全球500強(qiáng)企業(yè)中,美國(guó)以126家占據(jù)頭名,緊隨其后的就是擁有120家500強(qiáng)公司的中國(guó);再加上身為世界第二大經(jīng)濟(jì)體;中國(guó)的公司企業(yè)被網(wǎng)絡(luò)罪犯瞄準(zhǔn)實(shí)在是一件再正常不過(guò)的事。與西方世界不同,中國(guó)人的生活更加依賴(lài)網(wǎng)絡(luò)和移動(dòng)服務(wù),也就更加刺激了惡意黑客的攻擊動(dòng)機(jī)。中國(guó)公司企業(yè)必須回以與之相稱(chēng)的防御。用于檢測(cè)欺詐支付交易和虛假社交媒體賬戶的機(jī)器學(xué)習(xí)和人工智能技術(shù),被有效應(yīng)用到了內(nèi)部人威脅、網(wǎng)絡(luò)釣魚(yú)電子郵件和攻擊者網(wǎng)絡(luò)探索的檢測(cè)上。中國(guó)企業(yè)發(fā)布的威脅情報(bào)和細(xì)致分析有時(shí)令西方網(wǎng)絡(luò)安全人士甚為驚嘆。
所以,中國(guó)公司與世界其他地方的公司企業(yè)一樣面臨網(wǎng)絡(luò)安全挑戰(zhàn)的事實(shí)毫不令人意外。而且,中國(guó)企業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)還被某些因素放大了。盡管在中國(guó)這個(gè)龐大而多元的社會(huì)僅采樣十?dāng)?shù)家公司就得出結(jié)論是件冒險(xiǎn)的事,但有3個(gè)方面似乎對(duì)各種規(guī)模和各行各業(yè)的公司都適用:
規(guī)模——中國(guó)公司應(yīng)對(duì)的網(wǎng)絡(luò)安全事務(wù)規(guī)模非常龐大,數(shù)億用戶、每天數(shù)十億的交易量,所有這些都在大量產(chǎn)生數(shù)據(jù)。這么龐大的規(guī)模,放在美國(guó),除了最大型的那幾家銀行或科技公司,其他公司都見(jiàn)不到。
驗(yàn)證挑戰(zhàn)——中國(guó)有著嚴(yán)格的隱私法律,很多公民沒(méi)有銀行或信用歷史。因此,美國(guó)公司熟悉的身份驗(yàn)證流程(驗(yàn)證之前的地址或信貸余額)就不起效了。這就讓手機(jī)號(hào)成為了一個(gè)十分方便的身份標(biāo)識(shí)(ID)。但購(gòu)買(mǎi)新SIM卡又很便宜,導(dǎo)致基于App的詐騙比比皆是。只要公司無(wú)法確知賬戶主人的真實(shí)身份,或者無(wú)法驗(yàn)證銀行賬戶,攻擊者的風(fēng)險(xiǎn)就幾近于零。電信詐騙給中國(guó)公司企業(yè)造成的損失相當(dāng)巨大。
增長(zhǎng)——要保護(hù)規(guī)模和復(fù)雜度空前的環(huán)境,還要在一兩年之內(nèi)拉起團(tuán)隊(duì)、設(shè)立過(guò)程、部署技術(shù),太多公司的快速增長(zhǎng)意味著他們是在摸著石頭過(guò)河。
與西方相比,中國(guó)的商業(yè)環(huán)境為防御者提供了一些優(yōu)勢(shì):
移動(dòng)支付無(wú)處不在——西方人到中國(guó)旅游常會(huì)為中國(guó)移動(dòng)支付的普及程度所震驚,很多商店和餐館甚至?xí)芙^他們以現(xiàn)金或信用卡支付。有些公司僅有移動(dòng)界面。當(dāng)公司的主要(或僅有的)用戶界面是移動(dòng)應(yīng)用的時(shí)候。其威脅模式就完全不一樣了,只會(huì)比需要支持一系列用戶交互方式的公司更加簡(jiǎn)單。西方很多公司需要防御的領(lǐng)域很廣,不僅僅有移動(dòng)及傳統(tǒng)網(wǎng)站。還有多年商業(yè)運(yùn)營(yíng)留下的一系列隔離區(qū)(DMZ)、第三方界面、直接供應(yīng)商連接、老舊系統(tǒng)連接器等等。相比西方商業(yè)環(huán)境,中國(guó)公司企業(yè)需要防御的威脅界面真的很小。
平臺(tái)現(xiàn)代化程度高——中國(guó)公司企業(yè)大多使用的是近幾年才出現(xiàn)的系統(tǒng)和平臺(tái),不存在西方公司常見(jiàn)的遺留技術(shù)問(wèn)題。
成本低廉——中國(guó)公司企業(yè)安全團(tuán)隊(duì)的規(guī)模令人大開(kāi)眼界。雖然美國(guó)有些公司企業(yè)維持有龐大的信息安全團(tuán)隊(duì),但與中國(guó)公司一比就相形見(jiàn)絀了——中國(guó)的資源基本上更加經(jīng)濟(jì)實(shí)惠。路透社曾報(bào)道稱(chēng),擁有人工智能和機(jī)器學(xué)習(xí)碩士學(xué)位的人,薪資水平開(kāi)始上升;其他安全領(lǐng)域的專(zhuān)家,比如從事事件分析、合規(guī)、漏洞管理的那些,薪資則仍相對(duì)較低。
文化優(yōu)勢(shì)——美國(guó)公司在平衡用戶體驗(yàn)與安全上往往舉步維艱。有的公司甚至在發(fā)生數(shù)據(jù)泄露之后仍然拒絕給關(guān)鍵系統(tǒng)部署雙因子身份驗(yàn)證,連關(guān)鍵補(bǔ)丁的部署都特別緩慢,原因就是怕引起雇員不便和抵制。但中國(guó)企業(yè)在平衡雇員便利性和安全之間似乎沒(méi)有這個(gè)問(wèn)題,只要需要部署補(bǔ)丁,馬上就付諸行動(dòng)了,執(zhí)行力一流。這并不是說(shuō)中國(guó)公司的安全文化就特別優(yōu)秀,而是指中國(guó)公司里雇員方不方便從來(lái)都不是安全的障礙。
中國(guó)公司與世界其他地方的公司一樣面臨著諸多網(wǎng)絡(luò)安全威脅,但中國(guó)的公司企業(yè)往往采用新興平臺(tái),以創(chuàng)新方式在非常龐大的規(guī)模上迅速解決這些威脅。這一點(diǎn)值得世界其他國(guó)家的公司企業(yè)學(xué)習(xí)。英雄不問(wèn)出處,中國(guó)雖然百年積弱,在信息科技領(lǐng)域是妥妥的后進(jìn)生,但白紙一片更好畫(huà)江山,相對(duì)低廉的人力資源成本和超強(qiáng)的執(zhí)行力也是中國(guó)公司在信息安全領(lǐng)域應(yīng)對(duì)挑戰(zhàn)的有利條件。
京公網(wǎng)安備 11010502049343號(hào)