阳光是最好的防腐剂,路灯是最好的警察。
—— 美国联邦最高法院大法官,路易斯·布兰代斯
从某种意义上来说,中国的网安行业和中国足协有极为类似之处。中国的足球庭院深深,大门紧闭,院墙之内觥筹交错,院外概不知情。
网络安全天然具有特殊性,隐蔽,因此往往容易出现裁判和运动员是同一个人的局面。
到了年末,机构安全负责人如何向老板汇报一年的安全工作成果,告诉老板今年发现了多少个风险?不能这么简单,报太多风险不是正好显得安全工作没做到位嘛。要是老板再反问还有多少风险,是没有被主动发现的呢,这鬼知道啊;告诉老板今年上了多少安全设备,买了几个安全软件,安全水位获得极大提升?不行不行,那不就是告诉老板我一年都在花钱吗。
如何向老板证明自己的价值,真的是长期困扰网络安全从业者的哲学命题。因此“合规”和“大家都在做”真的就是救命稻草,你告诉老板这是国家政策要求(合规),看他还能说什么;你再告诉他,大家都在做态势感知,咱们不做就落后了,只要兜里还有钱,老板也怕掉队,只能大笔一挥,去搞。
无论做了什么,最终评价安全成果的,也还是建设安全的人,这就是最大的矛盾。
阳光照不到的地方,是不可能长出好东西的。
01/6 CRM 做得好不好,客户来评价,而不是 CRM 开发者
一个企业想要采购一款 CRM 应用,市面上同质产品众多,要如何评估选择哪一个。方法很简单,联系 CRM 厂商,开几个试用账号给销售团队直接去用用。销售人员可一点不关心 CRM 是用 React 还是用 Vue 画的前端页面,也不在乎内置的客户线索是爬来的还是买来的,更不想听你吹牛背后用了 GPT 大模型还是 NLP 算法。客户销售团队只关心销售漏斗管理功能好不好用,客户线索里的关键联系人电话号码有没有,产品用起来卡不卡,产品价格厚不厚道。评价标准极其简单明了,产品一用高下立判。但是回到数据安全,就无比别扭。安全的目标是要保护每一个消费者,每一个员工所能接触到的数据的安全,相应的安全产品会安装到每一个员工的办公设备里,内置到每一个用户的手机应用里,但消费者和员工又都很难获得知情权,安全产品的评价标准还是掌握在安全人员手里。
02/6 APP 隐私安全,已经前置和透明化
在 APP 群魔乱舞的那段时光里,一个日历 APP 也能访问用户的麦克风,一个相册 APP 也要读取用户的通讯录,一个音乐 APP 也要和你视频通话。所有 APP 都强制性的要求获得用户的一切数据和权限,隐私协议无从谈起,安全说明爱咋咋地,应用场景要你管我。应用开发者还会郑重其事地告诉用户,我们无比重视用户隐私安全,我们在背后默默付出,保护用户数据。
所幸这样的境况已经获得极大改善,应用开发者不再能任意妄为地索取用户数据和权限,按照个人隐私保护相关法律的规定,APP 必须有明确的隐私政策声明,必须获得用户主动授权,必须接受敏感权限的使用场景。用透明,来换回用户的隐私安全。
就如同淘宝 APP 一样,内置了隐私模块,消费者可以主动查看 APP 使用和采集的各类数据,并能管理系统权限,甚至还能下载应用内个人的所有数据。隐私安全,终于走到了前台来。
03/6 企业内,办公数据安全,还躲在背后
企业员工办公的电脑,叫做 PC,Personal Computer,个人电脑。企业通过层层的安全加锁,试图将个人电脑转变为 IT 意义上的办公电脑,期望最大程度上保护终端设备上以文件为载体的数据资产,从而达到保护数据安全的目标。于是这台为个人而生的电脑里,被默默地安装上了各类安全软件,DLP、EDR、杀毒、透明加解密、上网行为管理、桌面管家、暗水印,默默地在背后保护企业和个人的数据资产。
我们这里先不去讨论这些安全产品的防护效果到底如何,而是换个视角去看,到底谁在评价这些安全产品的能力。是开发这些产品的乙方安全厂商?还是购买这些产品的甲方安全团队?没错,目前只有这两者,他们既是缔造者,又是评价者。
当裁判和运动员都是自己的时候,结果是必然的,技术不可能有进步,产品不可能有突破,模式不可能有创新。因此我们会看到当下还有前仆后继的团队从 0 开始做 30 年前就存在的 DLP,全民大搞数据分类分级,态势感知的牛还在继续吹。这些从西方舶来的内容,当再回到西方的环境里,早都是无人提、无人看的概念,多少是有点讽刺。 
安全态势感知在国外冰冷程度
04/6 明水印的意义,远大于暗水印
假设一个企业内,有一半好人,一半坏人。坏人天天琢磨着怎么把企业内的数据给拿走,好人兢兢业业地为企业谋发展,我们有理由相信好人是愿意帮助企业去发现和阻止坏人。但前提是得给好人以通道,这个通道不是告密的某个渠道,而是把那些躲着阳光下面的安全产品,提溜出来,放在大众眼前,让所有人去使用去评价。能够做到吗?能! 
