數(shù)智化時代 企業(yè)的安全建設(shè)更需要“量體裁衣”

　　文/陳鋒

　　編輯/子夜

　　近幾年，全球范圍內(nèi)，重大網(wǎng)絡(luò)安全事件層出不窮。

　　去年7月2日，網(wǎng)絡(luò)軟件公司Kaseya遭遇黑客攻擊，Kaseya及其約1500名客戶，和客戶的客戶，都被波及，瑞典最大的連鎖超市之一Coop在全球的近800家門店被迫暫停營業(yè)，這起網(wǎng)絡(luò)安全事件最后也演變成了全球范圍內(nèi)迄今為止最大的一次供應(yīng)鏈攻擊。

　　再到今年，醫(yī)療設(shè)備制造商ZOLL在1月份受到網(wǎng)絡(luò)攻擊，導(dǎo)致超過100萬人的敏感信息泄露;世界上最大的水果和蔬菜生產(chǎn)商之一的愛爾蘭都樂食品公司，2月份遭受勒索軟件攻擊，致使生產(chǎn)工廠關(guān)閉，最后直接損失超7400萬元。

　　將視角切換到國內(nèi)，類似的網(wǎng)絡(luò)安全威脅離我們并不遙遠(yuǎn)。

　　來看一組最近的數(shù)據(jù)，根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的統(tǒng)計，8月28日-9月3日，針對政府、企業(yè)以及廣大互聯(lián)網(wǎng)用戶的主要安全威脅來自于軟件高危漏洞、惡意代碼傳播以及網(wǎng)站攻擊，其中，這一周境內(nèi)計算機惡意程序的傳播次數(shù)上升了87.9%。

　　日益嚴(yán)峻的網(wǎng)安形勢背后，如何打好這場與安全威脅的攻防戰(zhàn)，成了當(dāng)下企業(yè)數(shù)字化轉(zhuǎn)型中不可回避的一個關(guān)鍵問題。

　　在這背后，一個不容忽視的背景是，近些年人工智能在加速落地，今年以來大模型進入爆發(fā)期，都加速了企業(yè)數(shù)字化進程，但同樣的，這些新興技術(shù)的出現(xiàn)，也為企業(yè)的安全建設(shè)帶來了新的挑戰(zhàn)。

　　當(dāng)舊問題和新挑戰(zhàn)同時出現(xiàn)，企業(yè)究竟該如何做?

　　騰訊安全提供了一個新的解題思路。今年6月，IDC聯(lián)合騰訊安全發(fā)布了企業(yè)安全建設(shè)的“數(shù)字安全免疫力模型”，為企業(yè)提供了一套新的安全建設(shè)范式。通過這個模型，企業(yè)管理者可以度量自身安全現(xiàn)狀，并參考行業(yè)安全水平較高的企業(yè)做法，改善自身安全水平。

　　再到9月8日，騰訊生態(tài)大會“數(shù)字安全分論壇”上，騰訊安全又發(fā)布了更加細(xì)致的企業(yè)安全自測工具。

　　結(jié)合騰訊安全的動作來看，企業(yè)在安全建設(shè)上的理念、思路、規(guī)劃、力度，或許都要變一變了：

　　他們不能只把精力、資源投入到數(shù)字化轉(zhuǎn)型的效率上了，還要重點關(guān)心數(shù)字化安全;不能再遵循以往“問題出現(xiàn)再解決”的被動攻守的姿態(tài)了，而是要主動出擊構(gòu)建安全防線;不能再在安全上不投入或者盲目投入了，而是要找到真正的安全漏洞，將每一分錢花在刀刃上。

　　1、企業(yè)數(shù)字化狂奔路上，“主動安全”有多重要?

