疫情后的网络安全思考：让黑天鹅飞不起灰犀牛冲不动

原标题：疫情后的网络安全思考：让黑天鹅飞不起 灰犀牛冲不动

大家好，我是童磊，很高兴有这个机会跟大家去分享。新冠疫情突然发生之后，我们生活工作发生了很多的变化。

首先做一下自我介绍，我是来自于德勤风险咨询的总监童磊。我在行业内已有超过16年的网络安全咨询和管理经验。今天的内容会贯穿我自己积累的一些项目经验，以及现在大家在生活和工作中遇到的一些安全事件，跟大家一起互动沟通。

今天的内容主要会分为六个部分，首先一起回顾下全球的网络安全现状。

在新冠疫情的影响下，我们其实出现了很多新的安全风险，结合全球现状，我们定位在中国，尤其是近期发生在我们身边的一些安全事件，这些安全事件的背后，看看安全管理和安全技术有哪些值得我们去思考和提升的？

结合事件，纵观我们国内现有的安全服务产品，以及结合现有的一些客户事件，展望未来，看如何能够帮助我们的企业，帮助我们的整个的这样的各行各业的工作人员，去快速恢复生产，恢复我们的工作。

我也会结合德勤全球的最佳实践案例，以及相关项目经验，跟大家共同探讨业务连续性、等保2.0、GDPR、云安全云部署相关的最新解决方案，跟大家互动几个比较热的话题，以及基于我们最佳实践全球团队做出的一些安全解决方案的介绍。

01 全球网络安全现状

今年的新冠疫情，毋庸置疑的是最大的一次黑天鹅事件。大家的业务与工作都大部分转战到了家庭办公，远程办公。有条件的企业可能已经有很成熟的移动办公解决方案。但是没有条件的一些中小企业，他们为了恢复业务，可能会需要用第三方的办公软件、实时通讯软件来进行业务拓展。

这个就必然面临着一个新的安全风险，哪些数据可以在公有网络上传输，哪些信息，包括视频和语音信息，是否涉及到安全隐私问题，其实都是在疫情下我们必须要面临的挑战。

同时在整个网络安全行业里，其实大家可以看到这个图，我罗列了近两年内最新的最典型的一些安全事件，这些事件其实都来源于我们德勤全球不同的威胁情报中心，有一些是我们收集到的最新的安全事件，然后把它发布到我们的威胁情报数据库里，我们会基于实践进行分析，设计出相应的最佳解决方案。

所以我们看到不同的安全事件背后其实都会有一些问题，比如从社交媒体、新闻里可以看到越来越多的数据泄露、隐私、罚款等事件。

这些事件都有一个特点，就是越来越多的企业和社会都已经认识到了信息安全的重要、网络安全的重要、隐私安全的重要，这些事件都可以归类成一些叫灰犀牛事件。

这些事件的特点就是通过我们结合最佳实践和已有的安全控制，已经能够在一定程度上控制这些风险事件的发生，或者我们可以在一定程度上控制这些事件发生之后的影响。

我们在新冠疫情期间发生的安全事件。比如说3月NBA巨星科比事件，这种信息泄露会给每一个人的日常生活带来非常不好的影响。对于企业来说，大家也可以看到二月底的微盟事件。

微盟事件其实也是发生在我们疫情最敏感、最关键期间的一个典型安全事件。从事件影响上及从网络安全的所有这些事件来分析，大部分的事件都是源于企业的数据或者个人信息数据泄露。

当然也有一部分数据属于业务数据，像微盟数据，它其实是属于业务数据，业务数据的中断、删除和被窃取，会给企业客户带来非常巨大的影响，这些影响可能是经济上的损失。微盟所有业务中断，要花费1亿的赔偿给到相关中小型商户。

像国泰航空事件也是一样，因为个人信息泄露，导致整个公司都面临合规机构处罚的天价罚款。从我们刚才分析的这些事件背后，可以看到大部分事件都集中在个人或者业务信息，这些信息都是结合越来越多的企业在信息化转型，在越来越多的业务上云的过程中，伴随发生的。

