記者們一邊享用著早餐,一邊聽著一場正式安排的早餐對話,談話雙方是公司網絡安全首席顧問兼數字信任合規業務副總裁謝弗和高級副總裁兼首席信息安全官杰里·熱斯萊 (Jerry Geisler),探討信任在沃爾瑪公司意味著什么。
這是在任何技術會議上都能看到的一種對話,這是沃爾瑪在一月中旬展示其安全運營工作過程中開展的眾多對話的第一個。通過與二十多名網絡安全人員的對話以及參觀公司多個設施,記者了解了沃爾瑪網絡運營工作的范圍,以及為什么公司如此關注安全性(即使其客戶不會注意到這一點)。
“我的認識或許存在偏見——網絡安全始終是我最關心的問題,但我知道并非每個人都持同樣的觀點。”熱斯萊在與謝弗談話時說道。
他說:“如果這是客戶所關心的頭等大事,那么我希望他們能看到我們正在做的工作,并要堅信,在保護客戶信息方面,我們正在履行對他們的承諾”。
熱斯萊表示,如果安全性對客戶而言不是頭等大事,那么沃爾瑪仍希望客戶相信,公司會做正確的事情。
許多企業沒有將安全性作為首要工作,最終導致無法挽回的后果。今年網絡犯罪造成的損失預計將達到 8 萬億美元,高于 2022 年的 6 萬億美元。世界經濟論壇警告稱,在發生災難性網絡事件后,可能導致全球不穩定。
然而,由于市場處于低迷階段,企業對網絡安全方面的持續投資無法得到保證。
在一個網絡入侵成為常態、消費者對隱私日益麻木的時代,對安全性和信任的關注卻未得到重視。聯邦貿易委員會 (Federal Trade Commission) 實施的處罰或歐盟在數據隱私方面的工作對企業改變其處理數據的方式上并沒有什么作用。屢次違規的企業表示,他們正在對網絡工作進行投入,但更多的支出并未顯現出,安全環境可以改變。
對沃爾瑪來說,對安全工作的認真態度可通過其工作范圍得以了解,沃爾瑪的網絡中心遍布全球,使其能夠通過輪班工作和不同時區實現 24 小時不間斷的安全運營(例如,在印度班加羅爾的安全運營中心可以接力完成美國安全人員的工作日程)。
這些安全運營中心平均每年處理 6 萬億個數據點,沃爾瑪將這些數據進行內部處理,然后與更大的安全工作群體進行共享。沃爾瑪還運營著一個經認證的取證實驗室,可幫助進行數據恢復,并配備無塵室、專業 X 射線技術和熱風焊接。參觀沃爾瑪的數據中心時,規章執行人員站在好奇的訪客身邊,介紹著一些運營方面的冗余設備。
不給故障留有余地,立即進行故障切換。
沃爾瑪沒有透露其在網絡安全方面的開銷,也未公開其(負責管理基礎技術)全球 20000 名技術員工中從事信息安全工作的比例。對沃爾瑪設施的參觀只能讓人了解其業務運營的規模,近距離觀察表明,很少有公司能實現如此規模的獨立運營。
沃爾瑪的網絡安全工作不僅僅是一個最佳范例,還可能是一個特殊案例。
這并不是說沃爾瑪所采用的安全工作方式不可企及。更確切地說,其運營工作與眾不同的是它如何能如此重視安全性。面對不斷的網絡威脅,清楚地知道哪些工作應優先考慮,哪些可以稍后再做,這是企業可以效仿的技巧。
公司內部情況
從局外人的角度來看,沃爾瑪在全球各地的技術設施為其安全運營提供了世界一流的必要條件,而沒有像硅谷公司那樣提供炫目的福利。在公司里沒有滑板車,在一個房間的角落里,有一個帶安全網的蹦床無人使用。
盡管可以選擇遠程或混合工作方式,但需憑徽章進入的出入口和層層上鎖的門表明,其物理安全性已達到數字化。
在人才方面,這家零售商與其他公司一樣面臨著困境:對網絡人員的需求遠遠超過了供給,這個缺口越來越大,目前有 340 萬個空缺職位。
在資源方面,沃爾瑪比許多公司都占優勢。它在 2022 財年的營收為 5728 億美元,擁有 242 億美元的運營現金流。但其安全部門的長期工作增加了公司的認知深度。
其信息安全部門有遠超過 20 年的歷史,設立時間早于那些導致行業巨變的標志性且最知名的攻擊,例如,2014 年對索尼公司的黑客攻擊,或 2015 年對烏克蘭電網的攻擊。
“我們的經驗是,由于公司在二十多年前就開始對這一領域進行投入,而且,隨著我們成長、發展和成熟,然后進入業務領域,因此,我們不斷成長、發展和成熟的項目就擁有優勢。”熱斯萊說。
他說:“我認為,這使我們處于一個令人羨慕的地位,可以長期擁有話語權,成為我們企業可信賴的伙伴,幫助企業避免犯錯”。
沃爾瑪的安全運營工作已贏得了業內影響力,并因此也能夠吸引有經驗的人才。在谷歌、摩根大通公司以及其他財富 100 強公司工作過的人員,也在沃爾瑪的員工名單中。
除了擁有這些聲譽,沃爾瑪的 Live Better U 計劃,為員工全額支付大學學費和書本費,旨在打造一個科技人才渠道,支持網絡安全和信息技術等領域的項目。
留住人才也是其人才戰略的一部分。在沃爾瑪的公司辦公樓內,經常可以看到有工作長達數年的員工,其徽章上清楚地顯示出工作時間為五年。一位名為賈斯汀·辛普森的專家,在十多年前剛從大學畢業就在沃爾瑪開始了其職業生涯,現在擔任數據安全總監,同時也負責量子和加密技術工作。
他工作的重點是后量子密碼技術,確保在量子計算機問世后,沃爾瑪擁有正確的安全流程。
像辛普森一樣,沃爾瑪的一些專家和專業人員致力于未來發展,無論這一目標看起來有多遙遠。其他人則負責身份訪問管理或云安全。機器人是另一專業技術,可幫助沃爾瑪進行深度防御,確保客戶能購買到自己想要的商品。
平均而言,沃爾瑪在一個月內可阻止 85 億次機器人惡意攻擊。
除了擁有互聯網光環的普通且疲憊的信息安全員工外,其他人都有一個高度專業化的角色。使用計算機的每一個細節(無論是公司員工、店員還是顧客)都經過深思熟慮。沒有任何事情會被遺漏或忽視。
網絡之外
沃爾瑪并沒有封閉自己的安全技能。反而,它在與外部信息共享和分析中心合作,分享其網絡內部和外部安全威脅相關的情報。
沃爾瑪副總裁兼副首席信息安全官羅伯·杜哈特 (Rob Duhart) 在一次午餐圓桌討論中表示,沃爾瑪在與美國零售業聯合會 (National Retail Federation) 的合作伙伴緊密合作,“我們實現了共贏”。
“美國零售業聯合會”和“零售與酒店業信息共享與分析中心”加強了合作,以更好地打擊惡意網絡攻擊,保護客戶數據。“零售與酒店業信息共享與分析中心”發現,大多數首席信息安全官 (70%) 預計今年的預算將有所增加。
杜哈特表示,沃爾瑪“也在盡力繼續與我們的監管機構合作,以確保他們可以學到我們的經驗”。
對于如何看待外部網絡,有一個分層的方法。大多數企業將其稱為第三方風險,而沃爾瑪將外方風險分為第四、第五、第六層及更高層的威脅。對每一層的風險,沃爾瑪會提供經驗性的風險衡量標準。
風險與合規業務高級總監魯斯·巴克利 (Russ Buckley) 在一次圓桌會議上表示,通過安全運營團隊和合作伙伴團隊的努力,“我們已經能夠對公司面臨的某些風險進行分級”。除了將一些威脅標記為一般風險外,沃爾瑪還可以使用內部編號來幫助企業對某一領域投入的人員或預算進行量化。
“這樣做可以讓我們的企業領導有一個經驗性的數字(而不僅僅是一種猜測,也不僅僅是來自好朋友的一個說法),并可真正看到一些東西,然后可以說,‘這就是我們想要做的事情,就這樣決定吧,’”巴克利說。“從而,這個決定也可以支持我們向所有客戶提供各項服務。”
行業標準的通用安全漏洞評分系統也要經過沃爾瑪的經驗性分析,從而使公司可以明確通用漏洞披露 (CVE) 可能造成哪些風險。
這就是網絡威脅情報共享發揮作用之處。沃爾瑪已擁有相應的機制來確定某一威脅實際構成的風險。即使某一通用漏洞披露不會影響沃爾瑪的網絡,沃爾瑪也可以對外分享該漏洞可能對業內其他公司產生的影響。
“我們已做了大量的工作,以確保其他人也了解這種風險,也許會說明為什么我們沒有面臨這種風險,”巴克利說。“我們對其他企業有一定影響,他們可能會想‘看,沃爾瑪沒有受到漏洞的影響,但其他公司卻受到影響,或許我們應該考慮一下',從而他們會改變自身的安全態度。’”
這證明了沃爾瑪擁有強大的網絡情報計劃。就像許多大型企業一樣,沃爾瑪也處理來自不同商業來源的信息,收集自己的網絡威脅情報。
“我們的研究人員正在做一些工作,比如研究對手的后端基礎設施,了解這些威脅制造者如何操作。”安全運營業務副總裁杰森·奧戴爾 (Jason O'Dell) 在一次圓桌會議上說。“作為研究工作的副產品,我們有時還會看到這些威脅制造者盯上了其他公司,然后,我們很快就會把這些信息反饋給企業群體。”
Gartner公司副總裁分析師克里斯·席爾瓦 (Chris Silva) 在去年談到沃爾瑪如何在安全工作中使用自動化時告訴記者,與普通公司相比,知名品牌公司面臨著不同的攻擊面。“他們始終是更大的目標”。
像沃爾瑪這樣的品牌可能實際經歷著前所未有的安全威脅,而分享這些情報可以給其他公司提供一些應對經驗。
來自高層的影響力
沃爾瑪有自己的安全規范,該規范的影響力可延伸到監管領域,從而公司希望為客戶對隱私的期盼定下基調。
盡管聯邦授權還沒有到位,但在美國加州的引領下,各州已經在穩步推進隱私立法。謝弗在主題演講中表示,這些法規內容正在“推動我們朝著自己正在行進的方向發展”。當這些法規通過后,“或許會加快推進我們已經實施的路線圖,這是一件好事”。
“坦率地說,我們的目標還是要成為最值得信賴的零售商,因為我們有些業務已超出了零售領域。”他說。我們的目標是成為“最值得信賴的公司”。
這是一個很高的目標,但沃爾瑪有足夠的資源來實現這一目標。在網絡安全方面,一個錯誤的舉動可能會給公司的聲譽帶來損失,但沃爾瑪有足夠的實力來解決這些問題。防御是一項主動性工作,公司網絡中的任何東西都不會被忽略。
“我們不一定會那樣過多關注沃爾瑪的規模,因為我們已習慣于在一個大環境中運營。”熱斯萊在當天接受記者采訪時最后說道。“這就是我們的工作狀態。”
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號