“我們想幫助企業(yè)往后退一步,去全局的看一下自己的安全能力建設(shè)水平如何,以及在當(dāng)下的階段最應(yīng)該做的安全建設(shè)是什么? ”
度量,對應(yīng)的是更清晰的認(rèn)知。而對企業(yè)安全而言,這種認(rèn)知,也更在成為一把新的標(biāo)尺。
作者|皮爺
出品|產(chǎn)業(yè)家
6月開始,呂一平開始頻繁地出現(xiàn)在各個企業(yè)里。
和他一起的還有騰訊安全專家團(tuán)隊的同事,作為騰訊安全策略發(fā)展中心的總經(jīng)理,他正在和團(tuán)隊一起幫企業(yè)做一項特殊的工作——安全免疫力評估。
用他的話說,這是個不斷試驗和驗證的過程。在剛剛過去的6月,騰訊安全在北京舉辦了數(shù)字安全免疫力研討論壇,在會上一個名為“數(shù)字安全免疫力”模型框架被提出。
騰訊集團(tuán)副總裁、騰訊安全總裁丁珂在現(xiàn)場表示,在數(shù)智化新階段,企業(yè)需從被動安全變?yōu)橹鲃臃烙嵘龜?shù)字安全免疫力,用“治未病”的思路替代“治已病”。
“治未病”的思路到底是什么?
把時間線往回拉,在過去的多年時間里,騰訊安全屢屢出現(xiàn)在攻防演練、重保、應(yīng)急響應(yīng)等多個安全的核心場景中,服務(wù)了一眾中國大型和超大型客戶,在這個過程中,一個現(xiàn)象也更在悄然浮現(xiàn):即企業(yè)如果不從一開始就下定決心從整體視角上規(guī)劃安全建設(shè),而用兵來將擋、水來土掩的方式去回應(yīng)安全問題,最終終究會疲于奔命,安全建設(shè)事倍功半。
而也恰是基于這種視角,一套“免疫力”理念的雛形在騰訊安全內(nèi)部悄然形成——即改掉以往見招拆招的做法,幫助企業(yè)系統(tǒng)性地構(gòu)建其內(nèi)在的安全免疫,提升抗風(fēng)險能力。
而在疫情三年,這種雛形則是更加清晰。由于空間地理的原因,當(dāng)客戶遇到緊急問題需要處理的時候,在此過程中騰訊的安全專家團(tuán)隊往往無法趕赴現(xiàn)場,無數(shù)次面臨“極限操作”的挑戰(zhàn)。
安全免疫力理念的推出,正式進(jìn)入倒計時。
但在倒計時的同時,另一個更為真實的問題是,什么是真正符合企業(yè)需求的免疫力模型,以及騰訊安全對在多年場景服務(wù)中初步凝練成的方法論是否有把握?
出現(xiàn)在企業(yè)內(nèi)部的呂一平和團(tuán)隊,恰在尋找這個問題的答案。“我們主要有兩個目的,一方面是和自己之前擬定的免疫力模型框架做對比,看看自己有什么問題,企業(yè)的反饋和模型測試結(jié)果是否一致;另一方面也是把企業(yè)和同行業(yè)的其它企業(yè)進(jìn)行比較,看差別在哪。”
距6月份“免疫力模型”首次發(fā)布三個月后,在剛剛舉辦的騰訊數(shù)字全球生態(tài)大會上,一款名為“數(shù)字安全免疫力模型”的評測工具被正式發(fā)布,企業(yè)可以基于這款自測工具,完成自身企業(yè)場景的數(shù)字安全評分測試。這個測評工具覆蓋了企業(yè)的邊界安全、端點安全、開發(fā)安全、安全運(yùn)營、數(shù)據(jù)安全和業(yè)務(wù)風(fēng)控等絕大部分場景。
這意味著什么?“我們想幫助企業(yè)往后退一步,去全局的看一下自己的安全能力建設(shè)水平如何,以及在當(dāng)下的階段最應(yīng)該做的安全建設(shè)是什么?”呂一平告訴我們。
度量,對應(yīng)的是更清晰的認(rèn)知。而對企業(yè)安全而言,這種認(rèn)知,也更在成為一把新的標(biāo)尺。
一、安全,需要被度量
安全,現(xiàn)在到底如何?“很多企業(yè)現(xiàn)在仍然處于‘頭疼醫(yī)頭,腳痛醫(yī)腳’的模式。”呂一平告訴我們。
誠然如此。根據(jù)不完全統(tǒng)計,中國企業(yè)在網(wǎng)絡(luò)安全側(cè)的投入比例總體是信息化投入的1%,而在全球的其它數(shù)字化市場,這個比例一般為5%,甚至更高。
“甚至,很多企業(yè)沒有設(shè)立首席增長官,但一定有一個首席安全官。”丁珂說道。
這個現(xiàn)象背后對應(yīng)的更大背景是如今伴隨著數(shù)字化建設(shè)的深入,安全已然成為一道越來越被擺到臺面上的命題。
在一份名為《2022 全球網(wǎng)絡(luò)安全態(tài)勢報告》的文件中顯示,在參與調(diào)查的1200 多名安全行業(yè)的領(lǐng)導(dǎo)者中,有65%的受訪者表示,他們看到試圖進(jìn)行網(wǎng)絡(luò)攻擊的情況在不斷增加;此外,更有接近一半(49%)的企業(yè)表示,他們在過去兩年中遭受了數(shù)據(jù)泄露,比一年前調(diào)查中的 39% 有所增加。
而在國內(nèi),這些數(shù)據(jù)都有足夠真實的產(chǎn)業(yè)表達(dá)。如果說,在過去的多年時間里,金融、零售等相關(guān)領(lǐng)域一直是網(wǎng)絡(luò)安全的高地,那么如今,包括工業(yè)、零售,乃至教育、醫(yī)療都在成為安全事件愈加頻發(fā)的地帶。
此外,安全的側(cè)重點也更在變化。在呂一平的調(diào)查中發(fā)現(xiàn),如今市面上不少企業(yè)的關(guān)注重點仍然網(wǎng)絡(luò)安全和終端安全,但對于內(nèi)部的開發(fā)安全,或者說安全運(yùn)營管理都處于一個非;A(chǔ)的階段。
為什么會如此?
“現(xiàn)在不少企業(yè)里面負(fù)責(zé)安全的有很多人,但每個角色對安全的理解都不一樣,最終就造成安全工作沒有一個系統(tǒng)性的規(guī)劃,不知道如何推進(jìn)。”丁珂表示。
即對于安全這個命題,對于CEO和CSO,再或者是更具體的執(zhí)行人員,其所處的視角不同,最終得到的結(jié)論也有所不同,這種不同的最直接體現(xiàn)就是對安全的資金投入。
這也是在如今不少大型企業(yè)始終處于“頭疼醫(yī)頭,腳痛醫(yī)腳”模式的原因,即在企業(yè)內(nèi)部,安全這個“技術(shù)語言”缺少全局的企業(yè)視角表達(dá),以及業(yè)務(wù)層面的表達(dá),在沒有頂層規(guī)劃視角的情況下,很容易進(jìn)入不斷“打補(bǔ)丁”的惡性循環(huán)模式。
而對中小企業(yè)而言,這種安全建設(shè)的基礎(chǔ)性表現(xiàn)更為明顯。“很多中小企業(yè)對于安全業(yè)務(wù)的了解太少,比如數(shù)據(jù)安全,很多企業(yè)根本不清楚到底什么是數(shù)據(jù)安全、業(yè)務(wù)安全,對他們而言,安全意味的就是防火墻建設(shè)和安全盒子。”呂一平說道。
實際上,在“企業(yè)如今進(jìn)行安全建設(shè)”的命題上,盡管市面上有不少流傳的安全模型,但更多的是圍繞在“邊界安全”和“端點安全”兩個點,對于如今愈發(fā)需要的數(shù)據(jù)安全、業(yè)務(wù)安全等沒有足夠清晰的方法論。
或者說,當(dāng)下企業(yè)需要建立的安全能力到底有哪些?其中優(yōu)先級分別是怎樣?以及對大型企業(yè)和中小企業(yè)而言,他們各自的度量標(biāo)準(zhǔn)又是如何?
二、免疫力模型:安全“向上一步”
這些也正是騰訊安全試圖求解的問題。而在這次大會上,一個選項被推了出來,它就是安全免疫力模型評測工具。
對其的具體介紹是,企業(yè)可以通過安全免疫力模型自測,基于自身在端點安全、應(yīng)用邊界安全、開發(fā)安全、安全運(yùn)營管理、數(shù)據(jù)安全、業(yè)務(wù)安全等各項的建設(shè),最終得到一個總分?jǐn)?shù),以明確自身的安全建設(shè)水平,以及在同行業(yè)的視角來看,“企業(yè)處于哪個水位”。
換言之,和如今市面上的“安全模型”相比,這套工具不僅包括固有的端點安全、網(wǎng)絡(luò)安全,也更關(guān)注企業(yè)在業(yè)務(wù)和數(shù)據(jù)層面的安全建設(shè),也就是企業(yè)核心資產(chǎn)上的安全防護(hù)。
這恰是如今騰訊提出的“洋蔥理論”,即通過一層層由表及里的安全驗證,最終給企業(yè)進(jìn)行安全的綜合打分。
“我們主要想幫助企業(yè)解決兩個問題:第一個問題是,到底企業(yè)有哪些地方是安全的短板;第二個問題是,目前的安全水平如何,希望提升到什么水平,以解決核心業(yè)務(wù)中最重要的問題,將安全投入和資源用在最重要的事情上。”呂一平告訴我們,
而對于大型企業(yè),這套工具的價值更在于在企業(yè)內(nèi)部建立一個“統(tǒng)一認(rèn)知”。即通過更直觀的語言和問題表達(dá),讓企業(yè)的業(yè)務(wù)負(fù)責(zé)人真正意識到安全的重要性和價值所在。“為了提升到至少行業(yè)平均水平,甚至標(biāo)桿企業(yè),我們應(yīng)該做什么?或者說,我們首先應(yīng)該做什么?”
在過去2個月,這套被從騰訊安全過往多年經(jīng)驗中抽離出來的安全度量工具,也更是被拿到實際場景中不斷驗證。“對不少大型企業(yè)而言,他們的評估反饋基本和我們的評測一樣,但其中也會有一些企業(yè)之前沒有關(guān)注到的一些方面。”呂一平表示,“而基于具體的環(huán)節(jié),企業(yè)就會進(jìn)行針對的咨詢。”
對于部分中小企業(yè)而言,他們給出的反饋則是這套安全度量工具可以幫助他們建立一個更成體系化的安全認(rèn)知模型,即“在資金有限的情況下”如何做到效果最好,以及“最應(yīng)該先做的環(huán)節(jié)到底是什么”。
“比如有一家金融的客戶在跟我們在做試點,我們通過免疫模型的評估幫他們做了今年下半年一個短期規(guī)劃,主要是解決他們目前風(fēng)險最高、最急迫需要解決的問題。然后基于這些問題,我們通過天幕、御界(注:分別為流量阻斷、終端安全產(chǎn)品)這些產(chǎn)品進(jìn)行對應(yīng)的部署,接下來的規(guī)劃是,明年也會陸續(xù)在端點側(cè)和終端側(cè)進(jìn)行相應(yīng)的產(chǎn)品部署和能力建設(shè)。”
用呂一平的話來說則是,這套工具的最核心價值恰在于可以讓企業(yè)“后退一步”,真正從全局視角度量企業(yè)自身的安全建設(shè)水平,進(jìn)而明確當(dāng)下最核心的任務(wù)。
三、“發(fā)現(xiàn)問題”,“解決問題”
但發(fā)現(xiàn)問題顯然是不夠的,在發(fā)現(xiàn)的同時背后對應(yīng)的更是對問題的拆分和解決。而就安全建設(shè)水平而言,這些問題的解決則是需要對癥下藥。
根據(jù)呂一平介紹,通過數(shù)字安全免疫力模型自測,基于不同的安全能力,企業(yè)共計可以分為四類:即專家型企業(yè)、運(yùn)營型企業(yè)、工具型企業(yè)以及待提升企業(yè)。
專家型企業(yè),以金融和電力居多,本身對應(yīng)的是數(shù)字安全免疫力模型自測分?jǐn)?shù)較高的企業(yè),即從各個指標(biāo)來看,其安全建設(shè)都處于較好的水平。但在具體的某一些垂直細(xì)分場景中,它仍然有提升的需要。
騰訊安全的做法是,支持自身產(chǎn)品的“被集成”,即企業(yè)可以將騰訊安全在部分環(huán)節(jié)的原子能力集成到企業(yè)自身的安全體系中進(jìn)行能力的補(bǔ)齊,進(jìn)而進(jìn)行更好的安全運(yùn)營和管理。
運(yùn)營型企業(yè)主要對應(yīng)則是半互聯(lián)網(wǎng)性質(zhì)的企業(yè)。其典型特征是,相較于其它部署有成體系的安全平臺和批量采購安全工具的企業(yè)而言,企業(yè)更強(qiáng)調(diào)量體裁衣,即基于自身的業(yè)務(wù)屬性進(jìn)行專門的安全運(yùn)營和數(shù)據(jù)監(jiān)測,更多的需求則是通過數(shù)字安全免疫力模型測試來查看自身是否還需要其他環(huán)節(jié)的工具,以及具體流程上強(qiáng)化運(yùn)營,比如零售類、電商類企業(yè)。
而工具型的企業(yè),往往對應(yīng)的則是底層安全能力建設(shè)較為基礎(chǔ)的企業(yè),即作為某個行業(yè)的頭部企業(yè),其對于安全建設(shè)的意識很強(qiáng),但如何進(jìn)行安全建設(shè),以及如何把企業(yè)內(nèi)現(xiàn)有的安全產(chǎn)品和體系用好,建立高效聯(lián)動的安全機(jī)制,這更是這類企業(yè)的核心難題。
騰訊安全的解決方案是基于安全托管的方式,通過專家診斷和對應(yīng)的工具補(bǔ)齊進(jìn)而幫助企業(yè)構(gòu)建起完整的安全鏈路。
呂一平曾打了個比方。“有點類似于你買了一堆磚,但是你沒有把這個磚能夠壘的特別好,那我們一起來幫助你壘好。”
而最后一類則是待提升的企業(yè)。即相較于前三類,這種企業(yè)在安全側(cè)的建設(shè)基礎(chǔ)較為初階,不論是從安全的管理理念組織,還是安全產(chǎn)品體系本身的能力建設(shè),都還是處于初期階段。
針對這樣的客戶來講的話,騰訊安全會在為企業(yè)提供產(chǎn)品支撐的同時,更會幫助進(jìn)行專項咨詢,比如幫助其規(guī)劃是否要建設(shè)單獨的安全團(tuán)隊,再比如在專門的安全制度執(zhí)行上,是否能有一些比較分明的職責(zé)分工等等。
“在現(xiàn)在的網(wǎng)絡(luò)安全服務(wù)里,更多的開始涌現(xiàn)安全能力原子化和安全能力服務(wù)化的趨勢。”呂一平表示,“安全能力原子化,對應(yīng)就是產(chǎn)品可以支持被集成,被組合,而安全能力服務(wù)化則是基于最終的效果和服務(wù),幫助企業(yè)把安全做好。”
在這兩個被感知的趨勢背后,對應(yīng)的更是騰訊安全自身堅實的產(chǎn)和服務(wù)品能力。在如今騰訊安全的布局中,基礎(chǔ)安全、業(yè)務(wù)安全、數(shù)據(jù)安全以及安全服務(wù)中諸多如零信任iOA、威脅情報、天御,以及“SOC+”等拳頭產(chǎn)品如今已然成為諸多企業(yè)安全建設(shè)中的首要選項。
而在最近國際權(quán)威機(jī)構(gòu)Forrester發(fā)布《The Unified Endpoint Management Landscape, Q3 2023》(以下簡稱“報告”)中,憑借零信任iOA在DEX(數(shù)字化員工體驗)、風(fēng)險控制等方面的優(yōu)勢,騰訊安全更是獲得Forrester的認(rèn)可和推薦,成為國內(nèi)唯一入選的安全服務(wù)廠商。
“在梳理完需求幫客戶做好咨詢明確解決方案之后,我們有時候也會幫企業(yè)安全部門做最后一步。”呂一平告訴我們,“這里面會是預(yù)算、專業(yè)人員和領(lǐng)導(dǎo)的支持。我們會采用簡單直觀的 ‘兵器推演’或‘沙盤推演’的模式,與業(yè)務(wù)領(lǐng)導(dǎo)層共同探討,‘如果不進(jìn)行安全能力建設(shè),他們的核心業(yè)務(wù)可能會面臨什么風(fēng)險,以及可能導(dǎo)致的后果’等等問題,企業(yè)負(fù)責(zé)人基本一看就能明白。”
實際上,這些細(xì)節(jié)構(gòu)成的不僅是基于安全的“診斷”能力,也更等同于一場面向不同企業(yè)安全的“手術(shù)”。如果想要從根本解決病癥,就必須對癥下藥、量體裁衣。
四、看見一艘網(wǎng)絡(luò)安全的新航船
“能力之前也是一直在積累,這些來自我們之前輕量級咨詢的經(jīng)驗,現(xiàn)在是覺得時間到了,也就有了這次免疫力模型評測工具的發(fā)布。”呂一平告訴我們。
從當(dāng)下數(shù)字化角度來看,數(shù)字免疫力模型的價值在于作為一個中性的安全評測工具,它構(gòu)建出的恰是一把基于當(dāng)下新數(shù)字時代安全評測的標(biāo)尺,這套標(biāo)尺可以幫助企業(yè)“后退”一步,站在更高的視角進(jìn)行足夠系統(tǒng)且足夠前沿的安全建設(shè)思考。
而在具體的產(chǎn)品選擇上,盡管在每個安全場景和環(huán)節(jié)背后對應(yīng)的都有騰訊基于自身產(chǎn)品給出的解決方案,但企業(yè)依舊可以自行選擇。“包括在評測之后,如果需要我們幫助企業(yè)做安全側(cè)的輕量級咨詢,我們也會把客觀的建議告訴企業(yè),比如騰訊這塊產(chǎn)品能力不具備,企業(yè)可以自己去市場上采購等等。”
如今,這些正在成為騰訊安全團(tuán)隊對外服務(wù)的常態(tài)。甚至更近一步來看,這也更將成為整個中國安全市場的新常態(tài)。
野蠻對應(yīng)無序,秩序帶來增長。即在這把新安全標(biāo)尺的助力下,不論中小企業(yè),還是大型企業(yè),對于安全都會有一個成體系化的認(rèn)知和重視,而在此之上則會逐漸形成越發(fā)穩(wěn)固、越發(fā)有規(guī)則的中國網(wǎng)絡(luò)安全體系。
在這個新的建立在度量標(biāo)尺之上的安全體系里,既會有針對具體問題的產(chǎn)品和解決方案,也會有諸如企業(yè)如何構(gòu)建安全組織架構(gòu),以及如何界定安全職責(zé)的企業(yè)安全體系范式,更會有一個足夠有邊界、有開放和兼容的安全服務(wù)生態(tài)。
如今,這把標(biāo)尺仍在進(jìn)化。
“后面估計還會出一些比如行業(yè)的平均分標(biāo)尺,有標(biāo)尺的話,大家在這里面也可以去跟專家和一些主管部門做好銜接;另外,接下來也會和一些研究院合作,在各行各業(yè)里面,真的能把安全咨詢這個東西做起來。”丁珂說道。
可以理解為,這也更是騰訊安全的特殊價值。
即在技術(shù)、產(chǎn)品和服務(wù)方案之外,它也更在成為中國安全產(chǎn)業(yè)的基建角色,這種基于安全的基建不是過往人們對底層技術(shù)、PaaS等開發(fā)側(cè)開放兼容的理解,而更是基于整個行業(yè)的新產(chǎn)品和需求框架的重塑,化無序為有序,真正建立其安全產(chǎn)業(yè)里足夠有形的需求和標(biāo)準(zhǔn)化的環(huán)節(jié),進(jìn)而推動整個市場增長。
“所以,很多時候在做安全的時候,我們經(jīng)常會想:你到底堅持的是什么?除了資產(chǎn)之外,還有什么?其實是價值觀。安全的問題,本質(zhì)就是價值觀的問題。”丁珂告訴我們。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹(jǐn)慎對待。投資者據(jù)此操作,風(fēng)險自擔(dān)。
2024年的Adobe MAX 2024發(fā)布會上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實質(zhì)性的幫助,雙十一期間低至2799元,性價比很高,簡直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會——工業(yè)互聯(lián)網(wǎng)標(biāo)識解析專題論壇在沈陽成功舉辦。