你有多少部手机?
作为一个媒体狗,我有三部,常用的是两部。我一直以为这是媒体狗的标准配置,直到我看到一个优秀的同行从双肩包里掏出了四部手机。
四部手机,起码有两斤重吧。
望着他沉甸甸的口袋,我叹了口气,我们都是各类电子设备的重度用户啊。
除了手机,我还有智能音箱、冰箱、洗衣机、烤箱、灯泡。能换成智能控制的,我全换了。我对这种美好物联生活的向往来源于某米的一位老板,他说他家从里到外都是可以互联的智能设备。
我和资产上亿热爱智能家居的老板之间就只隔着“上亿”了,想想还有点小激动。
直到前阵子同事给了我一篇稿子。
“只用激光束就能黑掉搭载 Alexa 和 Siri 的智能音箱。更可怕的是,这个过程完全无需物理接触,更是不用与受害者套近乎,你只需向语音助手发送无声命令,就能解锁别人的家门。通过强激光就能直接向语音助手推送无声命令,最远可在 110 米开外。可怕的是,几乎所有市售的语音助手都会中招,比如亚马逊 Alexa、苹果 Siri、Facebook Portal 和 Google Assistant。”
我摸着每天肝稿才换来的苹果手机叹了口气。
一些关于物联设备安全威胁的报道一直让我有点怕怕的,比如以前我们雷锋网自己报道过的用超声波就可以拿下智能音箱,利用红外线可以控制各种红外遥控器,从而可以控制电视机、空调。
我突然想到,不好!大意了!那个全家都是智能设备的老板是搞安全的,自己平常就要测试产品的安全性,他当然不害怕。
对于我们这种没什么技术储备,不知道自己的设备会不会黑的吃瓜群众,怎么办呢?
在我还没找到一个合适的答案时,我发现企业们也挺捉急的。
应对数据泄露和业务瘫痪
在我的家中,智能设备是“我”的延伸,在一个企业中,物联网是 IT 的延伸。
已经有越来越多的事件证明,所有物联网设备都存在安全隐患。
2014年,佳能打印机固件更新机制被破解,2017年,4 种利用共享单车固件进行控制的攻击方法被发现,2018年,某厂物联网设备的固件被入侵,从而其生态漏洞被发现。
某一年,雷锋网报道了可以通过某家打印机的漏洞成功获取打印内容,从而将公司重要机密搞到手后,那家打印机厂商差点愤怒地要找我谈心。不久后,我就在安全行业都懂的某重要安全演习中发现,真的有人利用这个手段测试了一把。
准确来说,让企业瑟瑟发抖的安全威胁还要更多一些,它不止有物联网设备。
物联网设备所代表的只是其中一个触手,对企业而言,设备越来越多,数据中心也被更多的上云所取代,这些无形的手把企业的安全边界越推越大,越来越“无边界”。
同时,更多设备接入,更多数据的产生,他们很怕两件事:数据泄露和业务瘫痪。
不久前,媒体报道,Uber 曾向黑客支付比特币防泄露敏感数据,阻止黑客披露安全漏洞。
原来,黑客窃取了这两家公司员工的 AWS 登陆信息来访问服务器,拿到了客户数据,并尝试勒索价值数百万美元比特币。最终,Uber 用价值 10 万美元的比特币“买了单”,要求黑客签署一份保密协议,不能使用数据并披露漏洞。
几年前,“说走就走”的某程系统大规模瘫痪,刚开始他们说是某个员工手滑导致,后来改口称服务器遭受到不明攻击。有安全专家分析,既然数据没丢,数据库却这么大规模故障,应该是内部管理失控导致。
自从有管理员删库跑路的段子传出来后,我们对这类事件背后的原因总是浮想联翩,而企业是心有余悸。
幸运的是,一切在变,安全人员的防守思路也经历了变化,派拉软件的 CEO 谭翔提到:
第一,既然边界无限扩大,那么就重点管住“进出的人”好了。安全从边界防护转向以身份为中心的动态访问控制的零信任安全架构,“人”跑到哪里,信息就在哪里,不是局限在信息中心、云,访问控制变成了中心。
第二,企业已经意识到,数据是企业核心资产,对数据的安全访问变成数据安全的核心。
安全企业派拉软件以身份安全业务起家,干了十一年,最近它的业务方向进行了延伸,从纯粹的身份安全,扩展到身份安全、数据安全、业务安全。
两个判断
▲谭翔
谭翔对身份安全的认知基于两个判断:
首先,身份安全这个细分板块在安全领域是“刚需”。
Okta 是目前美国 SaaS 行业估值最高的公司之一,它的出现佐证了身份安全行业面临很大的机遇,创业公司可能挑战传统的身份安全巨头。身份管理这个领域在国外受到了重视,美国这几年有 4 家相关公司完成了 IPO 上市。
国内一个值得注意的消息是,最近阿里云全资收购了某家基于云计算与移动应用的身份认证云 IDaaS 产品和服务提供商。
阿里云安全掌门人肖力曾在云栖大会的分论坛上提及,原来企业安全体系以网络边界为核心的防御理念将随之变化,身份认证将成为企业新的安全边界,要建立基于统一的身份认证,制定不同的安全策略,建立分层授权体系,全面实时的安全智能分析能力。
在雷锋网的文章《阿里云葛岱斌:让天下没有难做的安全运维》中,我们对阿里云安全的这一判断有过详细报道。
第二,前列玩家才有机会,机会处在新技术上。
在数字化转型中,数据安全是企业用户的强需求。
谭翔提到:“很可能中国也会出台类似于像欧洲的 GDPR 和加州直接针对身份的法规,因为 GDPR 最重要的是保护个人数据,对身份和认证的保护,可以做到两方面兼顾,我相信这些法规出台一定可行。”
但市场是残酷的。大量企业客户选择行业安全厂商时一般会选择行业里的前三家,前三家可以进入评标的状态,其他玩家的机会越来越少。
“机会一定是在新的技术和环境变化的交汇上,对于已有的玩家来说,需要不停的变化,不停的适应市场需求,不停地引入新技术,才能一直在这个领域发展下去。”谭翔说。
这位派拉的掌舵人其实反对非常大的扩展:“我们做身份安全,不会转而去做另外一个领域的东西。”发展新技术可行,但调转船头完全驶向不同的航向是不行的。
基于对行业趋势的把控及业务增长的需要,派拉敲定了以身份安全为核心,三驾马车齐驱的策略。
一切为了业务
不过,雷锋网(公众号:雷锋网)梳理了派拉最新的三大业务线之后发现,无论是身份安全还是数据安全,归根结底保障的是业务。包括派拉做身份认证的友商,或从行为分析的角度出发做风控的厂商都对雷锋网发出过一个信号:他们做的一切都是为了保障业务安全,甚至还要推得更远一些,他们要促进用户的业务增长。
无数安全创业厂商苦哈哈地说,安全有前景,但是安全盘子就那么大。360 的掌门人周鸿祎曾直接点破,所有安全收入还抵不过一款游戏的收入。
派拉无疑也看到了这一点,把空间扩在了“促进业务”上。
在身份安全业务线上,谭翔多次强调了零信任架构体系,因此派拉的身份安全业务线主要打造以身份为中心的动态访问控制,针对线下、线上、云端构建可信数字身份平台,包括数据中心、管理中心、认证中心、授权中心、审计中心。
它的目的有5个:
1.通过数字身份连接,打通业务孤岛,建立不同业务应用的安全接入规范和标准,建立全域身份主数据中心和用户视图。
2.通过数字身份分析,建立内部人员、外部人员等不同维度身份的统一业务权限访问与行为分析,实现一体化事前预警、事中控制和事后追溯的全流程风险管控和监督;
2018年,从通用汽车、菲亚特克莱斯勒、福特、丰田,大众到特斯拉,100多家车厂的机密数据统统被供应商的共同服务器曝光。从车厂发展蓝图规划、工厂原理、制造细节,到客户合同材料、工作计划,再到各种保密协议文件……甚至员工的驾驶证和护照的扫描件等隐私信息,共计157千兆字节,包含近47000个文件,通通被这个“猪队友”泄露。
因此,派拉的身份安全业务不单单集中在员工身份上,而是扩展到了用户和互联网的身份安全,并将为企业做的身份安全扩展到了整个供应链,包括经销商和供应商的安全。
3.通过数字身份管理,建立数字身份全生命周期与权限的智能化管控,规避安全后门隐患,提高运营效率;
4.通过数字身份融合,建立生物识别、AI、大数据、云计算和 IoT等多场景业务融合,实现智能可信身份认证。
5.通过数字身份标准,满足合规需求。
派拉对数据安全业务线的布局展现的野心更直接一些。
派拉希望的“数据安全”除了在数据采集、清洗、存储、使用、计算、分析到最终展现完善的安全治理构成流程,还有促进业务提升与管理的目的。
比如,它希望整合所有的服务资源,对外提供所有的能力,提升整体资源利用效率,实现资源共享。实现所有数据的集中存储,方便进行各种业务数据的整合使用,充分发挥全量数据分析的优势,将所有分散的服务集中到大数据平台统一提供,包括统一服务入口及访问规则,实现服务共享。构建统一的数据规则、服务规则以及开发规则,方便进行快速复制和推广。
第三条业务线“业务安全”要达到的目的就更明显了。
派拉通过服务管理中心(ESB)和业务开放平台(API),实现服务监控治理,应用整合,企业内应用、企业间应用、内网和外网应用均实现互联互通,统一调用安全网关,对接业务系统,打通企业云上云下本地应用,重塑业务架构。
这样做的直接目的是,实现服务快速共享,各系统提供的服务和消息发布在统一的企业服务平台,形成统一管理。它还试图优化业务逻辑——API 服务平台通过对系统间传输的数据进行修改和处理,实现复杂功能,可提升和优化业务逻辑,API服务平台构建数据映射、协议转化、消息拆分等扩展能力,可支持企业业务快速扩展与融合,实现业务扩展。通过免费增值、购买、订阅或者消费模式的任意组合,实现API盈利和业务创新。
创业企业如同行驶在高速公路上的汽车,高速行驶到一半如果遇到紧急情况大方向调整,整个企业都很危险。更好的情况是,聚焦的大方向是对的,所有的调整都围绕核心业务来。
从这个角度看,求变的派拉在稳健行驶,一直“没变”。
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/118550.html