众所周知,近年来企业快速的数字化转型,以及云化和移动化的发展给整个安全行业带来了前所未有的变化,无论是远程办公、云原生、供应链面临的安全风险和问题也越来越大。
不仅如此,随着中国企业出海的加速,由于海外市场有着纷繁复杂的各国文化、以及隐私保护立法的加快和执法趋严,也让安全合规成为了中国企业出海过程中需要密切考虑的重要问题之一。
换句话说,无论企业身处怎样的数字化进程,安全始终都是企业发展的“生命线”,这就要求企业既要具备技术层面的安全手段,更需要建立“全局”的安全思维与策略,才能为现代安全“筑牢底座”,为企业出海“保驾护航”。
那么,什么是“全局”的安全理念和思维?企业应该如何构建“全局”的安全架构呢?
走进“全局”安全新时代
毫无疑问,安全对数字化转型企业来说,已经不再是单纯技术问题,而是需要从“全局”的视角来看待和思考,这不仅是技术的改变,也是思维方式甚至是网络安全价值观的颠覆。
背后的关键原因在于,今天企业面对的安全挑战是全方位的,无论是企业上云带来安全暴露面的持续扩大;还是疫情倒逼数字化重塑带来的安全新挑战,以及政策监管产生的“驱动效应”,都让企业安全的防护和管理变为“新常态”,加强企业安全“全局”管理的能力也就变得更为迫切,我们可以从以下几个维度来做观察:
首先,从技术角度看,随着网络安全能力不断升级,“零信任”安全受到了国内外的高度关注。“零信任”理念作为一个全新的网络安全框架,可以灵活整合包括态势感知、威胁情报、网络安全、终端安全、API安全等各种热门技术,有效应对未来不确定的安全挑战。同样,企业必须在“零信任”的理念和框架下,打造新的安全解决方案,以满足企业在新技术趋势下的安全需求。
其次,从行业应用角度看,疫情之后,移动办公、远程办公、在线会议、视频会议等混合办公模式变得越来越普遍,恶意软件、勒索攻击已成为企业应用安全的最大挑战。除此之外,在教育、医疗、金融、制造等特定行业应用场景,需要保护企业的商业机密、知识产权及业务系统等安全,因此也迫切需要新的安全方案保障不确定环境下的业务连续性。
最后,从企业合规角度看,数据成为新兴生产要素,全球数据安全保护都进入了“强监管”的时代。据统计,全球目前已经有超过130个立法体建立或修订了个人信息保护法律、法规,这对于中国出海企业而言,在保证自身经营状况安全合规的前提条件下,实现海外本地化市场拓展的“深耕细作”也变得越来越紧迫。
客观地说,过去企业构筑安全方案都是功能性导向的,只能实现“头痛医头,脚痛医脚”,在新的安全挑战面前必然会陷入被动的局面。面向未来发展,企业迫切需要以“全局”的理念和方案,通过统一的视角、统一分析和统一关联,发挥每一个安全终端组件的最大化价值,才能更好地应对安全给企业带来的威胁。
以全局理念和方案筑牢数字“底座”
事实上,作为一家全球超大型的“出海企业”,微软在安全领域所面临的挑战无疑是难以想象的。数据显示,每天微软通过机器学习和AI技术,以及专业人员的智慧,收集处理超过8万亿条安全指征(Security Signals)。2020年全年,仅终端软件Defender就拦截了将近60亿恶意威胁。除此之外,微软的安全产品和方案保护着全球120个国家中40万+的客户,在这些客户中,既有小企业也有大企业。财富100强中的90家企业都是微软安全的客户,都在使用着至少四种以上的微软安全产品或服务。同时,微软目前在安全领域的营收就超过百亿美元,更是“名副其实“的全球最大的网络安全厂商。
也正因此,微软过去多年来始终在网络安全领域保持着大量投入,由此不仅以丰富的实践沉淀,打造出了企业安全合规方法论、企业合规管理和内外部风险控制、XDR全局检测和响应、威胁情报和专家系统、零信任基础架构+信息全生命周期保护,以及SIEM/SOAR安全运营中心等核心能力,覆盖了企业网络安全从规划治理,到建设和运营的全过程,如今更能以“全局”的理念和“全局”的技术手段,为企业网络安全添力赋能,并构筑出企业安全出海的“压舱石”,最大化助力企业数字化的转型和创新。
在安全合规文化和方法论方面,微软认为企业应该更全面、更主动、更前瞻性的去构建企业“自上而下”的安全框架,为此微软通过帮助企业构建安全和合规风险管理的架构、角色和职责,进一步提升企业对安全和合规的重视程度。
在此基础上,微软认为未来只有全面综合的安全防护能力才能确保企业的安全。为此,微软也打造了包括基于零信任的安全基础架构、智能且自动的威胁防御体系、关键信息的全周期管理、内外部风险发现和治理,以及高效的合规管理等五大解决方案,为企业提供了一份从开局到实践的强大技术支撑能力,帮助企业更好地实现安全保护,并能更加安全稳定地加速向数字化转型。
特别是在企业合规管理方面,微软智能合规与风险管理解决方案还能将监管要求(如GDPR,CCPA,HIPPA,网络安全法、数据保护法等) 变成可操作的行为建议和指导,以高效的合规管理工具,帮助企业实现有效的安全合规管理。
除了上述解决方案之外,微软还专门设立了网络安全运营中心,通过全球8500位安全专家为服务全球的平台、工具、服务及终端设备提供不间断的安全保护。也正因此,微软的安全能力在五个Gartner魔力象限和八个Forrester Wave类别中处于领先地位,并且在 MITRE Engenuity ATT&CK 评估中名列前茅。同时,微软还被评为 IDC MarketScape 的现代端点安全领导者等等。
不难看出,随着技术更迭速度以几何级数加快,以及外部环境的持续变化,都让企业面临着更多的不可预知的安全威胁和挑战,因此建立“全局性”的安全架构必然是企业未来的首选方向,而微软以“全局”的理念和方案,真正实现了对企业现代化安全全方位的立体保护,其价值可谓:“不止于现在,更关乎未来。”
为企业出海打造安全“护城河”
在全球监管政策越来越趋紧的今天,合规管理也成为所有中国出海企业需要直面的问题,如何更好地适应这种变化,同样也是摆在企业管理者面前的难题。
以某大型制药跨国企业的安全合规为例,这家企业不仅面临着跨全球的工厂及新并购工厂的基础架构安全整合挑战,主要体现在制药行业的配方和研发成本极高,因此企业的IP保护是重中之重。同时,一旦产线遭遇网络攻击,也会导致企业生产车间“停产”,让业务蒙受损失等等。此外,由于全球疫情的影响,如何实现工控系统的远程安全运维,以及如何确保全球科技项目组居家科研的数据安全也成了新的难题。
为此,这家跨国企业通过和微软合作,而微软不但为该大型制药跨国企业搭建了基于OT/ICS的安全成熟度模型,同时也为其构建了面向全球工厂的IOT/OT安全架构,由此实现了“零信任”架构下的OT、IT网络统一,同时也实现了全球范围内IT、IOT/OT混合实验室部署环境,更为在全球范围内疫情下的安全实验室访问及研发打牢了安全基础。
数据显示,在微软“安全”理念和技术方案的“加持”下,该大型制药跨国企业的工厂办公访问流程效率提升了20%,同时总部集中监控全球工厂安全生产状况,其响应率也提高了30%,可以说真正让企业能够“无后顾之忧”地进行安全生产、技术创新,进而实现业务的快速发展。
背后的关键原因在于,一方面,作为在全球合规认证中最全的方案提供商,微软可以帮助出海企业去分析当地的合规政策,最大化解决出海企业对安全合规问题的担忧,让企业对自己的数据资产完全可见,对自己的系统完全技术可控,对自己的运行状态可审计,更能够根据自己的业务发展阶段和安全策略灵活构建自己的系统、通过自动化工具实现定制化的安全能力,最终更好地帮助出海企业直面海外本地化的挑战,最大化的提升企业的出海效率。
另一方面,微软既有全球“出海”,也有“入华”的经验,其服务全球和中国客户所沉淀下来的在数据安全、隐私与合规保障领域的经验和能力,是其独特的能力核心所在,特别是作为“全局”解决方案提供商,微软不仅能够为企业提供现代化的安全运营理念,同时在产品和方案覆盖也十分丰富,不存在哪一项的业务“短板”,因此能够满足不同国家和不同区域的安全合规要求,同时更能以“一站式”的方式解决企业合规所面临的问题。
总的来说,站在整个外部环境变化和技术不断演进创新的重要关口,微软始终站在安全技术与应用的最前沿,并随着环境和客户需求的变化而不断的迭代和进化,以“全局”安全的理念和方案,真正把企业的网络安全提升到了一个更高的层次,显然也能够更有针对性、更有效的帮助企业构建面向新时代的现代化安全运营能力和体系,相信这也是微软在未来支撑众多中国企业在数字化转型和企业出海领域不断保持创新的关键和底气所在。
了解更多微软全局出海解决方案,报名参加微软Ignite大会安全专场。
