数字化转型中的数字风险管理




数字化转型中的数字风险管理


前言


数字化转型是现代企业无法回避的命题,世界经济数字化转型是大势所趋。业务的数字化使得企业可以为客户提供更多的自助服务和新媒体互动,可以快速发布新功能以保持竞争力。习近平总书记多次指出,要加快数字经济发展。2020年4月1日在浙江考察时,总书记再次强调,要善于化危为机,抓住产业数字化、数字产业化赋予的机遇,抓紧布局数字经济。2020年5月13日下午,国家发展改革委官网发布“数字化转型伙伴行动”倡议,其中特别提到了要加强数字化生态信用体系建设,维护市场秩序、促进有序竞争。


Gartner在2020年发布的9大安全与风险新趋势中,也提到组织应建立新型“数字信任与安全”团队,专注于维护消费者与品牌之间的健全互动。消费者正通过越来越多的触达点来与品牌互动,从社交媒体到零售。消费者在触达点的安全感受程度会成为商业差异的重要来源。这些触达点的安全性通常由不同团队管理,各自运营并关注着不同的业务单元。企业通过逐步建立跨职能的信任与安全团队(trust and safety teams),以洞察整体互动过程,保障消费者与企业品牌互动时每一步的基本安全。


随着现代企业的数字化进程,对数字风险防护管理的需求正与日俱增。保护关键数字资产与数据免受外部威胁,提升在线业务运营稳健性越来越得到组织的重视,其价值已毋庸置疑。以辨证思维看待企业数字化进程,不难发现新发展阶段的机遇与挑战是共生的。在数字化转型的过程中,我们应该关注哪些风险场景,以及如何做好企业的风险防护体系呢?近日,安全牛邀请了天际友盟的CEO杨大路先生,就企业在数字时代的数字风险防护,进行深度的探讨。


数字化转型中的数字风险管理

杨大路

天际友盟 创始人&CEO

多年甲方安全管理经验,深刻理解安全对于企业数字化进程的意义。秉持“创造安全价值”的理念,2015年带领团队创立天际友盟,致力于威胁情报的最佳实践,为客户带去实际业务价值。


数字化转型中的数字风险管理

安全牛

数字化转型中的数字风险管理

数字风险的概念一直存在,在当前数字化转型的大背景下,数字化风险的具体范畴是什么?



杨大路很多企业已经开始或即将进入数字化转型的快车道,企业将会拥有更多的数字平台,提供客户更多的自助服务和新媒体服务;企业将快速发布更多的在线系统和功能以保持竞争力;企业将会尝试向客户提供多租户模式的SaaS服务;企业会将更多的IT基础设施云化,甚至直接采用公有云服务。


然而数字化转型进程中每一种新技术的引入,都会增加网络、应用以及数据存储的复杂性,绝大多数企业的IT管理者都能够意识到快速的数字化转型会增加数据泄露和网络安全风险,然而很少有企业能够处理这些由数字化转型所带来的风险。仅仅做好企业内部的安全建设将不能让企业应对全面网络时代复杂多多变的安全形势,需要重新审视数字风险防护(Digital Risk Protection)的定义与范畴。


数字风险防护(DRP)包括对数字风险的在线监测、对外部威胁的分析和预警、对外部风险的处置。Forrester公司将数字风险防护(DRP)描述为“针对数字资产存在的风险提供快速事件检测和补救功能的解决方案,以便组织可以在恶意行为者利用它们之前修复问题,并且当安全事件发生时限制成功攻击的影响。”



数字化转型中的数字风险管理

安全牛

数字化转型中的数字风险管理

数字风险,和传统意义上的网络风险,两者有何不同?



杨大路:主要体现在两个方面:外部性和业务性。


外部性是指企业安全将要面对更多来自外部的威胁。很多的威胁甚至不需要进入企业内部就会对企业产生影响进而造成业务损失,仅仅做好企业内部的安全建设,将不足以让企业应对全面数字化时代复杂多变的安全形势。


业务性是指随着企业数字化转型的深入,企业安全团队将不仅要满足IT安全的要求,还需要对业务提供更直接的安全保障。这要求安全团队从网络安全、信息安全向业务反欺诈、业务合规以及风险管理的方向持续进化。


2020年的这场疫情改变了社会交互的模式,疫情驱动的数字化快速转型使得相伴面生的数字风险会比预想的到来的还要更快更迅猛,这对无法适应变化的企业来说是灾难,而对另外一些敏捷化的企业来说,反而是一次机遇。



数字化转型中的数字风险管理

安全牛

数字化转型中的数字风险管理

有哪些比较常见的数字风险类型,对企业影响比较大?



杨大路:大致上,数字风险可以分为以下几大类:


  • 钓鱼欺诈,具体可能表现为网站、APP、社交媒体账号,通过邮件、短信等形态来散播;

  • 数据泄露,包括文档、IP、代码、知识等各类数字化的企业数据或资产;

  • 品牌侵权,包括恶意排名、商标滥用、威胁误报等;

  • 网络威胁,比如失陷资产、僵尸网络、勒索或其他的攻击团伙威胁等等,甚至暗网中的相关攻击情报。



数字化转型中的数字风险管理

安全牛

数字化转型中的数字风险管理

这些新型的数字风险,防护的特点和难点是什么?



杨大路:有几个特点是具有普遍性的:1是时间敏感,对这些新型数字风险,企业如果没有足够的事前准备和有效验证的风险防护措施,碰到问题时往往手足无措,只能眼睁睁看着遭受的损失持续扩大;2是跨境沟通,大部分欺诈对象都躲在海外服务商,即便能够定位,要去关闭或剔除,需要企业跟全球各类服务机构进行沟通维权,这个沟通成本很高,对于一般企业来说很难独立完成,需要第三方专业机构辅助;3是对抗性,有些欺诈团伙会不断地迁移、复活,或采取来源屏蔽、终端限制等种种手段,目的就是为了增加处置复杂度和提高存活时间窗口来完成欺诈。



数字化转型中的数字风险管理

安全牛

数字化转型中的数字风险管理

企业该如何评估自己当前的数字风险管理体系的成熟度呢?



杨大路:一个完整的数字风险管理体系,至少需要具备4方面的要素,以形成管理闭环。


识别:第一步是需要弄清楚企业最想要保护的数字资产是什么,这是我们所熟知的所有风险评估工作的起点。有很多成熟的评估框架和风险管理实践可以指导我们开始进行这项工作。


监测:随着数字化进程的深入,企业对自己所拥有的数字资产的控制力度将持续降低,为了发现这些数字资产的暴露情况,需要一整套覆盖全球Web网站、App商店、社交媒体、网盘存储、知识社区、深网&暗网等渠道的全球数字风险监测系统,这中间需要综合使用包括威胁情报、网络空间探测、搜索引擎等在内的多种工具和技术。根据企业数字资产的分布,结合威胁组织的技战术方法,企业可以在上面的监控体系中尝试建立一系列场景,更好的监测发现不同类型的数字风险。


响应:企业还需要具备对数字风险的处置或缓解能力。我们可以从战术执行、持续运营和战略决策三个层面进行能力规划,执行响应流程和程序,减少攻击面,关停违规内容,网络行为阻断,以防止事件扩散、缓解事件影响和消除事件。同时也需要针对事件活动酌情与内部和外部利益相关方沟通协调,包括寻求执法机构的外部支持。


恢复:外部的数字风险也会传导到企业内部,所以无论是威胁情报或者是其他数字风险防护策略,都应该能够被企业已有的安全设备和防护措施自动化应用。与内部和外部各方协调恢复活动,执行和维护恢复流程和程序,以确保及时恢复受网络安全事件影响的系统或资产。吸取经验教训,纳入今后的改进恢复计划和流程。



数字化转型中的数字风险管理

安全牛

数字化转型中的数字风险管理

要做好完备的数字风险管理,需要具备哪些能力?



杨大路:一个完备的数字风险管理体系,技术能力仅仅是其中一部分,需要多种综合性能力,共同构建起这个体系。


在技术层面,随着数字资产的多样性(商标、文件、课件、视频等),具备自然语言处理、图像识别、机器学习等各类能力已成为构建持续监控能力的根基,还要能够对发现的风险目标建立完整的威胁评估体系。


在法律层面,不同的数字资产在不同的风险场景下,所使用的法律维权依据各不相同。如果侵权目标架设在海外,还要根据当地的法律规范来进行合理申诉,在这一点上,法律能力与技术能力在实操中同等重要。


在服务层面,准确地为业务场景进行画像,通过SaaS平台提升自动化服务交互能力和响应,建设并不断完善全球服务合作体系,甚至团队的多语言能力和时差管理等,都对最终服务效果有着质的影响。



数字化转型中的数字风险管理

安全牛

数字化转型中的数字风险管理

数字风险管理,对于企业的业务价值表现是什么?



杨大路:数字风险管理的业务价值主要体现在以下几个方面,一是完善应急响应体制。主动发现,积极防御,将数字风险防护融入到日常工作流程中。做到一旦检测到威胁发生,可以立即处置,快速止损;二是提升内部风险意识。市场、法务、风控、人力资源、财务,包括企业的高管,都是数字风险的潜在目标,用案例和事实说话,可以提升内部业务部门的风险意识;三是清理隐患。建立了数字风险管控体系的企业,可以定期的梳理面临的各类外部数字风险,及时发现隐患,提前排除;四是抵抗行业潮汐风险。恶意组织通常会同时向一个行业或一种类型的多家企业发起恶意攻击,比如面向金融机构的钓鱼活动,由于对于攻击者的成本是固定的,这时,风险防御机制不完备的客户,可能会成为被集中攻击的高危目标。


除此外,在实际的数字风险防护工作中,我们往往还会收到客户业务部门或者法务部门的一些特殊请求,最常见的就是请求我们协助定位数字风险事件背后的人。所以如果你的团队具备威胁狩猎的能力,并能够恰当的使用,将会成为画龙点睛的一笔。



数字化转型中的数字风险管理

安全牛

数字化转型中的数字风险管理

国际上,数字风险管理的市场发展如何?



杨大路:Forrester、Gartner、Momentum Cyber等国际机构,都从不同角度在关注这一新兴的业务领域,一些国际厂商也在这方面做了很多前瞻、专注的拓展。比如Digital Shadows、RiskIQ、Zerofox等等。海外用户的业务场景和国内企业的有关场景相比略有不同,比如海外对暗网、代码泄露、名人和高管的社交媒体侵权的关注度相比国内要更高,而国内用户对于文件泄露和APP仿冒更加重视。


在数字风险防护的领域,中国安全企业有明显的地域特色和优势。一方面,对于国内企业而言,跨境对抗能力是基本要求,因为欺诈中国企业的目标往往都藏身海外;另一方面,对于跨国企业而言,语言和对中国本地业务的理解是独有优势,国际厂商无法解决中文语境下的风险识别。


总之,数字风险管理当前已成为网络安全扩展到新领域的一个重要内容,应当引起我们高度重视,并提前准备和加以应对,为组织数字化转型过程中数字资产保护提供可靠的方法与工具。



相关阅读

供应链安全五大关键数字风险的思考从数字风险看网络安全保险业务的兴起
数字化转型中的风险治理:业内首提风控中台


数字化转型中的数字风险管理

合作电话:18311333376
合作微信:aqniu001
投稿邮箱:[email protected]





数字化转型中的数字风险管理

上一篇:【观察】腾讯云领跑对象存储背后,做海量数据驱动的新引擎
下一篇:最全干货回顾,一文看尽亚马逊 re:Invent 2020全貌

相关推荐

引进培育更多更强的大数据龙头企业

1063 贵阳晚报

  潘朝选  以液晶面板为主打产品的晶泰科(贵州)光电科技有限公司,生产车间70%以上为自动化作业模式。该公司的生产线“智能升级”工程,对企业长远发展、提质增效意义重大。我们要从类似成功案例中充分汲取经验,进一步顺“数”而为、综合施策,坚持引进与扶持并举,让大数据龙头企业强起来、多起来,加快数字经济发展。  省委十二届八次全会强调,实施数字经济万亿倍增计划,

第五届挖贝新三板领军企业年会落幕:精彩瞬间集锦

960 挖贝网

文|挖贝网第五届挖贝新三板领军企业年会于12月24日圆满落幕。在精选层如期开市、转板上市即将迈入实操阶段之际,挖贝网本届年会特邀中国证监会北京证监局原副局长、巡视员姚万义,全国股转公司公司监管二部总监助理叶莹,以及投资机构代表、业界专家等齐聚一堂,以“新起点·新征程·新未来”为主题,围绕“新三板新机遇”、“精选层投资逻辑”、“如何备战转板上市”、“精选层做将

2021年数字化战略的主要趋势

988 企业网D1net

点击上方“蓝色字体”,选择“设为星标”关键讯息,D1时间送达!2020年下半年出现的趋势,包括向云软件、虚拟解决方案和自动化的迁移,以及通过分析来衡量这些解决方案的效率,将在2021年获得发展势头并加速发展。随着员工进入了新型冠状病毒大流行的第二年,培养一种高质量的混合工作模式以支持优秀员工体验的重要性将不可低估。2021年,IT领导者将为重组后的公司办公室

中国夫妻最缺什么?(几乎家家缺)
私房话

中国夫妻最缺什么?(几乎家家缺)

1055 少年晚安

中国夫妻不缺隐忍坚守,不缺默默付出支持,所以我们的婚姻讲求相濡以沫,同甘共苦,仿佛这才是模范夫妻五好家庭该有的模样。但是我们,往往忽略表达,不善于寻找乐趣,习惯把生活过成一杯平淡的白开水。婚姻专家指出,与国外夫妻相比,中国人的婚姻容易缺少以下7样东西——你是不是也一样?01缺亲昵中国夫妻大多羞涩,觉得亲昵是黏糊的表现。但研究显示,拥抱、亲吻等表达亲昵的动作,

2021年,推荐一款毫无新意、剧情很烂、根本不好玩的steam移植游戏……
游戏

2021年,推荐一款毫无新意、剧情很烂、根本不好玩的steam移植游戏……

1150 手谈姬

2021年的第二天,姬友们感觉如何?手谈姬已经决定今年就是这个状态了:不过说真的,最近天气是真的冷,帝都那零下十多度的风往姬脸上一吹,姬直接跪了。所以宅在家没什么不好嘛!今天是2021年姬第一次安利游戏,给大家整个特别的。《ThereIsNoGame:WrongDimension》,中文译名《这里没游戏:错误的维度》,于2020年8月登陆steam,好评如潮

年末最后一场活动,购买会员可享大额立减优惠!还在等什么?
私房话

年末最后一场活动,购买会员可享大额立减优惠!还在等什么?

1866 陆琪

如果你想脱单,你可以看下面这些课:《超准测算情感模式,让你的爱情少走弯路》《什么样的男人才是真的适合你》《朋友圈这样发90%的男人都会心动》《手把手教你用微信脱单》……如果你有喜欢的人,可以学下面的课去撩他:《如何让他感觉你很会聊天》《相亲约会黑科技》《三十秒让男人对你产生兴趣》《倒追别倒贴:如何轻松俘获男人心》……如果你不知道他是不是渣男,可以看下面的课:

萌宠

什么柯基,这明明就是傻不拉基!

476 大爱狗狗控

别人养的都是超级无敌可爱的小柯基,而自己养的却是蠢到无边的傻不拉基——很多狗狗都会藏食,把吃不完的东西藏起来以后再吃,但狗子一般都会选一个隐蔽处...但这只傻不拉基,叼着零食就往铲屎官的大腿下藏,还埋的非常认真!“最危险的地方就是最安全的地方,铲屎官一定想不到我会藏这里...”铲屎官:我确实没想到,但我看到了!网友家的这只柯基,不知道为啥跟皮筋杠上了,非要扯

我就是火
萌宠

我就是火

1102 青年文摘

▌更多阅读推荐·关系之间那点“脏”,今天把它说透·单身狗的矛盾日常:一边喊着要脱单,一边拒绝所有社交

男人女人多大仇
私房话

男人女人多大仇

1783 南风窗

作者|李寻欢蓦然瞥见“妻子擅自终止妊娠是否侵犯丈夫生育权”这个微博话题,这一看,大意了,闪也来不及闪。“又来了。”这是心里下意识的反应。果不其然,又是一场男权与女权的争论。其实,“争论”这个词太斯文,而且要求太高了。“男性自己生才叫他们的生育权。”“好家伙,你把种子撒我的菜田里,我给你薅了你还要我赔钱?”“我自己的肚子,我想生就生,不想生就不生。”……再往下

艾斯电竞学院X佛山GK 年终期末考试 职业电竞大门向你打开
游戏

艾斯电竞学院X佛山GK 年终期末考试 职业电竞大门向你打开

1982 ACE艾斯电竞

艾斯电竞学院王者荣耀青训营学员经过三个月紧张、充实的学习,在12月23日迎来俱乐部试训的日子。作为王者荣耀青训营第二期学员,这次学院安排的是顶级KPL战队佛山GK俱乐部对学员们进行试训。本次试训的环节主要有四个环节,对学员的初印象,教练对抗赛与赛后复盘,一对一面试,GK选手座谈会。通过这四个环节,对学员进行充分的考察,并利用多种方式考核学员。个人形象管理好初