站长之家用户 - 传媒 2023-06-22 18:07

澎湃新闻对话腾讯丁珂:从“治已病”到“治未病”,企业需快速构建“安全免疫力”

作者:澎湃新闻记者 周頔

随着数字化进程加快,企业数字化体系的边界在不断拓展,安全风险和挑战不断增加,传统被动防御的安全应对常显疲态,数字安全时代亟待建立全新的安全范式

6月13日,腾讯安全联合IDC等多家机构在北京举办研讨论坛,并发布“数字安全免疫力”模型框架,提出用“免疫力”的思维应对新时期下安全建设与企业发展难以协同的挑战。腾讯集团副总裁、腾讯安全总裁丁珂在论坛上表示,数智化新阶段,发展驱动成为安全建设的普遍共识,企业需从被动安全变为主动防御,以数据资产和业务资产为目标,建设一套全新的安全范式和框架。

(澎湃新闻副总编辑、生态内容管理工作委员会主席 黄杨专访腾讯集团副总裁、腾讯安全总裁 丁珂)

当日,澎湃新闻(www.thepaper.cn)副总编辑、生态内容管理工作委员会主席黄杨也就当前网络安全态势、AI如何影响网络安全等议题与丁珂展开了对话。

当前,全球网络安全形势依然严峻,针对关键行业和新技术、新场景的网络安全威胁事件频发。例如,互联网、金融企业遭遇DDoS拒绝服务攻击比较常见,对传统工业、教育和医疗领域来说,勒索病毒攻击时有发生。此外,数字化程度较高的国家,也会对企业提出更严格的安全合规要求。

丁珂指出,对企业来说,安全不是成本而是生命线,也是业务“硬币”的另一面。在数智化新阶段,发展驱动成为安全建设的普遍共识,企业需将安全思维从被动建设变为主动防御,构建一套全新的安全范式和框架,提升数字安全免疫力,以更积极、主动的安全观,用“治未病”的思路替代“治已病”,前置预判、及时响应处置安全风险,才能维护品牌价值、保障健康发展。

同时,当前企业对安全建设还存在“不知往哪投入、不知如何投入”的普遍痛点。对此,腾讯安全提出企业可以根据数字安全免疫力模型框架全局部署安全,并且在重点领域,例如业务安全、数据安全、安全运营管理、边界安全、端点安全、应用开发安全等薄弱环节,重点注射“免疫力加强针”。

今年走进公众视野的AIGC,其产业化和产品化尚在摸索中,但已经有大量攻击者已经在用它生成攻击脚本、钓鱼邮件,甚至伪造身份用于诈骗。AI本身是安全的么?AI会让网络变得更不安全么?

腾讯安全研究认为,目前AIGC带来的风险主要集中在“不可解释”以及“不可追溯”的特性上,但这在技术上能够找到应对的方法。丁珂谈道,AIGC作为生产力的巨大提升,确实会带来更复杂的攻防态势和更大的防御难度。但任何新技术都要经历这个周期。而法律法规会随着技术的演进不断更新,让新技术的发展更加规范健全。

丁珂认为,随着我国网络安全法律法规体系的不断完善,合规将给企业推进网络安全带来很大的驱动力,并且是很直观地展现在需求侧。未来伴随着数据要素市场的建立或企业对于数据价值的挖掘,也将驱动数据安全市场迅猛增长。

对于腾讯安全的商业逻辑和经营之道,丁珂表示并不追求一定要构建竞争优势壁垒,而是期望跟生态共同发展的成长,腾讯安全希望通过能力开放实现安全与业务伴生的生态模式。

谈及未来,丁珂表示,安全板块已进入发展加速期,将持续关注处于蓝海的很多新业务领域,期望能孵化出新的商业模式,而腾讯安全团队也会持续关注并把握机会,做好产品。

以下为采访实录(在不改变原意的基础上略经编辑):

澎湃新闻:当前,以人工智能、大数据等新技术推动的第四次工业革命正在不断走向深入,给人类的生产生活带来了深刻的变化。而互联网作为新技术的载体,面临的安全挑战不仅数量在增多,形式也变得更加复杂。从互联网安全从业者的角度,腾讯观察到近年来国内外网络安全形势发生了哪些变化?这些变化呈现怎样的趋势?

丁珂:近年来,腾讯安全的能力不断成长,面向场景也在延伸,大致经历了三个阶段:

第 一个阶段是从2000年前后开始的互联网PC时代。PC领域的盗版情况十分普遍,盗版软件也有漏洞,导致安全问题频发。我们做过统计,那个时候几乎60%的电脑都中过木马病毒。QQ是互联网时代普及率最 高的软件之一,在这样的环境下用户的账户安全很难得到保障,于是腾讯就开展了PC端和手机端的安全软件业务,净化用户的上网环境。

然后,随着移动互联网兴起,腾讯的业务延伸到了保护用户隐私。用户使用安全产品的场景也开始有了变化,比如沟通、支付等等。而安全业务也从传统的端点保护变成了要搜集威胁情报,掌握网络攻击的情况,针对自身业务做到先发制人。

目前进入到第三个阶段——数智化时代。腾讯安全也从单纯服务个人用户,转变为建立合作供应链与上下游,服务于政府、金融、能源、汽车制造、教育、医疗等各个行业。在这个阶段,安全从用户、产品进入到产业和生态阶段,更多是面向B端客户提供完整的安全能力、助力他们建立完整的安全理念和范式,针对薄弱环节采用“对症”的安全产品。

我们调研了1500位CSO(首席安全官)和50位企业决策层,发现每家企业的数字化能力都有了巨大的提升。而数字化能力提升之后,却面临着一些安全建设的断层甚至鸿沟。一方面是安全意识不到位,有些企业在做安全规划时,还停留在买设备、拓带宽的层面,对于保护用户数据、维护业务安全等方面没有多少预算,对这些方面的安全意识也不强。另一方面是不知道往哪投入、怎么投入,这也是现阶段企业网络安全建设的普遍痛点。此外,即使法律法规的要求在持续强化,很多企业也并没有意识到,保护企业自身的数据资产安全、保护企业掌握的用户隐私数据安全,都已经成为企业必须承担的安全责任。

企业需要从全局构建“数字安全免疫力”,并且在重点领域,例如业务安全、数据安全、安全运营管理、边界安全、端点安全、应用开发安全等薄弱环节,重点注射“免疫力加强针”。腾讯安全的责任,是在不同发展环节、不同场景、不同攻防和合规需求下,为企业客户提供性能更好、防护效率更高的安全产品,帮助企业构建免疫力,以小成本解决企业面向未来的成长性问题。

澎湃新闻:目前企业的网络安全建设面临的最 大挑战有哪些?是内部自身的问题更多些,还是外部攻击更多一些?腾讯安全的解决方案是什么?

丁珂:现在外部攻击压力是非常大的。互联网、金融企业遭遇DDoS拒绝服务攻击比较常见,对传统工业、教育和医疗领域来说,勒索病毒攻击时有发生。此外,数字化程度较高的国家,也会对企业提出严格的安全合规要求。企业必须与时俱进练好基本功,在安全领域持续投入,建立合理的治理安全框架、基于业务和数据的安全策略等,同时日常也要做渗透测试。

我们重要的客户,基本每季度或半年都会进行红蓝渗透测试和攻防演练。除非企业数字化水平特别低,或者企业没有商业价值,否则一定要做网络安全防护,并且也要注意威胁情报。

此外,企业还应特别重视“治未病”。行业里一旦碰到安全事件,就要快速自查,从技术和时效性层面时刻关注类似的安全情况,让安全建设形成系统化、体系化的条件反射。

澎湃新闻:ChatGPT的火爆出圈,让人工智能再次成为公众热议的话题。当前AI大模型落地商业化还处在摸索中,但一些不法分子已经将AI用在了网络攻击中。腾讯安全在人工智能伦理方面的考虑有哪些?

丁珂:今年走进公众视野的AIGC(生成式人工智能),其产业化和产品化尚在摸索中,但已经有大量攻击者已经在用它生成攻击脚本、钓鱼邮件,甚至伪造身份用于诈骗。当攻击变得无处不在的时候,传统的安全产品也需要接受技术革新。

AI会让网络变得更不安全么?可能阶段性会有这个趋势,我认为应该从两个方面看:

一方面,技术进步的速度往往快于法律法规的更新,各国皆是如此,对于AI这种先进的技术工具,不同国家和地区的法律法规都有不同程度的滞后。一般情况下人们在应用新技术时,往往会循序渐进,不仅会考虑法律法规,而且还会有很多伦理、道德方面的思考,摸索出一条可持续的使用路径,而恶意攻击者在使用新技术时往往会将它用到极 致。新技术应用一般都会经历这样的一个周期。

另一方面,大模型平台自身也在探索法律法规和伦理道德,从而防止被坏人利用。早期,不法分子确实可以利用大模型来快速生成攻击代码。但现在大模型平台可以判断这样的请求是不是有危害性,如果有就会发出提醒,同时并不会按照指令行事生成攻击代码。

当然这个过程中也确实可能会碰到模棱两可、看上去正确或中性的指令,比如deepfakes生成换脸的视频或照片,可能用于正当用途,也可能用于非法用途,这个防范起来就变得复杂了。

虽然说攻击方的确天然占据先发优势,但是过往的经验上看,总体上看防御侧都是能够应对的。对于目前出现的AIGC的攻击应用,我们的技术团队做过研究,风险主要集中在“不可解释”以及“不可追溯”的特性上,但这在技术上能够找到应对的方法。

澎湃新闻:维护网络安全的支出并不会直接产生效益,一些企业会认为增加了自身负担,对此您怎么看?

丁珂:这关系到产业安全的商业逻辑,也就涉及我们提出的“企业数字安全免疫力”新范式。腾讯安全认为,免疫力也是企业原生的成长过程。

一方面,安全对企业来说是生命线,当前很多监管标准叠加,合规成本上升。特别是在内容安全领域,我们了解到一些企业大规模使用人工团队进行筛查,从商业的成本收益模型上看,如果AIGC等自动化平台可以实现调用,将极大节约企业内容风控审核的成本。我们观察到,2021年到2022年,国内内容风控API(应用程序编程接口)调用量涨了130%左右,但整个市场规模涨了20%左右,这说明整体市场空间越来越大,企业内容审核的实际成本在不断降低。

另一方面,安全就像是企业核心业务这枚硬币的“背面”,安全建设得越好,业务团队越能安枕无忧。在我们腾讯内部,业务团队不觉得安全投入是成本项,如果第 一时间打掉了安全风险,企业的产品品牌价值就不会损失,收入不会莫名其妙地流失,业务的健康度也会保持在一个平稳的水位。

以网络游戏为例,如果不做好安全防护,出现了外挂、盗号等情况,对业务营收肯定是有影响的。所以对于业务团队来说,往往很乐意负担安全的成本,不会推三阻四。他们会说:一定要把安全投入和发展收益最 有效地结合在一起,形成一种企业原生的安全价值观。

以前传统的IT企业,每年会将IT建设的5%-9%划做安全支出,但当前IT的商业模式开始呈现两个趋势,一种是授权服务方式,与客户长期共同发展,另一种是MaaS服务解决方案,我们在云端构建API,客户企业需要本地化部署我们就去建设。

澎湃新闻:随着《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规落地,网络安全领域的合规压力有感受到增大吗?

丁珂:近几年国家对网络安全越发重视,政策法规也逐渐系统化,几乎每年都会编制、修订两三部关键的法律法规。这对整体安全来说是好事,可以让无边界的责任变得清晰明确,但是企业短期可能会不适应,但未来一定会更聚焦一些有价值的方向。

可以说,合规确实是安全很大的驱动力,并且是很直观地展现在需求侧。比如原来做传统安防设备的厂商,因为他们有生物识别的应用,最近两年也会开始咨询数据安全相关的产品;比如去年《反电信网络诈骗法》出台之后,很多银行也开始咨询和购买我们的反欺诈产品。

我们也感受到了国家信创在更多行业应用落地,从早期试点到现在越来越成熟,给了非常大的指引。对我们来说,与客户合作共建安全不会有任何障碍。我们也参与了很多客户的数字化流程建设与产品研发过程,包括在安全性、开放效率等不同角度实现了合作。基于这种信任,我们和客户会协同解决漏洞等问题。

当下最棘手的问题是一些企业在特定历史时期的存量问题比较多,积累起来,企业没有能力去改变。但随着信创的推进,这些问题不会是停滞不前的,会共同进步,越来越合理。

澎湃新闻:在数据收集和存储方面,网络安全面临的挑战越来越多,对于企业数字化转型过程中遇到的数据安全问题,腾讯安全采取了哪些策略来保护企业的数据安全?

丁珂:当前很多金融服务公司、互联网公司等,他们没有特别大规模的固定资产,数据就是他们的核心资产,有巨大的潜在价值。所以,数据安全最重要的一点是法律法规层面的合规性,这在全世界也是通行的。未来伴随着数据要素市场的建立或者说企业对于数据价值的挖掘,基于数据安全驱动的安全市场增量将会非常大。

我们一般会将数据分为四个大类:个人隐私数据、企业业务相关的行为数据、交易数据、内容数据。这四大类数据的界定非常关键,比如广告使用了用户的行为数据,法律规定企业可以闭环使用。而有些数据企业是不能用的,比如内容数据、隐私数据等。

腾讯安全会帮助提供识别权限管理和敏感数据加密的服务,就是隐私保护和特定用户权限,以及权限变更的风险提示。当前数据的关注度很高,而且法律法规的要求也持续变化,我们一直在持续跟进。

澎湃新闻:在安全赛道上,腾讯安全自身的最 大优势是什么?如何构建竞争优势壁垒?

丁珂:腾讯经历了海量个人用户助推企业成长的过程,业务领域也越发全面复杂,从IM、游戏到支付、云业务等等。腾讯安全的技术和能力,恰恰源自于腾讯过去二十多年自身发展中的积累,并在腾讯及生态海量场景和产品中获得实践。在安全领域的产品、服务,我们都是通过实践积累走出来的,这方面还是非常自信的。我们积累了优势的原子能力,又将这些能力封装,并在腾讯自身的业务上进行了工程验证。我们的技术能力、对产品的提炼以及对业务的理解上,都还是有独到的地方的。

在To B服务客户的过程中,我们深度参与了金融、能源等好多项目,也有了自己对这些行业的安全观察,这也是我们比较自信的地方。

对于未来,我们也并不追求一定要构建竞争优势壁垒,期望能走跟生态共同发展成长的路径。我们会越来越多地把产品变成API、SDK(软件开发工具包)模块化产品,让合作伙伴来用,直接集成。很多安全厂商也是我们的合作伙伴,他们也看重腾讯安全的“三大原子力”:AI、威胁情报和攻防能力。例如威胁情报是很多客户关注的能力,很多厂商的安全设备里就直接集成了我们的API,能直接调用腾讯安全的能力。

我们不想建立壁垒,反而希望打破壁垒,和业界共同发展,往能力开放这个路径上走。从腾讯安全的视角来看,合作、开放、共赢是必然的趋势。安全产业是生态伴生型的生态形式,安全能力强、产品质量好的厂商,就会建立强伴生的关系。未来,安全和业务是强伴生的,越是偏向业务的安全越要有自信。

澎湃新闻:腾讯安全是否有计划进一步深化与政府、企业以及社会各界的合作,提高整体网络安全水平?我们知道维护网络安全也是国家责任,您如何看待网络安全中的国家责任和企业责任?二者边界该如何设定?您如何看待网络安全产业的未来?

丁珂:安全最重要的是系统化,在过去几年里,国家的法律法规系统化定义了安全,目前正在推动安全领域进步,特别是合规要求,明确了企业的主体责任。

比如对一家酒店的经营者来说,住客会留下很多信息,这些信息他不能拿出去卖,如果管理不善造成了泄露、造成了用户损失还要担责。当前国家的各种法律法规、规章制度,把企业的数据安全责任和用户隐私责任界定得很清楚。

与此同时,很多历史欠账还是要补救的,目前企业在安全投入上的节奏与数字安全基础设施有错位,造成了有些关键数据已经流出去了,可能会产生不好的影响。腾讯安全的角色就是要帮助企业更好、更安全地跟用户互动,在了解的过程中将用户数据的价值挖掘出来,同时担负起安全责任,让企业能够长远安全发展不留隐患。总体来说,发展兼顾社会责任和安全是一个体系化的成长,所以一定是与法律法规、企业责任共同成长的。

对于边界问题,现在不是管得过多,而是很多的法律规章框架存在衔接的问题,上位法在金融、零售等行业的实践落地存在适配度问题,实践中还有很多空档可以调整优化,还处在共同成长的阶段。制度建设层面,法律法规也不需要太多,而是需要细则,行业应用方面往往需要一个摸索周期。

澎湃新闻:放眼未来,互联网安全还将应用于哪些商业新场景?未来腾讯安全在技术创新方面还有哪些计划?有什么远期目标?

丁珂:对于腾讯安全来说,未来还是要在客户企业数字化业务的大场景里持续成长,以最快速度解决问题,把新技术落实到各种场景里。

整体来说,很多新领域还是蓝海,如果能孵化出商业模式,比如模型即服务的商业模式,能够被集成、被生态伙伴认可,也会带给我们团队巨大的收获感。

我觉得,安全板块应该在进入一个加速期,而在这个加速期,腾讯安全团队最关注的一定是把握机会、做好产品。

注:本文系用户投稿,不代表本站观点,如有疑问,请联系本站处理。

ChatGPT源码推荐:小狐狸ChatGPT付费创作系统完全开源源码

相关话题

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,相关信息仅供参考。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

推荐关键词

24小时热搜

查看更多内容

大家正在看