　　數(shù)字經(jīng)濟高速發(fā)展、數(shù)實融合不斷縱深的背景下，如今企業(yè)所面臨的安全挑戰(zhàn)，本質(zhì)上是數(shù)據(jù)安全問題。

　　原因在于，數(shù)據(jù)已經(jīng)逐漸成為企業(yè)的核心資產(chǎn)和關(guān)鍵生產(chǎn)要素，既是企業(yè)產(chǎn)生價值的源頭，也是承載價值的本體。

　　根據(jù)IDC的統(tǒng)計，2021年，全球創(chuàng)造了84.4ZB數(shù)據(jù)，其預(yù)計到2016年，全球數(shù)據(jù)量將達到221.2ZB，年復(fù)合增長率達到21.2%。

　　而只要數(shù)字化與業(yè)務(wù)進行融合，就容易產(chǎn)生新的安全風(fēng)險。正如一位企業(yè)安全的負(fù)責(zé)人說的那樣，“數(shù)據(jù)在哪里，價值就在哪里，攻擊就在哪里”。

　　值得注意的是，受攻擊的企業(yè)受到的影響大多數(shù)并非僅僅停留在經(jīng)濟損失上，也會同樣將他們置于法律風(fēng)險和社會輿論的壓力風(fēng)險下。

　　更長遠(yuǎn)來看，數(shù)字安全威脅的影響會更加深遠(yuǎn)。思科在調(diào)研報告《網(wǎng)絡(luò)安全是業(yè)務(wù)增長的加速器》中指出，有71%的高管表示，對網(wǎng)絡(luò)安全的擔(dān)憂正在阻礙組織執(zhí)行創(chuàng)新，有39%的高管表示，他們曾因網(wǎng)絡(luò)安全問題停止過任務(wù)關(guān)鍵型計劃。

　　尤其是這兩年，AI大模型熱潮之下，其帶給產(chǎn)業(yè)互聯(lián)網(wǎng)新機遇的同時，也讓潛在的安全挑戰(zhàn)，變得更加復(fù)雜。

　　“AI大模型將開啟新一輪的‘攻強守弱’，大模型高效泛化內(nèi)容生成的特點，會讓黑客以更低的門檻和成本發(fā)動更密集的攻擊;防守方需要更縝密的邏輯關(guān)聯(lián)、更精確的溯源能力。在新技術(shù)的實踐落地過程中，成本效率將會經(jīng)歷更嚴(yán)峻的考驗周期。”騰訊集團副總裁、騰訊安全總裁丁珂在騰訊全球數(shù)字生態(tài)大會上如此說道。

　　丁珂表示，產(chǎn)業(yè)互聯(lián)網(wǎng)進入智能化下半場，企業(yè)安全建設(shè)將面臨四個方面的挑戰(zhàn)：企業(yè)安全防御的半徑將大幅增加、遭遇攻擊后的反應(yīng)窗口期將進一步縮短、辨別“人”和“機器”的難度增大、現(xiàn)存的安全“情報庫”逐漸失效。

　　不過當(dāng)下，一個普遍的現(xiàn)象是，企業(yè)安全的嚴(yán)峻性，與企業(yè)的安全理念、安全投入，以及安全能力，并不對等。

　　今年6月，騰訊安全聯(lián)合安在新媒體，對1500余位企業(yè)CSO發(fā)起了企業(yè)數(shù)字安全線上、線下抽樣調(diào)研，結(jié)果顯示，企業(yè)整體的安全水位遠(yuǎn)不及預(yù)期。

　　目前，仍有11.3%的企業(yè)在安全能力上“基本空白”，而且有60.49%的企業(yè)安全部門人員數(shù)量不足10人，即使是1000人以上的大型企業(yè)中，安全人員數(shù)量的中位數(shù)也不足20人，遠(yuǎn)低于安全建設(shè)的需求。

　　而且絕大多數(shù)的企業(yè)，在安全投入上，遠(yuǎn)低于基準(zhǔn)線。安全預(yù)算投入低于5%下限的企業(yè)，比例超過70%，滿足10%最佳投入比的企業(yè)，只有5%。

　　這并不意味著這些企業(yè)不關(guān)注數(shù)字安全，因為有超過66%的企業(yè)CSO認(rèn)為，數(shù)據(jù)安全仍然是未來兩年的主要安全威脅。

　　那么既然企業(yè)對數(shù)字安全的重要性有認(rèn)知，為何表現(xiàn)在結(jié)果上卻是投入力度不足，安全水平不夠?

　　原因在于，當(dāng)前在企業(yè)內(nèi)部，企業(yè)決策層與安全部門對安全價值的認(rèn)知存在錯位：

　　根據(jù)調(diào)研結(jié)果，有33.68%的企業(yè)決策層最關(guān)注安全事件的應(yīng)急處理，有近半數(shù)的受訪者表示，安全部門的主要任務(wù)是安全事件應(yīng)急;而有37.8%的企業(yè)CSO認(rèn)為，安全部門的價值體現(xiàn)在內(nèi)外部數(shù)據(jù)安全及威脅情報發(fā)掘，34.8%的CSO認(rèn)為安全價值體現(xiàn)在風(fēng)險發(fā)現(xiàn)與控制。

　　也就是說，從決策層的角度來看，他們以往的安全理念是被動防御式的，也就是“等問題出現(xiàn)了再解決”，這與安全部門的自我定位并不一樣，導(dǎo)致最后很多企業(yè)的安全戰(zhàn)略都是以被動防御為主。

　　但如我們在文章開頭提到的案例，企業(yè)長期用被動思維來制定安全戰(zhàn)略，無形中便會長期處于攻守弱勢地位，將自己暴露在風(fēng)險之下。

　　而隨著產(chǎn)業(yè)智能化進入到下半場，數(shù)字安全的嚴(yán)峻性只會更高，在這種情況下，被動防御式的安全理念，顯然已經(jīng)不適用了，企業(yè)需要轉(zhuǎn)變思維，構(gòu)建“主動安全”防線。

　　2、數(shù)智化時代的網(wǎng)絡(luò)安全，需要先做好“度量”

　　IDC數(shù)據(jù)顯示，2022年，中國網(wǎng)絡(luò)安全市場保持著高速增長態(tài)勢，其預(yù)計，到2026年，中國網(wǎng)絡(luò)安全支出規(guī)模預(yù)計可達到288.6億美元，五年復(fù)合增長率將達到18.8%，增速位列全球第一。

　　這說明了一點，即隨著數(shù)字化轉(zhuǎn)型逐漸邁入到縱深階段，經(jīng)過過去幾年法律法規(guī)的完善、相關(guān)安全事件引起的警惕，以及企業(yè)自身內(nèi)在發(fā)展需求的驅(qū)動，很多企業(yè)的安全意識，已經(jīng)提上來了。

　　但這還遠(yuǎn)遠(yuǎn)不夠。知道要做安全，和如何做安全，是兩碼事。

　　被動防御下的企業(yè)安全，實質(zhì)上是個“黑盒子”——企業(yè)不知道什么時候，會遇到怎樣的安全威脅，企業(yè)的安全狀況可能會受制于一些偶發(fā)因素。

　　而構(gòu)建主動安全防線，簡單來說就是要消除偶發(fā)因素帶來的風(fēng)險性、安全建設(shè)投入上的盲目性，補上安全短板，搭建起完整的防御體系。

　　值得注意的是，隨著數(shù)字化廣度和深度的持續(xù)強化，當(dāng)前企業(yè)在安全建設(shè)層面，仍然面臨著多個層面的現(xiàn)實性痛點，并且這些痛點還在不斷呈現(xiàn)出泛在化趨勢，具備跨行業(yè)共性。

　　比如安全價值的量化、衡量問題。安全價值本身是隱性的，如果一家企業(yè)用了足夠多的投入帶來了高安全環(huán)境，但很可能因為過于風(fēng)平浪靜，導(dǎo)致安全價值無法體現(xiàn)出來，這可能會導(dǎo)致，在很多時候，企業(yè)安全難以引起管理層和決策層的足夠重視。

　　再比如，信息安全與工作效率是一對無法分離的矛盾體，公司在加強數(shù)據(jù)安全時，可能會因為安全流程導(dǎo)致數(shù)據(jù)分享效率下降，大量的內(nèi)、外部交互需要走審核流程，數(shù)據(jù)也要在經(jīng)過處理后才能被用于產(chǎn)品體驗優(yōu)化。換言之，當(dāng)效率成為攔截在安全和業(yè)務(wù)之間的矛盾點時，企業(yè)該怎么辦?

　　與此同時，企業(yè)的安全建設(shè)怎么做到比之前更加科學(xué)、精細(xì)化?

