重申安全以“人”为本 拒绝新瓶装旧酒

有信息安全领域风向标之称的RSAC大会近日在美国旧金山圆满落幕。由于众所周知的原因，一些本来计划参与大会并已预定了机票的国内安全公司不得不临时取消了行程。尽管如此，国内安全圈对RSAC大会及其“人是安全要素”（Human Element）这一主题的关注度丝毫没有减弱。

“人是安全要素”，换个中国人习惯的说法——以人为本的安全，既是本届RSAC大会的主题，也是大会归纳出的十大趋势之首。人在信息安全及社区中的价值，以及如何从人入手实现更好的信息安全保护等焦点问题，重又摆上桌面，引人深思。

增强安全意识

安全成为企业文化

近年来，网络安全技术的发展日新月异，但各项技术的发展，最终都是以人为推动力的。说到底，人才是各项技术发展的基础。在我们的日常工作和生活中，虽然有很多自动化的工具，可以帮助人们完成众多流程化的工作，但是在关键环节，还是需要人来决策和协调。尤其是在制定网络防御计划方面，人们制定的有效防御方案是确保网络安全的核心所在，而各种安全技术和产品只是辅助实现最终目标的工具而已。

近日，一起因员工的恶意行为给公司造成巨大损失的案件成了人们关注的焦点。微盟是一家提供零售、广告等线上业务的SaaS服务商。2020年2月23日晚，因为公司研发中心运维部一名核心运维人员的恶意破坏，导致微盟宕机36小时。

谈到人在信息安全中的作用和价值，青藤云安全的专家表示，今天，网络威胁和防御方法处于不断变化之中，对企业内的所有员工进行安全意识培训，增强员工的网络安全意识，可以更好地应对网络安全威胁。很多企业的高管认为，网络安全完全是IT人员的职责，但实际上，网络安全的防御是每个人必须共同承担的职责，员工良好的安全意识始终是企业数字化资产防御的第一道防线。

在当今这样一个飞速变化的时代，技术的发展有时往往超出人们的预期，网络安全技术的发展即是如此。人工智能、机器学习等的出现，进一步提升了网络安全防御的有效性。随着各种技术的快速发展，人们很可能会忽视一个关键要素，那就是人。很多时候，人们专注于研究技术，而忽视了人在技术发展中所发挥的重要作用。青藤云安全的专家特别提到2017年举行的第五届中国互联网安全大会（ISC 2017）就是以“万物皆变，人是安全的尺度”为主题。而RSAC 2020大会则包含了关于人的更多主题要点，比如安全意识、交流沟通（包括行业内的沟通、企业内部的沟通）、职业发展等。这些再次说明，人始终是安全的一个永恒主题。

RSAC 2020以“人是安全要素”为主题，是在我们愈来愈依赖技术的情况下，让我们重新审视人与技术的关系，告诉我们该如何改变固有的思维和行为，这对未来的网络安全发展将起到非常重要的启示作用。

随着网络安全面临的威胁越来越大，对网络安全人才的需求也与日俱增。在中国，网络安全专业人才极为短缺。在很多情况下，因为员工的安全意识不强，出现人为操作失误或是恶意行为，最终导致企业面临安全风险。青藤云安全专家表示，企业需要加强安全意识培训，让安全变成一种企业文化。

近年来，DevSecOps在概念上被炒得火热，但真正能够落地的却很少。青藤云安全专家认为，其中很大原因在于组成DevSecOps的三驾马车——开发、安全和运维之间还不能够保持有效的沟通，从而导致很多安全工作还处于事后打补丁的状态，严重阻碍了产品交付的速度。因此，更应该将安全内嵌到开发中来，从源头上就开始把握好安全问题。

回归本质 

严防祸从“口”出

RSAC将今年大会的主题定为“人是安全要素”，并且在今年的创新沙盒竞赛中，专注于隐私数据防护的创新厂商SECURITI.ai最终获得冠军。大家仿佛从中看到隐私防护、合规、关键链条等成为必然趋势。但是，绿盟科技首席技术官和国际业务首席运营官赵粮却有不一样的看法。他认为，今年的主题是在之前5年甚至10年基础之上一种“被迫”的回归。

从2010年、2011年开始，安全行业就非常关注0 Day、APT高级持续威胁这样的高精尖攻击技术，围绕着这些方面进行研究的创新企业逐渐增多。比如FireEye就以APT著称，是当时全球市值非常高的安全公司之一，其估值曾超过100亿美元，产品也在很多大型企业甚至美国联邦机构中等获得了普遍应用。另外，围绕着0 Day的攻防、战略武器，以及反欺诈等，安全行业出现了非常多高精尖产品的部署。但是，十年下来人们发现，其效果还是不够好，即使在发达国家，武装到牙齿的头部企业依然会出现各种各样的安全事件。这让企业不得不进行反思，到底怎样才是更安全的？这就要回到更本质的问题上来。

大家经常讲，祸从口出，病从口入。赵粮认为，在网络安全领域，这个“口”就是人。在行业中，当出现安全问题时一般有三种可能：一是软件和IT系统开发过程中出现的脆弱性和漏洞；二是软件或App应用在使用过程中，由于使用不当或配置不当而出现问题；三就是人，比如说社会工程攻击，以及人的滥用、误用、不合理使用和欺骗等，这些都是围绕着人出现的安全问题。

赵粮提到一个笑话说，当黑客锁定一个目标，这个目标无比坚固，且层层设防，那么黑客还怎么去攻击呢？事实上，他们直接登录就行了，直接利用社会工程学攻击，找到网管的女朋友就能轻松搞定，而根本不需要花费数百万美元去买一个0 Day，或者花费数十万美元部署高精尖的Exploit。这个例子提示我们，企业应该从高精尖的技术再重新回到信息安全最大的短板，也是最容易被突破的环节，那就是人的因素。

说到人，又包括安全管理员和安全团队、IT管理员和IT团队、企业员工，以及企业的最终用户。这四大群体就构成了“人是安全要素”中的“人”。这四个层面中的任何一个环节出现纰漏，都会给最终的安全结果带来影响。

因此，赵粮建议：企业要不断提高安全管理员、安全团队的安全能力和安全意识；不断提高IT管理员、IT团队的安全技能和安全事件处置效率；而企业员工和企业用户要在安全产品、工具和服务方面不断变革。

“我之所以说今年大会的主题是在之前五年、十年话题基础上的回归，是因为我们发现，并不是完全依靠高精尖的技术和工具就能搞定安全问题，最后还是要解决人的问题，才能把安全的短板补上。”赵粮表示。

网络安全为人民

网络安全靠人民

既然安全问题对企业业务的发展如此重要，而人又是解决安全问题的最关键的一把钥匙。那么，如何才能真正做到“网络安全为人民，网络安全靠人民”呢？

事实上，“以人为本”早已成为国内信息安全建设的关键基因，而这与腾讯安全护航产业安全的做法不谋而合。腾讯安全基于人在安全中的重要价值，从上到下系统性地建立安全能力矩阵，并对外输出可复用的安全能力，从而助力企业筑牢安全防线。

腾讯安全的一项战略性前瞻是，安全是企业CEO一把手工程。在RSAC 2020上收到的2400份发言申请中，众多针对“数据、威胁、风险、隐私、管理和团队”的内容均涉及安全方面的人为因素。尤其是在数据安全方面，大量数据显示，企业员工有意或无意的行为是致使企业数据资产泄露的罪魁祸首。

CIO网站的调查数据，25%的受访企业拥有CISO，11%拥有CSO，17%拥有另一位头衔不同的高层安全管理人员。这意味着近一半的企业并没有为安全团队任命任何高层管理人员。但是伴随着数字化贯穿于企业研发、生产、流通和服务的全流程，企业的所有环节都需要安全保障。因此，企业必须将安全置于最高等级的战略高度，体现在企业的管理责任上，就是需要企业CEO亲自抓。

腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生曾在第五届CSS互联网安全领袖峰会上表示：“安全不再只是CTO、CIO们的工作范畴，也需要CEO的战略关注。产业互联网时代，安全正成为CEO一把手工程。”

