文|真梓封面来源|视觉中国自2018年Facebook(现已更名Meta)“剑桥门”数据泄露事件爆发,欧盟出台严格的GDPR法规开始,短短四年间,数据安全一跃成为全球热点话题。一个宽泛统计是,在当前全球近百部与数据安全相关的法律法规中,有30余部发布于2018年及之后。而美国、英国、法国、南非等国家更是在这个时间段内相继发布了更具针对性的法律法规。中国亦是其中一员——2021年,《数据安全法》、《个人信息保护法》相继施行,让国内企业、个人对数据安全的认知达到前所未有的高度。这一年里,36氪在调研中发现,不少安全厂商已经感受到企业对数据安全日益重视的态度,"来咨询的人越来越多,我们的单子处于做不过来的状态。"一家长期专注数据安全赛道的公司高管去年底告诉36氪。而对数据安全的真正建设者,也就是甲方企业来说,在态度重视之外,他们当前面临的更本质问题还体现在实操上,即"不太确定如何去做"。这种不确定性,已经持续升级为他们近一年来的主要焦虑源头。对此,蚂蚁集团副总裁兼首席技术安全官韦韬博士认为,当下企业对数据安全建设产生"焦虑"似乎也很合理。在他眼中,当前全行业的数据安全,正处于"历史挑战和新挑战结合"的状态。在这其中,历史挑战来自于数字化历程中,数据和业务呈现爆炸性复杂交织的状态。而新挑战则在于,各种法律法规施行,给企业带来的、前所未有的数据合规要求。而如果让这位有着20余年从业经验的安全专家提出自己的建议,韦韬觉得,面对当下挑战,企业不应急于"求全责备",而是要直面如今数据安全的严峻现状,以关键安全能力建设与头部风险实战牵引为驱动双轮,主动且务实地进行安全建设。并且,由于今天业务链条、应用系统和数据已经进入复杂性爆炸状态,所以在安全基础设施上的技术突破往往也成为安全体系能否落地的关键。在采访中,韦韬介绍了蚂蚁对数据安全建设的探索。他表示,当前蚂蚁集团正在践行一套数据安全复合治理与实践体系。在这套体系中,战略、运营和技术需要达到三位一体的效果。具体而言,这一体系在战略层面要求战略要位,主要包括将安全的责任人设定为业务负责人,安全、法务、审计等部门协助前者尽到相关责任等。在运营层面,实战牵引和全员参与则成为核心。另一方面,在基础设施对数据管控的技术层面,韦韬感受到传统的"外挂式"数据安全管理手段精度不细、实时性不强,需要迭代升级。蚂蚁内部已经落地了"安全平行切面"体系,希望做到"把安全的能力融入基础设施里,而且与它解耦"。这带来的核心效果体现在,精确的攻击阻断和精细化的数据治理。拆解这一技术思路,可以看到"精确"、"精细"成为主要目标。而纵观行业,当前出于合规和业务需求的压力,一些企业也认为过往偏外部流量式的技术思路需要迭代,迫切希望达到更精细地安全治理效果。但由于业务情况的差异,36氪亦发现,不少企业仍对效果更精细,但侵入性更强的产品采取保守态度。对此韦韬表示,根据蚂蚁的经验,这类和应用深度融合的技术,推广起来往往比大家想象得简单,投入产出比也比一些传统技术高。而且,蚂蚁在近三年内也对这一技术进行持续打磨,在稳定性上进行了各种验证。他拿效果举例,在去年Log4j2漏洞爆发时,蚂蚁正凭借这套体系,顶着国际网络攻击流量安全完成了双十二购物节的支撑任务。目前看,安全平行切面在蚂蚁的落地实践正开始获得业界专家的认可。在8月26日举办的IDC 2022 CSO全球网络安全峰会(中国站)上,韦韬凭借首创安全平行切面体系并推动大规模实践,获得了中国CSO名人堂(十大人物)的称号。CSO HALL of FAME(首席安全官名人堂)是历年IDC CSO全球网络安全峰会的重头戏。国际行业巨头如Equifax、J.P.
Morgan Chase、United
Airlines、Microsoft等企业的CSO(首席安全官)、CISO(首席信息安全官)都曾入选该奖项。今年,Foundry(IDG)/IDC将这一奖项引入中国。本次IDC对韦韬的推荐语是:韦韬在企业安全治理领域的成果,如安全平行切面、可信隐私计算等引发了行业全新变革。特别是,安全平行切面能解决互联网业务高度复杂、数据穿透边界、业务和安全难协同发展等难题。近期,韦韬在接受36氪采访时也提及,蚂蚁已经将安全平行切面验证了三年,并计划在今年内进行开源,让更多行业伙伴共享安全平行切面的效果和价值。开源,意味着产品需要匹配更多企业的实际现状。而对安全而言,不同企业的水平可能存在难以想象的差异。针对这一情况,在面对"蚂蚁落地安全平行切面的经历,能否被更多企业复制"的追问时,韦韬也不讳言:"蚂蚁实际上有很多技术也是内部实战牵引,'打'出来的。我们花了很大精力来解决技术底盘层面的稳定性和碎片化适应性问题,这两年都在忙这个事儿。但很自豪,整个过程我们没有出现过稳定性生产事故。""我们真的相信这件事(安全平行切面)会是未来。"他又补充。以下是对话部分(经36氪编辑):36氪:去年批量实施了不少数据安全的法律法规,相信也对产业产生了不少影响。总体来说,你觉得大家现在做数据安全建设时,会遇到怎样的新挑战?韦韬:这件事其实是历史挑战和新挑战的结合。首先大部分企业的信息化、数字化过程已经很多年。这个过程中,数据一直贯穿在所有业务环节中,形成各种形态。它们往往以极其复杂的关系关联在一起,就好像没有无线耳机时,从包里拿出来的耳机线总是纠缠在一起一样。也就是说,之前没有法律法规严格规定的时候,业务复杂度、应用复杂度已经决定数据体现出非常复杂的、交织在一起的状态。这是大家长期以来的困难点,也是历史挑战。在今天,《数据安全法》、《个人信息保护法》,还有《密码法》、《民法典》的出台、施行,对数据的安全合规提出了更高的要求。比如,数据在使用的时候,不再是企业内部的事情,而是整个数据在生态链条中的事。个保法第69条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”假如因为数据泄露等各方面原因,消费者有损失,那消费者起诉的时候,服务方要来证明自己没有过失,否则就要进行赔付。这就是说,当数据已经离开你的控制范围以后,你对它依然负有相关的责任,需要尽责。这是之前从来没有过的事情。这些背后,当然也意味着更多技术挑战。比如,把整个数据资产梳理清楚这件事,在传统的安全技术中,需求大家看得见,业界都在提。但做好这件事情需要技术突破,这些方面综合在一起给全行业带来很大的挑战。首先是巨大数据资产的历史挑战,第二是整个新合规要求的挑战,再就是新技术现在还不够完善。今天,全行业都在从两方面来描述这件事。一方面,全行业非常希望能够合规、合理地使用数据。另一方面,这些年的发展让大家非常深刻地认识到,数据要素是真的能够有效地推动整个行业、社会和经济往前走。这部分大家的认同非常一致,只是我们确实还面临着很多挑战。36氪:现在这种情况下,数据安全和数据合规之间的关系又应该怎样理解?韦韬:大家现在的急迫压力来自两方面,一方面是合规要求,一方面其实是来自网络黑/灰产的攻击。而在攻击这条线上,后果显现更加直接。我们也急迫地需要努力解决黑/灰产造成的数据泄露黑色产业问题。数据泄露黑色产业这件事情,我们也在持续打击,协助公安机关抓捕了不少黑产团伙。在我们协助抓捕的案件中,不少是因为产业链中一些企业内部员工作案偷出去的,还有些是数据在整个供应链的某一个环节处置不当造成泄露。针对内部数据使用的安全保护和外部数据流转的安全保护两者的做法完全不一样。36氪:在这些方面,蚂蚁是怎么做的?韦韬:这牵涉到我们的两个工作,一个是企业内部基础设施层面的安全平行切面,一个是数据跨主体流转的可信隐私计算。另外,我们根据实战提出了数据安全复合治理体系,希望通过体系化的建设,不断提升安全水位。在数据安全复合治理体系里面提到我们安全治理的四个原则:“战略要位,全员参与,实战牵引,技术破局”。首先是战略要位,这件事情大家都能理解。但是战略要位的落实上,很多企业有差异。我们的第一点非常明确,安全的第一责任人是谁?不少企业的安全第一责任人,往往职位特别高,比如董事长、CEO;也有不少企业却是下面具体的安全负责人。但对我们来说,是要求每个业务的负责人参与进来。打个比方,驾驶员是车辆的安全负责人,就一定是安全的一号位。不管车再怎么设计安全,一旦驾驶员喝醉酒开车,责任一定是驾驶员的。类似的,业务的安全第一责任人一定是业务负责人。如果业务负责人对安全不负责,“浪”起来是安全部门怎么也兜不住的。但安全是非常专业的事情,单独要求业务负责人对安全负责,往往是做不到的。所以,企业一定要有三道防线。金融体系里面,这种说法大家是比较熟悉的。其中,一道防线是业务自身,二道防线是安全、法务、合规这类职能部门,他们要共同来支撑一道防线完成安全尽责。三道防线是内审,来保障前两道防线内不会有失职的事情发生。企业内一定需要这样的一个体系来支撑、完成整个安全保障的工作。另外一件事情也很重要,就是安全一定要有处罚权。就像交管一样,你没有扣分,没有罚款,交通安全怎么能管制得住呢?处罚权一定要有。很多时候,如何去评价一个公司的安全体系建设是否到位?一个非常简单的标准就是去看有没有处罚是否到位。看违规的事,处罚是怎么执行的?这是非常重要的一件事。再下一步,是在我们的数据安全复合体系里特别强调的一件事,就是全员参与。就像交通治理要对所有人做交通安全的教育一样,而且要从幼儿园开始。比如现在幼儿园小孩子过马路要知道把手举起来,好让别人看见,因为他们个子还太矮了。把这些事落在企业中需要很多工作。现在正好是蚂蚁的数据安全月,全员都会参加,所有人都会参加考试。除了强制要求的数据安全考试以外,我们还有各种各样的宣传和鼓励全员参与的活动。很多企业里有个问题比较明显,就是安全制度虽然写得完善,但读的人却很少。蚂蚁每年都会更新一版数据安全制度体系,我每年都要做审定。每年我都要强调,不要最后变成了只有我一个人在读。我们要把它落实成安全基线,而安全基线和安全制度的区别是,安全基线是制度里面最重要的、易于理解的,需要重点执行的东西。这些最重要的环节需要提出来,让同学们尽快理解。当然,一个完整的安全治理体系,不但包括全员参与的部分,也包括很多实战性的事情需求去推动。36氪:你觉得"实战"在完整体系中的意义是什么?蚂蚁又是怎么做的?韦韬:当整个体系的关键能力建设到一定水位后,我们要通过对抗提升整个安全能力。很多时候,假如上来就做整个生命周期的保障,首先工作量非常庞大,可能很多环节也没有能够真正做到位的工具。有时候真正做了半天,出血口也堵不住。所以我们的做法是,整个能力建设和实战经验是一起迭代的。实战,我们有比较专业的团队去推动,另外我们也做了多种形式的演练,内部也在做测评认证。36氪:有管理制度和实战牵引是一方面,但最终总要有产品设计和具体技术的支撑。韦韬:这件事就好像为什么大家只学了交规,开车就基本有安全保障?交通安全真的是这么简单就能实现么?这背后其实是整个汽车行业和政府交管体系在付出巨大的努力。今天要保障整体的安全,首先你的车要安全,也就是你的应用要安全。这背后就是一套完整的SDL软件安全研发生命周期体系。软件安全在单独谈数据安全的时候不太被强调,但如果离开了软件安全,你是没有任何数据安全可言的。有可能出一个系统漏洞,数据就全部泄露了。另外就是基础设施对数据的管控。很多情况下,数据即使在企业内部,管控也是有显著缺失的。数据要用就拿来用,用完了就没人管。没有人对数据的整个流程做有效管控,往往导致数据流得到处都是,随便一个点泄露,都有非常严重的后果。数据安全治理需要一个完善的基础设施来支撑。但传统的基础设施经常是外挂式的,跑在应用外部,看不到应用数据的流转。只能在外面来猜,这样很多信息不是很精确。因为在网络上传输的时候,数据往往有加密、有打包、有二次处理。这种不精确导致很多分析是不对的,这是传统外挂式的问题。36氪:能看到行业里有很多流量侧的产品,但现在不少客户也有要求更精细的趋势。韦韬:对。现在行业都在谈内生安全,但内生安全实现的手段也是有不同路线。我们开始做内生安全的时候,是把安全和应用绑在一起。绑在一起,就是平时治理的时候,要把安全跟应用一起推动。应用在研发的时候,要测试安全也得测,要恢复安全也得做,要回滚安全也回滚。但有一次我们看到应用出了一个bug,和安全无关,但应用要回滚,导致新部署的安全技术设施,一夜之间从80%的部署率回到了40%。所以,我们提出了一个全新的安全体系,安全平行切面。我们要做到把安全的能力融入应用,融入到基础设施里,而且与它解耦。36氪:这样做的好处具体体现在?韦韬:首先,整个安全能力是在应用内部的,我们对数据流的精确感知和管控,能做到和应用同等粒度,而且也有明确的应用上下文。所以,我们对攻击的检测、防护是非常有效果的,比外挂那种要好很多。因为我们能知道,这个数据,可能是在这个点上要被攻击,我们能精确感知,做精确阻断,比传统方式无论在效果还是效率上都有跨越式提升。第二个方面是数据治理。数据治理是核心,企业要知道数据是怎么用的,是怎么流通的。因为我们的安全能力在应用内部,所以能看到应用内部具体数据是怎么流转的。所以,我们对数据资产和数据的链路能够进行非常精细的刻画。所以,安全平行切面实际上提供了一个体系上的质的飞跃。它对安全攻防和安全治理都提供了显著的提升效果。今天在蚂蚁集团的核心业务中,像双十一、双十二大型购物节活动,我们都已经完成了业务链路100%的安全平行切面覆盖。而且在双十一高峰期,我们整个安全是没有降级的,全程陪伴着大家的每笔订单,提供完整的安全防护。去年log4j2高危漏洞影响非常大。log4j2漏洞是去年11月底到12月初爆出来的,那会儿双十二购物节就来了。假如用传统的安全方式来做修复,往往至少几周,慢的话甚至上月。因为打完安全补丁升级完以后还要测试还要灰度部署,时间是非常漫长的。但我们要在几个小时之内完成全部的安全止血工作,传统方式是无法做到的。我们基于安全平行切面非常快就做到了,而且双十二的时候我们是顶着来自国际的各种攻击流量,完成了所有订单交易,没产生任何一起安全事故,或者运营事故。这里的一个核心就是,安全和应用在同一个执行空间里,又是平行解耦的,安全组件可以精细地看到业务每一个数据的流转,有精细的感知。所以能精确发现安全攻击,也能够及时进行精确安全管控。36氪:安全平行切面,是其他的公司可借鉴的吗?现在有些企业还没能很好地接受相对侵入式的产品,尤其在数据方面。韦韬:行业有一些伙伴,也在做这方面的工作,取得了很好的效果。它的部署,往往比大家想象得简单,真正的推广要简单很多。因为很多的传统安全技术,其实是需要应用改造的,成本非常高。甚至很多时候,你可能都找不到当初开发这个应用的人了,有一些是外包的,或者有一些是临时的,这种就找不到了。一改,肯定就出好多问题。而我们这种方式是不需要做这类应用改造的。所以,这种思路在反而有很好的优势。而且,蚂蚁实际上有很多东西也是内部实战牵引,"打"出来的。包括为什么安全平行切面在蚂蚁推起来了?也是因为前几年一旦遇到高危漏洞应急,我们需要几千名工程师熬夜加班升级,很痛苦。后来就说,来我们上安全平行切面吧,把这个问题解决掉,也是从实战中过来的。到现在我们打磨了将近三年多,把安全平行切面整个体系在各方面进行验证。安全平行切面体系融入到应用内部。在对抗网络攻击的时候,它自己自身的稳定性,自身的安全保障非常重要。我们做了很多安全打磨,保证稳定性以后,今年也会把它做开源工作。我们非常相信,安全平行切面这真的会是未来。36氪:不管用什么方式,数据链路勾画和数据精细管控确实是个痛点。你觉得现在会有一家公司真的能做到,清楚自己所有的数据链路和数据资产吗?韦韬:假如业务比较小有可能,但当整个业务高速发展的时候,数据的复杂性是爆炸的。小规模、可能就几个人的时候真的很简单,但当公司到几百人、几千人、几万人的时候复杂度完全不一样。企业的很多业务又是和整个生态连在一起的,有上游,有下游,你可能在服务别人,也被别人服务,这时候的复杂度会超出大家的想象。就像这些年实战攻防演练的时候,很多时候企业都不知道被打的资产是你的。所以,这件事我觉得今天我们不是去追求说多么完美,而是应该去推动整个基线安全水平的提升。今天大家一定要面对现实。今天的现状是攻强守弱,系统被攻破这件事情真的不是什么稀奇的事情,系统有漏洞也不是什么奇怪的事情。系统没有漏洞,很多时候只能证明你不知道你有漏洞,没攻破只是你不知道你被攻破了。但是攻破以后,有漏洞以后,怎么应对是关键的,包括我们演练的时候也应该重点演练这件事。我觉得现在在行业里,大家不要求全责备。不要只是看到一个完美的大体系,建设这件事的路可能很漫长,但一定是实战打出来的。36氪:看到我们这两年也一直在提隐私计算,原因是什么?韦韬:刚才讲的重点是内部安全治理,隐私保护计算的重点则是外部数据流通的安全保障。但假设明文流出去,数据的持有权、控制权是呈丧失状态的。就像当年的Facebook数据泄露门事件,就是一个例子,说明数据明文流转路径其实是失控的。这件事的后果非常严重,明文数据在整个产业链条上的流动,风险非常高,特别是《个人信息保护法》出来以后,对企业“自证清白”的要求、挑战都非常大。回到主题,为什么今天隐私保护计算,特别是可信隐私计算行业有这么强的需求?也是因为很多同行认可我们的说法,就是全行业的数据要素流转需要一起迈向密态时代。现在,数据流转的时候不能再以明文的方式来流转,而是要以密态形式来流转。而密态的一个核心,就是把数据要素的持有权和使用权分离。当数据以密态方式来使用,使用范围是被持有方严格把控的。使用者有使用权,但是不能超范围使用,而且,使用者不会破坏持有方的持有权,这是非常关键的能力。现在可信隐私计算,是最好的、能够支撑这一目标的技术。36氪:但技术和合规也是两码事。韦韬:我们也经常遇到大家问,隐私保护是一个合规问题,可能今天法律是这么规定的,明天又会有改变,那是不是今天是隐私计算,明天又不是了呢?又或者,各个国家的法律要求是不一样的,那是不是在这个国家是隐私计算,在那个国家就不是隐私计算了呢?这件事我们的解释也很直接,我们提供来完成隐私合规要求的关键技术,并不是说用了技术就合规,而是这些技术能够帮助实现合规。这些技术可以来帮助你完成这些目标,并不是说用了技术就一定合规,完全不是这样子。这也是我们行业里面经常有一个误区。可能大家觉得用了多方计算或者用联邦学习,隐私保护就合规了,但根本不是这样子,合规是法律的概念。在执行上,可以分享标准和测评方面的一些具体的要求,本源上,个人信息保护最重要的是两个能力,一个是专数专用,数据要根据用户指定的场景来使用,不能超场景使用。另外是可算不可识,如果你没有获得授权,也需要使用相关的数据,就必须不能识别出来这个数据的个人主体是谁。核心是这两点,专数专用和可算不可识,这两个核心可以通过刚才讲的数据安全和可信隐私计算技术来实现,其实是这样的关系。36氪:但有些企业的一个困扰是,觉得自己可能做了相关投入,也不一定可以合规。韦韬:技术保障能解决的问题是什么呢?首先企业一定要从法律和标准的层面对业务做解读,法律往往是不依赖于具体的技术实现的。对于个保法合规而言,主要有两条途径,一方面是在法律层面上做合法合规的授权机制,保障数据使用的时候,这件事能够符合法规要求。另一方面是通过匿名化的方式,能够使得数据不再是个人信息。主要就这两条途径。这两条途径是由各自不同的技术来保障的,有授权的时候,要通过相关技术保障专数专用,不要越权使用;对于没有授权的时候企业要做到可算不可识,要做到相关匿名化保障。36氪:如果现在企业想要满足合规标准,并避免数据泄露风险,有什么建议吗?韦韬:其实不同的公司差异非常大,最需要帮助的可能是一些还没有开始做这件事情的公司。对于这种刚开始做的公司,实际上蛮建议读读我们的《数据安全复合治理白皮书》。这件事一定是从安全基线开始来做,基线做起来以后,才有基本框架。当基线层面做起来,后面一定是通过关键能力建设和实战牵引做迭代,把最严重的头部风险治理掉。这个体系做起来以后,后面的事情就可以由在这个过程中发展起来的专业安全团队承接了。前期的落地性,是今天整个行业最巨大的挑战,如何能够从无到有把初始的安全体系建起来?这种基本的数据安全保障,对很多组织来说才是巨大的挑战。36氪:相关法律已经实施一年,你觉得还是有很多人没有这方面的意识吗?韦韬:行业的投入远远不足。这些年大家都明白了行业发展数字化、信息化的重要性,但安全投入依然有一个巨大缺口。不少企业把数字化系统应用的相当广泛了,但往往能看到他们专业安全团队的建设严重滞后,很多安全风险和事件缺乏管控。一些企业买了安全产品,有了安全报警,却没人管,这种也不在少数。这是目前行业巨大的缺口。美国政府预估美国整个网络安全的人才缺口有50万,大概是他们整体软件工程师的2%~3%的比例。在中国这个缺口只会更多。这些年,其实全行业加速产生了大量AI方面的工程师,很多高校都在大量培养AI的学生。但安全方面的人才培养要少很多。可能是因为目前行业还缺乏一些正循环的机制。就是说,安全事件真正的责任方,应该对安全事件的后果付出真金白银的经济代价。这样安全市场才能进入正循环,行业才有动力有投入做好安全保障工作。网络安全是要打仗的,是要看实战效果的,但今天这件事情有一点断层。36氪:如果说罚款的话,应该已经越来越多了。这里"经济代价"具体指?韦韬:其实全球来看,谁为安全事件付出经济代价?我们会发现是网络安全保险公司。保险公司才是对实战效果最关心的。但这个关心的前提在于,要有合理的机制。机制要说明,安全事件的责任方究竟应该付出什么样的经济代价?这个经济代价又能如何回到整个安全的市场环境里?这样的代价是不是能够撬动行业使得安全产业正循环运转起来?只有这样的经济机制建立运转起来,安全行业才能健康向前。我们也看到国际上非常多国家对此是强制性要求,要求做互联网相关的业务时,一定要买网络安全保险。有这个要求以后,会连带推动解决很多事情。要买网络安全保险,一定得有专业属性的保险公司进行安全评估,达到要求以后才能上保险,否则无法给你办理,而且你出了安全事件以后他也是有责任的。这件事情初期肯定非常艰难,但是长期来看,会推动达到整个行业的平衡。如果要真正的把行业安全需求从一个单纯的合规需求,变成实战需求,达到保障高质量发展的高水平安全,这件事是一个关键点。但目前行业专家们还在持续呼吁、推进中。回到最后,整个安全行业为什么今天人才少?因为市场没有起来。为什么市场没有起来?大的机制没有转起来,这些是密切相关的。但我们相信,未来整个网络安全、数据安全会是行业和国家的核心竞争力。我相信这件事会起来的。