2023年09月11日
评论数(0)文/陈锋
编辑/子夜
近几年,全球范围内,重大网络安全事件层出不穷。
去年7月2日,网络软件公司Kaseya遭遇黑客攻击,Kaseya及其约1500名客户,和客户的客户,都被波及,瑞典最大的连锁超市之一Coop在全球的近800家门店被迫暂停营业,这起网络安全事件最后也演变成了全球范围内迄今为止最大的一次供应链攻击。
再到今年,医疗设备制造商ZOLL在1月份受到网络攻击,导致超过100万人的敏感信息泄露;世界上最大的水果和蔬菜生产商之一的爱尔兰都乐食品公司,2月份遭受勒索软件攻击,致使生产工厂关闭,最后直接损失超7400万元。
将视角切换到国内,类似的网络安全威胁离我们并不遥远。
来看一组最近的数据,根据国家互联网应急中心的统计,8月28日-9月3日,针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击,其中,这一周境内计算机恶意程序的传播次数上升了87.9%。
日益严峻的网安形势背后,如何打好这场与安全威胁的攻防战,成了当下企业数字化转型中不可回避的一个关键问题。
在这背后,一个不容忽视的背景是,近些年人工智能在加速落地,今年以来大模型进入爆发期,都加速了企业数字化进程,但同样的,这些新兴技术的出现,也为企业的安全建设带来了新的挑战。
当旧问题和新挑战同时出现,企业究竟该如何做?
腾讯安全提供了一个新的解题思路。今年6月,IDC联合腾讯安全发布了企业安全建设的“数字安全免疫力模型”,为企业提供了一套新的安全建设范式。通过这个模型,企业管理者可以度量自身安全现状,并参考行业安全水平较高的企业做法,改善自身安全水平。
再到9月8日,腾讯生态大会“数字安全分论坛”上,腾讯安全又发布了更加细致的企业安全自测工具。
结合腾讯安全的动作来看,企业在安全建设上的理念、思路、规划、力度,或许都要变一变了:
他们不能只把精力、资源投入到数字化转型的效率上了,还要重点关心数字化安全;不能再遵循以往“问题出现再解决”的被动攻守的姿态了,而是要主动出击构建安全防线;不能再在安全上不投入或者盲目投入了,而是要找到真正的安全漏洞,将每一分钱花在刀刃上。
数字经济高速发展、数实融合不断纵深的背景下,如今企业所面临的安全挑战,本质上是数据安全问题。
原因在于,数据已经逐渐成为企业的核心资产和关键生产要素,既是企业产生价值的源头,也是承载价值的本体。
根据IDC的统计,2021年,全球创造了84.4ZB数据,其预计到2016年,全球数据量将达到221.2ZB,年复合增长率达到21.2%。
而只要数字化与业务进行融合,就容易产生新的安全风险。正如一位企业安全的负责人说的那样,“数据在哪里,价值就在哪里,攻击就在哪里”。
值得注意的是,受攻击的企业受到的影响大多数并非仅仅停留在经济损失上,也会同样将他们置于法律风险和社会舆论的压力风险下。
更长远来看,数字安全威胁的影响会更加深远。思科在调研报告《网络安全是业务增长的加速器》中指出,有71%的高管表示,对网络安全的担忧正在阻碍组织执行创新,有39%的高管表示,他们曾因网络安全问题停止过任务关键型计划。
图源思科《网络安全是业务增长的加速器》调研报告
尤其是这两年,AI大模型热潮之下,其带给产业互联网新机遇的同时,也让潜在的安全挑战,变得更加复杂。
“AI大模型将开启新一轮的‘攻强守弱’,大模型高效泛化内容生成的特点,会让黑客以更低的门槛和成本发动更密集的攻击;防守方需要更缜密的逻辑关联、更精确的溯源能力。在新技术的实践落地过程中,成本效率将会经历更严峻的考验周期。”腾讯集团副总裁、腾讯安全总裁丁珂在腾讯全球数字生态大会上如此说道。
丁珂表示,产业互联网进入智能化下半场,企业安全建设将面临四个方面的挑战:企业安全防御的半径将大幅增加、遭遇攻击后的反应窗口期将进一步缩短、辨别“人”和“机器”的难度增大、现存的安全“情报库”逐渐失效。
不过当下,一个普遍的现象是,企业安全的严峻性,与企业的安全理念、安全投入,以及安全能力,并不对等。
今年6月,腾讯安全联合安在新媒体,对1500余位企业CSO发起了企业数字安全线上、线下抽样调研,结果显示,企业整体的安全水位远不及预期。
目前,仍有11.3%的企业在安全能力上“基本空白”,而且有60.49%的企业安全部门人员数量不足10人,即使是1000人以上的大型企业中,安全人员数量的中位数也不足20人,远低于安全建设的需求。
图源《2023企业安全建设水平抽样调研报告》
而且绝大多数的企业,在安全投入上,远低于基准线。安全预算投入低于5%下限的企业,比例超过70%,满足10%最佳投入比的企业,只有5%。
这并不意味着这些企业不关注数字安全,因为有超过66%的企业CSO认为,数据安全仍然是未来两年的主要安全威胁。
那么既然企业对数字安全的重要性有认知,为何表现在结果上却是投入力度不足,安全水平不够?
原因在于,当前在企业内部,企业决策层与安全部门对安全价值的认知存在错位:
根据调研结果,有33.68%的企业决策层最关注安全事件的应急处理,有近半数的受访者表示,安全部门的主要任务是安全事件应急;而有37.8%的企业CSO认为,安全部门的价值体现在内外部数据安全及威胁情报发掘,34.8%的CSO认为安全价值体现在风险发现与控制。
也就是说,从决策层的角度来看,他们以往的安全理念是被动防御式的,也就是“等问题出现了再解决”,这与安全部门的自我定位并不一样,导致最后很多企业的安全战略都是以被动防御为主。
但如我们在文章开头提到的案例,企业长期用被动思维来制定安全战略,无形中便会长期处于攻守弱势地位,将自己暴露在风险之下。
而随着产业智能化进入到下半场,数字安全的严峻性只会更高,在这种情况下,被动防御式的安全理念,显然已经不适用了,企业需要转变思维,构建“主动安全”防线。
IDC数据显示,2022年,中国网络安全市场保持着高速增长态势,其预计,到2026年,中国网络安全支出规模预计可达到288.6亿美元,五年复合增长率将达到18.8%,增速位列全球第一。
这说明了一点,即随着数字化转型逐渐迈入到纵深阶段,经过过去几年法律法规的完善、相关安全事件引起的警惕,以及企业自身内在发展需求的驱动,很多企业的安全意识,已经提上来了。
但这还远远不够。知道要做安全,和如何做安全,是两码事。
被动防御下的企业安全,实质上是个“黑盒子”——企业不知道什么时候,会遇到怎样的安全威胁,企业的安全状况可能会受制于一些偶发因素。
而构建主动安全防线,简单来说就是要消除偶发因素带来的风险性、安全建设投入上的盲目性,补上安全短板,搭建起完整的防御体系。
值得注意的是,随着数字化广度和深度的持续强化,当前企业在安全建设层面,仍然面临着多个层面的现实性痛点,并且这些痛点还在不断呈现出泛在化趋势,具备跨行业共性。
比如安全价值的量化、衡量问题。安全价值本身是隐性的,如果一家企业用了足够多的投入带来了高安全环境,但很可能因为过于风平浪静,导致安全价值无法体现出来,这可能会导致,在很多时候,企业安全难以引起管理层和决策层的足够重视。
再比如,信息安全与工作效率是一对无法分离的矛盾体,公司在加强数据安全时,可能会因为安全流程导致数据分享效率下降,大量的内、外部交互需要走审核流程,数据也要在经过处理后才能被用于产品体验优化。换言之,当效率成为拦截在安全和业务之间的矛盾点时,企业该怎么办?
与此同时,企业的安全建设怎么做到比之前更加科学、精细化?
与其他行业相比,数字安全并非一个可以“一招鲜吃遍天”的行业,能力建设也不会一劳永逸,解决了一个问题,新的问题又会出现。尤其是在技术层面,当企业为推进数智化发展引入新技术时,新的漏洞和威胁也会同时出现,云化环境、物联网、大数据、大模型等的应用,都会带来新的安全挑战。
而在这些痛点面前,安全度量,已经成为企业做安全建设时必要的一环。
因为企业打造安全防线的一个重要前提,是清晰地知道自身当前的安全水平如何、存在哪些短板、自身所处的行业存在着哪些潜在的安全风险等等,在此基础上的安全动作,才能更加有的放矢,将投入安全的每一分钱,都花在刀刃上。
数字安全一个最大的特点是,大多数时候威胁是看不见的,“敌人”也是不可控的,与此同时,在不同的行业,处于不同发展阶段的企业,面临的潜在安全风险在某种程度上也会不同。
在此基础上,从安全战略的转变、到安全度量、再到安全度量后的布局与执行,企业安全能力的建设,实际上是一个“量体裁衣”的过程。
6月13日,腾讯安全发布了“数字安全免疫力”模型框架,提出用“免疫力”的思维应对新时期下安全建设与企业发展难以协同的挑战。
再到9月8日,这一模型落地两个月后,在腾讯全球数字生态大会“数字安全”分论坛上,丁珂结合头部客户实践,提出企业需要重新评估智能化时代的安全建设。
丁珂提到,面对大模型引发的安全冲击,传统的安全工具、经验、策略将失去效力,企业需要围绕核心资产及时调整安全建设目标和路径。
他同时提出了三个企业可以遵循的调整思路:建立发展驱动的安全建设理念;建立可度量的安全体系,评估安全建设的有效性;打造内在自适应的“安全免疫力”。
从理念到度量再到免疫力,腾讯安全提出的“数字安全免疫力”模型,作为一套全新的安全范式和框架,要做的事情是提供给客户科学、完善的度量体系,帮助企业筑牢安全防线。
腾讯安全策略发展中心总经理吕一平告诉连线Insight,“数字安全免疫力”和腾讯现在配套的免疫模型评估工具,能够帮助客户解决两方面的问题:
一方面,通过这一模型,客户能知道自己当前的安全水平如何、在安全上有哪些短板、哪些对业务来说是优先级最高的。
“数字安全免疫力”模型将潜在的安全威胁分为了六大模块,包括最外层的边界安全、端点安全、应用开发安全这三个模块、中间层的安全运营与管理模块、与核心业务最相关的数据安全治理与业务风险控制这两大模块。
“数字安全免疫力”模型框架
其中,最外层涉及到各个专业领域的能力建设,中间层强调协同和联动,最内层则关注与数据和业务相关场景。
吕一平透露,目前这一模型框架已经基本覆盖了企业需要进行安全能力建设的六个主要维度。
也就是说,企业通过腾讯安全提供的数字安全免疫力水平评估工具,能够从这六大维度全面测算目前的数字安全免疫力水平,进而进行查缺补漏,提升安全水平。
另一方面,在这一模型与评估工具的配合下,腾讯安全能够帮助企业解决安全价值难衡量的问题。
简单来说,企业在安全能力上的不足、投入成效等等,都可以用直观、可度量的方式呈现出来,而这有利于解决企业内部对安全价值认知错位的问题。
从当前已经落地的案例来看,这套模型已经在各行各业收获了较为明显的效果。
国内某大型乘用车生产企业,近些年陆续将业务部署架构转换成了云模式,但这同时带来了更复杂的安全运营管理挑战。
与腾讯安全合作的第一阶段,腾讯安全团队给这家车企提供了安全咨询服务,基于自身在数据安全领域多年的实践经验,针对当前车连网、数字营销等核心系统进行了数据安全风险评估,在合规建设、分类分级管控、数据全流程跟踪监测、API访问控制、全链路风险管理以及建设路径等方面,制定了分阶段建设规划。
到第二阶段,则是进一步梳理了应用架构、数据流向、企业关注点等方面的现状和需求,共同推进了数据安全平台化、一体化解决方案的部署。最终这家企业构建起了涵盖“识别—防护—检测—响应—恢复”的全维度数据安全治理体系和企业安全防护体系。
再来看顺丰,其在业务开展中会接触和处理大量的数据,这些数据的安全防护尤为重要,但由于物流行业体系复杂、上下游生态链漫长,如何在确保内外安全合规的基础上,实现安全与效率的平衡,挑战并不小。
在与腾讯安全的合作下,顺丰规划打造了零信任安全体系部署模式,确立了行业复合型安全建设思路,最终基于腾讯在零信任领域的丰富经验,顺丰科技推进了零信任安全、全网统一威胁检测与响应的一体化解决方案。
另一家金融领域的企业中原消费金融股份有限公司,则是从业务发展初始阶段就与腾讯展开了合作,通过腾讯的生态数据能力,构建起了“隐私计算/差异化建模+专家服务+经验咨询”的联合解决方案。
目前中原消金在金融反欺诈、营销风控、信贷风控、贷中与贷后管理等方面,定制化模型已经体现出了良好的业务区分度,实现了腾讯原有的经验和能力与细分场景的更佳结合。
通过这几个案例,不难发现,在助力企业实现数字安全建设的进程中,腾讯安全实际上充当起了“裁缝师”的角色,能够帮助企业实现“量身定制”的安全度量。
正如吕一平所言,通过度量结果,腾讯安全最重要的是帮助客户理清其核心业务和核心场景需要保护的资产和数据,以及需要解决的问题。在此基础上,腾讯安全能够提供相应的产品和方案。
从腾讯安全推出的这套“数字安全免疫力”模型框架出发,不难发现,在日益严峻的数字安全形势面前,企业是时候告别过去粗放、被动的安全布局了,而是要自上而下形成统一的安全理念,采取更加科学可度量的方式,系统性地搭建起安全防线。