安全

2015年PwC和英国政府联合组织的信息安全漏洞调查显示，在被调查的大型组织中，出现安全漏洞的比例从2014年的81%增加到了90%。而小型组织发生安全漏洞的比例也达到了74%。在最新2017年的安全调查中发现，在知道自己出现安全漏洞的组织当中，有差不多三分之一不知道自己漏洞持续时间有多长，同时有约三分之一的公司无法评估由于这些漏洞带来的经济损失。相对应地，跟2016年相比，有46%的组织今年增加了信息安全的预算。

创新的业务模式在涌现，新兴技术在被快速采纳，安全在这个进程当中明显落在了后面。以2015年出现的海康威视安全门事件为例，作为本来就是以安防为主业的公司，其部署的监控设备却被境外IP地址控制。不过回想起来，其实并不那么让人意外。这些系统过去的部署环境主要是在局域网或专网，当走向互联网、IoT的时候，必然会面临新的挑战。很多其它企业的数字化也在经历类似的进程。

虽然安全厂商和咨询公司各有一套体系方法，但这些放之四海皆准的体系并不能解决日趋复杂的问题。前面提到的生态平台和API经济，带来一个直接的后果就是模糊了系统和系统、企业和企业之间的边界。而IoT带来的数量急剧增加，且多样化的集成点，让安全隐患的发生几率呈现几何级的增加。这种情况已经不能简单地依靠后期的安全测试和第三方安全审计来解决了，成型的套装软件在这种情况下通常也是效果不佳。

安全是所有人的问题，建立一个人人关注安全的文化成为重中之重。ThoughtWorks提出的©BSI（Build Security In）方法就是在这样一个环境下的产物。在BSI里，ThoughtWorks模仿软件开发的敏捷宣言，提出了安全宣言。

• 持续安全扫描 胜于 单次安全审查

• 前期安全威胁分析 胜于 末期安全渗透测试

• 主动发现安全漏洞 胜于 被动等待漏洞报告

• 安全职责共享 胜于 独立安全团队

在制定方向之后，ThoughtWorks的团队在包括像瑞士信贷移动应用、戴姆勒奔驰的电商和销售顾问的手持终端项目上，构建安全基线，把安全扫描加入到产品自动化构建的Pipeline上，并引入安全建模等产品生命周期前端的实践。降低了在后期安全测试和审计当中出现问题的几率，大大减少了因为安全问题导致的上线推迟或带病上线的现象。

文化和体系的建设之外，人们也在采用新的技术提升安全手段的效用。以身份验证环节为例，人们开始结合安全信息和事件管理机制（Security Information and Event Management - SIEM），分析访问人员的登录时间、位置、设备，应用、访问行为等数据，识别高风险的访问行为。如果发现风险行为，就可能要求进一步鉴权，甚至强行终止访问。有些先进的组织开始结合机器学习的预测能力，以预测算法持续分析正在发生的访问事件，识别风险。在提升安全防护级别的同时，改善用户体验。