數智化時代 企業的安全建設更需要“量體裁衣”

　　文/陳鋒

　　編輯/子夜

　　近幾年，全球范圍內，重大網絡安全事件層出不窮。

　　去年7月2日，網絡軟件公司Kaseya遭遇黑客攻擊，Kaseya及其約1500名客戶，和客戶的客戶，都被波及，瑞典最大的連鎖超市之一Coop在全球的近800家門店被迫暫停營業，這起網絡安全事件最后也演變成了全球范圍內迄今為止最大的一次供應鏈攻擊。

　　再到今年，醫療設備制造商ZOLL在1月份受到網絡攻擊，導致超過100萬人的敏感信息泄露;世界上最大的水果和蔬菜生產商之一的愛爾蘭都樂食品公司，2月份遭受勒索軟件攻擊，致使生產工廠關閉，最后直接損失超7400萬元。

　　將視角切換到國內，類似的網絡安全威脅離我們并不遙遠。

　　來看一組最近的數據，根據國家互聯網應急中心的統計，8月28日-9月3日，針對政府、企業以及廣大互聯網用戶的主要安全威脅來自于軟件高危漏洞、惡意代碼傳播以及網站攻擊，其中，這一周境內計算機惡意程序的傳播次數上升了87.9%。

　　日益嚴峻的網安形勢背后，如何打好這場與安全威脅的攻防戰，成了當下企業數字化轉型中不可回避的一個關鍵問題。

　　在這背后，一個不容忽視的背景是，近些年人工智能在加速落地，今年以來大模型進入爆發期，都加速了企業數字化進程，但同樣的，這些新興技術的出現，也為企業的安全建設帶來了新的挑戰。

　　當舊問題和新挑戰同時出現，企業究竟該如何做?

　　騰訊安全提供了一個新的解題思路。今年6月，IDC聯合騰訊安全發布了企業安全建設的“數字安全免疫力模型”，為企業提供了一套新的安全建設范式。通過這個模型，企業管理者可以度量自身安全現狀，并參考行業安全水平較高的企業做法，改善自身安全水平。

　　再到9月8日，騰訊生態大會“數字安全分論壇”上，騰訊安全又發布了更加細致的企業安全自測工具。

　　結合騰訊安全的動作來看，企業在安全建設上的理念、思路、規劃、力度，或許都要變一變了：

　　他們不能只把精力、資源投入到數字化轉型的效率上了，還要重點關心數字化安全;不能再遵循以往“問題出現再解決”的被動攻守的姿態了，而是要主動出擊構建安全防線;不能再在安全上不投入或者盲目投入了，而是要找到真正的安全漏洞，將每一分錢花在刀刃上。

　　1、企業數字化狂奔路上，“主動安全”有多重要?

　　數字經濟高速發展、數實融合不斷縱深的背景下，如今企業所面臨的安全挑戰，本質上是數據安全問題。

　　原因在于，數據已經逐漸成為企業的核心資產和關鍵生產要素，既是企業產生價值的源頭，也是承載價值的本體。

　　根據IDC的統計，2021年，全球創造了84.4ZB數據，其預計到2016年，全球數據量將達到221.2ZB，年復合增長率達到21.2%。

　　而只要數字化與業務進行融合，就容易產生新的安全風險。正如一位企業安全的負責人說的那樣，“數據在哪里，價值就在哪里，攻擊就在哪里”。

　　值得注意的是，受攻擊的企業受到的影響大多數并非僅僅停留在經濟損失上，也會同樣將他們置于法律風險和社會輿論的壓力風險下。

　　更長遠來看，數字安全威脅的影響會更加深遠。思科在調研報告《網絡安全是業務增長的加速器》中指出，有71%的高管表示，對網絡安全的擔憂正在阻礙組織執行創新，有39%的高管表示，他們曾因網絡安全問題停止過任務關鍵型計劃。

　　尤其是這兩年，AI大模型熱潮之下，其帶給產業互聯網新機遇的同時，也讓潛在的安全挑戰，變得更加復雜。

　　“AI大模型將開啟新一輪的‘攻強守弱’，大模型高效泛化內容生成的特點，會讓黑客以更低的門檻和成本發動更密集的攻擊;防守方需要更縝密的邏輯關聯、更精確的溯源能力。在新技術的實踐落地過程中，成本效率將會經歷更嚴峻的考驗周期。”騰訊集團副總裁、騰訊安全總裁丁珂在騰訊全球數字生態大會上如此說道。

　　丁珂表示，產業互聯網進入智能化下半場，企業安全建設將面臨四個方面的挑戰：企業安全防御的半徑將大幅增加、遭遇攻擊后的反應窗口期將進一步縮短、辨別“人”和“機器”的難度增大、現存的安全“情報庫”逐漸失效。

　　不過當下，一個普遍的現象是，企業安全的嚴峻性，與企業的安全理念、安全投入，以及安全能力，并不對等。

　　今年6月，騰訊安全聯合安在新媒體，對1500余位企業CSO發起了企業數字安全線上、線下抽樣調研，結果顯示，企業整體的安全水位遠不及預期。

　　目前，仍有11.3%的企業在安全能力上“基本空白”，而且有60.49%的企業安全部門人員數量不足10人，即使是1000人以上的大型企業中，安全人員數量的中位數也不足20人，遠低于安全建設的需求。

　　而且絕大多數的企業，在安全投入上，遠低于基準線。安全預算投入低于5%下限的企業，比例超過70%，滿足10%最佳投入比的企業，只有5%。

　　這并不意味著這些企業不關注數字安全，因為有超過66%的企業CSO認為，數據安全仍然是未來兩年的主要安全威脅。

　　那么既然企業對數字安全的重要性有認知，為何表現在結果上卻是投入力度不足，安全水平不夠?

　　原因在于，當前在企業內部，企業決策層與安全部門對安全價值的認知存在錯位：

　　根據調研結果，有33.68%的企業決策層最關注安全事件的應急處理，有近半數的受訪者表示，安全部門的主要任務是安全事件應急;而有37.8%的企業CSO認為，安全部門的價值體現在內外部數據安全及威脅情報發掘，34.8%的CSO認為安全價值體現在風險發現與控制。

　　也就是說，從決策層的角度來看，他們以往的安全理念是被動防御式的，也就是“等問題出現了再解決”，這與安全部門的自我定位并不一樣，導致最后很多企業的安全戰略都是以被動防御為主。

　　但如我們在文章開頭提到的案例，企業長期用被動思維來制定安全戰略，無形中便會長期處于攻守弱勢地位，將自己暴露在風險之下。

　　而隨著產業智能化進入到下半場，數字安全的嚴峻性只會更高，在這種情況下，被動防御式的安全理念，顯然已經不適用了，企業需要轉變思維，構建“主動安全”防線。

　　2、數智化時代的網絡安全，需要先做好“度量”

　　IDC數據顯示，2022年，中國網絡安全市場保持著高速增長態勢，其預計，到2026年，中國網絡安全支出規模預計可達到288.6億美元，五年復合增長率將達到18.8%，增速位列全球第一。

　　這說明了一點，即隨著數字化轉型逐漸邁入到縱深階段，經過過去幾年法律法規的完善、相關安全事件引起的警惕，以及企業自身內在發展需求的驅動，很多企業的安全意識，已經提上來了。

　　但這還遠遠不夠。知道要做安全，和如何做安全，是兩碼事。

　　被動防御下的企業安全，實質上是個“黑盒子”——企業不知道什么時候，會遇到怎樣的安全威脅，企業的安全狀況可能會受制于一些偶發因素。

　　而構建主動安全防線，簡單來說就是要消除偶發因素帶來的風險性、安全建設投入上的盲目性，補上安全短板，搭建起完整的防御體系。

　　值得注意的是，隨著數字化廣度和深度的持續強化，當前企業在安全建設層面，仍然面臨著多個層面的現實性痛點，并且這些痛點還在不斷呈現出泛在化趨勢，具備跨行業共性。

　　比如安全價值的量化、衡量問題。安全價值本身是隱性的，如果一家企業用了足夠多的投入帶來了高安全環境，但很可能因為過于風平浪靜，導致安全價值無法體現出來，這可能會導致，在很多時候，企業安全難以引起管理層和決策層的足夠重視。

　　再比如，信息安全與工作效率是一對無法分離的矛盾體，公司在加強數據安全時，可能會因為安全流程導致數據分享效率下降，大量的內、外部交互需要走審核流程，數據也要在經過處理后才能被用于產品體驗優化。換言之，當效率成為攔截在安全和業務之間的矛盾點時，企業該怎么辦?

　　與此同時，企業的安全建設怎么做到比之前更加科學、精細化?

　　與其他行業相比，數字安全并非一個可以“一招鮮吃遍天”的行業，能力建設也不會一勞永逸，解決了一個問題，新的問題又會出現。尤其是在技術層面，當企業為推進數智化發展引入新技術時，新的漏洞和威脅也會同時出現，云化環境、物聯網、大數據、大模型等的應用，都會帶來新的安全挑戰。

　　而在這些痛點面前，安全度量，已經成為企業做安全建設時必要的一環。

　　因為企業打造安全防線的一個重要前提，是清晰地知道自身當前的安全水平如何、存在哪些短板、自身所處的行業存在著哪些潛在的安全風險等等，在此基礎上的安全動作，才能更加有的放矢，將投入安全的每一分錢，都花在刀刃上。

　　3、誰來給企業“量體裁衣”?

　　數字安全一個最大的特點是，大多數時候威脅是看不見的，“敵人”也是不可控的，與此同時，在不同的行業，處于不同發展階段的企業，面臨的潛在安全風險在某種程度上也會不同。

　　在此基礎上，從安全戰略的轉變、到安全度量、再到安全度量后的布局與執行，企業安全能力的建設，實際上是一個“量體裁衣”的過程。

　　6月13日，騰訊安全發布了“數字安全免疫力”模型框架，提出用“免疫力”的思維應對新時期下安全建設與企業發展難以協同的挑戰。

　　再到9月8日，這一模型落地兩個月后，在騰訊全球數字生態大會“數字安全”分論壇上，丁珂結合頭部客戶實踐，提出企業需要重新評估智能化時代的安全建設。

　　丁珂提到，面對大模型引發的安全沖擊，傳統的安全工具、經驗、策略將失去效力，企業需要圍繞核心資產及時調整安全建設目標和路徑。

　　他同時提出了三個企業可以遵循的調整思路：建立發展驅動的安全建設理念;建立可度量的安全體系，評估安全建設的有效性;打造內在自適應的“安全免疫力”。

　　從理念到度量再到免疫力，騰訊安全提出的“數字安全免疫力”模型，作為一套全新的安全范式和框架，要做的事情是提供給客戶科學、完善的度量體系，幫助企業筑牢安全防線。

　　騰訊安全策略發展中心總經理呂一平告訴連線Insight，“數字安全免疫力”和騰訊現在配套的免疫模型評估工具，能夠幫助客戶解決兩方面的問題：

　　一方面，通過這一模型，客戶能知道自己當前的安全水平如何、在安全上有哪些短板、哪些對業務來說是優先級最高的。

　　“數字安全免疫力”模型將潛在的安全威脅分為了六大模塊，包括最外層的邊界安全、端點安全、應用開發安全這三個模塊、中間層的安全運營與管理模塊、與核心業務最相關的數據安全治理與業務風險控制這兩大模塊。

　　其中，最外層涉及到各個專業領域的能力建設，中間層強調協同和聯動，最內層則關注與數據和業務相關場景。

　　呂一平透露，目前這一模型框架已經基本覆蓋了企業需要進行安全能力建設的六個主要維度。

　　也就是說，企業通過騰訊安全提供的數字安全免疫力水平評估工具，能夠從這六大維度全面測算目前的數字安全免疫力水平，進而進行查缺補漏，提升安全水平。

　　另一方面，在這一模型與評估工具的配合下，騰訊安全能夠幫助企業解決安全價值難衡量的問題。

　　簡單來說，企業在安全能力上的不足、投入成效等等，都可以用直觀、可度量的方式呈現出來，而這有利于解決企業內部對安全價值認知錯位的問題。

　　從當前已經落地的案例來看，這套模型已經在各行各業收獲了較為明顯的效果。

　　國內某大型乘用車生產企業，近些年陸續將業務部署架構轉換成了云模式，但這同時帶來了更復雜的安全運營管理挑戰。

　　與騰訊安全合作的第一階段，騰訊安全團隊給這家車企提供了安全咨詢服務，基于自身在數據安全領域多年的實踐經驗，針對當前車連網、數字營銷等核心系統進行了數據安全風險評估，在合規建設、分類分級管控、數據全流程跟蹤監測、API訪問控制、全鏈路風險管理以及建設路徑等方面，制定了分階段建設規劃。

　　到第二階段，則是進一步梳理了應用架構、數據流向、企業關注點等方面的現狀和需求，共同推進了數據安全平臺化、一體化解決方案的部署。最終這家企業構建起了涵蓋“識別—防護—檢測—響應—恢復”的全維度數據安全治理體系和企業安全防護體系。

　　再來看順豐，其在業務開展中會接觸和處理大量的數據，這些數據的安全防護尤為重要，但由于物流行業體系復雜、上下游生態鏈漫長，如何在確保內外安全合規的基礎上，實現安全與效率的平衡，挑戰并不小。

　　在與騰訊安全的合作下，順豐規劃打造了零信任安全體系部署模式，確立了行業復合型安全建設思路，最終基于騰訊在零信任領域的豐富經驗，順豐科技推進了零信任安全、全網統一威脅檢測與響應的一體化解決方案。

　　另一家金融領域的企業中原消費金融股份有限公司，則是從業務發展初始階段就與騰訊展開了合作，通過騰訊的生態數據能力，構建起了“隱私計算/差異化建模+專家服務+經驗咨詢”的聯合解決方案。

　　目前中原消金在金融反欺詐、營銷風控、信貸風控、貸中與貸后管理等方面，定制化模型已經體現出了良好的業務區分度，實現了騰訊原有的經驗和能力與細分場景的更佳結合。

　　通過這幾個案例，不難發現，在助力企業實現數字安全建設的進程中，騰訊安全實際上充當起了“裁縫師”的角色，能夠幫助企業實現“量身定制”的安全度量。

　　正如呂一平所言，通過度量結果，騰訊安全最重要的是幫助客戶理清其核心業務和核心場景需要保護的資產和數據，以及需要解決的問題。在此基礎上，騰訊安全能夠提供相應的產品和方案。

　　從騰訊安全推出的這套“數字安全免疫力”模型框架出發，不難發現，在日益嚴峻的數字安全形勢面前，企業是時候告別過去粗放、被動的安全布局了，而是要自上而下形成統一的安全理念，采取更加科學可度量的方式，系統性地搭建起安全防線。