順豐科技譚林談物流企業(yè)安全建設(shè):實戰(zhàn)是檢驗防護能力的唯一標準

  • 人閱讀
  • 2023-01-05 16:38:05

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

本網(wǎng)頁只做排版使用 一鍵復制內(nèi)容順豐科技譚林談物流企業(yè)安全建設(shè):實戰(zhàn)是檢驗防護能力的唯一標準

在物聯(lián)網(wǎng)等新技術(shù)快速發(fā)展的環(huán)境下,數(shù)字化工具給物流活動開展提供了支持,物流信息網(wǎng)絡(luò)系統(tǒng)也促進現(xiàn)代物流行業(yè)發(fā)展。然而,數(shù)字化如同一把“雙刃劍”,在給物流企業(yè)創(chuàng)造效益的同時,也會引發(fā)一些潛在的安全問題。

在騰訊安全策劃的《CSO面對面》訪談欄目,邀請到順豐科技網(wǎng)絡(luò)安全負責人譚林,以物流行業(yè)的安全防護為例,分享物流企業(yè)面臨的網(wǎng)絡(luò)信息安全建設(shè)問題及解決對策。

譚林,順豐科技網(wǎng)絡(luò)安全負責人,負責基礎(chǔ)設(shè)施安全、SDL應(yīng)用安全、安全運營和安全產(chǎn)品等工作。擁有豐富的企業(yè)安全規(guī)劃、建設(shè)和運營實踐經(jīng)驗,熟悉國內(nèi)外主流安全架構(gòu)、產(chǎn)品和技術(shù),是實戰(zhàn)檢驗安全能力的踐行者。

譚林先生在公司內(nèi)部倡導先進的安全技術(shù)與理念,建設(shè)了物流行業(yè)特色的安全防護體系,同時與包括騰訊在內(nèi)的業(yè)內(nèi)優(yōu)秀公司共同探索前沿的安全解決方案。作為行業(yè)內(nèi)的專家,也為引領(lǐng)行業(yè)趨勢、融通行業(yè)信息、推動行業(yè)變革與發(fā)展做出了貢獻。

以下為本期《CSO面對面》文字實錄。

關(guān)于順豐的安全建設(shè)經(jīng)驗談

Q1:當前物流企業(yè)已經(jīng)成為國民經(jīng)濟重要的基礎(chǔ)設(shè)施,幾家頭部物流集團均擁有復雜的數(shù)字化版圖,應(yīng)用數(shù)字化產(chǎn)品的主要場景有哪些?

譚林:數(shù)字化已經(jīng)覆蓋物流業(yè)務(wù)的方方面面,包括用戶訂單管理,包裹攬收,倉儲管理,自動化貨物分揀,以及車輛運輸?shù)囊?guī)劃和調(diào)度等等。數(shù)字化幫助物流業(yè)務(wù)實現(xiàn)了業(yè)務(wù)流程的實時、在線、自動化和智能化,打通了各個系統(tǒng)和平臺之間的融合與互通。數(shù)字化極大的促進了物流企業(yè)的運營效率和用戶體驗的提升,也帶來了模式創(chuàng)新。

實際上,效率是物流企業(yè)最重要的關(guān)注點。數(shù)字化創(chuàng)新能力的建設(shè),正在成為物流企業(yè)提升企業(yè)運營效率、打通運營阻塞點的必備工具。更長遠看,是否能夠依靠數(shù)字化建設(shè)核心競爭力,是否能夠堅持通過數(shù)字化提升全流程的效率和效能,將會是物流企業(yè)能否更好支撐國民經(jīng)濟提速的關(guān)鍵抓手之一。

Q2:就您的經(jīng)驗來看,物流企業(yè)、電商等新興行業(yè)的安全風險暴露面主要有哪些?

譚林:物流和電商等新興行業(yè)是聯(lián)接人與物之間的紐帶和平臺,在業(yè)務(wù)開展中會接觸和處理大量的個人數(shù)據(jù),這些數(shù)據(jù)是黑客的重要目標。個人隱私數(shù)據(jù)保護,是企業(yè)必須做好的,也是國家在法律法規(guī)、行業(yè)規(guī)定等多方面重點關(guān)注的方向。一方面,要基于《網(wǎng)絡(luò)安全法》和《個人信息保護法》等法律法規(guī)加強監(jiān)管與威懾,加大對違法企業(yè)與個人的懲治力度;另一方面更加關(guān)鍵的是,要在企業(yè)數(shù)字化流程本身去想辦法,用數(shù)字化工具和安全工具去消除漏洞,通過機制和策略降低人為泄露風險。

此外,物流和電商行業(yè)在業(yè)務(wù)開展中流程復雜工序多,既有線上也有線下環(huán)境,因此,物流行業(yè)的風險暴露面比傳統(tǒng)線下行業(yè)更廣,包括在線的訂單運單管理系統(tǒng),收派作業(yè)系統(tǒng),以及分布在全國的各個中轉(zhuǎn)場、倉儲和集散點,也包括支撐業(yè)務(wù)運轉(zhuǎn)的自動化分揀設(shè)備和眾多IoT設(shè)備。在這個過程中,物聯(lián)網(wǎng)安全相關(guān)的技術(shù)也可以在物流場景中得到很好的運用。

Q3:以順豐為例,在復雜的信息化需求和安全需求下,如何建立一整套能夠統(tǒng)籌兼顧盡可能多業(yè)務(wù)板塊、有效處置所有潛在安全風險的防御設(shè)施?最核心點在哪里?

譚林:順豐是綜合物流領(lǐng)域安全技術(shù)引領(lǐng)者,作為獨立第三方物流公司,捍衛(wèi)產(chǎn)業(yè)生態(tài)和用戶數(shù)據(jù)是我們的職責。在確保內(nèi)外部安全合規(guī)的基礎(chǔ)上,實現(xiàn)安全與效率的平衡,兼顧安全與用戶體驗是我們安全體系建設(shè)中的重要考量因素。

在安全風險防御和處置中我們重點關(guān)注三個方面:

一是精準,對安全風險分析判斷的準確率是核心要求。物流行業(yè)與上下游業(yè)務(wù)的交互非常復雜,這要求安全在處置風險的時候不能誤傷,我們需要考慮應(yīng)用系統(tǒng)是否使用CDN,來自哪些合作伙伴,以及應(yīng)用對時延的敏感度等因素。

二是快速,速度是安全攻防對抗的核心能力,我們對安全事件的檢測和處置時效(MTTD和MTTR)是分鐘級的。如何快速檢測和預判威脅,在威脅沒有產(chǎn)生影響的時候提前處置,如何在處置海量惡意IP的時候沒有遺漏,對產(chǎn)品和方案成熟度要求極高。

三是智能協(xié)同,能夠靈活與網(wǎng)絡(luò)、DNS、終端、賬號和郵件等周邊基礎(chǔ)設(shè)施聯(lián)動,實現(xiàn)情報互通和共享,才能在安全防御中應(yīng)對各種潛在的風險場景,這是對安全防御體系的開放性和智能化的考驗。

Q4:您覺得市面上互聯(lián)網(wǎng)公司的技術(shù)發(fā)展對大型企業(yè)的安全建設(shè)有怎樣的影響或者幫助?能否舉幾個例子?

譚林:互聯(lián)網(wǎng)公司基于自身業(yè)務(wù)發(fā)展的需要積累了大量的安全建設(shè)經(jīng)驗和能力,互聯(lián)網(wǎng)公司具有較高的產(chǎn)品化和工程化能力,這些產(chǎn)品和技能來自于真實業(yè)務(wù)場景,且得到實戰(zhàn)驗證,對企業(yè)會有很好的幫助。比如:

互聯(lián)網(wǎng)公司在實戰(zhàn)中儲備了豐富的攻防知識庫,他們有強大的安全團隊從事漏洞利用分析、技戰(zhàn)術(shù)研究方面的工作,并且在業(yè)務(wù)開展中與黑產(chǎn)黑客的對抗中,得到持續(xù)優(yōu)化和提升。這些知識庫是檢測分析類產(chǎn)品的核心能力,一般企業(yè)很難有這么多資源投入和這么豐富的場景。

同時,互聯(lián)網(wǎng)公司關(guān)注用戶體驗,如何在海量的攻擊中精準防御,減少業(yè)務(wù)影響是互聯(lián)網(wǎng)公司天生就需要解決的問題。在大型企業(yè)數(shù)字化轉(zhuǎn)型的安全建設(shè)中,這一點將會越來越重要。

順豐科技具備物流和科技屬性,網(wǎng)絡(luò)安全借助公司的大數(shù)據(jù)AI能力進行攻擊者畫像方面的探索,同時也與包括騰訊在內(nèi)的互聯(lián)網(wǎng)公司進行攻防情報和產(chǎn)品方面的合作。

Q5:您覺得您個人在企業(yè)中推進安全建設(shè),發(fā)揮了哪些“先行者”的作用,具體涉及哪些安全技術(shù)/理念的應(yīng)用?

譚林:順豐在數(shù)智化物流方面的領(lǐng)先地位和經(jīng)驗基礎(chǔ),決定了在安全上的部署和戰(zhàn)略前瞻性。公司的安全建設(shè)離不開過往一步一步的積累,我們是最早開展個人隱私數(shù)據(jù)保護的物流公司。在近幾年的安全建設(shè)中我們更多從解決安全風險的實際需求出發(fā),堅持做了幾件事情:

一是實戰(zhàn)檢驗,堅持紅藍演練以攻促防,我們有個slogan:實戰(zhàn)是檢驗防護能力的唯一標準。安全建設(shè)是為了解決具體的業(yè)務(wù)痛點,安全建設(shè)的能力、工具和流程需要通過紅藍演練來進行實戰(zhàn)驗證,并堅持復盤和跟蹤整改。

二是自動化,安全暴露面的梳理,安全風險的檢測分析以及事件響應(yīng)都需要投入大量的人力和時間,尤其是安全工具覆蓋率提升以后,如何提升效率是我們持續(xù)追求的。通過自動化建設(shè)我們的自動化檢測能力處于行業(yè)領(lǐng)先水平,如我們安全事件工單96%以上實現(xiàn)了自動化檢測和響應(yīng),SDL安全檢測通過自動化提升CI/CD效率,漏洞檢測98%以上達到自動化。

三是數(shù)據(jù)驅(qū)動:通過數(shù)據(jù)驅(qū)動安全運營,安全工作要見成效必須重視安全運營。首先,通過安全運營來度量安全能力和水位。在安全運營中,資產(chǎn)定位率、安全工具和能力覆蓋率、檢測率和誤報率和時效都需要通過數(shù)據(jù)來衡量。同時,數(shù)據(jù)是安全檢測和分析的基礎(chǔ),有了數(shù)據(jù)才能提升看見的能力,盡可能獲取豐富和高質(zhì)量的網(wǎng)絡(luò)流量、進程調(diào)用和訪問行為數(shù)據(jù)才能為安全檢測和分析提供決策依據(jù)。

Q6:貴公司對于安全在全場景下的應(yīng)用效率是非常關(guān)注的,我們知道騰訊和您這邊有一些安全界面的合作,想了解下您是出于具體什么背景做相關(guān)場景的部署考慮,在此環(huán)節(jié)上您最為關(guān)注的是什么?

譚林:騰訊非常重視安全研究、安全工程化和安全服務(wù)方面的投入,騰訊安全在攻防兩端都擁有非常強的實力。這與我們倡導的實戰(zhàn)攻防能力建設(shè)是非常匹配的,實戰(zhàn)能力提升關(guān)鍵在安全運營的智能化。

我們每天面臨上千萬的攻擊流量,如何提升威脅檢測和處置的工作效率,保障檢測和處置的準確性,減少漏報避免誤報,需要我們有一套智能的檢測處置流程及工具?;谶@個背景,我們和騰訊安全開展了安全運營方面的合作,探索預測、防御、檢測和響應(yīng)的自動化閉環(huán),構(gòu)建攻擊面管理(事前)、情報賦能檢測(事中)、情報支撐響應(yīng)(事后)的智能化安全運營體系,解決安全運營流程中人人、人機協(xié)同的問題,降低安全運營中投入的人力成本。

關(guān)于行業(yè)安全理念與建設(shè)

Q7:大型物流企業(yè)數(shù)字化過程中,有哪些比較普遍的安全痛點和安全風險?

