经济观察报 记者 宋笛 有没有这种可能:黑客通过对一个漏洞的攻击,让一座城市瘫痪?
从技术的角度,IBM大中华区科技事业部网络安全业务技术主管高爽给出了肯定的答案。
一座城市由IT系统和各种复杂的系统组成。疫情当中,一些曾处于封闭的系统被逐渐打开,各个系统通过网络变得日渐互联互通。这意味着,当一位缺乏风险意识的员工在电脑上进行一次不当操作,就有可能给蛰伏已久的黑客以可乘之机,让一座城市的运营陷入窘境。
尽管上述假设只是数字化安全风险的一个极端可能,然而疫情当中,由人、设备的广泛连接而带来的安全风险与日俱增,且越来越普遍。
“在2020年,我们看到针对工业物联网的攻击上升很快,工业控制系统相关漏洞数量增长了49%,在亚太地区,制造业已经成为最常受到攻击的行业;”IBM大中华区科技事业部网络安全业务主管冯靓说。
冯靓用了“无处不在、无孔不入、如影随形”这三个词语来形容目前网络安全威胁的情势。
在中国,这样的风险无疑是显著的。IBM在今年6月中曾经发布过一份有关“个人用户数据依赖和风险”的报告,调研发现,疫情中全球人均数字账号已经上升到15个——但对中国的互联网用户而言,人均15个数字账号可能在5年前就已成事实。
中国数字化的飞跃发展曾让一些互联网业内人士产生误判,认为在中国,靠牺牲部分数据隐私权来换取数字化的效率和便利是被允许的。然而,不断出台的数据和网络安全政策、法规证明,事实并非如此。今年6月份颁布、9月份就要实施的《中华人民共和国数据安全法》推动力度和速度超出了很多业内人士的预期。
在冯靓看来,上述一系列法律的出台是一个重要的转折点,意味着数据不再只是资产和收益,同时也伴随着风险和安全义务。这种收益成本模型的改变,让所有企业和组织在做数字化转型的商业决策时,必须把安全策略纳入顶层设计与数字化投资规划当中。
以下问答根据采访内容整理,部分词句进行调整:
经济观察网:疫情后,我们能看到数字化应用的深度和广度有一个非常大的变化,这种变化对于我们目前的网络安全市场,包括需求或者供给端,有没有带来一些什么样的影响?
冯靓:影响很大,我可以从两个方向来回答这个问题。首先,根据IBM最新发布的一项针对疫情期间全球个人的数字行为以及这些行为可能对网络安全造成的长期影响的调研报告。调研结果显示,受访者疫情期间人均创建15个新账户,其中82%为自己多个账户设置了相同密码。在疫情中以及疫情后,这些“坏习惯”可能会进入办公领域,给企业带来安全风险。
这是很重要的一个挑战,即人为因素的挑战。
另一方面,新基建、智慧城市、工业互联网等领域,都会涉及智能设备的连接。也就是说,除了人与人的网络连接,现在接入网络的设备已经大大超过了人的连接数量。这个新的挑战就是 “端点安全”的概念。
世界经济论坛(WEF)公布的数字显示,2018年全球连入互联网的设备数量是80亿,而到2030年,这个数字预计会达到1万亿。人口增长速度是有自然规律可循的,但是设备数量是以几何级数往上增长的,而且我们也无法预测设备数量会达到一个什么上限,这意味着网络攻击面正在急剧增大。
与此同时,对设备的攻击也在快速上升,比如2020年我们发现,针对工业物联网的攻击上升非常快。在全球范围内,针对制造业的攻击已经上升到全球第二位,仅次于金融。在亚太地区,制造业已经成为最经常受到攻击的一个行业。
制造业的端点是很脆弱的,所以大部分攻击都是采用了扫描和漏洞的方式。2020年至今,扫描和漏洞已经成为入侵手段的第一名,而以前多是针对人的钓鱼软件攻击。
从这两个维度可以看出,2020年以来,针对物联网、针对制造业的攻击大幅上升,此外,我们可以看到工业控制系统相关漏洞数量增长了49%,这是个非常令人担忧的数字。
所以,可以用三个词来形容我们今天所看到的网络安全情形,基本上就是“无处不在、无孔不入、如影随形”。
以前人们可能觉得我不上网就没事儿了,然而今天的情形是,威胁可以从任何一个地方渗入,然后一直跟着你。比如说,威胁可以从你家里的摄像头进入你的网络,然后攻击到连在同一个WiFi下面的一个工作电脑上,然后通过你的工作电脑再进入你的企业网络,这几乎是如影随形的。
经济观察网:从影响程度来说,通过对这些物联设备的攻击,是不是和以前仅对互联网的攻击有所变化?
冯靓:确实和以前的影响不一样了。以前我们提到网络安全,最受影响的行业可能是金融;但是最严重的情况,可能是银行账户里的钱不见了,或者大额的汇款诈骗等等,还未涉及“生死存亡”。而从去年到今年,我们可以看到,很多针对物联网的攻击,已经关系到国计民生了。
比如2020年9月份,德国有一家医院因为医疗设备受到攻击,造成整个医院停摆,期间有一个急救车送来的病人,因为无法得到及时救治而不幸去世。这是一个影响很大的事件,因为这是因为网络勒索软件而间接致人死亡的事件。另外,今年的3月,美国最大的石油管道公司也遭勒索,直接影响了美国民众的生活,美国政府也是首次因为网络安全事件而宣布全国进入紧急状态.
所以我认为,现在网络安全事件带来的影响比以往要恶劣很多,甚至已经上升到影响民众人身安全和社会正常运作的层面。
经济观察网:您刚才谈的是一个全球的现象,中国市场的特殊性在于之前我们的数字化渗透率本来就已经比较高了,就像您说的个人新增15个账户等等,这些在中国可能是很早之前的互联网用户就已经达到的状态了;在设备方面,智慧城市、物联网也有一轮建设的热潮,从这个角度出发,您觉得中国市场面临的安全威胁与海外有什么特殊性?
冯靓:我们跟踪过亚太区和中国的情况。中国确实有我们的特殊之处,比如我们的城市图像和视频信息非常全;我们的工业互联网也在快速推进,有一轮智能制造的浪潮,很多工厂都在推动无人工厂的建设,这些工厂里面有大量的传感器与网络连接。同时我们又是一个制造业大国,这就使得我们受攻击的风险面相对也比较大。疫情中,我们很多医疗机构、疫苗研发机构也受到了攻击。
网络和数据安全是一个全球性的挑战,中国很难独善其身。在网络安全面前,我们的世界确实是平的。
经济观察网:您从事这个领域很长时间,您感觉疫情后,比如说客户结构或者需求点有什么变化吗?
冯靓:疫情之后,我们看到企业客户在安全方面的需求正在呈爆发性增长,而且涉及各行各业。打进IBM中国数字销售中心热线来询问我们安全产品的客户激增,几乎涵盖了每一个行业,碰到的问题也是各种各样都有。医疗和制造业的客户需求尤其多,因为这些都是目前风险比较高的行业。例如,有一家顶级的医疗机构就来咨询过我们,他们碰到的问题是,疫情期间他们有公司高管受到了“鱼叉式”攻击。
我简单一下总结客户遇到新痛点和新需求。他们咨询最多的一个问题,第一是在远程办公的情况下,怎么去保证网络安全;第二是在数据和应用上云之后,怎么去保证云上数据和应用的安全;第三就是如何去保证客户的隐私、保证个人数据的安全;另外与此相关的一个问题就是如何应对来自内部的威胁,例如如何防备关键数据不被内部人员泄漏出去。
经济观察网:如您所说,是不是意味着很多此前并没有面临过网络、数字安全的行业、企业现在也开始面临这个威胁了?对于这些技术能力或者安全制度还不太完整的企业,是不是也要提供一些新的安全服务类型?
冯靓:这也是我们现在正在思考的问题。因为原来大家都认为类似于金融或者政府等大型机构才更需要网络安全,但现在看来,特别是在数据安全法正式实行后,数据和网络的安全可能是一件涉及到方方面面的事情,无论企业规模大小,都需要关注。
我举个最简单的例子,我去奶茶店点一杯奶茶,是要扫码支付的。有时候,你扫码的时候,它还要你同意授权获得你的一些个人信息,比如你的电话号码等。按照数据安全法和其它一些相关法规的要求,这个奶茶店就必须对它所收集的数据负上安全的责任。也就是说,它也必须要做数据安全和风险管理,这就会增加他的成本。所以从商业决策的角度看,这个奶茶店就要去衡量以后还要不要收集这些个人数据,因为掌握的数据越多,担负的责任就越多。
针对这些市场变化,我们也在考虑调整自己的产品和服务。原来我们可能主要针对大客户,要在他们公司建立安全运营中心(SOC),但今后我们可能会把很多安全技术能力以服务的形式放在云上,当客户需要相关服务的时候,可以针对自己的需求去购买其中一部分产品或服务。不仅是IBM,其实整个行业都会做出类似的调整。
另外,IBM在两个月发布了根据零信任原则而设计的常见用例蓝图,就是参考了全球客户的建议和反馈而制定的,目的是帮助企业用简单、实用的方法去部署、投资和落地符合自身需求的零信任安全架构。这些蓝图根据企业的安全痛点和需求设计了常用的业务场景,例如我上面提到的保护客户隐私、混合式远程办公、应对内部威胁、混合云环境下数据和应用安全等等。这些蓝图可以为各行各业的企业提供建立自身合规和安全能力的路线图,指导他们快速融入零信任架构,能够从容地应对日益严峻的安全挑战。
经济观察网:刚才我们聊了中小型企业的需求,在更大的层面上,我们似乎也遭遇了很多威胁,比如像美国能源公司今年遇到的那样,我的问题是随着智慧化的建设,黑客有没有可能通过一个漏洞让一座城市瘫痪?
高爽:在后疫情时代有一个比较大的趋势,很多看似原来比较封闭的一些环境,在逐渐把它的一些数字化资产开放了。
举个例子,比如原来有很多客户,他是政府机构或者是一些比较敏感的行业,它所有的系统的访问都是从内部发起的,但是因为疫情,这些机构为了保证正常工作,就要透过一些VPN的方式把它的网络打通,这就意味着通过英特网就可以去访问到原先访问不到的一些系统的数据了,这个是一个趋势。
另外还有一个趋势就是很多客户已经加速了云转型的进程,那也是由于疫情的原因,越来越多的一些系统数据也在上云,这也是一个趋势。
两个趋势意味着什么?从安全的角度来讲,就是它风险的暴露面变大了。尤其在一个城市运营的过程中,它不仅仅是一些IT的网络,还有各种复杂的一些网络,但是从数字化的角度来看的话,这些网络都是以某种形式互联互通的。
风险暴露面增加后,可能就是一个没有经过特别系统培训过的员工值守了一个比较重要的岗位,他一次无意点击了一个包含恶意代码的文件,就可有能把风险从自己的电脑连通到整个城市的运营网络,从而带来一些连带的效应,所以您刚才的假设是完全有可能的。
而且现在黑客组织手上的资源也是非常丰富的,他们也很有耐心,他可以潜伏很久的时间去针对某一个目标。所以对于整个城市运营来讲,你在提供了互联互通的这样一些便利性的同时,从安全的角度来讲也要投入更多。
经济观察网:《数据保护法》的出台会让很多企业意识到数据的使用,不仅是一个能带来收益的事,同时你也要支付成本,它是有两端的,如果从更长的周期来看,是否此前数年数字化的进程,就是更关注便利性、效率这些收益项,但对于安全这个成本项的关注是不足的?
