在當今數字化轉型的浪潮中,信息安全成為了企業穩健前行的關鍵要素。美的集團作為行業領軍者,其在信息安全建設方面的探索與實踐更具標桿意義。
繼上一篇美的集團首席信息安全官(CISO)兼軟件工程院院長、歐洲科學院院士、IEEE Fellow、IET Fellow、ACM杰出科學家劉向陽向企業網D1net深度揭秘信息安全“五板斧”策略在美的的最佳實踐之后,本篇我們將深度聚焦信息安全建設的挑戰與破解之道,同時探索AI技術如何在這片充滿挑戰的領域開辟新徑,為企業信息安全防護增添智能羽翼。
美的集團首席信息安全官(CISO)兼軟件工程院院長 劉向陽
挑戰一:預算問題,成本與安全的博弈
“信息安全部門在企業里的定位一般是成本部門,主要職能是預防風險和保護公司資產,并不直接創造利潤。”劉向陽一語道破了信息安全部門在企業中的普遍困境。在經營視角下,降本增效是永恒的主題,而信息安全預算投入往往被視為一種“額外負擔”。
面對這一挑戰,美的集團采取了積極的應對策略。劉向陽表示:“我們通過收集業界知名企業近年來發生的重大信息安全案例與自身安全風險,向領導闡述信息安全預算投入是公司安全治理一定需要的保命措施。”這一策略有效地提升了領導層對信息安全重要性的認識,使他們意識到投資信息安全可以預防未來的業務中斷或數據泄露等安全事件,從而節省可能因此產生的經濟損失或是監管的巨額罰款。
同時,美的集團還通過對公司現狀進行風險評估,根據評估的差距項進行優先級排序,來制定詳細的預算方案和計劃。“我們會解釋每一筆費用的必要性,不做的風險在哪里,做了能解決哪些風險,以及對業務的價值。”劉向陽強調,“通過不斷的溝通,定期向領導更新關于公司信息安全狀況的信息,展示信息安全方面的專業保障能力,建立雙方的信任關系,從而更好地促進信息安全投資。”
挑戰二:安全與效率的平衡,破解矛盾的藝術
除了預算問題外,安全與效率的平衡也是信息安全建設中的一大挑戰。“信息安全與業務的矛盾多數體現在業務流程設計方面。”劉向陽指出,“業務部門必須考慮用戶體驗,因此希望處理步驟越便捷、驗證過程越簡單越好。但從信息安全角度來看,有些必要的風險控制措施又不能簡化,比如密碼復雜度、二次認證、網絡隔離等等。”
針對這一矛盾,美的集團采取了“風險分類”與“前輕后重”的策略。“首先雙方要改變心態,停止爭執,朝著一個目標溝通協作,取得風險與效益的平衡。”劉向陽解釋說,“我們根據風險的大小與發生頻率,優先化解高風險與高頻風險,并調研同業采用的方式,尋找更好的管控措施。”
所謂“前輕”,就是在直接與客戶體驗相關的前端,在滿足監管要求的前提下,設計盡可能簡單的規則。而“后重”則是在后端配套一系列的安全防護措施進行支撐。“這樣既能保證用戶體驗的流暢性,又能確保信息安全的有效管控。”劉向陽總結道。
AI技術賦能信息安全,實現高效運營與智能防護
隨著大模型等AI技術的迅猛發展,AI在安全領域的應用正不斷拓展其邊界。劉向陽提到,AI技術在美的集團的信息安全建設中發揮了積極作用,不僅提升了安全防護的智能化水平,還實現了降本增效等多重目標。
劉向陽表示:“美的集團以安全大模型作為智能化安全運營體系的能力核心,通過可擴展檢測響應平臺XDR為基礎底座,對接EDR類、NDR類等安全組件和CMDB、閉環平臺等業務系統,實現了智能化的安全理解、檢測、響應和處置能力。”這一體系的構建,標志著美的集團在信息安全防護方面邁出了重要一步。
安全大模型的引入,不僅提升了美的集團的安全防護能力,更推動了其運營體系的智能化轉型。劉向陽強調:“以安全大模型為引擎,通過自定義模型微調,結合組織制度流程、自動化響應與編排技術(SOAR),聯動云端SaaS專家7*24小時和本地運營團隊持續運營保障,美的實現了從人工被動運營體系向實戰化、智能化的‘主動運營’轉變,達成了‘自主響應閉環,持續運營改進’的高階安全目標。”
在安全大模型的應用下,美的集團的信息安全運營人員在廣度和深度上都實現了全局把控。在廣度上,少量運營人員即可守護數十萬資產,每天只需關注安全大模型從20萬+告警降噪削減到200+條有效告警,準確度達到97%以上。在深度上,安全大模型系統對任意一條告警都可解讀,直觀呈現完整分析過程,幫助運營人員更好理解攻擊意圖,快速完成研判決策。
這一轉變帶來了顯著的效率提升。劉向陽分享道:事件研判平均用時從30分鐘以上減少到5分鐘以內,單個事件處置閉環時間從數小時以上減少到10分鐘以下,運營指標MTTD(平均檢測時間)和MTTR(平均響應時間)下降了25倍以上。這些具體數字的背后,是美的集團信息安全運營能力的顯著提升和成本的有效管控。
“五板斧”戰略驅動,美的信息安全取得顯著成效
在數字化轉型的浪潮中,美的集團以前瞻性的視角布局信息安全領域,通過實施“五板斧”策略,不僅重塑了企業的安全防御體系,更在智能安全運營、隱私合規管理以及自研安全產品等方面取得了顯著成效,為行業樹立了新的標桿。
1、構建全方位縱深安全防御體系
美的集團構建了涵蓋生產環境、辦公環境、工控環境、公有云環境在內的多維度、多層次的縱深安全防御體系。這一體系不僅全面覆蓋了終端安全、主機安全、網絡安全、數據安全、應用安全及業務安全等關鍵領域,還通過集成先進的監控與響應機制,實現了對潛在威脅的實時感知與快速響應。相對完善的縱深安全防御體系,為美的集團的數字化轉型之路提供了堅實的安全保障。
2、自動化智能化體系化的安全建設及運營
基于縱深防御體系,美的集團持續深化智能安全運營系統的建設,覆蓋IT、OT全域的復雜業務場景,并成功將AI技術融入日常運營中。通過“安全大模型+云+7*24小時MSS運營新范式”的應用,系統能夠自主研判日均80億+的海量日志,實現自動化處置及閉環管理,主動防御日均1000萬次+的網絡攻擊。自動化、智能化、體系化的安全建設及運營,不僅提升了安全事件的響應速度與處置效率,還顯著增強了美的集團在面對復雜多變安全威脅時的防御能力,智能守護美的數十萬的數字資產安全,為公司的數字化轉型保駕護航。
3、隱私合規管理達到國際領先水平
在隱私合規方面,美的集團組建了一支專業的合規管理團隊,專注于全球范圍內的信息安全合規工作;同時成立了CNAS實驗室,對家電產品進行合規測試驗證。通過定期梳理和更新各國及地區的法規要求,結合內部培訓提升員工合規意識,美的有效降低了合規和監管的處罰風險。同時,美的積極尋求并獲得多項國際權威合規認證,如ISO 27701、PSTI、CCRC產品安全認證及ETSI 303645等,這些合規認證不僅證明了美的在合規方面的底線與實力,也顯著增強了市場競爭力,并成功助力公司贏得多個國際訂單。
4、自研安全產品體系日臻完善
通過自主研發身份安全產品(4A/C4A)、零信任安全產品(包括零信任、網絡準入、DLP、桌管)、私密管理系統(KeySphere)以及自動化攻擊與模擬驗證系統(BAS)等,美的進一步完善了自身的縱深安全防御體系。這些自研產品不僅具備高度的靈活性與可定制性,還充分結合了美的集團的業務特性與安全需求,為公司的數字化轉型提供了更加貼合實際的安全解決方案。
信息安全的新挑戰與新機遇
劉向陽認為,攻擊手段的復雜化、攻擊面的難以管控以及復雜的合規要求都是信息安全領域面臨的新挑戰。
1、網絡攻擊日益頻繁和復雜化
隨著技術的飛速發展,網絡攻擊手段不斷翻新,APT攻擊、AI攻擊等復雜攻擊形式層出不窮。這些攻擊往往結合了惡意軟件、社交工程、釣魚攻擊以及AI生成攻擊代碼等多種技術手段,使得防御工作變得極為困難。
2、攻擊面難以100%管控
在高度數字化的世界中,企業暴露在互聯網的資產越來越多,無論是必須觸達用戶的應用系統,還是無意間暴露的不設防的影子資產,都給企業帶來了嚴重的威脅。
3、合規要求
隨著全球化的深入發展,數據跨境流動日益頻繁,既推動了數字經濟的繁榮,也給信息安全帶來了新的挑戰。數據跨境流動不僅涉及個人隱私保護、商業秘密安全,還可能觸及國家安全層面,因此如何確保數據在跨境傳輸過程中的安全性、合規性和可控性,成為亟待解決的問題。
美的集團采取四項應對策略
面對這些挑戰,美的集團已經制定了周密的應對策略。劉向陽透露:“首先,我們內部新成立了信息安全紅隊,定期對重要系統和重要崗位進行攻擊測試,包括魚叉釣魚攻擊,以提高系統的安全攻防能力和員工的安全意識。”
其次,美的集團專注于攻擊面的治理,通過持續自動化發現暴露面,全面識別資產和可利用的攻擊路徑,判斷暴露資產和暴露面的變化,從而持續縮小暴露面、治理漏洞、實現事件閉環。
第三,在數據跨境處理方面,美的集團堅持必要性與最小化原則,持續建設和完善隱私合規體系,以確保數據跨境流動的合規性和安全性。劉向陽強調:“我們深知數據跨境流動的重要性與敏感性,因此在這方面我們采取了極為謹慎和負責任的態度。”
最后,美的集團正在積極探索AI+安全運營的新模式。劉向陽表示:“我們正持續應用安全大模型,優化安全運營體系,提高攻擊檢測的檢出率和安全運營的效率。相信通過不斷創新和應用新技術,能夠更好地應對未來信息安全領域的挑戰與機遇。”
結語
信息安全是企業數字化轉型過程中必須堅守的生命線。從構建全方位縱深防御體系到智能安全運營系統的突破性進展,從隱私合規管理的國際領先水平,到自研安全產品體系的日臻完善,美的集團正以堅實的步伐引領著行業信息安全建設的新潮流,為企業的數字化轉型之路筑起了堅不可摧的保障之墻。
展望未來,我們有充分的理由相信,美的集團將在信息安全領域深耕細作,不斷以創新的技術和日益完善的防御體系,靈活應對日益復雜的威脅與挑戰,為整個行業的持續健康發展貢獻力量。
關于企業網D1net(hfnxjk.com):
國內最大的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
京公網安備 11010502049343號