IDC武連峰:應(yīng)用數(shù)字安全免疫力理念,促進(jìn)企業(yè)在數(shù)字時(shí)代韌性發(fā)展

作者:IDC中國(guó)副總裁、首席分析師 武連峰

數(shù)字安全免疫力是一個(gè)企業(yè)針對(duì)各種數(shù)字安全威脅時(shí)的防御機(jī)制,與人體免疫力相似,企業(yè)數(shù)字安全免疫力包含兩類(lèi):企業(yè)安全文化意識(shí)與合規(guī)是先天性數(shù)字安全免疫力,今天任何一個(gè)企業(yè)在建數(shù)字化系統(tǒng)的時(shí)候,毫無(wú)疑問(wèn)會(huì)建設(shè)一些基本的安全能力,任何硬件、軟件、操作系統(tǒng)、數(shù)據(jù)庫(kù)本身會(huì)嵌入安全模塊,這些也可以屬于先天性數(shù)字安全免疫力;包括邊界安全、端點(diǎn)安全、應(yīng)用安全、安全運(yùn)營(yíng)和管理、數(shù)據(jù)安全治理以及業(yè)務(wù)風(fēng)險(xiǎn)控制在內(nèi)的六大模塊是后天適應(yīng)性數(shù)字安全免疫力。在風(fēng)險(xiǎn)、合規(guī)、事件和發(fā)展等因素驅(qū)動(dòng)下,企業(yè)從資產(chǎn)“心臟”出發(fā),構(gòu)筑多層“免疫屏障”,可實(shí)現(xiàn)韌性增長(zhǎng)。

本篇文章將首先闡述數(shù)字安全免疫力的內(nèi)涵并簡(jiǎn)要說(shuō)明模型的構(gòu)成,其次分析數(shù)字安全免疫力的價(jià)值所在,最后將談及企業(yè)如何筑牢數(shù)字安全免疫力促進(jìn)韌性發(fā)展。

數(shù)字化業(yè)務(wù)時(shí)代來(lái)臨,企業(yè)安全建設(shè)面臨多重挑戰(zhàn)

企業(yè)在數(shù)字化升級(jí)過(guò)程中面臨諸多挑戰(zhàn),這些挑戰(zhàn)既來(lái)自外部環(huán)境的變化,也涉及到內(nèi)部變革的復(fù)雜性。

外部環(huán)境來(lái)看,我們正處在一個(gè)重要的臨界點(diǎn),2022年,無(wú)論全球還是中國(guó),GDP總量的50%以上(中國(guó)約超60萬(wàn)億元人民幣)是基于數(shù)字化或受數(shù)字化影響的,中國(guó)2022-2026年數(shù)字化轉(zhuǎn)型總支出將達(dá)到2.38萬(wàn)億美元。這意味著,企業(yè)數(shù)字化發(fā)展正在從數(shù)字化轉(zhuǎn)型時(shí)代進(jìn)入到數(shù)字化業(yè)務(wù)時(shí)代,過(guò)去企業(yè)的核心是業(yè)務(wù)的數(shù)字化,現(xiàn)在的核心是數(shù)據(jù)的業(yè)務(wù)化,數(shù)據(jù)以及與其相關(guān)的網(wǎng)絡(luò)安全問(wèn)題變得更加重要。

數(shù)字化業(yè)務(wù)時(shí)代的來(lái)臨,數(shù)據(jù)變得越來(lái)越重要,遭受網(wǎng)絡(luò)攻擊的可能性也越來(lái)越大,安全事件層出不窮。例如,今年2月份中國(guó)有45億條快遞數(shù)據(jù)被泄露,3月份一家臺(tái)灣IT廠商被黑客盜取160GB數(shù)據(jù)。IDC數(shù)據(jù)顯示,早期企業(yè)遭勒索金額平均在100~200美元之間,而到2021年,此類(lèi)攻擊導(dǎo)致的經(jīng)濟(jì)損失已達(dá)到百萬(wàn)美元級(jí)別。

圖1 全球重大數(shù)據(jù)泄露事件概覽,2018-2022

(來(lái)源:IDC《加強(qiáng)企業(yè)數(shù)字安全免疫力,助力數(shù)字時(shí)代下的韌性發(fā)展白皮書(shū)》,2023)

與此同時(shí),監(jiān)管力度逐漸升級(jí)。從我國(guó)來(lái)看,過(guò)去幾年出臺(tái)了大量與網(wǎng)絡(luò)安全、保密、個(gè)人隱私安全相關(guān)的法律。從全球來(lái)看,歐盟在2018年出臺(tái)了了GDPR《通用數(shù)據(jù)保護(hù)條例》,美國(guó)也相繼推出了HIPPA、薩班斯、芯片法案等一系列法律文件,對(duì)與信息安全有關(guān)的諸多領(lǐng)域進(jìn)行了嚴(yán)格的法律約束。

從企業(yè)內(nèi)部層面來(lái)看,企業(yè)安全建設(shè)也面臨著三方面挑戰(zhàn):

在戰(zhàn)略、組織與人才層面,企業(yè)缺少對(duì)安全、合規(guī)價(jià)值的戰(zhàn)略認(rèn)知,因此對(duì)安全投入的評(píng)估不夠充分,對(duì)安全體系、團(tuán)隊(duì)的建設(shè)也沒(méi)有足夠的預(yù)期。在安全人才儲(chǔ)備上,企業(yè)普遍缺乏適應(yīng)新發(fā)展的專(zhuān)業(yè)化人才,甚至難以組織起體系化的安全人才團(tuán)隊(duì)。

在數(shù)字技術(shù)層面,云環(huán)境下的企業(yè)IT架構(gòu)有很多新的變化,AIGC等創(chuàng)新技術(shù)的應(yīng)用也讓企業(yè)整體的數(shù)字化始終處于優(yōu)化升級(jí)的過(guò)程中,需要建立和提升許多新的能力。在生產(chǎn)上,企業(yè)智能化生產(chǎn)環(huán)境在大量增加,生產(chǎn)設(shè)備基于物聯(lián)網(wǎng)的連接,自動(dòng)生成數(shù)據(jù)的規(guī)模和重要程度連續(xù)攀升。不少企業(yè)過(guò)往多年投入建設(shè)的老舊安全系統(tǒng),也越來(lái)越難以實(shí)施安全加固策略,加固和修復(fù)工作往往會(huì)無(wú)從下手。

在經(jīng)營(yíng)管理流程與安全能力銜接方面,新技術(shù)、新產(chǎn)品所構(gòu)建的平臺(tái)化創(chuàng)新體系使傳統(tǒng)的安全流程越來(lái)越缺乏適配性,大量企業(yè)未能應(yīng)用數(shù)字化、自動(dòng)化手段監(jiān)測(cè)安全動(dòng)態(tài)、洞察威脅隱患、實(shí)施風(fēng)險(xiǎn)管理以及快速應(yīng)對(duì)事件的發(fā)生,更難以根據(jù)事件反饋不斷優(yōu)化和調(diào)整安全策略。

IDC數(shù)據(jù)顯示,2022年,中國(guó)IT網(wǎng)絡(luò)安全整體市場(chǎng)在133億美金左右,到2026年預(yù)計(jì)增長(zhǎng)至288億美金,每年平均增長(zhǎng)近20%,增速位列全球第一。但從絕對(duì)值來(lái)看,中國(guó)企業(yè)的安全投入和美國(guó)與全球相比差距較大,中國(guó)各行業(yè)平均IT安全支出僅占ICT整體支出1.7%,而美國(guó)占比則平均為4.6%,全球?yàn)?.4%。所以,中國(guó)企業(yè)還需要持續(xù)投資安全。

基于企業(yè)數(shù)字安全免疫力模型,升級(jí)企業(yè)安全體系

為了更好地構(gòu)建安全能力,IDC與騰訊安全共同構(gòu)建數(shù)字安全免疫力模型。數(shù)字安全免疫力是企業(yè)面對(duì)各種數(shù)字安全威脅時(shí)的防御機(jī)制,包括先天性免疫力和適應(yīng)性免疫力。安全文化和意識(shí)是企業(yè)的先天性免疫力,如果企業(yè)的管理層、企業(yè)員工如果沒(méi)有安全意識(shí),企業(yè)花了再多的錢(qián),購(gòu)置了一堆硬件和軟件,但其實(shí)還是不安全的,所以整個(gè)安全意識(shí)非常關(guān)鍵。面向高度具體的攻擊所形成的防線是企業(yè)的適應(yīng)性免疫力,包含6大模塊:邊界安全、端點(diǎn)安全、應(yīng)用開(kāi)發(fā)安全、安全運(yùn)營(yíng)與管理、數(shù)據(jù)安全治理、業(yè)務(wù)風(fēng)險(xiǎn)控制。其中,安全運(yùn)營(yíng)與管理是核心中樞,將上下三層連接起來(lái);邊界安全、端點(diǎn)安全和應(yīng)用開(kāi)發(fā)安全是三個(gè)屏障;數(shù)據(jù)安全治理和業(yè)務(wù)風(fēng)險(xiǎn)控制是兩個(gè)堡壘。

(來(lái)源:IDC《加強(qiáng)企業(yè)數(shù)字安全免疫力,助力數(shù)字時(shí)代下的韌性發(fā)展白皮書(shū)》,2023)

與傳統(tǒng)的安全理念不同,數(shù)字安全免疫力更加強(qiáng)調(diào)前置投入,將安全要素融入至企業(yè)的戰(zhàn)略、管理、運(yùn)營(yíng)流程中,打通平臺(tái)、技術(shù)、能力等層面的壁壘,強(qiáng)調(diào)動(dòng)態(tài)、輕量、實(shí)時(shí)的反應(yīng)能力,可以一定程度上實(shí)現(xiàn)自主性地容錯(cuò)、糾錯(cuò)和升級(jí),最終達(dá)成安全與發(fā)展協(xié)同的目標(biāo):

首先,基于數(shù)字安全免疫力理念,全面提升企業(yè)抵御安全風(fēng)險(xiǎn)能力,構(gòu)筑企業(yè)數(shù)字化韌性:當(dāng)遇到突發(fā)事件如新冠疫情時(shí),企業(yè)的快速應(yīng)對(duì)能力和快速恢復(fù)能力,同時(shí)在風(fēng)險(xiǎn)過(guò)去之后企業(yè)找到新機(jī)會(huì)的能力,是我們所強(qiáng)調(diào)的企業(yè)數(shù)字化韌性。反過(guò)來(lái),當(dāng)安全事件大量出現(xiàn)時(shí),如何打造安全韌性也會(huì)變得極為關(guān)鍵。

其次,通過(guò)安全建設(shè)保障業(yè)務(wù)運(yùn)營(yíng)和創(chuàng)新,提升企業(yè)商業(yè)競(jìng)爭(zhēng)力:如果企業(yè)在構(gòu)筑數(shù)字安全免疫力時(shí)能夠做到適度精準(zhǔn),就能夠保障業(yè)務(wù)運(yùn)營(yíng)的同時(shí)持續(xù)創(chuàng)新,增加企業(yè)商業(yè)競(jìng)爭(zhēng)力。當(dāng)企業(yè)因出現(xiàn)安全問(wèn)題而造成損失時(shí),創(chuàng)新能力和韌性都會(huì)受到非常大的影響,因此底層安全是支撐企業(yè)未來(lái)可持續(xù)創(chuàng)新的動(dòng)力。

第三,聚焦供應(yīng)鏈安全建設(shè)和安全生態(tài)發(fā)展:企業(yè)在數(shù)字業(yè)務(wù)時(shí)代進(jìn)行創(chuàng)新的過(guò)程中會(huì)遇到更多的困難,所以如何利用生態(tài)進(jìn)行創(chuàng)新,就會(huì)變成企業(yè)的剛需。如果企業(yè)沒(méi)有安全保障,就很難在生態(tài)領(lǐng)域上形成更大的影響力。因此如何更好地通過(guò)數(shù)字安全免疫力來(lái)賦能生態(tài),提升企業(yè)的行業(yè)領(lǐng)導(dǎo)力變得很重要。

積極實(shí)踐,構(gòu)筑企業(yè)數(shù)字安全免疫力

不足的安全意識(shí),日新月異的技術(shù)發(fā)展,以及匱乏的安全運(yùn)營(yíng)能力,導(dǎo)致企業(yè)安全建設(shè)呈現(xiàn)出不充分、不完善、難推進(jìn)等特征。企業(yè)在發(fā)展自身安全體系、強(qiáng)化安全保障活動(dòng)時(shí),可以基于數(shù)字安全免疫力框架,統(tǒng)籌合規(guī)驅(qū)動(dòng)、事件驅(qū)動(dòng)、攻防驅(qū)動(dòng)、發(fā)展驅(qū)動(dòng)四大安全底層驅(qū)動(dòng)要素,將多重安全要素實(shí)現(xiàn)有機(jī)組合,形成面向當(dāng)前和未來(lái)的、動(dòng)態(tài)聯(lián)系的、可持續(xù)迭代的安全體系模型框架:

在文化與意識(shí)層面,建立上下一致的認(rèn)知,形成統(tǒng)一有序的行動(dòng);在邊界安全層面,夯實(shí)安全基礎(chǔ)防線,守護(hù)不斷擴(kuò)展的邊界;在端點(diǎn)安全層面,填補(bǔ)端點(diǎn)安全間隙,構(gòu)筑多形態(tài)環(huán)境安全;在應(yīng)用開(kāi)發(fā)安全層面,降低修復(fù)成本,推進(jìn)安全左移;在安全運(yùn)營(yíng)與管理層面,打造統(tǒng)一、可視、主動(dòng)、協(xié)同的安全運(yùn)營(yíng);在數(shù)據(jù)安全治理層面,打造企業(yè)數(shù)據(jù)生態(tài),加速合規(guī)數(shù)據(jù)價(jià)值釋放;在業(yè)務(wù)風(fēng)險(xiǎn)治理層面,健全風(fēng)險(xiǎn)管理體系,兼顧風(fēng)險(xiǎn)與效率平衡。

此外,企業(yè)應(yīng)定期“體檢”,掌握自身健康狀態(tài),提早發(fā)現(xiàn)并控制“疾病”;應(yīng)接種相應(yīng)“疫苗”,補(bǔ)充風(fēng)險(xiǎn)抵御能力;更重要的是,企業(yè)應(yīng)保持積極活躍“生活方式”,打造自上而下、自?xún)?nèi)而外的全面數(shù)字安全建設(shè)體系,為促進(jìn)企業(yè)整體發(fā)展帶來(lái)切實(shí)價(jià)值。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )