- · 《数字化用户》投稿方式[06/28]
- · 《数字化用户》征稿要求[06/28]
- · 《数字化用户》刊物宗旨[06/28]
零零信安王宇:数字化转型进程伴生新威胁 风险
作者:网站采编关键词:
摘要:世界经济论坛达沃斯论坛在今年1月份发布的《2022年全球风险报告》指出随着整个社会不断向数字世界迁移网络安全威胁也在不断加剧掌握主动权的攻击者经常给组织带来数千万甚至数
世界经济论坛达沃斯论坛在今年1月份发布的《2022年全球风险报告》指出随着整个社会不断向数字世界迁移网络安全威胁也在不断加剧掌握主动权的攻击者经常给组织带来数千万甚至数亿美元的损失同时次生灾难所造成的损失更难以用金钱来衡量。网络风险已成为近年来需关注的重要风险之一在今年的报告中更是单独围绕数字化转型进行了全面的思考报告关注到人们正在使用更加先进的技术但在日益复杂的数字系统背景下网络威胁已超过了当前社会普遍的风险管理能力。
可见如何对来自于网络世界中的安全风险进行有效管理已成为企业、组织亟需解决的当务之急。最近安全419走进专注于全局风险管理且刚刚完成千万级天使轮融资的初创安全企业——北京零零信安科技有限公司同其创始人兼CEO王宇就该话题进行了探讨。
传统网安方法落伍 要打造安心、省心的风险管理解决方案
面对当下数字化转型过程中不断涌现的各类新型网络威胁王宇告诉我们这是他在创业前一直思考的问题结合自己近20年从事网络安全相关工作的经历结合当前不断扩大的攻击面他看到的现状是在防御侧应用的大多还是基于10多年前的技术这难免会有些落伍。
“当黑客的攻击手段和能力在发展和进步时我们防御的手段也要与时俱进。”因此王宇萌生了从风险管理角度切入的想法他告诉我们零零信安的目标就是要打造更高效、更简单、更全方位的风险管理解决方案让企业用的安心让运维人员用的省心。
王宇直言从攻击者的视角来看一般情况下都是通过漏洞发起攻击但对于有组织的黑客或政治黑客而言除了漏洞、0day之外他们甚至还可以做到一个漏洞都不去利用最终依然能够成功的实施攻击他们已经具备了这样的能力。
“也就是说在防御中需要在攻击者的视角下来建立与之相匹配的能力以往关注的漏洞是一方面另一方面还要帮助企业建立一套能够通过数据就可以面向全局去排查、分析潜在风险的管理工具。”只有这样才能够让在国内技术发展停滞了10多年的风险管理能力与时俱进满足当前发展趋势所需。
“从理论上来看国内一直强调的是动态风险管理但这意味着你要跟得上国际和国内的发展形势现在我们有大量的企业用户正在数字化转型如果这个时候还依靠老的技术和方法论去解决当下的安全风险问题必然是做不到位的所以要用新的技术去保障新的产业。”
说起零零信安大家的印象可能更多的认为他们一家热衷于VPT技术的企业经过交流我们发现这种想法虽然没有错但却过于片面了。
“VPT其实是我们在风险管理领域众多技术中选择的一个其实除了VPT之外我们也会选择ASM攻击面管理、DRP数字风险保护以及BAS入侵攻击模拟等。”王宇谈道“要达到做好风险管理的目标光凭借某一个技术去实现是不可能的。我们最终是以帮助用户实现更好的风险管理为目标在这个目标之下需要什么技术我们就用什么技术。因此外界认为我们只依靠VPT来做风险管理这一看法并不准确。”
智能化风险管理的根基是数据
作为网络安全领域的初创企业技术能力尤为重要对于零零信安也不例外。“每个企业都有自己的强项我们能够创业做这个事情也是建立在对自己的数据采集能力有着充足信心这一基础之上的。”王宇认为“不管是我们??之前做的事情、刚创业时做的事情还是我们现在做的这些事情所有的??这些技术、产品不管再怎么变最终围绕的都是一个点——如何把数据利用好。”
在他看来无论是渗透测试还是攻防演练等等那些攻击者此前长期都基本是处在单兵作战的状态但在近四、五年以来攻击者已经开始转变为有组织的形态走向集团化。在这种情况下对于攻击者而言最有价值的就是数据在拥有了数据之后就可以形成很多智能化的工具帮助他们更简单、更高效的发起攻击。
这就回到了采访伊始所说的当黑客的攻击手段、能力在发展和进步时我们防御的手段也要与时俱进。因此将风险管理智能化也是大势所趋。
王宇表示智能化风险管理的基础就是数据所以我们当前最关注的就是与数据相关的内容包括数据的采集、数据的分析以及数据的处理等以数据为出发点让其为VPT等技术所利用以建立模型从而可以判断出哪些弱点、漏洞在处置工作中应给予最高优先级。
数据的重要性对于风险管理领域中的其他方面也是如此王宇告诉我们如ASM攻击面管理技术所针对的不仅是当前已知的资产和数据而是会面向更大规模的未知数据去做操作再如DRP数字风险保护它有很大一部分是基于互联网的数据资产包括公开网络和暗网等等因为这些都有可能是自身重要数据的泄露点。
文章来源:《数字化用户》 网址: http://www.szhyhbjb.cn/zonghexinwen/2022/0222/2634.html