整合安全解决方案，而不是拼凑

众所周知，安全工具旨在帮助企业应对各种威胁，但当下大多数CISO发现自己正身处于“拼凑解决方案”的漩涡里，许多公司都使用了至少两位数以上的安全解决方案，有时甚至多达40种。这些不同的安全解决方案增加了复杂性，国外安全专家指出，通常而言，防守方相比黑客的攻击会显得更为死板，因此靠堆人在几十种安全产品上轮流防守，这是不可持续的做法，不能合力的安全产品一定无法顾全所有黑客的攻击，更不要说如今已将本就复杂的互联网环境拓展至物联网了，因此不同的解决方案之间需要集成，这样才能有效的检测、抵御各种威胁。

联洲国际信息安全和隐私负责人黄凤翔曾在CSO研讨会中总结过物联网在国内的形势，他说当下的物联网环境亟需管理体系标准化，这源于物联网碎片化严重，固件难以更新，全栈（硬件-OS-协议-应用）各层都可能存在容易利用的漏洞，需要设备开发商全生命周期管理，尽早拦截漏洞。

面对各式各样混乱的安全工具，面对工作环境里越来越多的设备需要接通物联网，企业需要具备整合的能力，否则不仅会使得安全运营变得异常复杂，同时还会割裂了相互之间的可见性，最终限制了企业整体应对威胁的能力，让原本期望通过多个产品累加安全能力的初衷，变成了1+1＜2。

据Gartner的数据显示，当下越来越多的大型公司正在减少其独立解决方案的数量，开始迈向整合安全产品、组合安全解决方案的趋势，这显然反应了总体安全环境的需求，各行各业的企业都需要一个稳定的、能整合安全解决方案的平台，此平台能够将安全工具统一起来，甚至可以提供跨平台的服务。国外知名CSO表示，跨平台解决方案有助于管理“拼凑”场景下的安全性。

另一方面，据《2022中国网络安全产品用户报告》指出，目前，中国网络安全市场正在快速扩容。2021年，网络安全市场新增相关企业36.99万家（经营范围有网络安全相关业务），同比增长86.89%，增速迅猛。市场的逐渐扩张带来的是碎片化、密集化的安全服务商和产品供应商，这些厂商鱼龙混杂，给甲方企业采购及产品测试带来巨大挑战。许多企业的网络安全能力由大量的安全产品堆叠而成，不同的产品负责不同的职能，各自为战，而不同的产品可能来自于不同的安全厂商，产生的数据有自己的语言，彼此之间无法沟通，难以形成联动。

因此在这样市场快速扩张的前提下，安全厂商也在内卷的环境里难以推出自己的优势和特点。因此，如果能有安全平台将这些解决方案组合起来，那在日益复杂的互联网、物联网环境下，不但安全厂商能向平台提供、推荐自身充满优势的产品，甲方用户也能在“打包”好的跨平台解决方案中得到更好的保障，整合安全工具所花的时间和成本也能大幅度降低，这或许是安全业接下去的趋势所在。

国外安全专家指出，如果企业内部的其他技术和组织措施不起作用，那么再好的平台也无济于事。于是要问：“什么样的安全策略既不会阻碍生产力，又能提高实际生产力？什么样的安全策略能同时提高IT和物联网的安全性呢？”

专家表示，企业首先要了解自身IT和物联网的环境，在保护核心数据或设备之前，先要弄清楚这些重要资产在哪儿，以及平时是如何访问它们的，无论这些资产是在本地、云中还是混合环境中。这种类似于资产安全监管的重点在于理清家底，比如资产类型、品牌、型号或者附属位置等资产信息。同时还需要理清资产的风险属性，判断哪些资产是可信资产，哪些是未认证的资产，哪些是非法资产。

接下去，对于企业内部的资产，需要理清是否存在脆弱性的问题，比如弱口令漏洞，以及是否存在开放的高危端口或者一些服务之类的脆弱性问题。同时，企业还需要检查是否存在非授权入网的设备，这些设备又是否存在其他的安全隐患，等等。

其次，安全是一项“团队运动”，因此要在企业内部树立正确的安全和合规意识，让所有同事都知道：该如何在遵守基本安全准则的同时保护自己和公司。这就需要建设一种企业文化。

企业文化是确保组织传承的精神力量，这种力量不同于组织架构和管理技能，而是更趋向于信念和号召力。想要让员工能够进一步提升安全意识，就要让员工对安全具有责任感，也就是将安全融入到企业文化中。

国内专家刘志诚曾说过，安全追求纵深防御，从理论上来讲，安全宣导也是这样。全员教育需要建立文化氛围，根据岗位针对性教育建立个人关联性，应急演练建立实践意识，威慑案例建立责任意识。从心理学的角度来讲，这是一个逐层递进的方式，很多企业只选择1-2个层面是不够的，只有将它们系统化的运作起来，才能达到相应的效果。

另一方面，国外安全专家强调企业要避免孤立的解决方案，如果企业为每个安全子区域都构建了独立的安全解决方案，那就会导致几乎无法控制的过载和衔接问题，因此就会发生无法将“对整个基础设施的攻击”识别出来的现象，因为不同的安全系统并不能显示一致的安全状况。

同时，国外安全专家还建议切换到零信任模式，因为零信任模型假设没有什么是安全的，它消除了隐含的信任，并依赖于显式验证。

从物联网业务发展趋势看，安全边界的打破带来的是暴露面的增加，这暴露面积会从集中向分散转变，而访问关系也会从百千向万级跃升，因此一定要用零信任的思维去解决。简单做个比喻：就算有一天企业门口的闸机被攻破了，到后端时攻击者也无法访问企业其他的数据库服务器或中间件服务器，其中的关键就在于要把这些权限给做好。

所以，基于前端的资产识别是积累，然后把边界防护做好，确认受信任的设备才能访问后端业务，之后再加上基于AI的异常行为分析模型，并辅以零信任的策略将物联网里基本的权限管理好，这样，就算被攻破了也不会影响业务。国内安全专家对此表示，在物联网安全方面，企业于未来3到5年内如此施行不会出什么问题。

此外，国外安全专家提出，企业还可以依赖平台解决方案。在去中心化和混合工作环境中，只有总体方法才能创造必要的安全性，而平台化的解决方案就具备这种高屋建瓴的解决手段，同时它们可适应多变和动态的生态系统，并随时能提供对数据和用户行为的概述和访问。

也可以在必要的时候使用人工智能，比如微软每天收集超过65万亿个安全信号，这些数据量可有助于安全厂商不断开发安全解决方案，若整合安全工具的跨平台服务能具备这样的人工智能，就可以将错误报告的数量减少79%。

以上这些关于公司安全策略的说明不仅有助于提高IT和物联网的安全性，还可以提高安全团队的效率，并同时能帮助组织其他部门提高相应的生产力。就好比物联网项目是许多组织的重要创新驱动力，但根据Ponemon研究所的数据显示，由于安全问题，约30%的公司不得不放缓甚至停止运营，也就是说有效的IT、物联网安全对公司而言至关重要。而一个能整合安全解决方案的有效平台，是实现创新和生产力的关键所在，也是数字化转型进程中重要的组成部分。

对于在物联网时代下，为什么需要整合安全解决方案，其带来的优势是什么，在整合解决方案的过程中又需要注意什么，国内安全专家如此建议。

上海西卡安全负责人童元表示，物联网的表现形式在不同公司不同业态下是完全不一样的，单一的安全设备或解决方案无法做到全部包含。

拿智慧工厂举例，一般来说会关注产线设备的主机安全，产线划分独立的安全域，边界设置工控防火墙等，可能还会在分支节点上布置分支工控防火墙，但基本都算较为传统的工控物联网的安全解决思路。

但现在为了配合工厂产线的调整，规模的调整等等，越来越多的5G应用场景开始出现，原本的安全边界就会被打破。所以基于5G专网的安全解决方案就需要考虑加入到原有的安全方案中。

再者如果5G设备的应用是限定在确定的生产办公区域内的，上述方案还能覆盖，但如果不是呢？安装在车辆上的智能主机，外部的无人贩卖机等，这些远端零星的物联网设备的安全就需要考虑IAM身份安全方案了。

综上，物联网这个名字背后有千千万万的设备类型，其更能幻化出无数的组合搭配，所以只有通盘考虑安全解决方案，才能做到有弹性，无死角。更好的去确保业务安全性，同时又不限制业务灵活性和发展活力。

最后，童元建议：“物联网安全与传统网络安全最大的区别在于终端侧。物联网的终端设备品类繁杂，无法找到共同点。所以建设思路应该从数据流出发，盯着数据流，控制网关节点。”

而某企业安全负责人宋良杰表示，物联网时代，安全场景的覆盖面有了更多延伸，覆盖应用层、网络层和终端感知层，对个人隐私保护和IoT设备安全带来了更大挑战，单一的解决方案很难覆盖完整的3个层面，故需要整合解决方案来构建完整的物联网防护体系。

宋良杰建议发挥各自专业领域的优势，让专注设备层的厂商重点建设设备感知层的防护能力，专注应用层的厂商重点建设云端的安全防护能力，整体协同，提升整体的IoT防护效果。

某企业安全负责人李达表示，整合网络安全解决方案带来的好处有：

此外，李达强调，在选择技术和服务提供商时，务必考虑其在物联网安全领域的经验、实施成功案例和技术支持能力。此外，要确保提供商的解决方案可以与现有的设备和系统兼容，便于集成。

“现在一切都infrastructure as a code，甚至everything as a code，所以解决方案必须要提供接口便于企业整合和集成，这样可以方便代码化的部署与维护，这其实也非常考验甲方企业安全从业人员的能力。”