受技術創新推動,企業用戶們正在加快自身業務形態數字化轉型的步伐,與之同時,業務安全風險也隨之而來,網絡黑灰產攻擊、數據竊取等安全事件頻繁發生,無論是那些有著豐富對抗經驗的在線金融機構,還是走在科技前沿的互聯網企業,在面向業務安全風險時都會感到捉襟見肘。
過去我們理解的業務安全場景主要有三大類,即賬號安全、內容安全、運營活動安全。但隨著數字化進程的加快,新的業務場景、新的產業形態和業務形態也在不斷涌現,尤其在后疫情時代,如何在移動化辦公的場景下解決數據全生命周期的安全防護問題,正在成為各家安全廠商業務安全解決方案中的側重點。
為了幫助企業在應對當前復雜多變的業務安全場景時,快速找到適合自身的安全建設之路,邀請業內細分領域內的代表廠商分享自身前沿觀點、創新技術和最佳實踐,以期為企業用戶們提供參考借鑒。
本期訪談的主角是定位為「移動安全專家」的指掌易科技,我們邀請到了指掌易副總裁龐南來分享他們在業務安全領域的觀察思考和自身的解決方案。
北京指掌易科技有限公司(下稱“指掌易”)是成立于2013年的高科技軟件企業,總部位于北京,分別在北京、南京、大連設立研發中心,業務覆蓋全國所有省份以及部分海外市場。指掌易順應數字化轉型大勢,針對萬物互聯場景,以各類數字化終端及業務為切入點,以零信任和移動化為技術基礎,提供數字化安全、數字化聯接、數字化智能與體驗等軟件產品和方案,打造更安全更易用的數字化工作環境,廣泛服務于政府、金融、國防、運營商、能源、交通、制造、醫療等行業客戶的數字化轉型。
企業數字化轉型浪潮
催生出了全新的移動安全場景
龐南談到,從傳統網絡空間安全的視角來看,業務安全事實上是一個比較新的細分領域。在他看來,過去的傳統安全更多關注的重心在于數據中心側基礎設施的安全,但隨著攻防形勢的不斷演變,針對數據中心和基礎設施的攻擊難度變得越來越高,攻擊者開始轉向利用用戶的人為因素的弱點,從終端側或者從業務操作的層面展開攻擊,通過竊取數據或中斷業務的形式,給攻擊目標造成實際的資金損失,面向業務的攻擊風險劇增,使得業務安全逐漸成為了備受關注的安全細分領域。
他指出,業務安全有兩個比較重要的特征,首先,業務安全是偏向針對特定的業務場景的應用跟數據安全保障的機制;其次,業務安全用到的技術手段和用戶業務場景中的風險控制措施會有比較深的耦合,以安全的能力和風控的能力來共同服務于業務是第二特征。
“過去在傳統安全體系中,身份訪問控制、應用層的加密權限管理以及安全審計等通常會被認為是安全控制措施,跟具體的業務場景以及特定的業務應用系統的關聯和耦合程度較為松散。業務安全實際上并沒有催生出新的安全技術,更多是安全技術自身的演進,最終來面向業務安全方面的需求,解決場景化的問題。”
他表示,在數字化轉型的大背景以及疫情帶來的疊加因素影響下,以移動辦公為代表的業務移動化需求的增長極為迅速,如政府、公安等行業都提出了移動化辦公的需求,如移動政務應用、移動警務應用這樣的新場景正在涌現出來。一些走在數字化改革前列的行業,如金融、運營商等行業也進一步提出了建設綜合性移動辦公門戶應用的需求,將其作為業務移動化在終端上的入口。
圖:典型的移動化辦公場景示例
在各行業企業用戶加速數字化轉型的浪潮下,一大批業務移動化的全新場景正在涌現出來。指掌易也從中看到,企業用戶正在提出全新的安全需求。在新的場景下,用戶側迫切需要解決如營銷安全、郵件安全、賬戶安全、交易安全、內容安全等多方面業務安全風險。
“面向用戶在業務安全方面的需求,指掌易提出了‘成為客戶信賴的移動安全專家’的口號,其中有兩個關鍵詞,一個是移動,另外一個是安全,所以指掌易給自己的定位是,希望在業務移動化的場景里邊,重點幫用戶去解決安全的問題,這也是指掌易的一個最主要的標簽”龐南談到。
以安全沙箱+零信任技術
為各行業客戶業務移動化安全賦能
具體到解決方案層面,龐南為我們分享了一個股份制銀行的案例。隨著該銀行業務移動化進程不斷加快和疫情常態化的防控需要,通過移動辦公APP完成遠程辦公、客戶管理、郵件收發等工作成為了業務需求。在其移動辦公的模式下,郵件安全是其中一個較為典型的業務安全場景。
在實際服務客戶的過程中指掌易看到,很多單位和企業在開通手機端的企業郵件收發功能面前都十分謹慎。因為郵件附件中往往會包含大量跟業務往來關系密接的文件,一旦發生員工通過個人移動端設備轉發敏感郵件內容或附件的情況,極有可能會造成敏感業務數據的泄露事件。
針對這一客戶痛點,基于指掌易獨創的虛擬安全域VSA(安全沙箱)技術和SDP零信任安全網關,指掌易打造了一套零信任移動辦公平臺,提供移動應用數據保護服務,零信任可信接入和數據安全傳輸服務,以及安全郵件、安全文檔等標準辦公套件,為該客戶構成了一個獨有的移動安全辦公空間,在滿足其員工各類通用移動辦公需求,提供友好的用戶體驗的同時,基于該平臺還能夠幫助客戶從用戶、設備、應用、網絡等多個維度來實現對移動終端高效、安全的統一管理,解決了終端數據泄露、網絡準入等安全問題。
該方案部署后,企業員工只能通過使用沙箱化的移動郵件客戶端實現郵件收發,通過安全沙箱還能有效限制員工進行截屏、拷貝、轉發敏感的附件和數據的行為,在終端側解決了敏感郵件數據泄露的問題。
在管道側,該方案主要通過SDP零信任安全網關來提供用戶可信接入服務,實現郵件服務對互聯網的隱身,保證員工以安全可信的方式接入移動辦公平臺,并基于SDP零信任安全網關來為移動辦公平臺提供可靠的加密安全通道,進一步保證郵件業務數據在客戶端跟郵件服務器之間安全傳輸。
龐南認為,指掌易這一套整體方案的優勢在于具備較大的靈活性。其解決方案能夠以移動辦公空間入口的形式、或以SDK集成的形式,與用戶的移動應用進行集成和耦合,為客戶的移動端應用進行安全賦能。
圖:指掌易移動業務安全部署方案
在業務安全領域
不能拋開用戶體驗談安全
龐南表示,當前業內在談到“移動安全”時,往往會先入為主將它界定為移動終端的安全或是移動應用的安全,但指掌易認為,移動安全是一個更大的范疇,他應該涵蓋業務移動場景中的所有安全風險控制項。
“一個業務移動化的場景中,它一定是有終端側,有網絡傳輸的管道側,還有數據中心的服務側,因此,作為移動安全廠商不僅僅要解決端的問題,還要去關注在移動終端側如何保護數據安全問題,在管道側如何確保用戶身份合法的授權,能夠在安全的環境下去訪問和使用對應的服務資源,這些都是移動化場景里邊必須要考慮的問題。”
因此,相較于業內傳統的移動應用安全檢測加固類廠商而言,指掌易的產品和解決方案更為關注與業務移動化場景直接相關的身份認證、訪問控制、敏感數據安全保護等層面的安全訴求,為企業用戶提供一個覆蓋云管端的完整解決方案。
在指掌易看來,相較于傳統安全,移動化場景下的業務安全最大的不同之處在于,用戶體驗在這里是一個極為敏感的要素。因為業務安全最終要服務于業務,因此廠商提供的安全能力必須與業務應用進行緊耦合,去找到一個用戶體驗最佳的結合方式。
在傳統以數據中心和基礎設施為核心的安全場景中,企業客戶關心的重點通常是攻防對抗的能力、安全防護能力和檢測能力,但這些過程對于移動應用的用戶而言往往是無法感知的,用戶體驗無需過多地考慮。
但是在業務移動化的場景下,通常在用戶視角中,用戶體驗與安全能力二者幾乎并重,只有在安全與用戶體驗之間完美結合的解決方案,往往才能夠得到企業客戶的青睞。“拋開用戶體驗談安全,在業務安全領域是走不通的。”
在龐南看來,指掌易有著to B跟to C混合的技術基因,在用戶體驗這一點上,指掌易有著天然優勢。
首先,指掌易創始人王偉及其創始團隊的to C安全從業背景決定了其在產品的穩定性和極致的用戶體驗方面的追求。“在業務移動化場景中,移動應用往往面對著海量的用戶和極為碎片化的終端環境,如何更好地兼容和適配不同的終端和系統,給到應用的用戶更友好的體驗其實是一項比較大的挑戰。尤其指掌易選擇了一條沙箱的技術路線,在打磨沙箱產品的過程中,創始團隊在to C方面的研發經驗做出了很大的貢獻。”
其次,在to B方面,指掌易研發團隊陸續吸引了具備深厚toB服務經驗的專家加入,讓指掌易對行業客戶的核心訴求有了更深刻的理解,同時也讓指掌易能夠更深入地分析和解決企業用戶數字化轉型帶來的安全痛點。
采訪最后,在談到當前業務安全領域的不足,以及指掌易自身的布局和規劃時,龐南表示,進一步提升零信任架構的信任計算能力是下一步的主要工作。
“當一個可信的用戶接入之后,在接下來持續的信任評估過程中,如何對用戶的行為進行更深度的數據分析,更精準地檢測出異常訪問行為,動態地調整對單一用戶身份的訪問控制策略,這一點對于零信任架構而言至關重要,但縱觀整個行業,目前提出的零信任方案還都處于比較初級的階段,有較大的提升空間。”
因此,對于指掌易而言,在整個業務安全解決方案中下一步需要集中力量突破這一難點,基于UEBA用戶和實體行為分析技術實現對異常行為的分析和發現,為持續信任評估引擎的信任算法來提供維度更廣、更準確的數據,進一步加強SDP零信任安全網關的信任計算能力,與業內眾多零信任安全廠商一同探索出一條更優的技術路徑。
更多信息可以來這里獲取==>>電子技術應用-AET<<