　　與其他行業(yè)相比，數(shù)字安全并非一個可以“一招鮮吃遍天”的行業(yè)，能力建設(shè)也不會一勞永逸，解決了一個問題，新的問題又會出現(xiàn)。尤其是在技術(shù)層面，當(dāng)企業(yè)為推進數(shù)智化發(fā)展引入新技術(shù)時，新的漏洞和威脅也會同時出現(xiàn)，云化環(huán)境、物聯(lián)網(wǎng)、大數(shù)據(jù)、大模型等的應(yīng)用，都會帶來新的安全挑戰(zhàn)。

　　而在這些痛點面前，安全度量，已經(jīng)成為企業(yè)做安全建設(shè)時必要的一環(huán)。

　　因為企業(yè)打造安全防線的一個重要前提，是清晰地知道自身當(dāng)前的安全水平如何、存在哪些短板、自身所處的行業(yè)存在著哪些潛在的安全風(fēng)險等等，在此基礎(chǔ)上的安全動作，才能更加有的放矢，將投入安全的每一分錢，都花在刀刃上。

　　3、誰來給企業(yè)“量體裁衣”?

　　數(shù)字安全一個最大的特點是，大多數(shù)時候威脅是看不見的，“敵人”也是不可控的，與此同時，在不同的行業(yè)，處于不同發(fā)展階段的企業(yè)，面臨的潛在安全風(fēng)險在某種程度上也會不同。

　　在此基礎(chǔ)上，從安全戰(zhàn)略的轉(zhuǎn)變、到安全度量、再到安全度量后的布局與執(zhí)行，企業(yè)安全能力的建設(shè)，實際上是一個“量體裁衣”的過程。

　　6月13日，騰訊安全發(fā)布了“數(shù)字安全免疫力”模型框架，提出用“免疫力”的思維應(yīng)對新時期下安全建設(shè)與企業(yè)發(fā)展難以協(xié)同的挑戰(zhàn)。

　　再到9月8日，這一模型落地兩個月后，在騰訊全球數(shù)字生態(tài)大會“數(shù)字安全”分論壇上，丁珂結(jié)合頭部客戶實踐，提出企業(yè)需要重新評估智能化時代的安全建設(shè)。

　　丁珂提到，面對大模型引發(fā)的安全沖擊，傳統(tǒng)的安全工具、經(jīng)驗、策略將失去效力，企業(yè)需要圍繞核心資產(chǎn)及時調(diào)整安全建設(shè)目標(biāo)和路徑。

　　他同時提出了三個企業(yè)可以遵循的調(diào)整思路：建立發(fā)展驅(qū)動的安全建設(shè)理念;建立可度量的安全體系，評估安全建設(shè)的有效性;打造內(nèi)在自適應(yīng)的“安全免疫力”。

　　從理念到度量再到免疫力，騰訊安全提出的“數(shù)字安全免疫力”模型，作為一套全新的安全范式和框架，要做的事情是提供給客戶科學(xué)、完善的度量體系，幫助企業(yè)筑牢安全防線。

　　騰訊安全策略發(fā)展中心總經(jīng)理呂一平告訴連線Insight，“數(shù)字安全免疫力”和騰訊現(xiàn)在配套的免疫模型評估工具，能夠幫助客戶解決兩方面的問題：

　　一方面，通過這一模型，客戶能知道自己當(dāng)前的安全水平如何、在安全上有哪些短板、哪些對業(yè)務(wù)來說是優(yōu)先級最高的。

　　“數(shù)字安全免疫力”模型將潛在的安全威脅分為了六大模塊，包括最外層的邊界安全、端點安全、應(yīng)用開發(fā)安全這三個模塊、中間層的安全運營與管理模塊、與核心業(yè)務(wù)最相關(guān)的數(shù)據(jù)安全治理與業(yè)務(wù)風(fēng)險控制這兩大模塊。

　　其中，最外層涉及到各個專業(yè)領(lǐng)域的能力建設(shè)，中間層強調(diào)協(xié)同和聯(lián)動，最內(nèi)層則關(guān)注與數(shù)據(jù)和業(yè)務(wù)相關(guān)場景。

　　呂一平透露，目前這一模型框架已經(jīng)基本覆蓋了企業(yè)需要進行安全能力建設(shè)的六個主要維度。

　　也就是說，企業(yè)通過騰訊安全提供的數(shù)字安全免疫力水平評估工具，能夠從這六大維度全面測算目前的數(shù)字安全免疫力水平，進而進行查缺補漏，提升安全水平。

　　另一方面，在這一模型與評估工具的配合下，騰訊安全能夠幫助企業(yè)解決安全價值難衡量的問題。

　　簡單來說，企業(yè)在安全能力上的不足、投入成效等等，都可以用直觀、可度量的方式呈現(xiàn)出來，而這有利于解決企業(yè)內(nèi)部對安全價值認(rèn)知錯位的問題。

　　從當(dāng)前已經(jīng)落地的案例來看，這套模型已經(jīng)在各行各業(yè)收獲了較為明顯的效果。

　　國內(nèi)某大型乘用車生產(chǎn)企業(yè)，近些年陸續(xù)將業(yè)務(wù)部署架構(gòu)轉(zhuǎn)換成了云模式，但這同時帶來了更復(fù)雜的安全運營管理挑戰(zhàn)。

　　與騰訊安全合作的第一階段，騰訊安全團隊給這家車企提供了安全咨詢服務(wù)，基于自身在數(shù)據(jù)安全領(lǐng)域多年的實踐經(jīng)驗，針對當(dāng)前車連網(wǎng)、數(shù)字營銷等核心系統(tǒng)進行了數(shù)據(jù)安全風(fēng)險評估，在合規(guī)建設(shè)、分類分級管控、數(shù)據(jù)全流程跟蹤監(jiān)測、API訪問控制、全鏈路風(fēng)險管理以及建設(shè)路徑等方面，制定了分階段建設(shè)規(guī)劃。

　　到第二階段，則是進一步梳理了應(yīng)用架構(gòu)、數(shù)據(jù)流向、企業(yè)關(guān)注點等方面的現(xiàn)狀和需求，共同推進了數(shù)據(jù)安全平臺化、一體化解決方案的部署。最終這家企業(yè)構(gòu)建起了涵蓋“識別—防護—檢測—響應(yīng)—恢復(fù)”的全維度數(shù)據(jù)安全治理體系和企業(yè)安全防護體系。

　　再來看順豐，其在業(yè)務(wù)開展中會接觸和處理大量的數(shù)據(jù)，這些數(shù)據(jù)的安全防護尤為重要，但由于物流行業(yè)體系復(fù)雜、上下游生態(tài)鏈漫長，如何在確保內(nèi)外安全合規(guī)的基礎(chǔ)上，實現(xiàn)安全與效率的平衡，挑戰(zhàn)并不小。

　　在與騰訊安全的合作下，順豐規(guī)劃打造了零信任安全體系部署模式，確立了行業(yè)復(fù)合型安全建設(shè)思路，最終基于騰訊在零信任領(lǐng)域的豐富經(jīng)驗，順豐科技推進了零信任安全、全網(wǎng)統(tǒng)一威脅檢測與響應(yīng)的一體化解決方案。

　　另一家金融領(lǐng)域的企業(yè)中原消費金融股份有限公司，則是從業(yè)務(wù)發(fā)展初始階段就與騰訊展開了合作，通過騰訊的生態(tài)數(shù)據(jù)能力，構(gòu)建起了“隱私計算/差異化建模+專家服務(wù)+經(jīng)驗咨詢”的聯(lián)合解決方案。

　　目前中原消金在金融反欺詐、營銷風(fēng)控、信貸風(fēng)控、貸中與貸后管理等方面，定制化模型已經(jīng)體現(xiàn)出了良好的業(yè)務(wù)區(qū)分度，實現(xiàn)了騰訊原有的經(jīng)驗和能力與細(xì)分場景的更佳結(jié)合。

　　通過這幾個案例，不難發(fā)現(xiàn)，在助力企業(yè)實現(xiàn)數(shù)字安全建設(shè)的進程中，騰訊安全實際上充當(dāng)起了“裁縫師”的角色，能夠幫助企業(yè)實現(xiàn)“量身定制”的安全度量。

　　正如呂一平所言，通過度量結(jié)果，騰訊安全最重要的是幫助客戶理清其核心業(yè)務(wù)和核心場景需要保護的資產(chǎn)和數(shù)據(jù)，以及需要解決的問題。在此基礎(chǔ)上，騰訊安全能夠提供相應(yīng)的產(chǎn)品和方案。

　　從騰訊安全推出的這套“數(shù)字安全免疫力”模型框架出發(fā)，不難發(fā)現(xiàn)，在日益嚴(yán)峻的數(shù)字安全形勢面前，企業(yè)是時候告別過去粗放、被動的安全布局了，而是要自上而下形成統(tǒng)一的安全理念，采取更加科學(xué)可度量的方式，系統(tǒng)性地搭建起安全防線。