个人信息在企业线上活动，以及电商经营活动上是非常重要的。尤其现在我们使用了很多像大数据、精准营销等相关技术，就更加依赖于我们掌握到的客户信息，这些客户信息其实是有巨大的商业价值的，这其实也告诉我们在信息安全事件发生的背后，其实是有一个发展或者逐渐升级的过程。

原来的信息安全事件可能是以伴随着破坏恶意的攻击为目的，而现在大部分的事件都是基于利益驱使造成的安全泄漏。

我们通过全球的信息安全调查得出，中国的个人信息泄露已经非常严重，已经超过55亿的个人信息条目被泄露。同时大概62%日常使用的的APP，都存在不当使用、收集个人信息的行为，这些个人信息在我们使用社交媒体，使用在线APP应用时，都给我们个人甚至给企业带来风险。

对个人来说，我们个人隐私可能受到侵犯，对企业来说，他可能面临国际上的GDPR、欧盟的GDPR合规的要求处罚，以及中国的个人信息相关法律法规的处罚。

在黑产日益严峻的情况下.目前不官方的一个数据是将近100万条个人信息数据，它的经济价值其实可能已经超过3900万美元。如何保护我们的个人信息，是全球共同面临的问题和挑战。大家其实也知道在个人信息保护方面，全球现在主要有几个很大的安全管理体系，中国在个人信息安全规范的要求和进程中，也是非常和世界同步的。

我们可以看到中国版的信息安全规范，在近期内正式发布了更新版。这个更新版其实已经很大程度上跟欧盟的GDPR数据通用保护条例相同步。

大家也可以看到像欧盟GDPR从2018年正式公布实行以来，其实它也有相关的一系列指南在欧盟的网站上进行对全社会的公开征集，这里我们也可以看到在全球最严或者是相对来说最完善的信息安全管理规范的制度和政策的推动下，个人信息安全的管理力度在向全球蔓延。

大家可以看到近期内其他国家以国家为首进行集中发布，像美国有隐私框架1.0，于今年年初正式颁布。去年年底，美国加州法案也是基于专门针对个人消费者的个人信息，进行合理合规，要求企业遵从的法律。英国也是针对青少年保护儿童隐私发布了相关法律。

尽管英国现在还在考虑脱欧过渡时期的问题，但是针对欧盟所有的个人信息保护的规范，GDPR已经相对成熟的落地，并且执行效果贯穿到整个欧盟成员国和相关的区域国家中。东南亚其实也是一样，我们现在也陆续接到东南亚的一些客户企业的需求，像印度、泰国这些国家，同样在陆续颁布个人信息安全规范，其实这是大势所趋，也非常合理。

因为越来越多的个人、企业把它的线下服务都搬到了线上，而且我们日常生活，包括使用的APP，已经越来越多的渗透到我们日常生活的每一个细节。在这个过程中个人信息的价值，对于商家、对于企业来说就异常重要，这也是为什么我们关注这些事件的发生，以及这些事件后续产生的深远影响。

针对这些事件，我们还是从安全的角度去分析。安全事件主要来源于两大部分，一个部分其实我们不得不说安全是相对来说跨界的学科，它需要很多的技术基础，同时在现有关键信息基础设施的成熟建立之后，企业依然需要重点考虑管理制度。

区别于传统IT或者说信息化建设，因为信息化建设往往是以信息化转型为最终目标来去衡量它的质量，而信息安全不光是要建立在信息系统的正常运行上去考量它的质量，同时也要看到整个企业里人为的因素。

人在企业的现代化、信息化办公设备和应用系统上，如何去合理合情合法地去使用这些技术，来创造商业价值和效益。这个也是同样的重要的话题，这就是为什么我们说企业的安全：技术和管理是分不开的。

