自2023年6月腾讯安全联合IDC提出“数字安全免疫力”新框架后,这一安全理论及产业探索迎来了新的成果发布。
1月17日,《数字安全免疫力建设指南》发布暨行业实践研讨会召开。该指南由工业和信息化部新闻宣传中心(人民邮电报社)指导,腾讯安全、腾讯研究院、中国信息安全联合三十余位业内专家、学者、企业领袖共同编制,围绕“发展驱动”的安全范式,从理念认知、范式重建、量化评估、关键模块以及实践案例等方面,为企业构建数字安全免疫力提供指引和参考。
工业和信息化部新闻宣传中心(人民邮电报社)总编辑王保平在会议上表示,希望专家智慧的沉淀,能够切实成为企业安全建设的“指南针”和“设计图”,帮助企业打造面向未来、适应发展的数字安全免疫力体系,共同为网络强国、数字中国的高质量发展贡献力量。
腾讯集团高级执行副总裁、云与智慧产业事业群CEO汤道生表示,数字化的快速发展,带来不可忽视的安全问题。企业的安全建设思维,需要从传统的边界防护与事件驱动,向异常行为监测、威胁情报与数据驱动转变,建立一套合规、可扩展、自适应的数字安全免疫系统。腾讯愿和社会各界一起,为企业在数字化时代的安全建设提供可借鉴的实践指引,着眼于未来健康可持续发展,筑牢安全底座。
(图:《数字安全免疫力建设指南》正式发布)
四大核心,构建“发展驱动”新范式
指南指出,“安全是发展的前提,发展是安全的保障”。当前,网络与安全密不可分,共同构成了国家数字经济发展的基础设施,也成为企业创新与发展的基石。企业的数字化发展与安全建设,亟待破除安全的“成本中心”思维,用发展的眼光看待安全,建立发展与安全融合的“发展驱动”范式。
数字安全免疫力正是“发展驱动”的探索。2023年6月,腾讯安全联合IDC提出“数字安全免疫力”新框架,希望以企业客户真实场景、真实痛点、真实需求为研究对象,为企业创建一套以数据与业务为中心,统筹发展与安全的方法论、工具集。
本次发布的《数字安全免疫力建设指南》是免疫力框架落地的具体实操路径。在具体内涵上,指南介绍了数字安全免疫力的四大核心:以企业运作为最终目的,取代传统将“安全”作为第一视角的建设思路,基于企业现状、预算水平提升安全有效性,而非“绝对安全”。提前规划主动预案,基于企业业务的发展目标,提前为未来可能发生的威胁做好准备并做好安全规划。综合协调安全资源,实现内部安全产品以及外部安全资源的协同,最后通过足够高的安全水位、自迭代能力以及非交互式验证的技术实现安全无感知。
数世咨询创始人李少鹏从安全技术变迁解读了免疫力的内涵。他表示,安全已经从传统的计算机安全、信息安全、网络安全演进到了如今的数字安全,风险已不再局限于围绕数字化资产的攻防对抗,数字安全免疫力的思路并非直接将“安全”作为第一视角,而是围绕企业运作中面临的风险展开。
六大模块,精确度量安全水平
不同规模、行业、数字化程度企业遭遇的个性化安全挑战不一而同,同时伴随着外部威胁和市场环境的快速变化,企业需要动态掌握自身的安全水位。指南对此提出了“精确安全度量”——运用安全评测工具动态评估自身水位。
例如腾讯安全研发的数字安全免疫力测评工具,通过填写调研问卷的方式,可让企业掌握全局的安全建设短板。同时,评估的报告也会将企业与行业平均水平对比,让企业更直观了解差距。
此外,指南还建议企业从“等保”实际价值、安全人员能力、AI技术影响等维度动态评估更新。例如,关注以AIGC为代表的新兴技术安全。在AIGC的助力下,防御成本将大幅度下降,防御体系的自我决策和反应能力都会指数级提升,核心思路也将从攻防驱动转为风险驱动,大量低级网络攻击手段将快速失效。
在持续完善“数字安全免疫力”框架的同时,指南更关注企业实践。根据数据安全、业务安全、边界安全、端点安全、应用开发安全与安全运营管理六大模块对应的具体场景为企业推荐对应的建设意见与工具建议,为处于数字化转型期的企业提供实战指引。
在数据安全方面,数字安全免疫力建设指南提出数据分类、分级是数据安全建设的关键。同时要建立数据安全防护基线、建立统一化运营体系;业务安全方面,指南提出缺乏安全能力护航的业务可能成为黑灰产的“提款机”,人机识别、风控引擎、内容安全、业务安全合规等是必要的投入。
随着云计算和数字化转型,企业边界模糊,需重新定义边界为IT环境“入口”的集合。企业应重视端点安全,统一协同边界和端点安全产品,构建新安全护城河,提高应对未知风险和移动办公威胁的能力。
在应用开发安全中,需要将安全建设也植入到开发团队当中,并结合风险点部署安全工具,而且要确保开发团队能熟练使用安全工具;安全运营管理则需要发挥出“中心指挥部”的战略价值,串联起不同的安全产品、资源,建议引入SOC、威胁情报、攻击面管理等技术提升安全运营效率。
各行业数字安全免疫力实践涌现,护航企业健康发展
研讨会上,来自多个行业的企业领袖、安全负责人分享了自身数字安全免疫力的建设实践。
作为数字安全免疫力框架模型的提出者,腾讯自身就是长期的践行者。在过去20多年的发展过程中,腾讯安全护航自身海量用户和业务场景,就遵循着弹性、自适应、可扩展的安全建设思路。
据腾讯安全副总裁、云鼎实验室负责人董志强介绍,腾讯云目前打造了以默认安全、底层可信、纵深防御为特点的高安全等级架构,让企业在云上能天然具备更高的安全水位。
“商业的未来就是和AI深度绑定”,据悦商科技CEO、宝龙商业首席创新官吴弼川介绍,悦商运营管理系统依托腾讯云自研金融级AI-天御决策操作系统,构建了智能化的大数据风控模型,保障用户在商业运营全业务场景数据合规互联互通,简化了80%的运营流程。
在医疗健康领域,脑动极光CISO、OWASP分会负责人张坤建议重点关注远程医疗、健康传感、临床研究、器械维护等八大场景的数据安全。脑动极光通过建设数据安全基础能力、建立事件快速响应能力、加强数据安全风险感知三大举措,提升了医疗数据的安全免疫力。
在金融行业,孚林科技CEO唐科伟认为,风控和智能决策正在形成以PaaS作为基础设施,融合数据形成MaaS服务,构建场景SaaS平台的趋势。孚林科技联合腾讯云天御打造的MaaS服务,助力某城商行的小微贷款业务建立了更加动态和全面的风控体系,实现安全放款30多亿,不良率同比大幅降低,服务超万家企业。
本次发布会上,指南还对2024年九大关键安全趋势做了研判,覆盖数据要素x、工业互联网安全、威胁情报等领域和技术,为企业构建免疫力提供前瞻式趋势参考。