在企业从上到下给予安全足够重视的前提下，如何将安全策略、措施执行到位也是一项十分艰巨的任务。在终端安全方面，腾讯安全通过终端无边界访问控制系统（iOA）提供内网和办公终端的安全防护，让运维人员更加方便、高效地对内网庞大的终端进行管理。不久前，由腾讯主导确立的全球首个零信任安全国际标准在瑞士日内瓦ITU-T（国际电信联盟通信标准化组织）SG17安全研究组全体会议上立项成功，彰显了腾讯在零信任安全领域的领先地位。在云端安全方面，腾讯安全七大安全实验室与安全平台部超过300人协作成立“云全栈安全研究工作组”，对云安全展开全面、前瞻性的研究，将安全服务内置到云中,致力于打造让客户放心的云平台。

安全从本质上是人与人之间的对抗，扎实的安全人才体系是开展安全工作的基础。腾讯安全凝聚了超过3500人的服务团队，支撑起腾讯安全提供安全服务的“前台、中台、后台”。仅在2019年，腾讯安全就输出了覆盖多个领域的研究成果。比如，腾讯安全科恩实验室首次发布针对特斯拉Autopilot的研究成果，再次消灭了一个自动驾驶的潜在安全隐患；腾讯安全玄武实验室深耕移动安全，披露了指纹识别领域的最新研究——自动化破解多种类型指纹识别；腾讯安全云鼎实验室基于对云安全情报数据的统计分析和最新云安全攻防趋势的研究等。

与此同时，腾讯安全还着眼于整个产业安全“人才池”的储备，通过发起腾讯信息安全争霸赛（TCTF）、携手发起极棒国际安全极客大赛（GeekPwn）等安全竞赛，“以赛代练”培养适应当下安全形势的安全人才。

从顶层的安全价值上升到企业CEO，再到底层的3500人服务团队，加上独具特色的安全专家服务模式输出，腾讯安全全方位打造了“以人为本”的战略安全体系。

人与技术协同

以人为本的安全生态

早在2017年5月，360董事长兼CEO周鸿祎在一次谈及勒索病毒的演讲中回答“网络安全最关键的因素是什么？”这个问题时曾明确回复：“是人。”

人是最大的安全漏洞。为什么这样说？如果人不遵守安全规定，没有安全意识，即使企业拥有再好的安全软件、防火墙和安全系统及架构，也抵不过公司内部有一台不受控制的服务器。说到底，人是安全中最重要的因素。对于企业来说，最有效的武器就是安全专家。在未来的网络安全战中，表面上是技术之间的较量，其实背后是人与人的较量。

在ISC 2017大会上，周鸿祎曾谈到，在大安全时代，人是一切安全问题的根源，也是安全生产力。在大安全时代，网络安全不仅仅是指信息安全和信息系统的安全，而是包含国家安全、社会安全、基础设施安全、城市安全和人身安全等在内的更广泛意义上的安全。以前，我们习惯依赖各种各样的技术体系，依靠不断堆叠的软件和硬件。但实际上，这些看上去固若金汤的安全防线很可能不堪一击，因为安全不仅仅是技术问题，更是人的问题。在实践中，我们必须通过人与技术的协同，建立以人为核心的安全体系和安全生态。

360董事长兼CEO 周鸿祎

周鸿祎亲自参加了RSAC 2020大会，并全程参与了时长三个小时的RSAC创新沙盒大赛。在众多参赛企业中，周鸿祎发现ForAllSecure的理念和产品与大会的主题较为契合。ForAllSecure的成员均为卡耐基梅隆大学资深安全专家带领的黑客。此次参加沙盒比赛展出的产品是一款名为ForAllSecure Mayhem的机器人。ForAllSecure Mayhem并不打算代替人类安全分析师，而是通过分析自动化，甚至以线速修补常规类别的漏洞，从而让人类分析师能够更专注于解决真正棘手的问题。

另一家安全公司Elevate Security同样非常注重人为因素。他们认为，人为错误是导致95%的网络安全漏洞的主要原因。因此，他们将行为学、心理学、数据科学与黑客思维等相结合，打造出行业首款行为安全平台，利用其先进的行为分析和数据科学技术，实践了以人为本的安全理念。周鸿祎认为，这些安全企业在推动“以人为本的安全”上的有益探索对推动安全行业未来的发展具有变革意义。

在周鸿祎看来，如今的网络安全已经不能只依靠设备和系统维护，未来需要更多的安全专家和安全运营商，对数据进行分析、挖掘并深入追踪，只有这样才可能真正解决安全问题。

长按二维码识别关注云报

云报

小编微信：Taogebj

联系邮箱：15327768@qq.com