技術和服務，數據安全的兩個側面

丁海驁

“之前，經常會有客戶問我：到底要不要支付贖金？在去年之前，IBM給的建議往往是：支付贖金是企業自己的商務考量，因為支付贖金與否，主要是衡量勒索軟件對企業的影響到底有多大。但今年開始，IBM有了足夠的數據，因此我們現在為客戶提供的建議是：支付贖金的行為并不可取。”近日，IBM發布了2022年度的《數據泄漏成本報告》，報告顯示，目前全球數據泄露事件給企業和組織造成的損失、對經濟面造成的影響，已經達到了17年以來的最高記錄，單個數據泄露事件所造成的平均經濟損失已經高達435萬美元。IBM中國科技事業部網絡安全業務總經理馮靚強調：“基于強有力的數據調查結果，現在IBM 給客戶的建議是支付贖金并不可取，應該把大部分的工作以及投資花在避免數據泄漏事件發生以及一旦發生能夠快速恢復的措施上來。”

事實上，隨著整個社會數字化進展的持續加速，各種企業和各類組織都表現出對數據、信息越來越多的依賴——數字化在讓企業和組織的業務，變得更加靈活、更具有韌性和更高效率的同時，也令其面對的風險也隨著數字化程度的加深而不斷升高。

在馮靚看來，除了“支付贖金的行為不可取”以外，2022年度的《數據泄漏成本報告》的統計數據結果還顯示：有近80%的受訪關鍵性基礎設施組織尚未采用零信任安全策略，他們的數據泄露平均成本高達540萬美元，比已采用零信任策略的組織高出117萬美元；與此同時，云中安全也不成熟，其中在受訪組織中，有大約43%的企業和組織尚未開始在其跨云環境中部署安全措施，或者還處在早期部署階段，這些組織的數據泄露成本比已在跨云環境中部署了成熟安全措施的組織要高出66萬美元。與這兩項數據的結果相對應的是：數據顯示，部署了專注于安全的AI和自動化的組織，其數據泄露平均成本要低305萬美元。

“另外一個非常有意思的發現是：到目前為止，實際上造成數據泄漏最大的誘因，仍然是憑證被盜，或者是憑證受損（compromised）。也就是說，即便是這么多年我們對員工、對社會去宣傳密碼的重要性，你要不停地改你的密碼，以及有各種各樣的措施去保證你的密碼不會被盜，即便是這樣，密碼被盜仍然是數據泄漏誘因的第一名，一直以來都是第一名。所以這方面我們仍然需要不斷地幫助企業去應對和完善。”先進策略普及度不高，新興技術和工具部署不足，長期形成的習慣難以糾正……都使得企業數據安全問題成了一個相當“綜合性”的問題。而解決這樣綜合性問題的第一步，永遠都是技術——來自技術側的支持，往往是最直接，也是最值得信賴的。

那么，針對企業到底該如何保證自身數據安全，盡量降低數據泄露成本，馮靚首先提出了四個采用零信任策略的原則：嚴控特權訪問、從不信任、永遠驗證、假設有漏洞。

“因為這兩年疫情的影響，零信任的概念反而變得非常容易被大家理解了。”馮靚舉例說：所謂“零信任策略”就相當于在三年前，我們去機場乘機，不需要檢測體溫，也不需要驗證72小時核酸，更不用驗證有沒有打過疫苗。“那個時候準許大家進入，是基于信任的準入機制，相信進來的人是沒有威脅的。但是當外部環境改變了，有了傳染性極強的新冠病毒，那么要進入一個密集的公共區域，其安全策略就要調整成零信任策略：你必須證明你沒有病。零信任安全策略就是類似的邏輯：因為在今天的網絡安全環境下，威脅無處不在、無孔不入、如影隨形，所以我們在整個IT環境里面必須采取零信任的策略。”

除了零信任策略，馮靚還強調企業從流程和安全管理上，需要“加強演練”；從技術應用和架構上，“要用開放的架構來降低復雜性”。“其實我們很多安全措施都是比較零散的，或者是煙囪式的系統，中間只要有一點沒有被顧及到，就可能會出很大的紕漏。因此，使用開放和集成的安全方法，有助于連接起分散的云環境中的安全數據；而且開放技術也更利于構成緊密集成的安全平臺。”馮靚說。

而除了以上因素外，馮靚尤其強調了目前企業用戶對于安全面對的另外一個重大“挑戰”——人才。“安全的專業人才在中國是非常少的：在北美以及歐美發達的地區，整個IT預算在安全方面的投入占比大概是15%到20%；但是在中國，基本上是1%都不到，這也導致了安全人員的配備是很挑戰的。”人才的缺乏使得眾多的企業實際上雖然知道數據安全的重要性，也知道需要從技術上、戰略上需要補足更多的關鍵基礎設施的不足，但往往力不從心。即便是通過IT技術提供商部署了最新的技術，但后續所需的維護、升級等有專業門檻的工作，對于很多企業用戶而言挑戰都很大，都存在非常多的問題和隱患。所以從根本上說，企業的數據安全并非是單純的技術問題，很多時候，企業對于安全服務的需求，與對安全技術、安全理論和邏輯的需求，同樣迫切。

“在中國，源訊標志性的項目是奧運會，從2008年的奧運會到2022年的冬奧會，源訊都是作為整個IT系統集成商來提供服務。奧運會通常也是黑客的盛事，他們都想證明有能力攻陷全世界數十億人都在關注的賽事。從2014～2015年開始，源訊（Atos）就通過自己的工具和一些安全相應的腳本，去監測整個奧運會的安全運營。到了2017年，我們就開始把這樣的服務推廣到了企業當中，幫助那些跨國企業和大公司，把他們所有的企業資產、相關的日志、信息集成到安全運營中心（SOC）進行集中的管理和安全服務。”源訊（Atos）中國大數據與網絡安全事業部經理何成財反復強調，作為國際上知名的IT系統集成商和服務商，源訊（Atos）在網絡安全服務領域也在歐洲排名第一（Gartner排名），同時也被Gartner在2022年認證為托管服務全球排名第一的廠商。而以第三方服務的方式，為企業補足安全人才的不足，則是源訊（Atos）在安全領域的優勢之一。

2022年6月1日，源訊與IBM聯合宣布，在國內正式推出基于亞馬遜云科技中國云市場（Marketplace）的安全托管服務（Managed Security Service，MSS）——該服務依托源訊專業的安全運維服務經驗，并基于IBM Security QRadar XDR技術，幫助企業快速準確識別安全事件，全面開展調查并及時采取響應行動，從而有效地保護企業混合多元環境中的重要資產。

何成財認為，安全運營中心最核心的價值，在于解決企業用戶對于數據安全的幾大痛點問題：第一，就是解決安全運營人員不足的問題；第二，是會根據整個數據安全領域的發展態勢，不斷地去投入新的技術與應對環境的改變和黑客手段的升級；第三，能夠最大程度提高企業用戶在數據安全方面的投入產出比。

“國內的制造業、醫療行業，跨國公司在中國的分公司，他們管理的資產是非常重要的，但是安全人員的實力是不足的。在這種情況下，如果自己的企業給自己提供7×24小時全天候的安全風險監控和應急響應服務，其實是不太可能的。”何成財強調，源訊、IBM和亞馬遜云科技此次合作推出的安全運營中心（SOC）服務，實際上就是整合了三方的優勢資源：“IBM和源訊都是亞馬遜云科技的核心合作伙伴，我們三方推出基于IBM QRadar的安全SaaS服務之后，可以把很多亞馬遜云科技企業客戶的部分繁重、重復的安全運營工作，完全交到源訊專業的安全運營團隊。這樣一來，企業就不再需要去采購一套單獨的安全管理平臺或投入硬件、投入軟件去搭建自己的安全運營中心團隊。只需要把IT相關的資產接入 IBM和源訊的安全托管服務，就能得到量身定制的安全運營管理服務，享受到非常好的安全保護，從而可以把更多的精力投入到與核心業務相關的工作。”何成財說。

寫在最后

安全，是整個IT行業當中相當專業的技術領域，因此對于相當多的企業用戶而言，要想完全、充分地規劃、實施、部署和維護一個能夠與時俱進的安全架構，難度相當大。因此從某種程度上說，當技術+服務，以SaaS的方式提供給企業用戶時，其具有顯而易見的低門檻優勢，對于眾多缺少IT專業能力的企業而言，不失為是一個投入產出比最高的選擇。