順豐科技譚林談物流企業(yè)安全建設(shè):實(shí)戰(zhàn)是檢驗(yàn)防護(hù)能力的唯一標(biāo)準(zhǔn)

  • 人閱讀
  • 2023-01-05 16:38:05

  • 來(lái)源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

本網(wǎng)頁(yè)只做排版使用 一鍵復(fù)制內(nèi)容順豐科技譚林談物流企業(yè)安全建設(shè):實(shí)戰(zhàn)是檢驗(yàn)防護(hù)能力的唯一標(biāo)準(zhǔn)

在物聯(lián)網(wǎng)等新技術(shù)快速發(fā)展的環(huán)境下,數(shù)字化工具給物流活動(dòng)開展提供了支持,物流信息網(wǎng)絡(luò)系統(tǒng)也促進(jìn)現(xiàn)代物流行業(yè)發(fā)展。然而,數(shù)字化如同一把“雙刃劍”,在給物流企業(yè)創(chuàng)造效益的同時(shí),也會(huì)引發(fā)一些潛在的安全問(wèn)題。

在騰訊安全策劃的《CSO面對(duì)面》訪談欄目,邀請(qǐng)到順豐科技網(wǎng)絡(luò)安全負(fù)責(zé)人譚林,以物流行業(yè)的安全防護(hù)為例,分享物流企業(yè)面臨的網(wǎng)絡(luò)信息安全建設(shè)問(wèn)題及解決對(duì)策。

譚林,順豐科技網(wǎng)絡(luò)安全負(fù)責(zé)人,負(fù)責(zé)基礎(chǔ)設(shè)施安全、SDL應(yīng)用安全、安全運(yùn)營(yíng)和安全產(chǎn)品等工作。擁有豐富的企業(yè)安全規(guī)劃、建設(shè)和運(yùn)營(yíng)實(shí)踐經(jīng)驗(yàn),熟悉國(guó)內(nèi)外主流安全架構(gòu)、產(chǎn)品和技術(shù),是實(shí)戰(zhàn)檢驗(yàn)安全能力的踐行者。

譚林先生在公司內(nèi)部倡導(dǎo)先進(jìn)的安全技術(shù)與理念,建設(shè)了物流行業(yè)特色的安全防護(hù)體系,同時(shí)與包括騰訊在內(nèi)的業(yè)內(nèi)優(yōu)秀公司共同探索前沿的安全解決方案。作為行業(yè)內(nèi)的專家,也為引領(lǐng)行業(yè)趨勢(shì)、融通行業(yè)信息、推動(dòng)行業(yè)變革與發(fā)展做出了貢獻(xiàn)。

以下為本期《CSO面對(duì)面》文字實(shí)錄。

關(guān)于順豐的安全建設(shè)經(jīng)驗(yàn)談

Q1:當(dāng)前物流企業(yè)已經(jīng)成為國(guó)民經(jīng)濟(jì)重要的基礎(chǔ)設(shè)施,幾家頭部物流集團(tuán)均擁有復(fù)雜的數(shù)字化版圖,應(yīng)用數(shù)字化產(chǎn)品的主要場(chǎng)景有哪些?

譚林:數(shù)字化已經(jīng)覆蓋物流業(yè)務(wù)的方方面面,包括用戶訂單管理,包裹攬收,倉(cāng)儲(chǔ)管理,自動(dòng)化貨物分揀,以及車輛運(yùn)輸?shù)囊?guī)劃和調(diào)度等等。數(shù)字化幫助物流業(yè)務(wù)實(shí)現(xiàn)了業(yè)務(wù)流程的實(shí)時(shí)、在線、自動(dòng)化和智能化,打通了各個(gè)系統(tǒng)和平臺(tái)之間的融合與互通。數(shù)字化極大的促進(jìn)了物流企業(yè)的運(yùn)營(yíng)效率和用戶體驗(yàn)的提升,也帶來(lái)了模式創(chuàng)新。

