专题·数字安全免疫力 | 丁珂:依托数字安全免疫力,构建高质量发展底座
2023-10-31 17:42:54 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

文 | 腾讯集团副总裁、腾讯安全总裁 丁珂
随着数字化进程加快,企业数字化体系的边界不断拓展,安全风险和挑战不断增加,传统被动防御的安全应对手段凸显疲态。进入数智化新阶段,发展驱动成为安全建设领域的普遍共识,企业需从被动安全转变为主动防御,以数据资产和业务资产为目标,建设一套全新的安全范式和框架,即依托数字安全免疫力护航数字经济高质量发展。数字安全免疫力并非一套工具,也非一套安全产品,而是一套安全建设范式,可以帮助企业按照这套方法逐步建立具有弹性、自适应、可扩展的安全能力,从源头出发,解决被动安全防御的问题,为企业长期稳定发展提供支撑。

一、适应网络安全的总体需求,提出“数字安全免疫力”理念

随着各行业越来越重视网络安全,特别是企业数字化进程加速,网络安全产业不断发展,网络安全的总体需求发生了一些变化。在技术层面,企业推进数智化发展需要引入大量新技术,也必然会产生新的漏洞和威胁;在运营层面,传统的安全流程越来越缺乏适配性,企业难以充分发挥安全投入的价值;在人才层面,企业安全人才的数量和质量无法满足企业安全发展的需求,企业安全建设面临更大的困难。在这样的背景下,企业业务发展面临的安全威胁和挑战日趋复杂,对网络安全的定义、建设的范式和创新技术的要求,也应与时俱进。