我们用两个事件来介绍，第一个是国泰航空事件，把这个事件跟大家分享因为它的特点是这个事件很久以前就发生了，早在2014年漏洞其实就已经存在了，恶意攻击者和黑客其实一直没把它曝出来，他利用漏洞持续对国泰航空的信息系统进行渗透和卧底。把客户信息窃取出来，去创造相应的非法盈利。在18年的时候，由于信息技术的提升，才发现了漏洞。

在四五年的过程中，其实已经不知道影响到多少客户群体了。我们回溯事件会发现他的问题起源于它的基础设施存储存了这些客户信息的系统，但是没有达到足够的安全控制，没有足够强的安全技术手段，相关服务器没有进行安全系统补丁的更新，同时它的相关基础设施没有做安全防控，在这种情况下才被黑客所利用，持续窃取信息。

刚才大家如果留意到也知道2018年的GDPR在公布执行之后，它的立法和执法就遇到了一个比较尴尬的境地，因为事件是在立法之前就已经发生了。三月初，英国的ICU组织，也就是GDPR的一个强有力的执法部门，对国泰航空公司进行了正式的行政惩罚,处罚措施是罚款50万英镑。

基于GDPR的要求，它会对违规企业进行全球营业收入4%的处罚。肯定不仅仅是50万英镑能解决的，因为问题是发生在了GDPR颁布之前，同时也会有一些相应的证据证明了他在前段时间对技术手段没有很强的能力去侦测，才进行了这样一个量刑。

这给我们的启发是在企业里，我们需要去看这些储存了敏感个人信息的系统安全性，我们要进行相关的安全防护，并且经过专业咨询机构或专业产品服务确认，来保证我们的基础设施能够得到有效的安全保护。企业安全技术一定要跟上，而且安全补丁是最基本的要求。很多放在互联网上的企业主站服务器，现在还在用一些已经停止更新服务的版本，那都是巨大的隐患，都有可能会被黑客所利用，窃取你的核心系统信息。

02 微盟事件后的启发

第二个事件是微盟事件，它其实是在今年疫情最敏感的时期发生的，2月份大家都关在家里的时候发生了这么一个非常彻底的删库事件。

删库事件导致的结果是，微盟所有的客户信息全部被删除。我们现在都用这些在线的微商APP去购买相应的电商产品，百分之80%以上的电商中小型客户会使用它上面的SaaS服务。

基于这些SaaS服务，它会储存你相关的订单信息、快递信息、商户信息、下单金额，以及下单地点、收货地点。这些相关的信息都保存在微盟的数据库里。

通过我们事后分析来看，相关包含核心系统的核心信息的数据库，没有做增量备份，没有做相应的磁盘快照，也没有做相应的基于数据库不同层级管理员的这样一个权限控制和审计，基于这样种种的一些原因，导致了这样一个仅仅具有普通身份的IT人员得以进行一个恶意的破坏，造成对公司巨大的影响。

微盟事件给我们带来的启发，包括我们未来企业如何去规避类似的情况发生。

第一：

在这种情况下，尤其在突发的需要远程办公处理的情况下，我们企业的确可以有限度地去搭建VPN通道，让一部分人有很小的权限去访问VPN通道，访问企业内网。基于最小权限的原则的设计去进行有敏感信息的核心系统访问权限的设计和控制。

第二：

一旦发生了这种不可抗力或突发情况时，我们对企业数据要有长效久安的备份管理还原的一个机制，在安全里边有非常成熟的解决方案，我们叫BCMR业务联系性管理。

在业务联系性管理中，尤其对这些依赖于数据生存的企业，一定要对他的核心数据库进行热备、冷备、异地灾备以及相关多种手段进行数据的备份管理。同时因为我们看到这个事件花费了很多时间进行数据恢复，也意味着在我们日常的备份策略上，也要进行一个重新的设计。

我们需要进行一个基于业务视角的一个设计，其中对我们现有的数据及数据库的管理，一定要加强我们的管控力度，同时像一些敏感的权限，比如说我怀疑是他们管理员已经用到了像22M-2F这样的超级破坏性的一些命令，像这种敏感型的命令，我们其实要在IM的系统上，或者在我们的堡垒机上，或者在其他一种安全管控的设备和这个策略上进行管控，或者直接就把它Block掉。这才能在一定程度上来规避这种乌龙事件的发生。

安全事件的背后，其实可以暴露出安全技术和管理的一些缺失。我们在相应的SLA，在相应的RTO，RPO的设计层面，一定要去进行针对业务层面的设计，同时基于这样的设计，我们去规范我们SaaS的相关管理服务协议，同时要对自己SaaS服务这一块承担自己应该承担的所有责任，因为大部分的SaaS服务其实是不能依赖于云提供商提供相应支持的，他们只能提供足够的技术支持。

作为企业来说，SaaS里边的数据，需要有非常严格的保护和措施。刚才我们也提到这种数据级别的保护其实有两个方面，一方面在保密层面，就是说为了规避我们的这些数据被黑客或者被一些恶意的内部人员和外部人员进行非法访问，我们需要在保密的层面进行病毒的防护、攻击的防护，包括数据库代码层面的防护，在这里边我们最根本的需要是加强安全权限访问控制的设计。

另外一个重要的问题，就是安全的可用，因为我们的业务是承载在SaaS服务上的，所以安全的可用性非常重要。

我们要设计相应的业务连续性业务，在对恢复管理的相应的流程和技术。在这里我们其实可以看到，最终的一个解决方案或者是建议，就是我们企业要做到高可用和冗余，可能也意味着企业要花额外的金钱和成本，包括人力成本去做一个安全灾备高可用的设计。

第二就是容灾技术，容灾技术其实现在很多的云厂商，尤其我们国内有很多的选择，他已经从产品功能上做到了异地多地或者说是海外国际的多地的容灾中心，在这里也意味着不同的这种SLA和业务连续性的一个设计。在这里我们无论涉及了多好的安全技术安全流程，包括冗余的机制，我们依然要进行相应的操作人员的管理规范的要求。

第三备份技术其实也是为了能够缩短我们业务恢复时间的补偿控制，所以在备份技术这一块，我们也可以利用最近的一些产品备份的解决方案，去进行相应备份恢复的工作。

然后事件整体的恢复提升计划，其实我们也可以结合微盟后续的官方声明，也看到了相应的一些启发。其实在整体的事件，我觉得在某些程度上或者是在整个的事件发生的过程中，有很多次机会去进行弥补。我们在这里边可以看到事前、事中、事后，包括灾难发生的时间节点，都其实是有一些相应的安全控制可以去做的。

在事件发生的时候，其实我们也需要把相应的流程在日常可能有限的条件下去进行演练，来保证真正灾难恢复的时候相应的机制能够自动激活。

从安全咨询来说，我觉得对一个企业往往最开始或者在他的创始初期是最需要安全咨询的。因为当企业在快速发展的时候，很难去兼顾到安全相关的这些控制、管理、技术。

所以在这种情况下，如果要适应它快速发展的业务，我们有必要去找专业的第三方公司去做安全咨询服务，里边可能主要的内容会包括安全架构设计，安全业务的规划，可能会跟他整个业务，整个公司本身的主营业务去相吻合，做定制化的一个设计。

安全实施其实刚才我们也提到，你要去做业务连续性，你要去做备份，要去做云服务供应商的选择，这个其实是伴随于安全的相关产品的。从整体来说，国内和国外都是有可选的一些产品，能够帮助我们的企业去进行安全管理安全制度的落地实施。

最后当我们借助了我们的安全管理手段，借助了我们的技术管控措施，在日常的运行维护过程中，依然需要安全的一些运维。为什么这么说？

假设如果微盟它有一个足够强的7×24小时安全运维服务，那么这样的一个所谓工程师，他通过自己的个人行为与VPN技术去连接到网络进行破坏的可能性就会很低。所以安全运维通过把现有的企业的产品、制度进行科学标准化的运维管理，才能够帮助企业达到一个长久稳定的一个发展。

03 网络安全产品市场概述

所以安全的产品，我觉得大家可以在未来考虑这三个维度，当然这三个维度也是我们德勤安全咨询都能够Cover到的一些领域，这里其实我就想很客观的跟大家去说，也是结合我个人的经验去说。在国内的网络安全企业里的现况，在各位可能也有共识了，因为无论是在车联网、在IOT其实依然会看到这些产品的一些身影。

在本土公司我们可以看到，很多的企业很多的产品，包括活动都非常的如火如荼，我们中国的安全的盛会，中国的国内的网络安全产品发展的速度很快，说白了有很多的风投，有很多的投资者去看好这个行业，所以会有很多的企业去追逐相关的一些产品的研发。

但是我觉得很大的一个问题就在于中国当地的厂商普遍存在服务质量参差不齐。有一些领头的企业可能也是基于它某一些主打的产品或者盒子或者是软件去进行一个渗透形式的市场策略，去进行整体解决方案的承接。

但是往往这些产品厂商它不能Cover到非常全面的解决方案的设计。它的产品只依赖于它自己产品的特性，它的杀毒与防护软件，很难去管理或渗透到或者了解到整个行业的需求。

所以国内的企业我觉得最大的问题是缺乏整体的解决方案，技术的能力也参差不齐。国外厂商其实也不一定很好，从技术实力上来说，的确是比国内的公司都要先进。而且他们的这些成熟的解决方案也是相对来说能够最新最快的帮助我们的企业去应对相应的安全风险，但是他们依然存在的问题，他们的这些产品在中国的售后往往都非常分散，自然而然他们的工作时差以及相应的技术知识的语言都很难达到。

同时基于我们整个国情的背景，很多安全厂商的产品通过因为执照的问题，不能在中国去进行落地，如果我们没有产品帮助落实我们的安全管理的话，其实我们的安全还是有非常大的隐患的。由国际权威测评组织IDC，大概在2月底3月初发布的对市场的安全服务厂商进行了一个排名，那德勤公司也是在领导者象限处于最低的这样一个位置。

安全咨询服务，其实对比于刚才我们介绍的安全产品，国内国外的也好，安全服务其实就是基于安全的解决方案，去客观公正或者结合企业的实际情况进行安全方案的设计。我可以选择国内的一些产品，比如说VPN，同时我会选择一些威胁情报的工具，通过这样的一些整体解决方案，帮助企业去做实施和落地。

同时基于我们安全服务的能力，我们有一些专业的安全的咨询人员，有些人员是来自于这些厂商。刚才也提到了有一些厂商它存在售后支持不力的情况，也许咨询公司可以把这个问题去解决。

在新冠疫情之后，未来的企业或者整个中国安全产业未来发展的一个方向。我们能够把真正适合企业的安全方案进行设计并进行落地，才是我们企业真正需要的。就最终目的来说，也是帮助企业在一定程度上去规避类似的恶性事件风险。

04 网络安全市场发展趋势与展望

最后也跟大家分享一下全球的安全趋势，从这个图上我们也可以看到IDC的全球安全市场规模预测也可以看到，整个安全市场都会是一个持续发展的过程。

在2020年中国全市场总支出应该会达到超过80亿美金的市场份额，这里包括我们刚才说的软件产品、硬件产品和咨询服务，在所有的安全市场服务里，基于这样的事件，我们可以去思考如何选择适合企业的安全服务、安全硬件才能使我们接下来应对越来越多的未知风险，越来越多的灰犀牛或者甚至是黑天鹅的一些事件发生，如何去把控企业的安全？

最后我也想强调一点，当然也是我个人的感受了，在所有的安全产品服务的范畴里边，越来越多的企业，甚至我们个人作为消费者，我们越来越倾向于一个端到端的服务。

换句话说，我们就需要一个端到端的交钥匙的一个解决方案，我们就希望一个从安全产品设计到安全产品实施到安全产品运维，一个全生命周期的安全服务。

我们也可以Open Mind的去想一下，未来可能会有哪些安全的趋势。从我们日常生活中我们可以看到，越来越多的企业可能会考虑到大数据、考虑到SaaS，考虑到云、基于云，AI这些相关的新技术，我们想说的是新技术的诞生，必然会带给我们附加的新的安全风险。

举个简单的例子，现在的黑客比原来10年前的黑客，它的门槛会低很多。他可以通过一些非常自动化的工具，甚至现在A.I.的一些技术，把之前可能需要花很多年本科专业的大学生的这些技术，在几个小时之内就能够复制，能够完成，一些人就可以通过很短的时间速成去进行安全攻击和破坏！当然了我们刚才也看到很多的一些事件，在越来越多的安全事件漏洞，被黑客所利用的同时，也有很多的这些背后的一些利益趋势。

我实际经历的一个案例，厂商是做电梯部件的，它垄断了全球80%电梯的核心部件，但是他在这个工厂里边启用了完全封闭物理隔离的工控网络，但依然感染了勒索病毒。

所有的局域网里的生产机器全部进行被动加密硬盘的锁屏，导致所有的业务中断了接近三个月，造成的影响是非常巨大的，它带来的经济损失也是非常巨大的。所以对未来的网络安全面临的挑战其实真的很严峻，我们也基于现有的这样的技术人工智能大数据，我们要用技术和管理的双重手段去进行加强。

真正原汁原味的安全架构参考。其实是需要我们结合最佳实践，包括国内外的一些不同标准，去对企业进行安全咨询设计。

从云安全来说，像微盟，它属于SaaS公司，在云平台上，其实是需要结合IaaS 、SaaS和PaaS不同的使用场景去进行安全设计。这个层面往往涉及到企业架构设计。如果传统企业要上云，首先需要考虑哪些数据上云，它的安全需要如何去考虑。他的个人信息是否应该上云？比如微盟事件，他的商户信息及订单信息是否要上云，怎么上？有没有相应的全新设计？

云安全是必须要考虑和设计的。灰色部分指在企业的传统安全里面已经涵盖了，需要在相应的应用系统上进行相应身份和权限的管理控制。在本身的数据安全层面，除了个人信息还有业务信息，比如说订单信息，这些都是关系到企业业务运营的，那它其实也需要给到相应的提示和设计。

第二个部分是GDPR, GDPR从18年开始生效。我们目前接触到的就是越来越多的企业中招被罚款。从企业来说，我们也真正帮助了很多企业做了相关GDPR的咨询项目。

比如，在车联网项目中，车企关注的就是车辆信息，尤其在新电动车和EV的快速部署下，很多个人信息都需要去跨境，那跨境如何考虑个人隐私设计，包括越来越多的汽车，电动车、高端汽车等会启用相应的用户体验，如WeChat服务等。在这些服务中，我们如何去设计用户的隐私协议，如何合理合法的收集车主信息。在中国，需要考虑汽车工业协会相关的法律合规及相关要求。这样，才能够设计出相对合规、安全的车端产品。

最后一个分享的就是等保。很多企业已经在做2.0了。从去年十二月份开始，等保2.0也被很多外资企业重视。因为1.0通过一定的努力就可以拿到证书。但是2.0有更多更细的严格要求。

与1.0最大的不同之处就是2.0在原来基本通用要求的基础上，又增加了拓展要求，会涉及到云安全大数据移动和工控。云大物移其实是未来网络安全尤其是中国网络安全提升的标志，大家也都在跟随全球主流提升安全管理水平。

我们无法规避黑天鹅事件，但是我们尽可能从安全和风险的角度去降低黑天鹅事件带来的破坏影响。

在越来越多的灰犀牛事件出现的情况下，我们能够通过现有的安全技术和安全管理手段，把这样的安全事件控制到一定范围内，或者说把安全事件的影响降低到一定范围内，这样的话，我们可以让灰犀牛冲不出安全界限。

关注公众号谈思实验室，获取完整版ppt，添加taaslabs01加入400人物联网交流群游戏网

相关下载

---