實(shí)際上,效率是物流企業(yè)最重要的關(guān)注點(diǎn)。數(shù)字化創(chuàng)新能力的建設(shè),正在成為物流企業(yè)提升企業(yè)運(yùn)營(yíng)效率、打通運(yùn)營(yíng)阻塞點(diǎn)的必備工具。更長(zhǎng)遠(yuǎn)看,是否能夠依靠數(shù)字化建設(shè)核心競(jìng)爭(zhēng)力,是否能夠堅(jiān)持通過(guò)數(shù)字化提升全流程的效率和效能,將會(huì)是物流企業(yè)能否更好支撐國(guó)民經(jīng)濟(jì)提速的關(guān)鍵抓手之一。

Q2:就您的經(jīng)驗(yàn)來(lái)看,物流企業(yè)、電商等新興行業(yè)的安全風(fēng)險(xiǎn)暴露面主要有哪些?

譚林:物流和電商等新興行業(yè)是聯(lián)接人與物之間的紐帶和平臺(tái),在業(yè)務(wù)開展中會(huì)接觸和處理大量的個(gè)人數(shù)據(jù),這些數(shù)據(jù)是黑客的重要目標(biāo)。個(gè)人隱私數(shù)據(jù)保護(hù),是企業(yè)必須做好的,也是國(guó)家在法律法規(guī)、行業(yè)規(guī)定等多方面重點(diǎn)關(guān)注的方向。一方面,要基于《網(wǎng)絡(luò)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)加強(qiáng)監(jiān)管與威懾,加大對(duì)違法企業(yè)與個(gè)人的懲治力度;另一方面更加關(guān)鍵的是,要在企業(yè)數(shù)字化流程本身去想辦法,用數(shù)字化工具和安全工具去消除漏洞,通過(guò)機(jī)制和策略降低人為泄露風(fēng)險(xiǎn)。

此外,物流和電商行業(yè)在業(yè)務(wù)開展中流程復(fù)雜工序多,既有線上也有線下環(huán)境,因此,物流行業(yè)的風(fēng)險(xiǎn)暴露面比傳統(tǒng)線下行業(yè)更廣,包括在線的訂單運(yùn)單管理系統(tǒng),收派作業(yè)系統(tǒng),以及分布在全國(guó)的各個(gè)中轉(zhuǎn)場(chǎng)、倉(cāng)儲(chǔ)和集散點(diǎn),也包括支撐業(yè)務(wù)運(yùn)轉(zhuǎn)的自動(dòng)化分揀設(shè)備和眾多IoT設(shè)備。在這個(gè)過(guò)程中,物聯(lián)網(wǎng)安全相關(guān)的技術(shù)也可以在物流場(chǎng)景中得到很好的運(yùn)用。

Q3:以順豐為例,在復(fù)雜的信息化需求和安全需求下,如何建立一整套能夠統(tǒng)籌兼顧盡可能多業(yè)務(wù)板塊、有效處置所有潛在安全風(fēng)險(xiǎn)的防御設(shè)施?最核心點(diǎn)在哪里?

譚林:順豐是綜合物流領(lǐng)域安全技術(shù)引領(lǐng)者,作為獨(dú)立第三方物流公司,捍衛(wèi)產(chǎn)業(yè)生態(tài)和用戶數(shù)據(jù)是我們的職責(zé)。在確保內(nèi)外部安全合規(guī)的基礎(chǔ)上,實(shí)現(xiàn)安全與效率的平衡,兼顧安全與用戶體驗(yàn)是我們安全體系建設(shè)中的重要考量因素。

在安全風(fēng)險(xiǎn)防御和處置中我們重點(diǎn)關(guān)注三個(gè)方面:

一是精準(zhǔn),對(duì)安全風(fēng)險(xiǎn)分析判斷的準(zhǔn)確率是核心要求。物流行業(yè)與上下游業(yè)務(wù)的交互非常復(fù)雜,這要求安全在處置風(fēng)險(xiǎn)的時(shí)候不能誤傷,我們需要考慮應(yīng)用系統(tǒng)是否使用CDN,來(lái)自哪些合作伙伴,以及應(yīng)用對(duì)時(shí)延的敏感度等因素。

二是快速,速度是安全攻防對(duì)抗的核心能力,我們對(duì)安全事件的檢測(cè)和處置時(shí)效(MTTD和MTTR)是分鐘級(jí)的。如何快速檢測(cè)和預(yù)判威脅,在威脅沒(méi)有產(chǎn)生影響的時(shí)候提前處置,如何在處置海量惡意IP的時(shí)候沒(méi)有遺漏,對(duì)產(chǎn)品和方案成熟度要求極高。

三是智能協(xié)同,能夠靈活與網(wǎng)絡(luò)、DNS、終端、賬號(hào)和郵件等周邊基礎(chǔ)設(shè)施聯(lián)動(dòng),實(shí)現(xiàn)情報(bào)互通和共享,才能在安全防御中應(yīng)對(duì)各種潛在的風(fēng)險(xiǎn)場(chǎng)景,這是對(duì)安全防御體系的開放性和智能化的考驗(yàn)。

Q4:您覺(jué)得市面上互聯(lián)網(wǎng)公司的技術(shù)發(fā)展對(duì)大型企業(yè)的安全建設(shè)有怎樣的影響或者幫助?能否舉幾個(gè)例子?

譚林:互聯(lián)網(wǎng)公司基于自身業(yè)務(wù)發(fā)展的需要積累了大量的安全建設(shè)經(jīng)驗(yàn)和能力,互聯(lián)網(wǎng)公司具有較高的產(chǎn)品化和工程化能力,這些產(chǎn)品和技能來(lái)自于真實(shí)業(yè)務(wù)場(chǎng)景,且得到實(shí)戰(zhàn)驗(yàn)證,對(duì)企業(yè)會(huì)有很好的幫助。比如:

互聯(lián)網(wǎng)公司在實(shí)戰(zhàn)中儲(chǔ)備了豐富的攻防知識(shí)庫(kù),他們有強(qiáng)大的安全團(tuán)隊(duì)從事漏洞利用分析、技戰(zhàn)術(shù)研究方面的工作,并且在業(yè)務(wù)開展中與黑產(chǎn)黑客的對(duì)抗中,得到持續(xù)優(yōu)化和提升。這些知識(shí)庫(kù)是檢測(cè)分析類產(chǎn)品的核心能力,一般企業(yè)很難有這么多資源投入和這么豐富的場(chǎng)景。

同時(shí),互聯(lián)網(wǎng)公司關(guān)注用戶體驗(yàn),如何在海量的攻擊中精準(zhǔn)防御,減少業(yè)務(wù)影響是互聯(lián)網(wǎng)公司天生就需要解決的問(wèn)題。在大型企業(yè)數(shù)字化轉(zhuǎn)型的安全建設(shè)中,這一點(diǎn)將會(huì)越來(lái)越重要。

順豐科技具備物流和科技屬性,網(wǎng)絡(luò)安全借助公司的大數(shù)據(jù)AI能力進(jìn)行攻擊者畫像方面的探索,同時(shí)也與包括騰訊在內(nèi)的互聯(lián)網(wǎng)公司進(jìn)行攻防情報(bào)和產(chǎn)品方面的合作。

Q5:您覺(jué)得您個(gè)人在企業(yè)中推進(jìn)安全建設(shè),發(fā)揮了哪些“先行者”的作用,具體涉及哪些安全技術(shù)/理念的應(yīng)用?

譚林:順豐在數(shù)智化物流方面的領(lǐng)先地位和經(jīng)驗(yàn)基礎(chǔ),決定了在安全上的部署和戰(zhàn)略前瞻性。公司的安全建設(shè)離不開過(guò)往一步一步的積累,我們是最早開展個(gè)人隱私數(shù)據(jù)保護(hù)的物流公司。在近幾年的安全建設(shè)中我們更多從解決安全風(fēng)險(xiǎn)的實(shí)際需求出發(fā),堅(jiān)持做了幾件事情:

一是實(shí)戰(zhàn)檢驗(yàn),堅(jiān)持紅藍(lán)演練以攻促防,我們有個(gè)slogan:實(shí)戰(zhàn)是檢驗(yàn)防護(hù)能力的唯一標(biāo)準(zhǔn)。安全建設(shè)是為了解決具體的業(yè)務(wù)痛點(diǎn),安全建設(shè)的能力、工具和流程需要通過(guò)紅藍(lán)演練來(lái)進(jìn)行實(shí)戰(zhàn)驗(yàn)證,并堅(jiān)持復(fù)盤和跟蹤整改。

二是自動(dòng)化,安全暴露面的梳理,安全風(fēng)險(xiǎn)的檢測(cè)分析以及事件響應(yīng)都需要投入大量的人力和時(shí)間,尤其是安全工具覆蓋率提升以后,如何提升效率是我們持續(xù)追求的。通過(guò)自動(dòng)化建設(shè)我們的自動(dòng)化檢測(cè)能力處于行業(yè)領(lǐng)先水平,如我們安全事件工單96%以上實(shí)現(xiàn)了自動(dòng)化檢測(cè)和響應(yīng),SDL安全檢測(cè)通過(guò)自動(dòng)化提升CI/CD效率,漏洞檢測(cè)98%以上達(dá)到自動(dòng)化。

三是數(shù)據(jù)驅(qū)動(dòng):通過(guò)數(shù)據(jù)驅(qū)動(dòng)安全運(yùn)營(yíng),安全工作要見(jiàn)成效必須重視安全運(yùn)營(yíng)。首先,通過(guò)安全運(yùn)營(yíng)來(lái)度量安全能力和水位。在安全運(yùn)營(yíng)中,資產(chǎn)定位率、安全工具和能力覆蓋率、檢測(cè)率和誤報(bào)率和時(shí)效都需要通過(guò)數(shù)據(jù)來(lái)衡量。同時(shí),數(shù)據(jù)是安全檢測(cè)和分析的基礎(chǔ),有了數(shù)據(jù)才能提升看見(jiàn)的能力,盡可能獲取豐富和高質(zhì)量的網(wǎng)絡(luò)流量、進(jìn)程調(diào)用和訪問(wèn)行為數(shù)據(jù)才能為安全檢測(cè)和分析提供決策依據(jù)。

Q6:貴公司對(duì)于安全在全場(chǎng)景下的應(yīng)用效率是非常關(guān)注的,我們知道騰訊和您這邊有一些安全界面的合作,想了解下您是出于具體什么背景做相關(guān)場(chǎng)景的部署考慮,在此環(huán)節(jié)上您最為關(guān)注的是什么?

譚林:騰訊非常重視安全研究、安全工程化和安全服務(wù)方面的投入,騰訊安全在攻防兩端都擁有非常強(qiáng)的實(shí)力。這與我們倡導(dǎo)的實(shí)戰(zhàn)攻防能力建設(shè)是非常匹配的,實(shí)戰(zhàn)能力提升關(guān)鍵在安全運(yùn)營(yíng)的智能化。

我們每天面臨上千萬(wàn)的攻擊流量,如何提升威脅檢測(cè)和處置的工作效率,保障檢測(cè)和處置的準(zhǔn)確性,減少漏報(bào)避免誤報(bào),需要我們有一套智能的檢測(cè)處置流程及工具?;谶@個(gè)背景,我們和騰訊安全開展了安全運(yùn)營(yíng)方面的合作,探索預(yù)測(cè)、防御、檢測(cè)和響應(yīng)的自動(dòng)化閉環(huán),構(gòu)建攻擊面管理(事前)、情報(bào)賦能檢測(cè)(事中)、情報(bào)支撐響應(yīng)(事后)的智能化安全運(yùn)營(yíng)體系,解決安全運(yùn)營(yíng)流程中人人、人機(jī)協(xié)同的問(wèn)題,降低安全運(yùn)營(yíng)中投入的人力成本。

關(guān)于行業(yè)安全理念與建設(shè)

Q7:大型物流企業(yè)數(shù)字化過(guò)程中,有哪些比較普遍的安全痛點(diǎn)和安全風(fēng)險(xiǎn)?

譚林:物流是人員密集型行業(yè),人員多流動(dòng)性大,人是最薄弱環(huán)節(jié),與之相關(guān)的賬號(hào)安全,社工釣魚風(fēng)險(xiǎn)比較普遍;

其次,暴露面廣,物流業(yè)務(wù)的流程復(fù)雜,IT系統(tǒng)對(duì)接和關(guān)聯(lián)的上下游眾多,除了有集中在云端的互聯(lián)網(wǎng)系統(tǒng)還有分布在全國(guó)各地的物聯(lián)網(wǎng)和終端設(shè)備;

另外,物流已經(jīng)是老百姓生活的一部分,需要我們?cè)诎踩ㄔO(shè)中盡可能的降低或避免因?yàn)榘踩珕?wèn)題帶來(lái)的系統(tǒng)穩(wěn)定性風(fēng)險(xiǎn)。

Q8:物流企業(yè)是涉及到很多相關(guān)產(chǎn)業(yè)的中樞,自身也有很多想象空間,您認(rèn)為物流企業(yè)應(yīng)當(dāng)如何做好面向未來(lái)的安全建設(shè)部署與準(zhǔn)備?

譚林:物流在我們的日常生活中越來(lái)越重要,物流企業(yè)的安全建設(shè)需要腳踏實(shí)地更需要與時(shí)俱進(jìn)。

1、不斷提升攻防技戰(zhàn)術(shù)的研究能力,特別是數(shù)據(jù)安全保護(hù)能力,從自身業(yè)務(wù)開展情況結(jié)合國(guó)家和行業(yè)對(duì)數(shù)據(jù)安全保護(hù)的要求,聯(lián)合行業(yè)優(yōu)秀的解決方案和產(chǎn)品,保護(hù)用戶和業(yè)務(wù)數(shù)據(jù)安全;

2、建立物流行業(yè)內(nèi)和行業(yè)上下游的聯(lián)防聯(lián)控機(jī)制,物流企業(yè)安全工作不應(yīng)該局限于行業(yè)內(nèi)更不能閉門造車。物流和電商、互聯(lián)網(wǎng)、交通以及金融、高科技等行業(yè)都有很多交互和關(guān)聯(lián),物流企業(yè)可以和這些行業(yè)聯(lián)動(dòng),包括情報(bào)互通,事件處置協(xié)同等,通過(guò)行業(yè)聯(lián)合對(duì)抗黑灰產(chǎn);

3、面向?qū)崙?zhàn),做好應(yīng)對(duì)APT高級(jí)威脅的準(zhǔn)備。隨著行業(yè)發(fā)展,物流成為基礎(chǔ)設(shè)施,我們要積極建設(shè)主動(dòng)防御能力,擴(kuò)大未知威脅檢測(cè)防御的邊界,利用威脅情報(bào),安全AI技術(shù),結(jié)合攻防演練持續(xù)提升實(shí)戰(zhàn)對(duì)抗能力。

欄目簡(jiǎn)介

當(dāng)前,作為數(shù)字經(jīng)濟(jì)發(fā)展的“生命線”,網(wǎng)絡(luò)安全已滲透到國(guó)民經(jīng)濟(jì)的全領(lǐng)域、各層級(jí),為產(chǎn)業(yè)數(shù)字化發(fā)展提供了堅(jiān)實(shí)的基礎(chǔ)。在數(shù)字安全建設(shè)的洪流中,有一批敢為人先、勇于突破的探索者,他們的安全建設(shè)之路,對(duì)于各行業(yè)有著極高的參考價(jià)值和借鑒意義。因此,騰訊安全聯(lián)動(dòng)雷鋒網(wǎng)、數(shù)世咨詢等媒體策劃「CSO面對(duì)面」欄目,旨在通過(guò)深度采訪數(shù)字化實(shí)踐中標(biāo)桿企業(yè)CSO、CTO、安全負(fù)責(zé)人、數(shù)字化負(fù)責(zé)人等安全先行者,了解在其工作場(chǎng)景如何中部署建設(shè)安全體系,解決企業(yè)安全痛點(diǎn),消除安全風(fēng)險(xiǎn),為產(chǎn)業(yè)數(shù)字化的安全實(shí)踐提供參考和指引。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )