記者們一邊享用著早餐，一邊聽著一場正式安排的早餐對話，談話雙方是公司網(wǎng)絡(luò)安全首席顧問兼數(shù)字信任合規(guī)業(yè)務(wù)副總裁謝弗和高級副總裁兼首席信息安全官杰里·熱斯萊 (Jerry Geisler)，探討信任在沃爾瑪公司意味著什么。

 

這是在任何技術(shù)會議上都能看到的一種對話，這是沃爾瑪在一月中旬展示其安全運(yùn)營工作過程中開展的眾多對話的第一個。通過與二十多名網(wǎng)絡(luò)安全人員的對話以及參觀公司多個設(shè)施，記者了解了沃爾瑪網(wǎng)絡(luò)運(yùn)營工作的范圍，以及為什么公司如此關(guān)注安全性(即使其客戶不會注意到這一點(diǎn))。

 

“我的認(rèn)識或許存在偏見——網(wǎng)絡(luò)安全始終是我最關(guān)心的問題，但我知道并非每個人都持同樣的觀點(diǎn)。”熱斯萊在與謝弗談話時說道。

 

他說：“如果這是客戶所關(guān)心的頭等大事，那么我希望他們能看到我們正在做的工作，并要堅信，在保護(hù)客戶信息方面，我們正在履行對他們的承諾”。

 

熱斯萊表示，如果安全性對客戶而言不是頭等大事，那么沃爾瑪仍希望客戶相信，公司會做正確的事情。

 

許多企業(yè)沒有將安全性作為首要工作，最終導(dǎo)致無法挽回的后果。今年網(wǎng)絡(luò)犯罪造成的損失預(yù)計將達(dá)到 8 萬億美元，高于 2022 年的 6 萬億美元。世界經(jīng)濟(jì)論壇警告稱，在發(fā)生災(zāi)難性網(wǎng)絡(luò)事件后，可能導(dǎo)致全球不穩(wěn)定。

 

然而，由于市場處于低迷階段，企業(yè)對網(wǎng)絡(luò)安全方面的持續(xù)投資無法得到保證。

 

在一個網(wǎng)絡(luò)入侵成為常態(tài)、消費(fèi)者對隱私日益麻木的時代，對安全性和信任的關(guān)注卻未得到重視。聯(lián)邦貿(mào)易委員會 (Federal Trade Commission) 實(shí)施的處罰或歐盟在數(shù)據(jù)隱私方面的工作對企業(yè)改變其處理數(shù)據(jù)的方式上并沒有什么作用。屢次違規(guī)的企業(yè)表示，他們正在對網(wǎng)絡(luò)工作進(jìn)行投入，但更多的支出并未顯現(xiàn)出，安全環(huán)境可以改變。

 

對沃爾瑪來說，對安全工作的認(rèn)真態(tài)度可通過其工作范圍得以了解，沃爾瑪?shù)木W(wǎng)絡(luò)中心遍布全球，使其能夠通過輪班工作和不同時區(qū)實(shí)現(xiàn) 24 小時不間斷的安全運(yùn)營(例如，在印度班加羅爾的安全運(yùn)營中心可以接力完成美國安全人員的工作日程)。

 

這些安全運(yùn)營中心平均每年處理 6 萬億個數(shù)據(jù)點(diǎn)，沃爾瑪將這些數(shù)據(jù)進(jìn)行內(nèi)部處理，然后與更大的安全工作群體進(jìn)行共享。沃爾瑪還運(yùn)營著一個經(jīng)認(rèn)證的取證實(shí)驗室，可幫助進(jìn)行數(shù)據(jù)恢復(fù)，并配備無塵室、專業(yè) X 射線技術(shù)和熱風(fēng)焊接。參觀沃爾瑪?shù)臄?shù)據(jù)中心時，規(guī)章執(zhí)行人員站在好奇的訪客身邊，介紹著一些運(yùn)營方面的冗余設(shè)備。

 

不給故障留有余地，立即進(jìn)行故障切換。

 

沃爾瑪沒有透露其在網(wǎng)絡(luò)安全方面的開銷，也未公開其(負(fù)責(zé)管理基礎(chǔ)技術(shù))全球 20000 名技術(shù)員工中從事信息安全工作的比例。對沃爾瑪設(shè)施的參觀只能讓人了解其業(yè)務(wù)運(yùn)營的規(guī)模，近距離觀察表明，很少有公司能實(shí)現(xiàn)如此規(guī)模的獨(dú)立運(yùn)營。

 

沃爾瑪?shù)木W(wǎng)絡(luò)安全工作不僅僅是一個最佳范例，還可能是一個特殊案例。

 

這并不是說沃爾瑪所采用的安全工作方式不可企及。更確切地說，其運(yùn)營工作與眾不同的是它如何能如此重視安全性。面對不斷的網(wǎng)絡(luò)威脅，清楚地知道哪些工作應(yīng)優(yōu)先考慮，哪些可以稍后再做，這是企業(yè)可以效仿的技巧。

 

 

從局外人的角度來看，沃爾瑪在全球各地的技術(shù)設(shè)施為其安全運(yùn)營提供了世界一流的必要條件，而沒有像硅谷公司那樣提供炫目的福利。在公司里沒有滑板車，在一個房間的角落里，有一個帶安全網(wǎng)的蹦床無人使用。

 

盡管可以選擇遠(yuǎn)程或混合工作方式，但需憑徽章進(jìn)入的出入口和層層上鎖的門表明，其物理安全性已達(dá)到數(shù)字化。

 

在人才方面，這家零售商與其他公司一樣面臨著困境：對網(wǎng)絡(luò)人員的需求遠(yuǎn)遠(yuǎn)超過了供給，這個缺口越來越大，目前有 340 萬個空缺職位。

 

在資源方面，沃爾瑪比許多公司都占優(yōu)勢。它在 2022 財年的營收為 5728 億美元，擁有 242 億美元的運(yùn)營現(xiàn)金流。但其安全部門的長期工作增加了公司的認(rèn)知深度。

 

其信息安全部門有遠(yuǎn)超過 20 年的歷史，設(shè)立時間早于那些導(dǎo)致行業(yè)巨變的標(biāo)志性且最知名的攻擊，例如，2014 年對索尼公司的黑客攻擊，或 2015 年對烏克蘭電網(wǎng)的攻擊。

 

“我們的經(jīng)驗是，由于公司在二十多年前就開始對這一領(lǐng)域進(jìn)行投入，而且，隨著我們成長、發(fā)展和成熟，然后進(jìn)入業(yè)務(wù)領(lǐng)域，因此，我們不斷成長、發(fā)展和成熟的項目就擁有優(yōu)勢。”熱斯萊說。

 

他說：“我認(rèn)為，這使我們處于一個令人羨慕的地位，可以長期擁有話語權(quán)，成為我們企業(yè)可信賴的伙伴，幫助企業(yè)避免犯錯”。

 

沃爾瑪?shù)陌踩\(yùn)營工作已贏得了業(yè)內(nèi)影響力，并因此也能夠吸引有經(jīng)驗的人才。在谷歌、摩根大通公司以及其他財富 100 強(qiáng)公司工作過的人員，也在沃爾瑪?shù)膯T工名單中。

 

除了擁有這些聲譽(yù)，沃爾瑪?shù)?Live Better U 計劃，為員工全額支付大學(xué)學(xué)費(fèi)和書本費(fèi)，旨在打造一個科技人才渠道，支持網(wǎng)絡(luò)安全和信息技術(shù)等領(lǐng)域的項目。

 

留住人才也是其人才戰(zhàn)略的一部分。在沃爾瑪?shù)墓巨k公樓內(nèi)，經(jīng)常可以看到有工作長達(dá)數(shù)年的員工，其徽章上清楚地顯示出工作時間為五年。一位名為賈斯汀·辛普森的專家，在十多年前剛從大學(xué)畢業(yè)就在沃爾瑪開始了其職業(yè)生涯，現(xiàn)在擔(dān)任數(shù)據(jù)安全總監(jiān)，同時也負(fù)責(zé)量子和加密技術(shù)工作。

 

他工作的重點(diǎn)是后量子密碼技術(shù)，確保在量子計算機(jī)問世后，沃爾瑪擁有正確的安全流程。

 

像辛普森一樣，沃爾瑪?shù)囊恍＜液蛯I(yè)人員致力于未來發(fā)展，無論這一目標(biāo)看起來有多遙遠(yuǎn)。其他人則負(fù)責(zé)身份訪問管理或云安全。機(jī)器人是另一專業(yè)技術(shù)，可幫助沃爾瑪進(jìn)行深度防御，確保客戶能購買到自己想要的商品。

 

平均而言，沃爾瑪在一個月內(nèi)可阻止 85 億次機(jī)器人惡意攻擊。

 

除了擁有互聯(lián)網(wǎng)光環(huán)的普通且疲憊的信息安全員工外，其他人都有一個高度專業(yè)化的角色。使用計算機(jī)的每一個細(xì)節(jié)(無論是公司員工、店員還是顧客)都經(jīng)過深思熟慮。沒有任何事情會被遺漏或忽視。

 

 

沃爾瑪并沒有封閉自己的安全技能。反而，它在與外部信息共享和分析中心合作，分享其網(wǎng)絡(luò)內(nèi)部和外部安全威脅相關(guān)的情報。

 

沃爾瑪副總裁兼副首席信息安全官羅伯·杜哈特 (Rob Duhart) 在一次午餐圓桌討論中表示，沃爾瑪在與美國零售業(yè)聯(lián)合會 (National Retail Federation) 的合作伙伴緊密合作，“我們實(shí)現(xiàn)了共贏”。

 

“美國零售業(yè)聯(lián)合會”和“零售與酒店業(yè)信息共享與分析中心”加強(qiáng)了合作，以更好地打擊惡意網(wǎng)絡(luò)攻擊，保護(hù)客戶數(shù)據(jù)。“零售與酒店業(yè)信息共享與分析中心”發(fā)現(xiàn)，大多數(shù)首席信息安全官 (70%) 預(yù)計今年的預(yù)算將有所增加。

 

杜哈特表示，沃爾瑪“也在盡力繼續(xù)與我們的監(jiān)管機(jī)構(gòu)合作，以確保他們可以學(xué)到我們的經(jīng)驗”。

 

對于如何看待外部網(wǎng)絡(luò)，有一個分層的方法。大多數(shù)企業(yè)將其稱為第三方風(fēng)險，而沃爾瑪將外方風(fēng)險分為第四、第五、第六層及更高層的威脅。對每一層的風(fēng)險，沃爾瑪會提供經(jīng)驗性的風(fēng)險衡量標(biāo)準(zhǔn)。

 

風(fēng)險與合規(guī)業(yè)務(wù)高級總監(jiān)魯斯·巴克利 (Russ Buckley) 在一次圓桌會議上表示，通過安全運(yùn)營團(tuán)隊和合作伙伴團(tuán)隊的努力，“我們已經(jīng)能夠?qū)久媾R的某些風(fēng)險進(jìn)行分級”。除了將一些威脅標(biāo)記為一般風(fēng)險外，沃爾瑪還可以使用內(nèi)部編號來幫助企業(yè)對某一領(lǐng)域投入的人員或預(yù)算進(jìn)行量化。

 

“這樣做可以讓我們的企業(yè)領(lǐng)導(dǎo)有一個經(jīng)驗性的數(shù)字(而不僅僅是一種猜測，也不僅僅是來自好朋友的一個說法)，并可真正看到一些東西，然后可以說，‘這就是我們想要做的事情，就這樣決定吧，’”巴克利說。“從而，這個決定也可以支持我們向所有客戶提供各項服務(wù)。”

 

行業(yè)標(biāo)準(zhǔn)的通用安全漏洞評分系統(tǒng)也要經(jīng)過沃爾瑪?shù)慕?jīng)驗性分析，從而使公司可以明確通用漏洞披露 (CVE) 可能造成哪些風(fēng)險。

 

這就是網(wǎng)絡(luò)威脅情報共享發(fā)揮作用之處。沃爾瑪已擁有相應(yīng)的機(jī)制來確定某一威脅實(shí)際構(gòu)成的風(fēng)險。即使某一通用漏洞披露不會影響沃爾瑪?shù)木W(wǎng)絡(luò)，沃爾瑪也可以對外分享該漏洞可能對業(yè)內(nèi)其他公司產(chǎn)生的影響。

 

“我們已做了大量的工作，以確保其他人也了解這種風(fēng)險，也許會說明為什么我們沒有面臨這種風(fēng)險，”巴克利說。“我們對其他企業(yè)有一定影響，他們可能會想‘看，沃爾瑪沒有受到漏洞的影響，但其他公司卻受到影響，或許我們應(yīng)該考慮一下'，從而他們會改變自身的安全態(tài)度。’”

 

這證明了沃爾瑪擁有強(qiáng)大的網(wǎng)絡(luò)情報計劃。就像許多大型企業(yè)一樣，沃爾瑪也處理來自不同商業(yè)來源的信息，收集自己的網(wǎng)絡(luò)威脅情報。

 

“我們的研究人員正在做一些工作，比如研究對手的后端基礎(chǔ)設(shè)施，了解這些威脅制造者如何操作。”安全運(yùn)營業(yè)務(wù)副總裁杰森·奧戴爾 (Jason O'Dell) 在一次圓桌會議上說。“作為研究工作的副產(chǎn)品，我們有時還會看到這些威脅制造者盯上了其他公司，然后，我們很快就會把這些信息反饋給企業(yè)群體。”

 

Gartner公司副總裁分析師克里斯·席爾瓦 (Chris Silva) 在去年談到沃爾瑪如何在安全工作中使用自動化時告訴記者，與普通公司相比，知名品牌公司面臨著不同的攻擊面。“他們始終是更大的目標(biāo)”。

 

像沃爾瑪這樣的品牌可能實(shí)際經(jīng)歷著前所未有的安全威脅，而分享這些情報可以給其他公司提供一些應(yīng)對經(jīng)驗。

 

 

沃爾瑪有自己的安全規(guī)范，該規(guī)范的影響力可延伸到監(jiān)管領(lǐng)域，從而公司希望為客戶對隱私的期盼定下基調(diào)。

 

盡管聯(lián)邦授權(quán)還沒有到位，但在美國加州的引領(lǐng)下，各州已經(jīng)在穩(wěn)步推進(jìn)隱私立法。謝弗在主題演講中表示，這些法規(guī)內(nèi)容正在“推動我們朝著自己正在行進(jìn)的方向發(fā)展”。當(dāng)這些法規(guī)通過后，“或許會加快推進(jìn)我們已經(jīng)實(shí)施的路線圖，這是一件好事”。

 

“坦率地說，我們的目標(biāo)還是要成為最值得信賴的零售商，因為我們有些業(yè)務(wù)已超出了零售領(lǐng)域。”他說。我們的目標(biāo)是成為“最值得信賴的公司”。

 

這是一個很高的目標(biāo)，但沃爾瑪有足夠的資源來實(shí)現(xiàn)這一目標(biāo)。在網(wǎng)絡(luò)安全方面，一個錯誤的舉動可能會給公司的聲譽(yù)帶來損失，但沃爾瑪有足夠的實(shí)力來解決這些問題。防御是一項主動性工作，公司網(wǎng)絡(luò)中的任何東西都不會被忽略。

 

“我們不一定會那樣過多關(guān)注沃爾瑪?shù)囊?guī)模，因為我們已習(xí)慣于在一個大環(huán)境中運(yùn)營。”熱斯萊在當(dāng)天接受記者采訪時最后說道。“這就是我們的工作狀態(tài)。”

 

 

國內(nèi)主流的to B IT門戶，同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智（www.cioall.com）。同時運(yùn)營19個IT行業(yè)公眾號（微信搜索D1net即可關(guān)注）。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。