(一)网络安全行业面临新威胁与新挑战
数字技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,新技术在带动生产关系范式变革的同时,也降低了对威胁参与者的技术水平要求,进而提升了威胁者的攻击效率,加重了网络安全行业对网络安全威胁的担忧。
1. 数字价值为经济可持续发展带来活力
人工智能与云计算、大数据、区块链、物联网等新兴技术共同加速了我国产业数字化发展进程,驱动数实融合不断迈向纵深。这不仅有助于提高中国经济和社会的免疫力,也成为中国经济和社会长期发展的全新驱动力。随着企业数字化程度的提高,网络安全涉及的领域越来越多。例如,电子零配件制造企业已实现设计图、用户资料等有价值信息的数据化。在智能工厂由传统的工业制造向工业 4.0 升级过程中,多数智能工厂仍处于数字化阶段,把数字化变成传统企业管理流程的辅助工具,而不是真正意义上把人流、物流、信息流与营销关联在一起。
当前,人工智能和大模型引发了普遍关注,预示着基于数据和算法的通用人工智能极有可能在未来重构社会生产力,成为推动企业数字化转型的又一驱动力,影响数字经济的发展。
2. 网络安全威胁逐步渗透企业核心业务
近年来,网络安全事件层出不穷,涉及互联网、金融、汽车等各行业,与日常生产、生活场景息息相关。同时,攻击方明显变得越来越趋利。最常见的一类攻击是以违法获取企业用户数据资产和隐私为手段,达到勒索、诈骗的目的,而与此相关的黑产也逐步形成。以两类比较典型的网络攻击为例,一类是拒绝服务攻击(DDoS)。攻击主体以低成本的大流量攻击式访问目标服务器,导致线上服务在短时间内宕机,给企业造成巨大经营损失。另一类是数据泄露。企业数据资产的价值越来越高,一旦这些数据泄露,又会带来次生灾害,包括勒索攻击等,导致严重后果。公开数据显示,到 2031 年,全球因勒索软件造成的损失将超过 2650 亿美元。
目前,网络安全威胁已经渗透到供应链管理、风控反欺诈、客户优质数据资产和业务资产保护等核心业务场景之中。网络安全保障正从传统的边界安全以保护办公流程为主用途,逐渐向保护企业核心资产的方向发展。
3. 企业数字化面临发展与安全断层痛点
得益于国家的政策引导及法律法规不断健全等原因,企业对网络安全相关的系统性思考比以前进步了很多。尽管如此,随着数字化广度和深度的持续,企业仍受到多个层面现实痛点的困扰,且这些痛点呈现出泛在化趋势,具备跨行业的共性。
在数字化进程中,企业普遍存在安全和发展的断层现象。第一个断层是预算投入不足。在这方面,国际上存在一个比较客观的基准线,即企业的数字安全预算投入要占企业数字化整体投入的 5%;国家重要部门、关键基础设施企业,投入比例要到10%。然而,调研数据显示,70% 的企业低于这个基准线,甚至还有超过 10% 企业的安全投入低于1%。这意味着,企业在面对攻击事件时基本处于“不设防”和任人宰割的状态。第二个断层是安全理念滞后。企业业务数字化逐步深入,安全建设仍停留在“头疼医头、脚疼医脚”的传统搭烟囱阶段。第三个断层是安全意识不强。即使法律法规持续强化要求,但是很多企业并没有意识到保护自身的数据资产安全、保护企业用户隐私数据安全,已经成为企业必须承担的安全责任。
(二)网络安全形势要求企业以新理念应对新威胁
在信息时代,企业的数字化刚刚起步,只需要在计算机上处理少量的表格、管理软件,企业往往选择最保守的安全防御策略,即配置一套硬件盒子就能实现静态安全。在数字化阶段,物联网、大数据和云计算广泛应用,企业整体数字化程度指数级提高,供应链越来越复杂,企业面临的安全风险扩大,安全监管和法规日趋完善,企业安全建设进入攻防、事件、合规等综合因素驱动的新阶段。进入“数智化”时代,数字化业务成为企业发展的中枢,数据成为核心资产。安全建设的范式从“被动安全”变为“主动防御”,成为这个阶段企业安全建设的核心考量。
1. 技术驱动安全领域健全规则秩序
法律法规会随着技术的演进不断更新,让新技术的发展更加规范。然而,技术进步的速度往往快于法律法规的更新。例如,在应对人工智能的发展方面,不同国家和地区的法律法规都有不同程度的滞后。一般情况下,人们在应用新技术时往往会循序渐进,不仅会考虑法律法规,而且还会考虑伦理、道德,摸索出一条可持续的使用路径,而恶意攻击者在使用新技术时往往会将它用到“极致”。
以 GPT 为代表的人工智能大模型发展,可能是未来十年或者二十年甚至百年一遇的新机遇和挑战。不过,大模型在国内落地应用所面临的第一道坎,就在于它的内容合规性、合法性以及能否符合文化、道德要求。这不完全是技术问题,还需要有法律法规的界定。如何利用 GPT 以及如何制定规则,如何在数字化转型过程中实现合规发展,尤其是使数字安全免疫力和守法合规在原点保持一致、相容是一个长期且重要的过程。
2. 合规驱动促进统筹发展与安全
随着《网络安全法》《数据安全法》《个人信息保护法》等系列法律法规的颁布施行,我国网络安全法律法规体系不断完善,监管更加严格,企业的安全责任也更重大。同时,这也意味着在出现安全事件后企业面临的处罚将更加严厉。
在统筹发展与安全理念推动下,合规将给企业推动网络安全建设带来驱动力,并且很直观地体现在需求侧。例如,原来做传统安防设备的厂商因为生物识别应用,最近两年也开始关注数据安全相关的产品;再如,在《反电信网络诈骗法》出台之后,很多银行也开始咨询和购买反欺诈产品。
在合规驱动下,企业普遍构建了适应其自身需求的基础安全能力,在安全体系建设中的投入持续增加。
3. 防御思路逐渐从“被动”转为“主动”
企业当前普遍存在安全与发展断层问题的原因是数字化时代安全建设的驱动力发生了根本变化。进入“数智化”新阶段,很多企业逐步完成业务数字化向数字业务化方向的探索。而且,由于网络攻击手段不断发生变化,网络安全企业和网络安全市场的着力点发生了改变,安全理念和防御思路也发生了变化。
一是企业安全保护范围更加偏向头部资产,如企业数据资产和用户隐私数据。由于互联网企业最值钱的资产就是用户数据、交易行为、活跃度等,他们在进行安全建设、体系化规划时会把以前简单的纯边界防护调整到以数据作为安全防御的核心。
二是业务安全、业务风控变成企业安全保护的关键范畴。企业的业务与企业核心的资产流、供应链、信息流、物流跟客户是没有办法完全隔绝的,所以,像防火墙、内外网隔绝等传统的安全防护手段正在失效。
三是主动防御思路正在被越来越多的企业用户所接受与认可。进入“复合驱动”安全时代,在国家政策、网络安全形势、企业需求等多方因素的复合驱动下,安全防护思路和手段也随之变化。企业要在明确企业核心数据资产、安全边界、个人权限等基础上动态地根据安全事件做出反应。
(三)企业数字免疫力伴随企业原生的成长过程
现代企业的业务不可避免地会与用户产生海量的数据交互,数据泄露防不胜防。所以,需要“数字安全免疫力”这样全新的安全范式,尤其是在前期信息化建设阶段就要联动布局、综合考虑。可以说,企业数字免疫力也是企业原生的成长过程。
安全就像是企业核心业务这枚硬币的“背面”,安全建设做得越好,业务团队越能安枕无忧。在企业内部,业务团队不觉得安全投入是成本项,如果第一时间消除了安全风险,企业的品牌价值就不会受损,业务的健康度也会保持在一个平稳的水位。因此,需要把安全投入和发展收益高效地结合在一起,形成企业原生的安全价值观。

二、网络安全新范式是时代必然产物,也是企业发展的必然需求

计算机诞生至今,安全专家不断探索适应技术变革与时代发展的安全新范式。弹性、自适应、可拓展的主动防御观念正成为普遍共识。传统的安全范式在当下复杂、快速变化的数字世界逐渐失效。进入发展驱动的时代,企业生存应该汲取人类在物理世界面对威胁的免疫经验,用内在的进化对抗不确定的安全挑战,以“数字安全免疫力”模型框架部署和发展企业的安全业务。

(一)认识构建“数字安全免疫力”的理念与核心价值
“数字安全免疫力”理念促使企业从安全建设的内核开始向外革新。在数字化转型“数智化”阶段,企业数据资产和数字业务成为核心资产,企业安全建设的目标应从事件对抗转变为守护数据及业务安全。在此基础上,需要变革以往单兵作战的对抗方式,以体系化构建思路浇筑企业免疫堡垒,以从被动防御变主动防御的思维看待新时期安全建设与企业发展的协同关系。
企业核心数据资产相当于人的内脏和大脑,业务流转就像运动系统、肌肉系统等的运转,这一类系统都会有相应的安全能力和工具。相较于以前,最大的不同是,企业一旦遇到安全风险问题,其免疫机制会自发地把风险排除在外,或者把入侵伤害控制在很小的范围,并进行及时处理。这是基于免疫力的新安全范式的思考。
构建“数字安全免疫力”的核心是清晰界定企业自身的核心价值,建立一套有针对性的防御机制,从端点安全、边界安全和应用开发等维度,设置安全防御边界,做到“皮肤级别”的安全防护。然后,逐步向内建设防御机制。在这个过程中,威胁情报和安全运营管理体系可以时刻帮助监测周围情况,做好提前预防,或者及时处置。
(二)数字安全免疫力相比传统安全范式具有“三大升级”特点
依据数字免疫力框架模型,在内层,企业核心业务、企业数据资产是安全建设的防御目标,也是安全重建价值的原点。在中间的安全运营与管理层,建设一套以人为核心的“免疫中枢系统”,从业务视角看安全运营与管理工作,让安全因“人”发挥动态流动价值,去除安全的边界。在最外层,拆除传统软硬件安全的“篱笆”,运用平台思路和插件思路,让安全工具与安全技术能够按需取用。
相比传统安全范式,数字安全免疫力具有“三大升级”特点:一是建设目标的变化,企业安全建设的核心目标从安全建设转向守护企业数据和业务两大资产;二是对抗方式的变化,通过建设安全免疫力体系,从单兵作战的安全对抗模式升级成体系化的对抗模式;三是企业安全思维的变化,以主动安全的范式建立具有弹性、自适应、可扩展的数字安全免疫系统。
数字安全免疫力理念充分凝聚了腾讯的安全实践。在过去 20 多年安全建设中,腾讯积累了人工智能能力、威胁情报能力和攻防对抗三大原子能力,并在 10 亿级用户和海量业务场景中得到充分验证。目前,腾讯安全已服务 18 大行业的百万名客户,覆盖 80% 以上的金融企业、90%以上的头部能源企业、20 余家头部车企。增强数字安全免疫力就像人体加强身体免疫力、注射疫苗抑制防范疾病一样,数字安全免疫力理念推崇更积极、主动的安全观,用“治未病”的理念替代“治已病”。
(三)数字安全免疫力的构建需要以统一框架为基础
在实践中,数字安全免疫力的构建需要以统一框架为基础,坚持技术创新与合规建设并行,依托核心场景,实现不同安全方案的组合落地,持续提升企业安全建设的效率和标准化水平,并重点关注打造合规底线、提升影响力、全面拓展三个逐级递进的安全价值层次。
第一层是建立数字安全免疫红线。守法合规是数字化发展的前提,相关安全体系也逐渐从“标准”向“实战”发展。例如,等保 2.0 和“三化六防”新举措,从动态、实战角度出发,提出“新目标、新理念、新举措、新高度”。
第二层是提升数字安全免疫思维。企业应思考如何运用新思路进行风险控制与效率平衡,如何整体输出安全能力,帮助自身和用户获取更大的组合收益。
第三层是呈现数字安全免疫价值。合规是基于现在时态的外驱力,而风险驱动则是基于未来时态的内驱力。当前,社会整体安全意识提升与云上丰富的创新成果相互融合,以云安全为基础支撑的新一代企业安全体系和安全认知水平快速进步,共同体现数字安全免疫力的显性价值,也让安全成果更容易被理解和体验。
总结而言,发展、主动是数字安全免疫力理念的关键词。一个好的安全理念,必须是动态变化与发展的,需要充分经过实践验证。在具体操作层面,企业可以利用“企业数字安全免疫力自测”题目的回答结果,从文化与意识、数据安全治理、业务风险控制、安全运营和管理、边界安全、端点安全和应用开发安全等七个维度,评估企业安全建设的成熟度。

三、建立数字安全免疫屏障,需要各方共同努力

企业在发展自身安全体系、强化安全保障活动时,一般会受到四类因素驱动,包括合规、攻防、事件和发展等,企业应依据自身的特点激发免疫力,做好安全预防,抵御风险。

(一)企业用户需要持续完善数字安全免疫力基础框架
一是构建企业纵深防御体系。企业用户可在数字安全免疫力的理论和实践框架下,通过多种安全措施打造企业纵深防御能力,提高攻击者的攻击成本。纵深防御能显著提升企业的适应性数字安全免疫力,形成动态防范和主动防御。
二是构建完整的安全免疫系统并进行“量体裁衣”式的安全投入。企业应根据业务的覆盖范围、重要性、安全投入等多重因素,综合评估其风险等级以及一旦发生安全事件可能造成的影响,维护风险水平与业务效率以及资金投入之间的平衡,进行适合自身情况的安全投入。
三是技术创新与合规建设并行。企业围绕管理要求,重要的信息系统要按照规定开展等保备案、定级和测评工作。同时,企业应进一步强化安全战略认知,从组织层面做好安全保障,形成自上而下的网络安全组织架构,提高员工的安全意识。企业还需不断完善安全体制、机制和相关制度。
四是借助外脑能力体系,提升安全免疫力。基于自身的数字化转型战略规划,企业引入与安全战略目标有较高契合度的厂商和安全服务方案,将先进的安全理念、方法论和方案、产品融入企业发展过程,做好安全顶层规划、设计、实施以及持续性的安全保障工作。
(二)安全服务厂商应围绕数字安全免疫力推动行业赋能
一是持续积累行业安全经验。随着行业数字化向纵深发展,数字安全免疫力在不同行业呈现出多样化的需求。总体而言,各行业的业务都面临内部管理漏洞和外部持续攻击的多重考验,安全服务厂商需要加大对行业的研究力度,提供符合行业和场景需求的、“最懂行业”的安全产品和解决方案。
二是为企业提供全方位的体检和加固服务。可加深与企业在安全检查、漏洞扫描、攻防演练等方面的合作,进一步深挖企业的安全需求,由此发现的各类问题将有助于安全厂商进一步完善自身产品与服务。
三是重视合规,帮助企业完成安全方案优化。尤其是在数据安全领域,目前还缺乏标准化的、成熟的安全方案。如何规范数据权限管理,如何严格按照保密等级执行数据分发,如何在重要业务的可用性、效率与安全之间达成一致性目标,都值得安全厂商深入研究。
四是将自动化与智能化嵌入安全防护过程。在企业构建数字安全免疫力的过程中,应更多融入自动化、智能化的技术、方法和模型,提升企业安全建设的效率,解决人手不够等现实问题,也帮助企业降低不规范操作带来的额外风险,提升其发现威胁、处理威胁、抵抗威胁的速度和能力。
(三)各方需共同努力建造良好发展生态,增强数字安全免疫力
整体看,目前网络安全产业的很多新领域还是蓝海,如果能够孵化出被集成、被生态伙伴认可的商业模式,如模型即服务的商业模式,就会给合作伙伴带来巨大收获。为此,安全企业需要持续积累,深入研究行业问题;加深合作,深挖企业安全需求,进一步完善产品与服务;重视合规,帮助客户在重要业务的可用性、效率与安全间达成一致性目标;不断创新,将自动化与智能化嵌入安全防护过程,提升企业安全建设的效率。
既然数字安全免疫的价值已然明晰,就更需推动行业赋能,共同构建新的网络安全“空间”。这不仅需要企业重视安全、前置安全,持续完善数字安全免疫力基础框架,构建更强的发展韧性;也需要安全服务厂商专注自研,厚积薄发,深刻洞察企业普遍痛点与发展需要,依托核心实践场景,构建企业安全建设新范式,为数字经济发展奠定坚实的基础,也为安全产业建造更美好的生态。

(本文刊登于《中国信息安全》杂志2023年第8期

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664195746&idx=1&sn=8ae3100684c963a8a220c88efb7ce9ff&chksm=8b59645bbc2eed4d7a4d5d18331cb846ac7277494f0253ac88bc806651a8f4ca733634001acd&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh