在2013年数据泄露事件之后,Target公司CISO Rich Agostino重建了其网络安全方法,在解决了漏洞的同时,为客户营造了“用户友好”的网络形象。
如何在提供良好购物体验的同时保护消费者及其数据,一直是零售商面临的巨大挑战之一。多因素身份验证或质询问题等安全措施会在购买过程中造成客户负担,但发生敏感客户数据丢失的违规行为可能要比损失客户产生更大的影响。
举个例子:2013年,Target支付系统的数据泄露事件影响了超过4100万个客户账户,公司花费了1850万美元来解决国家对该起事件的调查。此事也促使Target审查并加强其安全实践和政策,同时牢记安全性和客户体验之间的平衡。如今,Target的方法为其他零售商提供了一个可以效仿的模式。
2014年,Rich Agostino辞去GE公司技术和风险合规副总裁的职位,转投Target担任高级副总裁兼CISO职务,上任后,他便彻底改革和加强了Target的网络安全方法。同时,Agostino 也一直专注保持Target的“用户友好型”网络界面,并在后台强化安全性。鉴于他的表现,零售和酒店信息共享和分析中心(RH-ISAC)将其评为“2021年度CISO”。
Agostino表示,“顾客必须回答安全问题或在结账过程中花一分钟时间来提升自身安全性,这无疑会大大降低其购物体验,甚至会增加其负担。因此,我们会尽一切努力来维持这种购物体验的流畅和便捷,同时确保我们顾客的安全性。”
从Target数据泄露事件中总结正确经验
在彻底改革Target的网络安全方法之前,Agostino知道他必须要从2013年的数据泄露事件中得出正确的经验教训。事实证明,他学到的东西与流行的观念背道而驰。当时,人们倾向于认为2013年Target违规事件之所以重要,是因为它是第一次或最大的一次消费者数据泄露事件。
但Agostino并不这样认为。他认为,此事之所以意义重大,是因为这是我们第一次目睹针对零售业的攻击可以复杂至此,以前只有民族国家行为者才会针对国防承包商和知识产权所有者发动此类攻击。这确实是面向消费者的企业第一次面临如此复杂程度的网络威胁。
建立有效的安全团队
意识到Target和其他零售商正面临老练网络犯罪分子的攻击后,Agostino意识到仅仅“堵住公司防御的漏洞”是远远不够的,还必须重新赢得客户、团队成员、股东以及受数据泄露影响的其他所有人的信任。为此,他们提出了一个非常大胆的战略,重点是构建可以随着不断变化的威胁而发展的高级功能,以彻底改革Target的网络安全方法。
为了实现这一战略,Agostino创建了一支有能力的内部网络安全团队,该团队拥有开发和部署有效防御所需的知识和编程技能。为了创建这样一支团队,他们更是不惜重金从金融、政府以及零售业以外的各行各业聘请了数百名安全专家。
如今,这群内部网络安全专家正在位于明尼苏达州布鲁克林的Target网络融合中心(CFC)全天候/24/7协同工作。CFC是一个庞大的、开放式概念的设施,网络威胁情报团队在这里监控和分析网络犯罪趋势,网络安全事件响应团队则负责开发“以Target为中心”的检测工具,并检测对公司网络和系统的威胁。同时,CFC的持续改进专家则负责记录团队的发现、行动和结果,同时优先考虑他们的整体努力。
总的来说,CFC的IT专业人员为Target提供了“民族国家”级别的网络攻击响应能力。同时,他们还拥有将这些工具嵌入Target网络界面和操作系统后台的专业知识,以便让客户享受无忧无虑的网上购物体验。
拥有面向全行业的响应能力
Agostino知道,仅仅提升Target的战斗能力并不足以保护他的公司及其客户。为了真正完成目标,还需要整个零售业大幅改进其网络安全方法。为了实现这一点,Agostino和Target协助创建了零售和酒店信息共享和分析中心(RH-ISAC),这是一个IT专业人员协会,目的是在面向消费者的行业中共享网络安全情报和信息。
Agostino表示,“我们意识到在完成内部强化后,必须进行外部融合。我们必须将网络安全视为一项团队运动,这是我们无法单独完成的事情。这也是我们成为零售和酒店信息共享和分析中心(RH-ISAC)创始成员和主要贡献者的原因所在。如今,RH-ISAC已经成为零售商之间共享威胁情报信息的主要来源。”
改变企业安全文化
很多时候,网络安全漏洞是由非IT人员无意犯下的极具破坏性错误造成的。例如,Target数据泄露案就是由其第三方供应商中的某位员工遭受网络钓鱼攻击引发的。为了防止这种情况再次发生,Agostino及其团队一直在对Target及其供应商的员工进行教育培训。他表示,“我们必须继续在公司中建立一种意识,即这种威胁不仅不会消失,还会在行业中变得愈发强大。而且,我们必须教育团队成员和客户中的每个人考虑日常生活中的安全问题。”
Target发布的“面向消费者的安全和欺诈内容”正好印证了Agostino的信念,即说服人们关心网络安全,而非胁迫他们遵守规则。Agostino称,“一直以来,我们始终专注于通过游戏化培训来教育技术团队,并努力使我们的政策看起来简单易懂,因此没有人需要阅读长达600页的文档来寻找正确做法。此外,我们还为团队成员提供了自助服务工具,这样他们就可以自己运行安全测试,而不必找我们的团队获取答案。”
交付业务和安全结果
Agostino表示,Target这种平衡自身安全性和客户体验的方法“确实非常成功”,它能够在保护自身免受网络攻击的同时,为客户维护易于使用的网络界面。这种方法也帮助Target在巨大的数字增长浪潮,以及疫情大流行和后疫情时代始终保持领先地位,不断推出各种新功能。
Target拒绝提供用于衡量其安全计划成功与否的基准数据,但公司发言人指出,安全帮助其公司实现了“显著的数字销售增长”。据悉,Target安全团队还拥有17项正在申请的技术专利。
对于Agostino而言,客户安全和客户体验之间的这种成功平衡对他来说最为重要。他解释称,“我的工作就是创造一种体验,让客人可以以一种安全的方式购物。确实,有时我们的决定需要权衡这两方面,但归根结底,我们Target能够在安全性和便利的购物体验之间取得适当的平衡。”