更有利于推动达成共识,共同推动公司安全风险治理。安全的规划的维度可以多种多样,找到适合自己企业环境与适宜的阶段,作为管理层战略与业务部门沟通的基础,推动网络安全能力建设和运营体系的持续改进是核心目的。
