受技術(shù)創(chuàng)新推動(dòng)，企業(yè)用戶們正在加快自身業(yè)務(wù)形態(tài)數(shù)字化轉(zhuǎn)型的步伐，與之同時(shí)，業(yè)務(wù)安全風(fēng)險(xiǎn)也隨之而來，網(wǎng)絡(luò)黑灰產(chǎn)攻擊、數(shù)據(jù)竊取等安全事件頻繁發(fā)生，無論是那些有著豐富對(duì)抗經(jīng)驗(yàn)的在線金融機(jī)構(gòu)，還是走在科技前沿的互聯(lián)網(wǎng)企業(yè)，在面向業(yè)務(wù)安全風(fēng)險(xiǎn)時(shí)都會(huì)感到捉襟見肘。

　　過去我們理解的業(yè)務(wù)安全場(chǎng)景主要有三大類，即賬號(hào)安全、內(nèi)容安全、運(yùn)營(yíng)活動(dòng)安全。但隨著數(shù)字化進(jìn)程的加快，新的業(yè)務(wù)場(chǎng)景、新的產(chǎn)業(yè)形態(tài)和業(yè)務(wù)形態(tài)也在不斷涌現(xiàn)，尤其在后疫情時(shí)代，如何在移動(dòng)化辦公的場(chǎng)景下解決數(shù)據(jù)全生命周期的安全防護(hù)問題，正在成為各家安全廠商業(yè)務(wù)安全解決方案中的側(cè)重點(diǎn)。

　　為了幫助企業(yè)在應(yīng)對(duì)當(dāng)前復(fù)雜多變的業(yè)務(wù)安全場(chǎng)景時(shí)，快速找到適合自身的安全建設(shè)之路，邀請(qǐng)業(yè)內(nèi)細(xì)分領(lǐng)域內(nèi)的代表廠商分享自身前沿觀點(diǎn)、創(chuàng)新技術(shù)和最佳實(shí)踐，以期為企業(yè)用戶們提供參考借鑒。

　　本期訪談的主角是定位為「移動(dòng)安全專家」的指掌易科技，我們邀請(qǐng)到了指掌易副總裁龐南來分享他們?cè)跇I(yè)務(wù)安全領(lǐng)域的觀察思考和自身的解決方案。

　　北京指掌易科技有限公司（下稱“指掌易”）是成立于2013年的高科技軟件企業(yè)，總部位于北京，分別在北京、南京、大連設(shè)立研發(fā)中心，業(yè)務(wù)覆蓋全國(guó)所有省份以及部分海外市場(chǎng)。指掌易順應(yīng)數(shù)字化轉(zhuǎn)型大勢(shì)，針對(duì)萬物互聯(lián)場(chǎng)景，以各類數(shù)字化終端及業(yè)務(wù)為切入點(diǎn)，以零信任和移動(dòng)化為技術(shù)基礎(chǔ)，提供數(shù)字化安全、數(shù)字化聯(lián)接、數(shù)字化智能與體驗(yàn)等軟件產(chǎn)品和方案，打造更安全更易用的數(shù)字化工作環(huán)境，廣泛服務(wù)于政府、金融、國(guó)防、運(yùn)營(yíng)商、能源、交通、制造、醫(yī)療等行業(yè)客戶的數(shù)字化轉(zhuǎn)型。

　　企業(yè)數(shù)字化轉(zhuǎn)型浪潮

　　催生出了全新的移動(dòng)安全場(chǎng)景

　　龐南談到，從傳統(tǒng)網(wǎng)絡(luò)空間安全的視角來看，業(yè)務(wù)安全事實(shí)上是一個(gè)比較新的細(xì)分領(lǐng)域。在他看來，過去的傳統(tǒng)安全更多關(guān)注的重心在于數(shù)據(jù)中心側(cè)基礎(chǔ)設(shè)施的安全，但隨著攻防形勢(shì)的不斷演變，針對(duì)數(shù)據(jù)中心和基礎(chǔ)設(shè)施的攻擊難度變得越來越高，攻擊者開始轉(zhuǎn)向利用用戶的人為因素的弱點(diǎn)，從終端側(cè)或者從業(yè)務(wù)操作的層面展開攻擊，通過竊取數(shù)據(jù)或中斷業(yè)務(wù)的形式，給攻擊目標(biāo)造成實(shí)際的資金損失，面向業(yè)務(wù)的攻擊風(fēng)險(xiǎn)劇增，使得業(yè)務(wù)安全逐漸成為了備受關(guān)注的安全細(xì)分領(lǐng)域。

