阿里巴巴副总裁肖力:云原生安全下看企业新边界——身份管理 - 行业资讯

作者| kirazhou

　　
　　<>强导读:在10000多公里之外的旧金山,网络安全盛会RSAC2020已经落下了帷幕。而身处杭州的肖力,正在谈起今年大会的主题——人类Element.2020年,从“人”出发,这颗石子将在国内的安全市场池子里激起怎样的涟漪?人为因素的背后隐藏着怎样的安全洞见?
　　　　
在Gartner的《2020年规划指南:身份和访问管理》报告中,我们看到了它必须推进我(身份和访问管理)计划,而身份治理和管理,混合/多云环境作为可预见的趋势,更是已经在风口蓄势待发。
　　
人,身份和云端,这三者之间的角力,千丝万缕和无限可能,正是此次采访的最大收获。
　　
　　　　　　人为因素:了解人的脆弱性　　
我们常常谈起,“安全的本质在于人与人之间的对抗。”
　　
从攻防对抗的视角来看,人的因素使得攻防对抗成为一个动态的持久过程。攻击者的手段,工具和策略都在发生变化,而防御者的安全防护能力也在提升,两者之间持续对抗,安全水位线一直动态变化。
　　
在整个攻防对抗过程中,人,既是防御者,也可能成为攻击者,而对抗不仅会发生在企业与外部的对峙中,很多时候也发生在企业内部。
　　
人,是绝对的安全核心,这是今年RSAC大会传递给我们的讯息。而在关注人的安全技能与能力建设之余,也要清晰地认知:人的脆弱性使人本身成为安全中薄弱的一环,因此,企业在应对来自外部攻击的同时,如何防范来自企业内部人员的威胁同样关键。
　　
2017年卡巴斯基的调查报告中提出,46%的安全事故是由企业员工造成的。现在,这个比例已经上升至70% ~ 80%,譬如内部开发者由于未遵守安全规范或自身安全能力不足,而导致所研发的应用在设计之初就留下了漏洞,亦或是在职/离职员工由于操作不规范或直接的恶意行为导致企业安全问题。
　　
"整个安全体系绝对不仅是和自动化蠕虫做对抗,这只是冰山一角”。
　　
面对“人”带来的安全影响,肖力认为问题根源在于企业的安全基线做得不到位。目前,很多企业更注重于威胁检测与响应,这一部分确实有用,但还不够。”我们思考的不是出了问题后如何去解决,而是如何不出问题。”因此,事前的安全基线设置比起事后的检测与响应更为关键。企业安全基线包括了:
　　
　　
　　<李>所有应用系统的统一身份认证与授权李　　<李>安全运营:设置红线李　　<李>建立应用开发安全流程:确定开发人员培训,内部安全考试与认证等规范李
　　　　
如果说企业的安全基线是走向安全的基础60分,那么,只有先做好安全基线再去做事后检测响应能力的提升,才能让企业安全体系更为稳固。其中,“身份”作为在互联网中的直观映像,身份管理对于有效降低内部人员的行为带来的安全威胁可以说有着重要作用。
　　
阿里巴巴副总裁肖力:云原生安全下看企业新边界——身份管理