在物联网等新技术快速发展的环境下,数字化工具给物流活动开展提供了支持,物流信息网络系统也促进现代物流行业发展。然而,数字化如同一把“双刃剑”,在给物流企业创造效益的同时,也会引发一些潜在的安全问题。
在腾讯安全策划的《CSO面对面》访谈栏目,邀请到顺丰科技网络安全负责人谭林,以物流行业的安全防护为例,分享物流企业面临的网络信息安全建设问题及解决对策。
谭林,顺丰科技网络安全负责人,负责基础设施安全、SDL应用安全、安全运营和安全产品等工作。拥有丰富的企业安全规划、建设和运营实践经验,熟悉国内外主流安全架构、产品和技术,是实战检验安全能力的践行者。
谭林先生在公司内部倡导先进的安全技术与理念,建设了物流行业特色的安全防护体系,同时与包括腾讯在内的业内优秀公司共同探索前沿的安全解决方案。作为行业内的专家,也为引领行业趋势、融通行业信息、推动行业变革与发展做出了贡献。
以下为本期《CSO面对面》文字实录。
关于顺丰的安全建设经验谈
Q1:当前物流企业已经成为国民经济重要的基础设施,几家头部物流集团均拥有复杂的数字化版图,应用数字化产品的主要场景有哪些?
谭林:数字化已经覆盖物流业务的方方面面,包括用户订单管理,包裹揽收,仓储管理,自动化货物分拣,以及车辆运输的规划和调度等等。数字化帮助物流业务实现了业务流程的实时、在线、自动化和智能化,打通了各个系统和平台之间的融合与互通。数字化极大的促进了物流企业的运营效率和用户体验的提升,也带来了模式创新。
实际上,效率是物流企业最重要的关注点。数字化创新能力的建设,正在成为物流企业提升企业运营效率、打通运营阻塞点的必备工具。更长远看,是否能够依靠数字化建设核心竞争力,是否能够坚持通过数字化提升全流程的效率和效能,将会是物流企业能否更好支撑国民经济提速的关键抓手之一。
Q2:就您的经验来看,物流企业、电商等新兴行业的安全风险暴露面主要有哪些?
谭林:物流和电商等新兴行业是联接人与物之间的纽带和平台,在业务开展中会接触和处理大量的个人数据,这些数据是黑客的重要目标。个人隐私数据保护,是企业必须做好的,也是国家在法律法规、行业规定等多方面重点关注的方向。一方面,要基于《网络安全法》和《个人信息保护法》等法律法规加强监管与威慑,加大对违法企业与个人的惩治力度;另一方面更加关键的是,要在企业数字化流程本身去想办法,用数字化工具和安全工具去消除漏洞,通过机制和策略降低人为泄露风险。
此外,物流和电商行业在业务开展中流程复杂工序多,既有线上也有线下环境,因此,物流行业的风险暴露面比传统线下行业更广,包括在线的订单运单管理系统,收派作业系统,以及分布在全国的各个中转场、仓储和集散点,也包括支撑业务运转的自动化分拣设备和众多IoT设备。在这个过程中,物联网安全相关的技术也可以在物流场景中得到很好的运用。
Q3:以顺丰为例,在复杂的信息化需求和安全需求下,如何建立一整套能够统筹兼顾尽可能多业务板块、有效处置所有潜在安全风险的防御设施?最核心点在哪里?
谭林:顺丰是综合物流领域安全技术引领者,作为独立第三方物流公司,捍卫产业生态和用户数据是我们的职责。在确保内外部安全合规的基础上,实现安全与效率的平衡,兼顾安全与用户体验是我们安全体系建设中的重要考量因素。
在安全风险防御和处置中我们重点关注三个方面:
一是精准,对安全风险分析判断的准确率是核心要求。物流行业与上下游业务的交互非常复杂,这要求安全在处置风险的时候不能误伤,我们需要考虑应用系统是否使用CDN,来自哪些合作伙伴,以及应用对时延的敏感度等因素。
二是快速,速度是安全攻防对抗的核心能力,我们对安全事件的检测和处置时效(MTTD和MTTR)是分钟级的。如何快速检测和预判威胁,在威胁没有产生影响的时候提前处置,如何在处置海量恶意IP的时候没有遗漏,对产品和方案成熟度要求极高。
三是智能协同,能够灵活与网络、DNS、终端、账号和邮件等周边基础设施联动,实现情报互通和共享,才能在安全防御中应对各种潜在的风险场景,这是对安全防御体系的开放性和智能化的考验。
Q4:您觉得市面上互联网公司的技术发展对大型企业的安全建设有怎样的影响或者帮助?能否举几个例子?
谭林:互联网公司基于自身业务发展的需要积累了大量的安全建设经验和能力,互联网公司具有较高的产品化和工程化能力,这些产品和技能来自于真实业务场景,且得到实战验证,对企业会有很好的帮助。比如:
互联网公司在实战中储备了丰富的攻防知识库,他们有强大的安全团队从事漏洞利用分析、技战术研究方面的工作,并且在业务开展中与黑产黑客的对抗中,得到持续优化和提升。这些知识库是检测分析类产品的核心能力,一般企业很难有这么多资源投入和这么丰富的场景。
同时,互联网公司关注用户体验,如何在海量的攻击中精准防御,减少业务影响是互联网公司天生就需要解决的问题。在大型企业数字化转型的安全建设中,这一点将会越来越重要。
顺丰科技具备物流和科技属性,网络安全借助公司的大数据AI能力进行攻击者画像方面的探索,同时也与包括腾讯在内的互联网公司进行攻防情报和产品方面的合作。
Q5:您觉得您个人在企业中推进安全建设,发挥了哪些“先行者”的作用,具体涉及哪些安全技术/理念的应用?
谭林:顺丰在数智化物流方面的领先地位和经验基础,决定了在安全上的部署和战略前瞻性。公司的安全建设离不开过往一步一步的积累,我们是最早开展个人隐私数据保护的物流公司。在近几年的安全建设中我们更多从解决安全风险的实际需求出发,坚持做了几件事情:
一是实战检验,坚持红蓝演练以攻促防,我们有个slogan:实战是检验防护能力的唯一标准。安全建设是为了解决具体的业务痛点,安全建设的能力、工具和流程需要通过红蓝演练来进行实战验证,并坚持复盘和跟踪整改。
二是自动化,安全暴露面的梳理,安全风险的检测分析以及事件响应都需要投入大量的人力和时间,尤其是安全工具覆盖率提升以后,如何提升效率是我们持续追求的。通过自动化建设我们的自动化检测能力处于行业领先水平,如我们安全事件工单96%以上实现了自动化检测和响应,SDL安全检测通过自动化提升CI/CD效率,漏洞检测98%以上达到自动化。
三是数据驱动:通过数据驱动安全运营,安全工作要见成效必须重视安全运营。首先,通过安全运营来度量安全能力和水位。在安全运营中,资产定位率、安全工具和能力覆盖率、检测率和误报率和时效都需要通过数据来衡量。同时,数据是安全检测和分析的基础,有了数据才能提升看见的能力,尽可能获取丰富和高质量的网络流量、进程调用和访问行为数据才能为安全检测和分析提供决策依据。
Q6:贵公司对于安全在全场景下的应用效率是非常关注的,我们知道腾讯和您这边有一些安全界面的合作,想了解下您是出于具体什么背景做相关场景的部署考虑,在此环节上您最为关注的是什么?
谭林:腾讯非常重视安全研究、安全工程化和安全服务方面的投入,腾讯安全在攻防两端都拥有非常强的实力。这与我们倡导的实战攻防能力建设是非常匹配的,实战能力提升关键在安全运营的智能化。
我们每天面临上千万的攻击流量,如何提升威胁检测和处置的工作效率,保障检测和处置的准确性,减少漏报避免误报,需要我们有一套智能的检测处置流程及工具。基于这个背景,我们和腾讯安全开展了安全运营方面的合作,探索预测、防御、检测和响应的自动化闭环,构建攻击面管理(事前)、情报赋能检测(事中)、情报支撑响应(事后)的智能化安全运营体系,解决安全运营流程中人人、人机协同的问题,降低安全运营中投入的人力成本。
关于行业安全理念与建设
Q7:大型物流企业数字化过程中,有哪些比较普遍的安全痛点和安全风险?
谭林:物流是人员密集型行业,人员多流动性大,人是最薄弱环节,与之相关的账号安全,社工钓鱼风险比较普遍;
其次,暴露面广,物流业务的流程复杂,IT系统对接和关联的上下游众多,除了有集中在云端的互联网系统还有分布在全国各地的物联网和终端设备;
另外,物流已经是老百姓生活的一部分,需要我们在安全建设中尽可能的降低或避免因为安全问题带来的系统稳定性风险。
Q8:物流企业是涉及到很多相关产业的中枢,自身也有很多想象空间,您认为物流企业应当如何做好面向未来的安全建设部署与准备?
谭林:物流在我们的日常生活中越来越重要,物流企业的安全建设需要脚踏实地更需要与时俱进。
1、不断提升攻防技战术的研究能力,特别是数据安全保护能力,从自身业务开展情况结合国家和行业对数据安全保护的要求,联合行业优秀的解决方案和产品,保护用户和业务数据安全;
2、建立物流行业内和行业上下游的联防联控机制,物流企业安全工作不应该局限于行业内更不能闭门造车。物流和电商、互联网、交通以及金融、高科技等行业都有很多交互和关联,物流企业可以和这些行业联动,包括情报互通,事件处置协同等,通过行业联合对抗黑灰产;
3、面向实战,做好应对APT高级威胁的准备。随着行业发展,物流成为基础设施,我们要积极建设主动防御能力,扩大未知威胁检测防御的边界,利用威胁情报,安全AI技术,结合攻防演练持续提升实战对抗能力。
栏目简介
当前,作为数字经济发展的“生命线”,网络安全已渗透到国民经济的全领域、各层级,为产业数字化发展提供了坚实的基础。在数字安全建设的洪流中,有一批敢为人先、勇于突破的探索者,他们的安全建设之路,对于各行业有着极高的参考价值和借鉴意义。因此,腾讯安全联动雷锋网、数世咨询等媒体策划「CSO面对面」 栏目,旨在通过深度采访数字化实践中标杆企业CSO、CTO、安全负责人、数字化负责人等安全先行者, 了解在其工作场景如何中部署建设安全体系,解决企业安全痛点,消除安全风险,为产业数字化的安全实践提供参考和指引。
(来源:新视线)