AI、零信任:如何构建以人为核心的业务安全

-回复 -浏览
楼主 2021-10-20 10:03:42
举报 只看此人 收藏本贴 楼主
应用开发业务安全顾名思义,业务一定在安全前面,对于业务的理解直接影响业务安全的规划和实施。 图片来自“Unsplash”

随着移动应用、互联网的发展,通过技术实施犯罪案件逐年递增,传统安全防御方式无法有效抵御来自黑灰产的新型风险。趋利本能驱动着黑灰产,使其迅速扩大,预计业务安全市场潜在需求规模将超千亿。如何从根本上解决业务安全给企业带来的威胁,通过什么手段提升企业系统的自身免疫能力?安全牛记者采访到了芯盾时代创始人郭晓鹏,针对业务安全领域的发展展开了讨论。

一、业务安全核心风险

随着 O2O 的兴起,用户线上交易行为增加,网站已经从原本的单纯内容展示,转而承载更多业务上的逻辑和流程。根据 2019 年埃森哲网络犯罪成本研究报告中数据显示,网络犯罪带来的平均成本在 2018 年达到了 1300 万美元,比上一年增长了 12%。其中银行和公共事业的损失最大,而内部恶意软件和勒索软件造成的损失增长最快。组织机构主动运用新技术应对时代带来的新挑战,其中尤为值得关注的就是业务安全问题。

业务安全的核心风险可以划分为:

(1)虚假账号带来的问题,比如虚假流量、“薅羊毛” 等

(2)非法爬虫获取信息

(3)组织内部员工恶意信息泄露

(4)未安装补丁或不可修复的设备

(5)存在安全风险的第三方服务供应商

为最大限度的缩小安全事故的影响,企业应该更多在事故发生前阻断、控制威胁的发展。企业应选择怎样的解决方案能够从事中阻断事件的发生呢?

二、以人为核心解决业务安全问题

业务安全顾名思义,业务一定在安全前面,对于业务的理解直接影响业务安全的规划和实施。国内企业业务线的放量、黑灰产的威胁形势同比快速增长,业务安全问题愈加严峻。业务安全本身是抵御攻击,随着业务安全需求的变化,也逐渐走进下一个时代,感知风险在事件发生前及时阻断、遏制。

郭晓鹏解释道:不论是由于终端、身份认证、在线交互等产生的风险,首先要解决人的问题,再考虑访问者进入系统后的统一身份管理、智能行为认证 (IPA),形成整个业务安全流程的解决方案。我们从最早的身份认证向外延伸,业务安全是以人为核心,只有解决了人的问题,其他问题才能迎刃而解。

企业的业务流程贯穿企业外部客户和内部员工,业务安全问题会同时面临来自于外部(C端)和内部(E端)的两部分风险。

我要推荐
转发到