譚林:物流是人員密集型行業(yè),人員多流動性大,人是最薄弱環(huán)節(jié),與之相關(guān)的賬號安全,社工釣魚風險比較普遍;

其次,暴露面廣,物流業(yè)務(wù)的流程復雜,IT系統(tǒng)對接和關(guān)聯(lián)的上下游眾多,除了有集中在云端的互聯(lián)網(wǎng)系統(tǒng)還有分布在全國各地的物聯(lián)網(wǎng)和終端設(shè)備;

另外,物流已經(jīng)是老百姓生活的一部分,需要我們在安全建設(shè)中盡可能的降低或避免因為安全問題帶來的系統(tǒng)穩(wěn)定性風險。

Q8:物流企業(yè)是涉及到很多相關(guān)產(chǎn)業(yè)的中樞,自身也有很多想象空間,您認為物流企業(yè)應(yīng)當如何做好面向未來的安全建設(shè)部署與準備?

譚林:物流在我們的日常生活中越來越重要,物流企業(yè)的安全建設(shè)需要腳踏實地更需要與時俱進。

1、不斷提升攻防技戰(zhàn)術(shù)的研究能力,特別是數(shù)據(jù)安全保護能力,從自身業(yè)務(wù)開展情況結(jié)合國家和行業(yè)對數(shù)據(jù)安全保護的要求,聯(lián)合行業(yè)優(yōu)秀的解決方案和產(chǎn)品,保護用戶和業(yè)務(wù)數(shù)據(jù)安全;

2、建立物流行業(yè)內(nèi)和行業(yè)上下游的聯(lián)防聯(lián)控機制,物流企業(yè)安全工作不應(yīng)該局限于行業(yè)內(nèi)更不能閉門造車。物流和電商、互聯(lián)網(wǎng)、交通以及金融、高科技等行業(yè)都有很多交互和關(guān)聯(lián),物流企業(yè)可以和這些行業(yè)聯(lián)動,包括情報互通,事件處置協(xié)同等,通過行業(yè)聯(lián)合對抗黑灰產(chǎn);

3、面向?qū)崙?zhàn),做好應(yīng)對APT高級威脅的準備。隨著行業(yè)發(fā)展,物流成為基礎(chǔ)設(shè)施,我們要積極建設(shè)主動防御能力,擴大未知威脅檢測防御的邊界,利用威脅情報,安全AI技術(shù),結(jié)合攻防演練持續(xù)提升實戰(zhàn)對抗能力。

欄目簡介

當前,作為數(shù)字經(jīng)濟發(fā)展的“生命線”,網(wǎng)絡(luò)安全已滲透到國民經(jīng)濟的全領(lǐng)域、各層級,為產(chǎn)業(yè)數(shù)字化發(fā)展提供了堅實的基礎(chǔ)。在數(shù)字安全建設(shè)的洪流中,有一批敢為人先、勇于突破的探索者,他們的安全建設(shè)之路,對于各行業(yè)有著極高的參考價值和借鑒意義。因此,騰訊安全聯(lián)動雷鋒網(wǎng)、數(shù)世咨詢等媒體策劃「CSO面對面」欄目,旨在通過深度采訪數(shù)字化實踐中標桿企業(yè)CSO、CTO、安全負責人、數(shù)字化負責人等安全先行者,了解在其工作場景如何中部署建設(shè)安全體系,解決企業(yè)安全痛點,消除安全風險,為產(chǎn)業(yè)數(shù)字化的安全實踐提供參考和指引。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )