记者们一边享用着早餐,一边听着一场正式安排的早餐对话,谈话双方是公司网络安全首席顾问兼数字信任合规业务副总裁谢弗和高级副总裁兼首席信息安全官杰里·热斯莱 (Jerry Geisler),探讨信任在沃尔玛公司意味着什么。
这是在任何技术会议上都能看到的一种对话,这是沃尔玛在一月中旬展示其安全运营工作过程中开展的众多对话的第一个。通过与二十多名网络安全人员的对话以及参观公司多个设施,记者了解了沃尔玛网络运营工作的范围,以及为什么公司如此关注安全性(即使其客户不会注意到这一点)。
“我的认识或许存在偏见——网络安全始终是我最关心的问题,但我知道并非每个人都持同样的观点。”热斯莱在与谢弗谈话时说道。
他说:“如果这是客户所关心的头等大事,那么我希望他们能看到我们正在做的工作,并要坚信,在保护客户信息方面,我们正在履行对他们的承诺”。
热斯莱表示,如果安全性对客户而言不是头等大事,那么沃尔玛仍希望客户相信,公司会做正确的事情。
许多企业没有将安全性作为首要工作,最终导致无法挽回的后果。今年网络犯罪造成的损失预计将达到 8 万亿美元,高于 2022 年的 6 万亿美元。世界经济论坛警告称,在发生灾难性网络事件后,可能导致全球不稳定。
然而,由于市场处于低迷阶段,企业对网络安全方面的持续投资无法得到保证。
在一个网络入侵成为常态、消费者对隐私日益麻木的时代,对安全性和信任的关注却未得到重视。联邦贸易委员会 (Federal Trade Commission) 实施的处罚或欧盟在数据隐私方面的工作对企业改变其处理数据的方式上并没有什么作用。屡次违规的企业表示,他们正在对网络工作进行投入,但更多的支出并未显现出,安全环境可以改变。
对沃尔玛来说,对安全工作的认真态度可通过其工作范围得以了解,沃尔玛的网络中心遍布全球,使其能够通过轮班工作和不同时区实现 24 小时不间断的安全运营(例如,在印度班加罗尔的安全运营中心可以接力完成美国安全人员的工作日程)。
这些安全运营中心平均每年处理 6 万亿个数据点,沃尔玛将这些数据进行内部处理,然后与更大的安全工作群体进行共享。沃尔玛还运营着一个经认证的取证实验室,可帮助进行数据恢复,并配备无尘室、专业 X 射线技术和热风焊接。参观沃尔玛的数据中心时,规章执行人员站在好奇的访客身边,介绍着一些运营方面的冗余设备。
不给故障留有余地,立即进行故障切换。
沃尔玛没有透露其在网络安全方面的开销,也未公开其(负责管理基础技术)全球 20000 名技术员工中从事信息安全工作的比例。对沃尔玛设施的参观只能让人了解其业务运营的规模,近距离观察表明,很少有公司能实现如此规模的独立运营。
沃尔玛的网络安全工作不仅仅是一个最佳范例,还可能是一个特殊案例。
这并不是说沃尔玛所采用的安全工作方式不可企及。更确切地说,其运营工作与众不同的是它如何能如此重视安全性。面对不断的网络威胁,清楚地知道哪些工作应优先考虑,哪些可以稍后再做,这是企业可以效仿的技巧。
公司内部情况
从局外人的角度来看,沃尔玛在全球各地的技术设施为其安全运营提供了世界一流的必要条件,而没有像硅谷公司那样提供炫目的福利。在公司里没有滑板车,在一个房间的角落里,有一个带安全网的蹦床无人使用。
尽管可以选择远程或混合工作方式,但需凭徽章进入的出入口和层层上锁的门表明,其物理安全性已达到数字化。
在人才方面,这家零售商与其他公司一样面临着困境:对网络人员的需求远远超过了供给,这个缺口越来越大,目前有 340 万个空缺职位。
在资源方面,沃尔玛比许多公司都占优势。它在 2022 财年的营收为 5728 亿美元,拥有 242 亿美元的运营现金流。但其安全部门的长期工作增加了公司的认知深度。
其信息安全部门有远超过 20 年的历史,设立时间早于那些导致行业巨变的标志性且最知名的攻击,例如,2014 年对索尼公司的黑客攻击,或 2015 年对乌克兰电网的攻击。
“我们的经验是,由于公司在二十多年前就开始对这一领域进行投入,而且,随着我们成长、发展和成熟,然后进入业务领域,因此,我们不断成长、发展和成熟的项目就拥有优势。”热斯莱说。
他说:“我认为,这使我们处于一个令人羡慕的地位,可以长期拥有话语权,成为我们企业可信赖的伙伴,帮助企业避免犯错”。
沃尔玛的安全运营工作已赢得了业内影响力,并因此也能够吸引有经验的人才。在谷歌、摩根大通公司以及其他财富 100 强公司工作过的人员,也在沃尔玛的员工名单中。
除了拥有这些声誉,沃尔玛的 Live Better U 计划,为员工全额支付大学学费和书本费,旨在打造一个科技人才渠道,支持网络安全和信息技术等领域的项目。
留住人才也是其人才战略的一部分。在沃尔玛的公司办公楼内,经常可以看到有工作长达数年的员工,其徽章上清楚地显示出工作时间为五年。一位名为贾斯汀·辛普森的专家,在十多年前刚从大学毕业就在沃尔玛开始了其职业生涯,现在担任数据安全总监,同时也负责量子和加密技术工作。
他工作的重点是后量子密码技术,确保在量子计算机问世后,沃尔玛拥有正确的安全流程。
像辛普森一样,沃尔玛的一些专家和专业人员致力于未来发展,无论这一目标看起来有多遥远。其他人则负责身份访问管理或云安全。机器人是另一专业技术,可帮助沃尔玛进行深度防御,确保客户能购买到自己想要的商品。
平均而言,沃尔玛在一个月内可阻止 85 亿次机器人恶意攻击。
除了拥有互联网光环的普通且疲惫的信息安全员工外,其他人都有一个高度专业化的角色。使用计算机的每一个细节(无论是公司员工、店员还是顾客)都经过深思熟虑。没有任何事情会被遗漏或忽视。
网络之外
沃尔玛并没有封闭自己的安全技能。反而,它在与外部信息共享和分析中心合作,分享其网络内部和外部安全威胁相关的情报。
沃尔玛副总裁兼副首席信息安全官罗伯·杜哈特 (Rob Duhart) 在一次午餐圆桌讨论中表示,沃尔玛在与美国零售业联合会 (National Retail Federation) 的合作伙伴紧密合作,“我们实现了共赢”。
“美国零售业联合会”和“零售与酒店业信息共享与分析中心”加强了合作,以更好地打击恶意网络攻击,保护客户数据。“零售与酒店业信息共享与分析中心”发现,大多数首席信息安全官 (70%) 预计今年的预算将有所增加。
杜哈特表示,沃尔玛“也在尽力继续与我们的监管机构合作,以确保他们可以学到我们的经验”。
对于如何看待外部网络,有一个分层的方法。大多数企业将其称为第三方风险,而沃尔玛将外方风险分为第四、第五、第六层及更高层的威胁。对每一层的风险,沃尔玛会提供经验性的风险衡量标准。
风险与合规业务高级总监鲁斯·巴克利 (Russ Buckley) 在一次圆桌会议上表示,通过安全运营团队和合作伙伴团队的努力,“我们已经能够对公司面临的某些风险进行分级”。除了将一些威胁标记为一般风险外,沃尔玛还可以使用内部编号来帮助企业对某一领域投入的人员或预算进行量化。
“这样做可以让我们的企业领导有一个经验性的数字(而不仅仅是一种猜测,也不仅仅是来自好朋友的一个说法),并可真正看到一些东西,然后可以说,‘这就是我们想要做的事情,就这样决定吧,’”巴克利说。“从而,这个决定也可以支持我们向所有客户提供各项服务。”
行业标准的通用安全漏洞评分系统也要经过沃尔玛的经验性分析,从而使公司可以明确通用漏洞披露 (CVE) 可能造成哪些风险。
这就是网络威胁情报共享发挥作用之处。沃尔玛已拥有相应的机制来确定某一威胁实际构成的风险。即使某一通用漏洞披露不会影响沃尔玛的网络,沃尔玛也可以对外分享该漏洞可能对业内其他公司产生的影响。
“我们已做了大量的工作,以确保其他人也了解这种风险,也许会说明为什么我们没有面临这种风险,”巴克利说。“我们对其他企业有一定影响,他们可能会想‘看,沃尔玛没有受到漏洞的影响,但其他公司却受到影响,或许我们应该考虑一下',从而他们会改变自身的安全态度。’”
这证明了沃尔玛拥有强大的网络情报计划。就像许多大型企业一样,沃尔玛也处理来自不同商业来源的信息,收集自己的网络威胁情报。
“我们的研究人员正在做一些工作,比如研究对手的后端基础设施,了解这些威胁制造者如何操作。”安全运营业务副总裁杰森·奥戴尔 (Jason O'Dell) 在一次圆桌会议上说。“作为研究工作的副产品,我们有时还会看到这些威胁制造者盯上了其他公司,然后,我们很快就会把这些信息反馈给企业群体。”
Gartner公司副总裁分析师克里斯·席尔瓦 (Chris Silva) 在去年谈到沃尔玛如何在安全工作中使用自动化时告诉记者,与普通公司相比,知名品牌公司面临着不同的攻击面。“他们始终是更大的目标”。
像沃尔玛这样的品牌可能实际经历着前所未有的安全威胁,而分享这些情报可以给其他公司提供一些应对经验。
来自高层的影响力
沃尔玛有自己的安全规范,该规范的影响力可延伸到监管领域,从而公司希望为客户对隐私的期盼定下基调。
尽管联邦授权还没有到位,但在美国加州的引领下,各州已经在稳步推进隐私立法。谢弗在主题演讲中表示,这些法规内容正在“推动我们朝着自己正在行进的方向发展”。当这些法规通过后,“或许会加快推进我们已经实施的路线图,这是一件好事”。
“坦率地说,我们的目标还是要成为最值得信赖的零售商,因为我们有些业务已超出了零售领域。”他说。我们的目标是成为“最值得信赖的公司”。
这是一个很高的目标,但沃尔玛有足够的资源来实现这一目标。在网络安全方面,一个错误的举动可能会给公司的声誉带来损失,但沃尔玛有足够的实力来解决这些问题。防御是一项主动性工作,公司网络中的任何东西都不会被忽略。
“我们不一定会那样过多关注沃尔玛的规模,因为我们已习惯于在一个大环境中运营。”热斯莱在当天接受记者采访时最后说道。“这就是我们的工作状态。”
关于企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号