誰在為網(wǎng)絡(luò)安全制造標(biāo)尺？

　　“我們想幫助企業(yè)往后退一步，去全局的看一下自己的安全能力建設(shè)水平如何，以及在當(dāng)下的階段最應(yīng)該做的安全建設(shè)是什么? ”

　　度量，對應(yīng)的是更清晰的認(rèn)知。而對企業(yè)安全而言，這種認(rèn)知，也更在成為一把新的標(biāo)尺。

　　作者|皮爺

　　出品|產(chǎn)業(yè)家

　　6月開始，呂一平開始頻繁地出現(xiàn)在各個(gè)企業(yè)里。

　　和他一起的還有騰訊安全專家團(tuán)隊(duì)的同事，作為騰訊安全策略發(fā)展中心的總經(jīng)理，他正在和團(tuán)隊(duì)一起幫企業(yè)做一項(xiàng)特殊的工作——安全免疫力評估。

　　用他的話說，這是個(gè)不斷試驗(yàn)和驗(yàn)證的過程。在剛剛過去的6月，騰訊安全在北京舉辦了數(shù)字安全免疫力研討論壇，在會(huì)上一個(gè)名為“數(shù)字安全免疫力”模型框架被提出。

　　騰訊集團(tuán)副總裁、騰訊安全總裁丁珂在現(xiàn)場表示，在數(shù)智化新階段，企業(yè)需從被動(dòng)安全變?yōu)橹鲃?dòng)防御，提升數(shù)字安全免疫力，用“治未病”的思路替代“治已病”。

　　“治未病”的思路到底是什么?

　　把時(shí)間線往回拉，在過去的多年時(shí)間里，騰訊安全屢屢出現(xiàn)在攻防演練、重保、應(yīng)急響應(yīng)等多個(gè)安全的核心場景中，服務(wù)了一眾中國大型和超大型客戶，在這個(gè)過程中，一個(gè)現(xiàn)象也更在悄然浮現(xiàn)：即企業(yè)如果不從一開始就下定決心從整體視角上規(guī)劃安全建設(shè)，而用兵來將擋、水來土掩的方式去回應(yīng)安全問題，最終終究會(huì)疲于奔命，安全建設(shè)事倍功半。

　　而也恰是基于這種視角，一套“免疫力”理念的雛形在騰訊安全內(nèi)部悄然形成——即改掉以往見招拆招的做法，幫助企業(yè)系統(tǒng)性地構(gòu)建其內(nèi)在的安全免疫，提升抗風(fēng)險(xiǎn)能力。

　　而在疫情三年，這種雛形則是更加清晰。由于空間地理的原因，當(dāng)客戶遇到緊急問題需要處理的時(shí)候，在此過程中騰訊的安全專家團(tuán)隊(duì)往往無法趕赴現(xiàn)場，無數(shù)次面臨“極限操作”的挑戰(zhàn)。

　　安全免疫力理念的推出，正式進(jìn)入倒計(jì)時(shí)。

　　但在倒計(jì)時(shí)的同時(shí)，另一個(gè)更為真實(shí)的問題是，什么是真正符合企業(yè)需求的免疫力模型，以及騰訊安全對在多年場景服務(wù)中初步凝練成的方法論是否有把握?

　　出現(xiàn)在企業(yè)內(nèi)部的呂一平和團(tuán)隊(duì)，恰在尋找這個(gè)問題的答案。“我們主要有兩個(gè)目的，一方面是和自己之前擬定的免疫力模型框架做對比，看看自己有什么問題，企業(yè)的反饋和模型測試結(jié)果是否一致;另一方面也是把企業(yè)和同行業(yè)的其它企業(yè)進(jìn)行比較，看差別在哪。”

　　距6月份“免疫力模型”首次發(fā)布三個(gè)月后，在剛剛舉辦的騰訊數(shù)字全球生態(tài)大會(huì)上，一款名為“數(shù)字安全免疫力模型”的評測工具被正式發(fā)布，企業(yè)可以基于這款自測工具，完成自身企業(yè)場景的數(shù)字安全評分測試。這個(gè)測評工具覆蓋了企業(yè)的邊界安全、端點(diǎn)安全、開發(fā)安全、安全運(yùn)營、數(shù)據(jù)安全和業(yè)務(wù)風(fēng)控等絕大部分場景。

　　這意味著什么?“我們想幫助企業(yè)往后退一步，去全局的看一下自己的安全能力建設(shè)水平如何，以及在當(dāng)下的階段最應(yīng)該做的安全建設(shè)是什么?”呂一平告訴我們。

　　度量，對應(yīng)的是更清晰的認(rèn)知。而對企業(yè)安全而言，這種認(rèn)知，也更在成為一把新的標(biāo)尺。

　　一、安全，需要被度量

　　安全，現(xiàn)在到底如何?“很多企業(yè)現(xiàn)在仍然處于‘頭疼醫(yī)頭，腳痛醫(yī)腳’的模式。”呂一平告訴我們。

　　誠然如此。根據(jù)不完全統(tǒng)計(jì)，中國企業(yè)在網(wǎng)絡(luò)安全側(cè)的投入比例總體是信息化投入的1%，而在全球的其它數(shù)字化市場，這個(gè)比例一般為5%，甚至更高。

　　“甚至，很多企業(yè)沒有設(shè)立首席增長官，但一定有一個(gè)首席安全官。”丁珂說道。

　　這個(gè)現(xiàn)象背后對應(yīng)的更大背景是如今伴隨著數(shù)字化建設(shè)的深入，安全已然成為一道越來越被擺到臺(tái)面上的命題。

　　在一份名為《2022 全球網(wǎng)絡(luò)安全態(tài)勢報(bào)告》的文件中顯示，在參與調(diào)查的1200 多名安全行業(yè)的領(lǐng)導(dǎo)者中，有65%的受訪者表示，他們看到試圖進(jìn)行網(wǎng)絡(luò)攻擊的情況在不斷增加;此外，更有接近一半(49%)的企業(yè)表示,他們在過去兩年中遭受了數(shù)據(jù)泄露，比一年前調(diào)查中的 39% 有所增加。

　　而在國內(nèi)，這些數(shù)據(jù)都有足夠真實(shí)的產(chǎn)業(yè)表達(dá)。如果說，在過去的多年時(shí)間里，金融、零售等相關(guān)領(lǐng)域一直是網(wǎng)絡(luò)安全的高地，那么如今，包括工業(yè)、零售，乃至教育、醫(yī)療都在成為安全事件愈加頻發(fā)的地帶。

　　此外，安全的側(cè)重點(diǎn)也更在變化。在呂一平的調(diào)查中發(fā)現(xiàn)，如今市面上不少企業(yè)的關(guān)注重點(diǎn)仍然網(wǎng)絡(luò)安全和終端安全，但對于內(nèi)部的開發(fā)安全，或者說安全運(yùn)營管理都處于一個(gè)非常基礎(chǔ)的階段。

　　為什么會(huì)如此?

　　“現(xiàn)在不少企業(yè)里面負(fù)責(zé)安全的有很多人，但每個(gè)角色對安全的理解都不一樣，最終就造成安全工作沒有一個(gè)系統(tǒng)性的規(guī)劃，不知道如何推進(jìn)。”丁珂表示。

　　即對于安全這個(gè)命題，對于CEO和CSO，再或者是更具體的執(zhí)行人員，其所處的視角不同，最終得到的結(jié)論也有所不同，這種不同的最直接體現(xiàn)就是對安全的資金投入。

　　這也是在如今不少大型企業(yè)始終處于“頭疼醫(yī)頭，腳痛醫(yī)腳”模式的原因，即在企業(yè)內(nèi)部，安全這個(gè)“技術(shù)語言”缺少全局的企業(yè)視角表達(dá)，以及業(yè)務(wù)層面的表達(dá)，在沒有頂層規(guī)劃視角的情況下，很容易進(jìn)入不斷“打補(bǔ)丁”的惡性循環(huán)模式。

　　而對中小企業(yè)而言，這種安全建設(shè)的基礎(chǔ)性表現(xiàn)更為明顯。“很多中小企業(yè)對于安全業(yè)務(wù)的了解太少，比如數(shù)據(jù)安全，很多企業(yè)根本不清楚到底什么是數(shù)據(jù)安全、業(yè)務(wù)安全，對他們而言，安全意味的就是防火墻建設(shè)和安全盒子。”呂一平說道。

　　實(shí)際上，在“企業(yè)如今進(jìn)行安全建設(shè)”的命題上，盡管市面上有不少流傳的安全模型，但更多的是圍繞在“邊界安全”和“端點(diǎn)安全”兩個(gè)點(diǎn)，對于如今愈發(fā)需要的數(shù)據(jù)安全、業(yè)務(wù)安全等沒有足夠清晰的方法論。

　　或者說，當(dāng)下企業(yè)需要建立的安全能力到底有哪些?其中優(yōu)先級(jí)分別是怎樣?以及對大型企業(yè)和中小企業(yè)而言，他們各自的度量標(biāo)準(zhǔn)又是如何?

　　二、免疫力模型：安全“向上一步”

　　這些也正是騰訊安全試圖求解的問題。而在這次大會(huì)上，一個(gè)選項(xiàng)被推了出來，它就是安全免疫力模型評測工具。

　　對其的具體介紹是，企業(yè)可以通過安全免疫力模型自測，基于自身在端點(diǎn)安全、應(yīng)用邊界安全、開發(fā)安全、安全運(yùn)營管理、數(shù)據(jù)安全、業(yè)務(wù)安全等各項(xiàng)的建設(shè)，最終得到一個(gè)總分?jǐn)?shù)，以明確自身的安全建設(shè)水平，以及在同行業(yè)的視角來看，“企業(yè)處于哪個(gè)水位”。

　　換言之，和如今市面上的“安全模型”相比，這套工具不僅包括固有的端點(diǎn)安全、網(wǎng)絡(luò)安全，也更關(guān)注企業(yè)在業(yè)務(wù)和數(shù)據(jù)層面的安全建設(shè)，也就是企業(yè)核心資產(chǎn)上的安全防護(hù)。

　　這恰是如今騰訊提出的“洋蔥理論”，即通過一層層由表及里的安全驗(yàn)證，最終給企業(yè)進(jìn)行安全的綜合打分。

　　“我們主要想幫助企業(yè)解決兩個(gè)問題：第一個(gè)問題是，到底企業(yè)有哪些地方是安全的短板;第二個(gè)問題是，目前的安全水平如何，希望提升到什么水平，以解決核心業(yè)務(wù)中最重要的問題，將安全投入和資源用在最重要的事情上。”呂一平告訴我們，

　　而對于大型企業(yè)，這套工具的價(jià)值更在于在企業(yè)內(nèi)部建立一個(gè)“統(tǒng)一認(rèn)知”。即通過更直觀的語言和問題表達(dá)，讓企業(yè)的業(yè)務(wù)負(fù)責(zé)人真正意識(shí)到安全的重要性和價(jià)值所在。“為了提升到至少行業(yè)平均水平，甚至標(biāo)桿企業(yè)，我們應(yīng)該做什么?或者說，我們首先應(yīng)該做什么?”

　　在過去2個(gè)月，這套被從騰訊安全過往多年經(jīng)驗(yàn)中抽離出來的安全度量工具，也更是被拿到實(shí)際場景中不斷驗(yàn)證。“對不少大型企業(yè)而言，他們的評估反饋基本和我們的評測一樣，但其中也會(huì)有一些企業(yè)之前沒有關(guān)注到的一些方面。”呂一平表示，“而基于具體的環(huán)節(jié)，企業(yè)就會(huì)進(jìn)行針對的咨詢。”

　　對于部分中小企業(yè)而言，他們給出的反饋則是這套安全度量工具可以幫助他們建立一個(gè)更成體系化的安全認(rèn)知模型，即“在資金有限的情況下”如何做到效果最好，以及“最應(yīng)該先做的環(huán)節(jié)到底是什么”。

　　“比如有一家金融的客戶在跟我們在做試點(diǎn)，我們通過免疫模型的評估幫他們做了今年下半年一個(gè)短期規(guī)劃，主要是解決他們目前風(fēng)險(xiǎn)最高、最急迫需要解決的問題。然后基于這些問題，我們通過天幕、御界(注：分別為流量阻斷、終端安全產(chǎn)品)這些產(chǎn)品進(jìn)行對應(yīng)的部署，接下來的規(guī)劃是，明年也會(huì)陸續(xù)在端點(diǎn)側(cè)和終端側(cè)進(jìn)行相應(yīng)的產(chǎn)品部署和能力建設(shè)。”

　　用呂一平的話來說則是，這套工具的最核心價(jià)值恰在于可以讓企業(yè)“后退一步”，真正從全局視角度量企業(yè)自身的安全建設(shè)水平，進(jìn)而明確當(dāng)下最核心的任務(wù)。

　　三、“發(fā)現(xiàn)問題”，“解決問題”

　　但發(fā)現(xiàn)問題顯然是不夠的，在發(fā)現(xiàn)的同時(shí)背后對應(yīng)的更是對問題的拆分和解決。而就安全建設(shè)水平而言，這些問題的解決則是需要對癥下藥。

　　根據(jù)呂一平介紹，通過數(shù)字安全免疫力模型自測，基于不同的安全能力，企業(yè)共計(jì)可以分為四類：即專家型企業(yè)、運(yùn)營型企業(yè)、工具型企業(yè)以及待提升企業(yè)。

　　專家型企業(yè)，以金融和電力居多，本身對應(yīng)的是數(shù)字安全免疫力模型自測分?jǐn)?shù)較高的企業(yè)，即從各個(gè)指標(biāo)來看，其安全建設(shè)都處于較好的水平。但在具體的某一些垂直細(xì)分場景中，它仍然有提升的需要。

　　騰訊安全的做法是，支持自身產(chǎn)品的“被集成”，即企業(yè)可以將騰訊安全在部分環(huán)節(jié)的原子能力集成到企業(yè)自身的安全體系中進(jìn)行能力的補(bǔ)齊，進(jìn)而進(jìn)行更好的安全運(yùn)營和管理。

　　運(yùn)營型企業(yè)主要對應(yīng)則是半互聯(lián)網(wǎng)性質(zhì)的企業(yè)。其典型特征是，相較于其它部署有成體系的安全平臺(tái)和批量采購安全工具的企業(yè)而言，企業(yè)更強(qiáng)調(diào)量體裁衣，即基于自身的業(yè)務(wù)屬性進(jìn)行專門的安全運(yùn)營和數(shù)據(jù)監(jiān)測，更多的需求則是通過數(shù)字安全免疫力模型測試來查看自身是否還需要其他環(huán)節(jié)的工具，以及具體流程上強(qiáng)化運(yùn)營，比如零售類、電商類企業(yè)。

　　而工具型的企業(yè)，往往對應(yīng)的則是底層安全能力建設(shè)較為基礎(chǔ)的企業(yè)，即作為某個(gè)行業(yè)的頭部企業(yè)，其對于安全建設(shè)的意識(shí)很強(qiáng)，但如何進(jìn)行安全建設(shè)，以及如何把企業(yè)內(nèi)現(xiàn)有的安全產(chǎn)品和體系用好，建立高效聯(lián)動(dòng)的安全機(jī)制，這更是這類企業(yè)的核心難題。

　　騰訊安全的解決方案是基于安全托管的方式，通過專家診斷和對應(yīng)的工具補(bǔ)齊進(jìn)而幫助企業(yè)構(gòu)建起完整的安全鏈路。

　　呂一平曾打了個(gè)比方。“有點(diǎn)類似于你買了一堆磚，但是你沒有把這個(gè)磚能夠壘的特別好，那我們一起來幫助你壘好。”

　　而最后一類則是待提升的企業(yè)。即相較于前三類，這種企業(yè)在安全側(cè)的建設(shè)基礎(chǔ)較為初階，不論是從安全的管理理念組織，還是安全產(chǎn)品體系本身的能力建設(shè)，都還是處于初期階段。

　　針對這樣的客戶來講的話，騰訊安全會(huì)在為企業(yè)提供產(chǎn)品支撐的同時(shí)，更會(huì)幫助進(jìn)行專項(xiàng)咨詢，比如幫助其規(guī)劃是否要建設(shè)單獨(dú)的安全團(tuán)隊(duì)，再比如在專門的安全制度執(zhí)行上，是否能有一些比較分明的職責(zé)分工等等。

　　“在現(xiàn)在的網(wǎng)絡(luò)安全服務(wù)里，更多的開始涌現(xiàn)安全能力原子化和安全能力服務(wù)化的趨勢。”呂一平表示，“安全能力原子化，對應(yīng)就是產(chǎn)品可以支持被集成，被組合，而安全能力服務(wù)化則是基于最終的效果和服務(wù)，幫助企業(yè)把安全做好。”

　　在這兩個(gè)被感知的趨勢背后，對應(yīng)的更是騰訊安全自身堅(jiān)實(shí)的產(chǎn)和服務(wù)品能力。在如今騰訊安全的布局中，基礎(chǔ)安全、業(yè)務(wù)安全、數(shù)據(jù)安全以及安全服務(wù)中諸多如零信任iOA、威脅情報(bào)、天御，以及“SOC+”等拳頭產(chǎn)品如今已然成為諸多企業(yè)安全建設(shè)中的首要選項(xiàng)。

　　而在最近國際權(quán)威機(jī)構(gòu)Forrester發(fā)布《The Unified Endpoint Management Landscape, Q3 2023》(以下簡稱“報(bào)告”)中，憑借零信任iOA在DEX(數(shù)字化員工體驗(yàn))、風(fēng)險(xiǎn)控制等方面的優(yōu)勢，騰訊安全更是獲得Forrester的認(rèn)可和推薦，成為國內(nèi)唯一入選的安全服務(wù)廠商。

　　“在梳理完需求幫客戶做好咨詢明確解決方案之后，我們有時(shí)候也會(huì)幫企業(yè)安全部門做最后一步。”呂一平告訴我們，“這里面會(huì)是預(yù)算、專業(yè)人員和領(lǐng)導(dǎo)的支持。我們會(huì)采用簡單直觀的 ‘兵器推演’或‘沙盤推演’的模式，與業(yè)務(wù)領(lǐng)導(dǎo)層共同探討，‘如果不進(jìn)行安全能力建設(shè)，他們的核心業(yè)務(wù)可能會(huì)面臨什么風(fēng)險(xiǎn)，以及可能導(dǎo)致的后果’等等問題，企業(yè)負(fù)責(zé)人基本一看就能明白。”

　　實(shí)際上，這些細(xì)節(jié)構(gòu)成的不僅是基于安全的“診斷”能力，也更等同于一場面向不同企業(yè)安全的“手術(shù)”。如果想要從根本解決病癥，就必須對癥下藥、量體裁衣。

　　四、看見一艘網(wǎng)絡(luò)安全的新航船

　　“能力之前也是一直在積累，這些來自我們之前輕量級(jí)咨詢的經(jīng)驗(yàn)，現(xiàn)在是覺得時(shí)間到了，也就有了這次免疫力模型評測工具的發(fā)布。”呂一平告訴我們。

　　從當(dāng)下數(shù)字化角度來看，數(shù)字免疫力模型的價(jià)值在于作為一個(gè)中性的安全評測工具，它構(gòu)建出的恰是一把基于當(dāng)下新數(shù)字時(shí)代安全評測的標(biāo)尺，這套標(biāo)尺可以幫助企業(yè)“后退”一步，站在更高的視角進(jìn)行足夠系統(tǒng)且足夠前沿的安全建設(shè)思考。

　　而在具體的產(chǎn)品選擇上，盡管在每個(gè)安全場景和環(huán)節(jié)背后對應(yīng)的都有騰訊基于自身產(chǎn)品給出的解決方案，但企業(yè)依舊可以自行選擇。“包括在評測之后，如果需要我們幫助企業(yè)做安全側(cè)的輕量級(jí)咨詢，我們也會(huì)把客觀的建議告訴企業(yè)，比如騰訊這塊產(chǎn)品能力不具備，企業(yè)可以自己去市場上采購等等。”

　　如今，這些正在成為騰訊安全團(tuán)隊(duì)對外服務(wù)的常態(tài)。甚至更近一步來看，這也更將成為整個(gè)中國安全市場的新常態(tài)。

　　野蠻對應(yīng)無序，秩序帶來增長。即在這把新安全標(biāo)尺的助力下，不論中小企業(yè)，還是大型企業(yè)，對于安全都會(huì)有一個(gè)成體系化的認(rèn)知和重視，而在此之上則會(huì)逐漸形成越發(fā)穩(wěn)固、越發(fā)有規(guī)則的中國網(wǎng)絡(luò)安全體系。

　　在這個(gè)新的建立在度量標(biāo)尺之上的安全體系里，既會(huì)有針對具體問題的產(chǎn)品和解決方案，也會(huì)有諸如企業(yè)如何構(gòu)建安全組織架構(gòu)，以及如何界定安全職責(zé)的企業(yè)安全體系范式，更會(huì)有一個(gè)足夠有邊界、有開放和兼容的安全服務(wù)生態(tài)。

　　如今，這把標(biāo)尺仍在進(jìn)化。

　　“后面估計(jì)還會(huì)出一些比如行業(yè)的平均分標(biāo)尺，有標(biāo)尺的話，大家在這里面也可以去跟專家和一些主管部門做好銜接;另外，接下來也會(huì)和一些研究院合作，在各行各業(yè)里面，真的能把安全咨詢這個(gè)東西做起來。”丁珂說道。

　　可以理解為，這也更是騰訊安全的特殊價(jià)值。

　　即在技術(shù)、產(chǎn)品和服務(wù)方案之外，它也更在成為中國安全產(chǎn)業(yè)的基建角色，這種基于安全的基建不是過往人們對底層技術(shù)、PaaS等開發(fā)側(cè)開放兼容的理解，而更是基于整個(gè)行業(yè)的新產(chǎn)品和需求框架的重塑，化無序?yàn)橛行颍�真正建立其安全產(chǎn)業(yè)里足夠有形的需求和標(biāo)準(zhǔn)化的環(huán)節(jié)，進(jìn)而推動(dòng)整個(gè)市場增長。

　　“所以，很多時(shí)候在做安全的時(shí)候，我們經(jīng)常會(huì)想：你到底堅(jiān)持的是什么?除了資產(chǎn)之外，還有什么?其實(shí)是價(jià)值觀。安全的問題，本質(zhì)就是價(jià)值觀的問題。”丁珂告訴我們。