叠加视角:重塑数字风险管理
在企业数字化转型进入深水区,被动安全体系捉襟见肘的今天,数字风险管理正在成为安全建设的重要部分。云科安信董事长兼CEO金飞在开场致辞中表示,认知是安全的尺度,风险是数字世界的本源,云科安信致力于将数字风险管理的权力交还给客户,帮助企业组织重塑数字风险管理能力。
图/云科安信董事长兼CEO金飞
数字化转型是信息技术驱动下的一场业务、管理和商业模式的深度变革重构,技术是支点,业务是内核,安全则是所有0前面的1。换言之,数字化进程下,感知、度量、收敛数字风险,是企业组织必须妥善解决的问题。对此,金飞详细阐述道,当前企业网络安全建设常常面临着IDS、IPS、WAF等常规安全策略配置齐全,满足合规、解决业务需求,却无法有效规避数字风险的窘况。
“一切风险都可以用数字的方式呈现,但数字风险不是企业的唯一风险,也不是企业的终极风险。”金飞表示,从被动威胁应对到合规驱动,当前的数字化浪潮正倒逼网络安全走向实战化常态化,多重视角下企业的数字风险管理能力亟须升级,打造主动免疫、主动防御、整体防控的主动向数字风险防御体系。
据安全419此前了解,云科安信认为,数字世界已经反向成为了物理世界的基础设施,未来一切物理世界的社会活动、社会行为都将建立在自动化、智能化的数字基础之上,依赖于数字世界,又被数字世界所控制。在这种情况下,网络安全的边界已经名存实亡,围绕边界展开的一切防御工事,最终将进化为在整个数字世界中的风险管理,云科安信将其称之为物理世界与数字世界的“叠加”。
「信息图鉴」产品矩阵正是云科安信基于“防御叠加度量前移”新风险管理理念,依托NIST通用风险模型和风险的优先级技术,着力打造的数字风险管理产品体系,其核心是从风险维度出发,以攻击者视角重新度量风险的实战向数字风险防御体系。
风险驱动:数字安全御风而行
正如上文所述,网络攻击风险、动态员工风险、第三方风险、云转换风险、数据和隐私风险、流程自动化风险、合规风险、业务弹性风险……是数字时代企业组织无法避免的风险隐患,而关于提升企业数字风险防护能力,历经威胁驱动、技术驱动、合规驱动、业务驱动等不同阶段,却依然难有双全法。
图/云科安信CSO张晓兵
聚焦数字风险管理,云科安信CSO张晓兵在题为《御风而行 从攻击者视角重新度量风险》的演讲中指出,相较于过去行业所熟知的安全理论体系与合规体系,黑客的攻击逻辑始终是从有效性出发。因此张晓兵强调,在全新的攻防态势需要转换思路,从攻防驱动的视角出发,在组织、IT、业务三位一体的数字空间,切实有效地度量风险,用效果验证安全的实效性。
张晓兵表示,风险管理强调的是对被防御目标的变化进行高频持续且精准的度量,云科安信将这种度量的能力命名为“信息图鉴”,也就是本次发布会的核心。在风险管理安全逻辑下,云科安信致力于通过度量数字空间风险变化的方式,真正测绘出整个风险世界,从而用升维的方式解决数字世界和物理世界叠加后趋向复杂的安全风险。
信息图鉴:打造风险管理安全闭环
据悉,作为云科安信重点打造的数字风险管理体系,「信息图鉴」产品矩阵根植NIST通用风险模型和风险的优先级技术,着力构建覆盖攻击源探查、攻击路径发现、攻击者溯源以及叠加防御的全链路数字风险管理体系,通过“防御叠加度量前移”的安全理念,持续打造新风险管理的安全闭环。
·l朝天:从源头锁定攻击者
云科朝天数字风险攻击图鉴系统作为先进的攻击者发现系统,其核心是解决“谁攻击了我”这一关键问题。在技术上,朝天凝结“数字留痕侧写技术”“攻击者能力画像技术”“全流量隐写技术”,对攻击者进行全面的测绘与度量,从源头上锁定攻击目标。
·嘲风:识别攻击风险路径
云科嘲风数字风险路径图鉴系统的核心是被动式的流量风险防御,通过实时嗅探等功能,协助用户检测自身已知与未知的敏感脆弱资产,触发API访问、弱口令访问、数据交互访问等场景时,对企业隐性攻击路径进行识别和防护。
·睚眦:为业务提供无感防护
云科睚眦数字风险全栈防御系统作为领先的主动式流量风险防御系统,其优势是基于“攻防为视角,实战为内核”的思路,在应用层防护基础上,提供SSO身份认证、网页自免疫、URL令牌、表单加固、业务欺诈保护等高级风险防御功能,为业务提供无感防护。
·开明:洞察人与组织的风险
云科开明数字风险角色图鉴系统,基于“OSINT开源情报框架”,可智能检测App、公众号、微博、网盘、文库、代码泄露、邮箱泄露等多维度信息,并通过行业信息匹配与关联分析,精确刻画人和组织的数字留痕。其核心是帮助客户打通实战攻防的信息渠道。
图/云科安信COO陈思
云科安信表示,继白泽数字风险资产图鉴系统、宪章攻击模拟与自动化验证引擎两大拳头产品后,推出朝天数字风险攻击图鉴系统、嘲风数字风险路径图鉴系统、睚眦数字风险全栈防御系统、开明数字风险角色图鉴系统四款全新产品,从攻击源、风险路径等维度出发,带来闭环式的数字风险管理新体验。
未来,云科安信将继续围绕信息图鉴这条产品主线,着眼数字风险的变化,迭代更多图鉴系列产品,将不同维度、不同边界的风险管理聚合在一起并实现动态度量,帮助用户持续感知自身风险,重塑数字风险管理能力。