“主任,似乎有人正在攻击”,大虎盯着屏幕上不断跳动的红色数字,紧张的说到。此时,攻击者正在通过恶意字符串试图触发 Log4j 远程代码执行漏洞,虽然明知他是徒劳的,但这样的偶发事件还是让大虎心头一紧。
这已经是本月捕获的第三次攻击了。作为一家大型跨国能源公司,原本这样的情况并不多见,但最近这半年发生的频率似乎正在增加。“或许与当下能源紧张的局势有关”,大虎想。但作为IT运维工程师,他的职责就是最大限度的保障系统安全,将风险降到最低。
“不要紧张,按流程操作就好”,大虎身后传来了主任那坚定的声音。相比年轻人的紧张,主任更多体现出的是沉着,同时他更信任早就充分布局的微软安全防护系统,这套系统可以监控全球范围内近百种日志源,并在第一时间进行预警和处理。很快这次攻击被化解于无形——坚固的系统防护面前,攻击并没有造成任何损失,反而让系统智能化的风险和情报感知系统更上一层楼。
以上只是微软帮助众多中国企业出海应用的“日常操作”。近些年,安全与合规成为当下许多中国企业出海面临的首要问题。据中国贸促会对近千家企业的调查显示,超三成(36.2%)受访企业在东道国投资及生产经营过程中遇到过合规问题,其中隐私保护、知识产权合规需求缺口也在不断扩大。这也说明,企业出海首先要过的就是“合规”关。
比如在2020年,某国际集团因客户数据泄露被罚款1840万英镑;2021年,某电商平台又因20多万用户和供应商信息被泄露而对数万商户进行封号处理……这些问题的出现,一方面暴露出海企业对于信息安全的忽视,另一方面也暴露自身对于海外政策、规则理解不到位,导致跨境运营频频踩“红线”。
在许多人看来,出海做生意符合当地法律也是理所应当的事,但事实上由于不同地域的文化与习惯差异,许多出海企业都会因为合规的问题,惹上不少经营麻烦。这其中,无论是生产经营还是对外贸易、亦或是境外投资等等,合规都是第一要务。尤其是在当下数字化发展的过程中,国内市场的“天花板”逐渐显现,促使越来越多的企业转战海外。
但面对合规难题,许多企业却是一头雾水——海外各国各地区的情况各异,法规复杂,如何能够第一时间保障自身的企业利益,如何避免不必要损失,这无疑是一件需要花钱、花资源、花人力的麻烦事,也有不少希望出海的企业“望而却步”。现在,微软作为数字化的领军者,为中国企业出海提供了现代化的安全合规保障,实现了从架构到业务的全面安全建设,也帮助企业把有限的资源用在“刀刃上”。
文章开头提到的 Log4j 漏洞就是出海企业最常遇到的安全漏洞攻击。由于 Log4j 性能好、流行度高,不少企业也都将其应用在自家的中间件、开发框架、Web 程序中,所以从去年12月到现在这一攻击也造成了全球范围的网络安全“地震”。
为了最大限度的解决这一问题,微软在攻击的第一时间主动积极地评估 Log4j 漏洞对于微软产品的相关影响,发布并持续更新相关公告;同时作为全球网络安全行业的领导者,第一时间更新自身的网络安全产品和技术以为客户提供更为完善的防护。针对微软中国的企业客户,微软中国安全团队定义其为“Log4j 漏洞防御行动”,第一时间针对 GCR 客户发布并更新中文的相关客户公告、技术应对指南和客户沟通建议,并积极主动地与企业客户进行沟通,为客户构建起了常态的、整体性的云计算环境安全防护与监测机制。
中国有句老话:“亡羊补牢,为时未晚”。不过相对于此,如果能在日常就构筑起安全防护的“城墙“,自然也更安全。作为商业应用中大家熟悉的Windows操作系统与Microsoft 365办公软件,微软已经在系统层面和日常业务层面最大限度的为用户提供了安全,我们系统中的防火墙、云化的工作交互与协作都有微软的保护。而对于出海企业来说,仅有这些还是不够的,微软更实现了从底层架构到上层管理、从企业内部运维到外部攻击防御的多维度一体化安全方案,帮助企业顺利的迈出每一步。
对于安全防护与合规运营,微软用通俗的“急救、治病、养生”来比喻。所谓“急救”,主要指的就是应急预案,这就需要企业在日常进行安全攻防演练,这里微软提供了针对性的软件和解决方案;所谓“治病”,则是微软提供了架构层面的零信任安全保障和智能化的管理模型,帮助用户快速、准确的定位隐患和问题并进行解决;所谓“养生”,则是从管理与合规的角度,在制度上实现长期的、有目的性的运营,构建领导层的决策力。
首先就是架构层面的零信任设计。这里微软采用了现代化的身份验证的管理方式,通过统一应用提升管理的额可见性和控制力。同时针对混合办公的情况,一方面通过强身份验证只允许兼容和可信的设备方案,另一方面也可以根据上下文和风险配置自适应访问策略,并对系统数据提供访问生命周的管理能力。这样一来,至少从登录、操作的层面保障了系统安全,最大限度降低了非人为风险。
微软所有的安全组件都是云原生的,这样的好处在于提供了云端的联动性与延伸性,包括整体的统一管控、监控、数据抽取等等都是无缝的,不需要在不同品牌之间进行切换。这样一来,用户就可以在云端实现对于自身业务安全的系统性管理,相对于本地化的服务来说更便捷也更智能,这也正是微软相对于传统应用的优势所在。
在保障了系统的安全之后,针对可能存在的恶意攻击,微软也提供了基于Microsoft Sentinel的智能化防御体系,实现了对于系统架构和客户终端业务的保护。正如单词Sentinel所代表的“哨兵”含义一样,它为用户提供了最直接、最有效的系统警戒。
Microsoft Defender则是微软为防御攻击提供的另一“利器”。好多人都用过微软在操作系统上提供的Windows Defender,这是一款内置的防病毒和威胁防护解决方案,可以有效保障系统安全。而这里我们介绍的Microsoft Defender则是针对企业用户提供的更高级版本。一方面,它可以利用内置保护防范高级威胁,提高工作效率、简化管理和降低总拥有成本;同时还能够借助自动化工作流,帮助企业客户提升应用效率;除此之外通过将安全信息和事件管理 (SIEM) 与扩展检测和响应 (XDR) 相结合,Microsoft Defender可以实现系统层面的全方位管理,无论是本地化的文档应用还是云端数据库和容器,它都能够游刃有余,最大化的保障客户数字资产。
有句话说,堡垒总容易从内部攻破,因此发现内部风险和治理对于企业安全来说也是至关重要。抛开恶意的人为因素不谈,员工间不经意间的数据分享或者操作不慎造成的数据溢出,都可能会引发企业安全风险,这也是许多企业在出海中最容易忽视的问题。“不同国家、不同地域的员工之间进行文件传输就会引发合规风险,即便隶属于同一家公司,这种跨国的数据交互也会带来安全合规的问题,这也是微软防护的范畴”。相信许多人看到这里的时候都会暗道庆幸,因为这种行为在我们日常已经司空见惯,但如果出海的话,稍不留意就会引来大麻烦,这也正是微软提供出海安全合规服务的价值所在。
也正是得益于这样层层递进的安全措施,微软在企业出海的道路上提供了多层保障,也帮助企业从内而外的构筑了一道坚实的屏障。除了开头我们提到的案例之外,如今,微软已经帮助包括游戏、互联网、汽车、高端制造等多个行业实现了出海业务的全球合规化运营。
比如对于中国某大型制药企业来说,除了传统的网络安全需求之外,如何实现跨全球的工厂及新并购工厂基础架构整合、如何实现工控系统的远程安全运维、如何确保全球科学家项目组的居家科研的数据安全,这些都是让人头疼不已的问题。为此,微软帮助该用户搭建了OT/ICS 安全成熟度模型,借助零信任实现OT、IT网络统一,解决通信及数据安全问题,通过集中监控全球工厂安全效率,让响应率提升30%、办公流程效率提升20%,并实现了FDA、NIST合规检查。
我们总说安全合规,但其实对于企业出海来说,安全与合规是不同的范畴,我们刚刚提到的零信任架构、自动化防御和全周期管理都属于安全的范畴,但合规同样需要内外部的风险管控和高效的管理工具,也就是需要从架构、管理、运维等多个层面多管齐下,通过不同工具与解决方案的融合,才能实现真正意义上的“知己知彼”,遇到出海航道上的“旋涡激流”时也能安然无恙。