　　他指出，業(yè)務(wù)安全有兩個(gè)比較重要的特征，首先，業(yè)務(wù)安全是偏向針對(duì)特定的業(yè)務(wù)場(chǎng)景的應(yīng)用跟數(shù)據(jù)安全保障的機(jī)制；其次，業(yè)務(wù)安全用到的技術(shù)手段和用戶業(yè)務(wù)場(chǎng)景中的風(fēng)險(xiǎn)控制措施會(huì)有比較深的耦合，以安全的能力和風(fēng)控的能力來共同服務(wù)于業(yè)務(wù)是第二特征。

　　“過去在傳統(tǒng)安全體系中，身份訪問控制、應(yīng)用層的加密權(quán)限管理以及安全審計(jì)等通常會(huì)被認(rèn)為是安全控制措施，跟具體的業(yè)務(wù)場(chǎng)景以及特定的業(yè)務(wù)應(yīng)用系統(tǒng)的關(guān)聯(lián)和耦合程度較為松散。業(yè)務(wù)安全實(shí)際上并沒有催生出新的安全技術(shù)，更多是安全技術(shù)自身的演進(jìn)，最終來面向業(yè)務(wù)安全方面的需求，解決場(chǎng)景化的問題。”

　　他表示，在數(shù)字化轉(zhuǎn)型的大背景以及疫情帶來的疊加因素影響下，以移動(dòng)辦公為代表的業(yè)務(wù)移動(dòng)化需求的增長(zhǎng)極為迅速，如政府、公安等行業(yè)都提出了移動(dòng)化辦公的需求，如移動(dòng)政務(wù)應(yīng)用、移動(dòng)警務(wù)應(yīng)用這樣的新場(chǎng)景正在涌現(xiàn)出來。一些走在數(shù)字化改革前列的行業(yè)，如金融、運(yùn)營(yíng)商等行業(yè)也進(jìn)一步提出了建設(shè)綜合性移動(dòng)辦公門戶應(yīng)用的需求，將其作為業(yè)務(wù)移動(dòng)化在終端上的入口。

　　圖：典型的移動(dòng)化辦公場(chǎng)景示例

　　在各行業(yè)企業(yè)用戶加速數(shù)字化轉(zhuǎn)型的浪潮下，一大批業(yè)務(wù)移動(dòng)化的全新場(chǎng)景正在涌現(xiàn)出來。指掌易也從中看到，企業(yè)用戶正在提出全新的安全需求。在新的場(chǎng)景下，用戶側(cè)迫切需要解決如營(yíng)銷安全、郵件安全、賬戶安全、交易安全、內(nèi)容安全等多方面業(yè)務(wù)安全風(fēng)險(xiǎn)。

　　“面向用戶在業(yè)務(wù)安全方面的需求，指掌易提出了‘成為客戶信賴的移動(dòng)安全專家’的口號(hào)，其中有兩個(gè)關(guān)鍵詞，一個(gè)是移動(dòng)，另外一個(gè)是安全，所以指掌易給自己的定位是，希望在業(yè)務(wù)移動(dòng)化的場(chǎng)景里邊，重點(diǎn)幫用戶去解決安全的問題，這也是指掌易的一個(gè)最主要的標(biāo)簽”龐南談到。

　　以安全沙箱+零信任技術(shù)

　　為各行業(yè)客戶業(yè)務(wù)移動(dòng)化安全賦能

　　具體到解決方案層面，龐南為我們分享了一個(gè)股份制銀行的案例。隨著該銀行業(yè)務(wù)移動(dòng)化進(jìn)程不斷加快和疫情常態(tài)化的防控需要，通過移動(dòng)辦公APP完成遠(yuǎn)程辦公、客戶管理、郵件收發(fā)等工作成為了業(yè)務(wù)需求。在其移動(dòng)辦公的模式下，郵件安全是其中一個(gè)較為典型的業(yè)務(wù)安全場(chǎng)景。

　　在實(shí)際服務(wù)客戶的過程中指掌易看到，很多單位和企業(yè)在開通手機(jī)端的企業(yè)郵件收發(fā)功能面前都十分謹(jǐn)慎。因?yàn)猷]件附件中往往會(huì)包含大量跟業(yè)務(wù)往來關(guān)系密接的文件，一旦發(fā)生員工通過個(gè)人移動(dòng)端設(shè)備轉(zhuǎn)發(fā)敏感郵件內(nèi)容或附件的情況，極有可能會(huì)造成敏感業(yè)務(wù)數(shù)據(jù)的泄露事件。