不要依赖暗水印,就用明水印。
很多安全从业者或者企业老板,迷恋暗水印这东西。默默在内部系统页面和办公文档里嵌入肉眼不可见的标记,坐等员工拍照或者截图泄露后去追溯罪魁祸首。何苦要如此的钓鱼执法,明水印不好吗,明水印不能彰显企业的威严和对安全的严格要求吗。
况且暗水印这一招只能用一次,只要有员工中招一次,那瞬间就提升了所有员工的反侦查意识,以后谁还会傻乎乎截屏直接发微博去,还不得拿 WPS 做个图片文字提取,再重新生成一张新图片。
就使用明水印吧,让所有人都知道这里不是法外之地,这里要重视数据安全。如果有该加水印而没有加的地方,好的那一半员工也会告诉老板,这里应该补个水印。由此明水印的产品会不断进步,水印的大小,透明度,上下文环境的动态适配度,护眼模式的自动感知能力,统统都能提升。水印这个产品能不断进步,企业安全性也会不断提升。如果换为暗水印,什么好事都不会发生,这就是阳光的力量。
05/6 管控的意义,远大于审计
员工电脑里的监控软件,秉承的是“重审计,轻管控”的理念。我曾经挺支持这样的理念,因为背后支撑它的逻辑,是不影响员工办公效率,符合科技互联网公司自由开放的天性。
让我逐步抛弃这样理念的原因有三,一来是它默认了先泄露数据再追责这样极不负责任的态度;二来是它隐藏了安全人员把自己暴露到阳光下的胆怯;第三是因为它的缺陷实在太多,审计的覆盖率有可能只占全局的 10% 不到,也就是说有大量数据泄露的渠道未知,或者无法覆盖,比如电脑里装个虚拟机把数据传出去,浏览器里用插件把数据爬走,甚至直接用浏览器自身的云同步功能获取企业数据。
如果企业一开始选择的是管控的路线,透明地让企业员工感知到何可为,何不可为,员工并不会骂企业,且能很好接受。在企业内,我们从来没有听说过华为的员工骂自家的安全团队,说他们管控太严,员工用笔记本都得申请,USB 都用不了。但反之,以开放和自由标榜自身的互联网企业,选择的是重审计的路线,员工由内到外无不充斥着责骂企业偷窥员工隐私,恶意监控员工行为的故事。
数据泄露时时刻刻都在发生,员工时时刻刻都在骂,这就是重审计轻管控的结局。
重管控,无论是采用华为的虚拟化(虚拟桌面办公)路线,还是政企的内外网隔离路线,亦或是其它方向。都能为员工很好接受,且能达到数据安全想要的结果,且能促进相应办公产品的创新与进步。华为的虚拟桌面技术,其能力已经在国内无出其二,这就是一切放到阳光下的好处。
06/6 一种把数据安全前置的可能性
既尊重企业员工个人隐私,又能有效保护企业数字资产,是数影星球区别于传统安全的独特价值主张。这可能是一个让传统安全从业者难以理解的价值观,但这就是数影星球这个团队无比真实的价值坚持。
让数据安全产品走到前台来,企业内就让员工去评价好坏,企业外就让消费者用户去评价,不要让安全再来评价安全,只有如此技术才能进步,产品才能创新。
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
