12 月 1 日, 2023 亿邦产业互联网年会在上海圆满落幕,会上核心围绕数字化技术如何塑造和重构传统产业链,以提有效率和创造商业价值展开讨论。腾讯安全服务总经理苏建东在主题演讲中表示,没有网络安全,就没有产业数字化转型的成功;没有网络安全,数据也无法发挥应有的财富价值。以“发展驱动”的数字安全免疫力模型可以为企业发掘更大的安全建设价值,保障数字化转型,保护数据财富,企业可以通过情报驱动的威胁暴露管理、攻防驱动的全链路验证两大策略,构建数字安全免疫中枢。
苏建东介绍到,全球范围内的网络安全态势不容乐观,频繁的网络攻击事件常造成数据泄露、运营暂停、生产中断等后果,给企业、政府都带来极大损失。“波音公司43GB数据被勒索软件组织泄露、全球比较大的海事组织受攻击导致 1000 多艘船只暂停运营、丰田汽车的一家供应链企业遭受攻击导致上下游的产业、工厂停工等等全球性的攻击事件,为产业互联网安全敲响了警钟,可以说没有网络安全,就没有产业数字化转型,也不可能把数据资产变成数据财富。”
然而,企业即使已花费较大成本投入安全建设,但在面对网络攻击时仍然束手无策。究其原因,主要是企业常面临内部和外部“双重夹击”。从内部来看,除了大型企业外,多数企业的安全建设投入不足,腾讯安全一份调研数据显示,70%的企业在安全方面投入占比不到5%,还有很多企业投入不到1%;此外,即使投入成本,多数企业的安全建设理念依然相对滞后,主要以“事后处置”为主,无法及时发现和抵御潜在威胁。
从外部来看,企业要应对的是小到个体黑客、大到高档威胁组织的“看不见的敌人”。他们在安全知识更新、情报挖掘、攻击手段等方面都更加“先进、及时、有效”,企业常处于“被动”状态。例如每年互联网都会爆发各种高危漏洞,大多企业在一周后才会察觉漏洞、一个月才能修复,而高档威胁组织可以一天内拿到这些爆发漏洞的情报,并且一周之内组装成武器、进行全互联网扫描,漏洞修复的时间差就成为黑客组织利用攻击的“理想切入点”。
苏建东认为,“要解决企业在安全建设中面临的内外部问题和挑战,首先企业要清楚安全建设的价值,以及如何部署安全防线,也就是‘知'和‘行’的问题。”
在认知层面,以往行业主要从“合规导向”和“实战导向”进行安全建设,例如国家已陆续出台法律法规、安全标准等合规要求,监管机构也会定期扫描网站以及对外暴露的情况。 2019 年后开始以实战导向为主,各级公安机关和行业监管机构组织、省市级、行业级的攻防演练对抗,检验攻防对抗能力。但落到商业归因本质,这两大导向仍然难以解决企业“安全”和“发展”的平衡难题,因此很难驱动企业真正重视安全建设。安全建设的滞后又制约了企业发展。
为此,腾讯安全联合知名分析机构IDC推出以“发展驱动”为核心的“数字安全免疫力”模型框架。就像我们依靠运动锻炼身体、依靠注射疫苗提前应对疾病、遇到疾病要把握根因对症下药一样,数字安全免疫力理念推崇更积极、主动的安全观,用“治未病”的理念替代“治已病”。相比传统安全范式,“数字安全免疫力”模型框架有三大升级:一是将企业安全建设的核心目标,从建设安全到守护企业数据和业务两大资产;二是变革对抗方式,通过安全免疫力的新范式,将单兵作战的安全对抗模式,升级成体系的对抗;三是变革企业安全思维,用主动安全的范式,建立具有弹性、自适应、可扩展的数字安全免疫系统。
“建立数字安全免疫系统的核心是构建免疫中枢,也就是安全运营与管理,这是实现治未病和主动安全的关键。要建立免疫中枢,企业可以通过‘情报驱动的威胁暴露管理’和‘攻防驱动的全链路验证’两大策略实现。”苏建东提到。
首先,企业要摸清自身在互联网暴露的资产,包括新型数字资产例如小程序、公众号,并识别这些数字资产存在的问题。通过情报驱动的威胁暴露管理,在高档威胁组织发动攻击之前发现并修复漏洞,是实现“治已病”到“治未病”的关键。
腾讯安全监控全球 500 多一手情报源,通过机器学习算法识别线索、专家团队综合研判,可以在 30 分钟之内发现重大漏洞,在数小时内启动响应,保障极低的误报率、漏报率。此前,腾讯安全监测到国内某家银行有部分信用卡数据在暗网“流通”,便迅速联系数据售卖作者获得样本信息进行确认,然后和客户一起进行溯源分析,根据客户和泄露者提供的数据,最终确认泄露途径,形成数据分析报告,帮企业大幅降低数据泄露造成的影响。
其次,“攻防驱动的全链路验证”可以帮助企业主动体系化发现问题,是实现从“被动防御”到“主动安全”的关键。腾讯构建云安全攻防矩阵3.0,通过矩阵结构化、体系化帮助企业发现问题;红蓝对抗的人工验证和安全有效性验证系统的自动验证结合,有效地提高整个安全链路验证的效率。
例如,腾讯安全和国内某车企合作,进行全链路攻防验证,从云和IDC场景正面突破,通过钓鱼进入员工终端以及办公网,从办公楼宇、服务中心的外溢WiFi发起近源攻击,模拟无人机入侵工厂等方式。最终,腾讯安全拿下该车企内部所有核心靶标,发现企业存在六大类安全风险,包括办公网准入风险、工厂准入风险、研发网访问控制、供应链风险、数据泄露风险等。在全方位排查后,腾讯安全迅速帮助车企修复风险,全面提升安全建设水平。
苏建东表示,当产业数字化转型进入“深水区”,网络安全的价值将以指数倍凸显,未来网络安全建设不只是“事后”进行的附加题,而是“事前”必须解答的入门题。