　　針對(duì)這一客戶痛點(diǎn)，基于指掌易獨(dú)創(chuàng)的虛擬安全域VSA（安全沙箱）技術(shù)和SDP零信任安全網(wǎng)關(guān)，指掌易打造了一套零信任移動(dòng)辦公平臺(tái)，提供移動(dòng)應(yīng)用數(shù)據(jù)保護(hù)服務(wù)，零信任可信接入和數(shù)據(jù)安全傳輸服務(wù)，以及安全郵件、安全文檔等標(biāo)準(zhǔn)辦公套件，為該客戶構(gòu)成了一個(gè)獨(dú)有的移動(dòng)安全辦公空間，在滿足其員工各類通用移動(dòng)辦公需求，提供友好的用戶體驗(yàn)的同時(shí)，基于該平臺(tái)還能夠幫助客戶從用戶、設(shè)備、應(yīng)用、網(wǎng)絡(luò)等多個(gè)維度來實(shí)現(xiàn)對(duì)移動(dòng)終端高效、安全的統(tǒng)一管理，解決了終端數(shù)據(jù)泄露、網(wǎng)絡(luò)準(zhǔn)入等安全問題。

　　該方案部署后，企業(yè)員工只能通過使用沙箱化的移動(dòng)郵件客戶端實(shí)現(xiàn)郵件收發(fā)，通過安全沙箱還能有效限制員工進(jìn)行截屏、拷貝、轉(zhuǎn)發(fā)敏感的附件和數(shù)據(jù)的行為，在終端側(cè)解決了敏感郵件數(shù)據(jù)泄露的問題。

　　在管道側(cè)，該方案主要通過SDP零信任安全網(wǎng)關(guān)來提供用戶可信接入服務(wù)，實(shí)現(xiàn)郵件服務(wù)對(duì)互聯(lián)網(wǎng)的隱身，保證員工以安全可信的方式接入移動(dòng)辦公平臺(tái)，并基于SDP零信任安全網(wǎng)關(guān)來為移動(dòng)辦公平臺(tái)提供可靠的加密安全通道，進(jìn)一步保證郵件業(yè)務(wù)數(shù)據(jù)在客戶端跟郵件服務(wù)器之間安全傳輸。

　　龐南認(rèn)為，指掌易這一套整體方案的優(yōu)勢(shì)在于具備較大的靈活性。其解決方案能夠以移動(dòng)辦公空間入口的形式、或以SDK集成的形式，與用戶的移動(dòng)應(yīng)用進(jìn)行集成和耦合，為客戶的移動(dòng)端應(yīng)用進(jìn)行安全賦能。

　　圖：指掌易移動(dòng)業(yè)務(wù)安全部署方案

　　在業(yè)務(wù)安全領(lǐng)域

　　不能拋開用戶體驗(yàn)談安全

　　龐南表示，當(dāng)前業(yè)內(nèi)在談到“移動(dòng)安全”時(shí)，往往會(huì)先入為主將它界定為移動(dòng)終端的安全或是移動(dòng)應(yīng)用的安全，但指掌易認(rèn)為，移動(dòng)安全是一個(gè)更大的范疇，他應(yīng)該涵蓋業(yè)務(wù)移動(dòng)場(chǎng)景中的所有安全風(fēng)險(xiǎn)控制項(xiàng)。

　　“一個(gè)業(yè)務(wù)移動(dòng)化的場(chǎng)景中，它一定是有終端側(cè)，有網(wǎng)絡(luò)傳輸?shù)墓艿纻?cè)，還有數(shù)據(jù)中心的服務(wù)側(cè)，因此，作為移動(dòng)安全廠商不僅僅要解決端的問題，還要去關(guān)注在移動(dòng)終端側(cè)如何保護(hù)數(shù)據(jù)安全問題，在管道側(cè)如何確保用戶身份合法的授權(quán)，能夠在安全的環(huán)境下去訪問和使用對(duì)應(yīng)的服務(wù)資源，這些都是移動(dòng)化場(chǎng)景里邊必須要考慮的問題?！?/p>

　　因此，相較于業(yè)內(nèi)傳統(tǒng)的移動(dòng)應(yīng)用安全檢測(cè)加固類廠商而言，指掌易的產(chǎn)品和解決方案更為關(guān)注與業(yè)務(wù)移動(dòng)化場(chǎng)景直接相關(guān)的身份認(rèn)證、訪問控制、敏感數(shù)據(jù)安全保護(hù)等層面的安全訴求，為企業(yè)用戶提供一個(gè)覆蓋云管端的完整解決方案。

　　在指掌易看來，相較于傳統(tǒng)安全，移動(dòng)化場(chǎng)景下的業(yè)務(wù)安全最大的不同之處在于，用戶體驗(yàn)在這里是一個(gè)極為敏感的要素。因?yàn)闃I(yè)務(wù)安全最終要服務(wù)于業(yè)務(wù)，因此廠商提供的安全能力必須與業(yè)務(wù)應(yīng)用進(jìn)行緊耦合，去找到一個(gè)用戶體驗(yàn)最佳的結(jié)合方式。

　　在傳統(tǒng)以數(shù)據(jù)中心和基礎(chǔ)設(shè)施為核心的安全場(chǎng)景中，企業(yè)客戶關(guān)心的重點(diǎn)通常是攻防對(duì)抗的能力、安全防護(hù)能力和檢測(cè)能力，但這些過程對(duì)于移動(dòng)應(yīng)用的用戶而言往往是無法感知的，用戶體驗(yàn)無需過多地考慮。

　　但是在業(yè)務(wù)移動(dòng)化的場(chǎng)景下，通常在用戶視角中，用戶體驗(yàn)與安全能力二者幾乎并重，只有在安全與用戶體驗(yàn)之間完美結(jié)合的解決方案，往往才能夠得到企業(yè)客戶的青睞?！皰侀_用戶體驗(yàn)談安全，在業(yè)務(wù)安全領(lǐng)域是走不通的。”

　　在龐南看來，指掌易有著to B跟to C混合的技術(shù)基因，在用戶體驗(yàn)這一點(diǎn)上，指掌易有著天然優(yōu)勢(shì)。

　　首先，指掌易創(chuàng)始人王偉及其創(chuàng)始團(tuán)隊(duì)的to C安全從業(yè)背景決定了其在產(chǎn)品的穩(wěn)定性和極致的用戶體驗(yàn)方面的追求?！霸跇I(yè)務(wù)移動(dòng)化場(chǎng)景中，移動(dòng)應(yīng)用往往面對(duì)著海量的用戶和極為碎片化的終端環(huán)境，如何更好地兼容和適配不同的終端和系統(tǒng)，給到應(yīng)用的用戶更友好的體驗(yàn)其實(shí)是一項(xiàng)比較大的挑戰(zhàn)。尤其指掌易選擇了一條沙箱的技術(shù)路線，在打磨沙箱產(chǎn)品的過程中，創(chuàng)始團(tuán)隊(duì)在to C方面的研發(fā)經(jīng)驗(yàn)做出了很大的貢獻(xiàn)?！?/p>

　　其次，在to B方面，指掌易研發(fā)團(tuán)隊(duì)陸續(xù)吸引了具備深厚toB服務(wù)經(jīng)驗(yàn)的專家加入，讓指掌易對(duì)行業(yè)客戶的核心訴求有了更深刻的理解，同時(shí)也讓指掌易能夠更深入地分析和解決企業(yè)用戶數(shù)字化轉(zhuǎn)型帶來的安全痛點(diǎn)。

　　采訪最后，在談到當(dāng)前業(yè)務(wù)安全領(lǐng)域的不足，以及指掌易自身的布局和規(guī)劃時(shí)，龐南表示，進(jìn)一步提升零信任架構(gòu)的信任計(jì)算能力是下一步的主要工作。

　　“當(dāng)一個(gè)可信的用戶接入之后，在接下來持續(xù)的信任評(píng)估過程中，如何對(duì)用戶的行為進(jìn)行更深度的數(shù)據(jù)分析，更精準(zhǔn)地檢測(cè)出異常訪問行為，動(dòng)態(tài)地調(diào)整對(duì)單一用戶身份的訪問控制策略，這一點(diǎn)對(duì)于零信任架構(gòu)而言至關(guān)重要，但縱觀整個(gè)行業(yè)，目前提出的零信任方案還都處于比較初級(jí)的階段，有較大的提升空間?！?/p>

　　因此，對(duì)于指掌易而言，在整個(gè)業(yè)務(wù)安全解決方案中下一步需要集中力量突破這一難點(diǎn)，基于UEBA用戶和實(shí)體行為分析技術(shù)實(shí)現(xiàn)對(duì)異常行為的分析和發(fā)現(xiàn)，為持續(xù)信任評(píng)估引擎的信任算法來提供維度更廣、更準(zhǔn)確的數(shù)據(jù)，進(jìn)一步加強(qiáng)SDP零信任安全網(wǎng)關(guān)的信任計(jì)算能力，與業(yè)內(nèi)眾多零信任安全廠商一同探索出一條更優(yōu)的技術(shù)路徑。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<