冯靓:这确实是一个普遍的问题,之前我们也听到国内有业内人士说过中国人喜欢为了一些便利性而牺牲自己的隐私。过去我们在互联网方面确实是特别强的,但另一方面,我们在数据隐私保护上,也许并没有完全跟上互联网的速度。
现在这个情况在改变,比如数据安全法,我们行业之前都预测可能要到今年年底或者明年年初才会颁布,没想到今年9月就要实施了。
我们认为,安全是为业务快速发展保驾护航,而不仅仅是增加做生意的成本甚至影响效率,安全做到位,整个行业乃至整个社会才会更加健康、持续、快速的发展,效率只会更高。现在确实是到了一个更需要在效率和安全方面做平衡的时间点了。我们IBM有一个架构师,他提了一个很好的观点就是“安全是一场修行”,修行讲究“财、侣、法、地”,最重要还是要落在法规上,要遵纪守法才能健康前行,不能说感觉安全投入是个成本,看不到ROI,就不去投入。
经济观察网:网络安全它是一个全域的问题,目前比如说在行业的标准或者是整个行业的目前的情况来看,您觉得有一些什么事情是可以做、去进一步完善保护措施的?或者您有什么建议?
冯靓:回答您刚才问题,我们有什么样的措施,我还是回到我们网络安全的第一课。
第一课讲“PPT”,就是安全需要通过People (人)、Process(流程)、Technology(技术)三方面并举实施。这里首要的是需要有一整套的流程和规章,比如要首先做到数据分级分类保护、有检测威胁能力和应急响应措施等等。
企业最好能够有一个安全的整体规划,比如建立一个零信任的架构。 零信任并不是一个新词,在专业安全人员眼中,零信任是一种可用于实现整体安全应用现代化的框架,在持续变化的经营环境中能够应对各种风险。零信任原则对于今天网络安全所面临的挑战,显得尤为很重要。
IBM 的零信任蓝图,提倡三大原则:第一是跨数据、身份、终端、应用和基础设施,评估并发现风险,应用最小权限访问原则;第二是贯彻“从不信任,总是验证”的原则,无论是对应用、数据、APIs、终端,还是混合多云环境中的资源访问,均采用场景感知的方式去验证其合法性;第三是假定攻击和安全事件已经发生,识别威胁和自动化响应,及时终止攻击活动,动态调整安全访问策略。
在为数字化资产应用实施零信任原则时候,我们还有四个场景:保护客户隐私,保护混合多云环境,减少内部威胁的风险,以及确保远程工作场景的安全性。
经济观察网:对于一家企业,是否意味着网络安全不再是一个后置的问题,而是从企业第一天利用数据开始,就需要前置考虑的问题?
冯靓:这是很有必要的。一些企业的IT系统可能已经建了一二十年,这个时候再去买一堆安全工具,适用性就很差。所以,企业建立之初,就应该把安全作为你的版图考虑进去。
你的理想很大,比如15年后你希望达到一个目标,那从第一天起就应该去考虑风险在哪,怎么去做合规。也许开始的时候预算有限,只能去装一个防火墙,但是安全意识和措施一定要有,不能等到企业发展到一定规模,被攻击、或者是发生安全事件了,才去考虑安全的事情,那时候就很难挽回了,而且还会造成严重的经济损失。以数据泄露事件为例,IBM很快会发布新的年度数据泄露成本报告。根据去年发布的报告,数据泄漏事件平均每年给企业造成的损失平均达386万美元。
经济观察网:对于这种数据泄漏方面的安全经营风险,是否有一些保险公司能够提供相关保险业务?
冯靓:这个问题非常前沿,实际上在北美已经有相关的安全保险,亚太其它地区如新加坡也有保险公司已经在开展这个业务了。我认为保险是应对风险的一种被动防御手段,买了保险并不表示可以高枕无忧,更加积极的策略应当是积极做好事先保护和防御,切实降低安全事件发生的机率。这就类似于我们买了医疗保险并不意味着可以忽视平时的身体健康,还是需要积极主动的防护,尽量不要用到保险。
在国内,今年我们也在跟一些保险公司做讨论,如何推出这样一个险种。但对客户而言,就和医疗险一样,能不能买这个保险或者是保费多少,都是与企业本身在数据安全方面的制度、既有措施息息相关的。
(张洋 HN080)