腾讯安全：以数字安全免疫力构筑安全屏障 保障业务韧性生长

长期以来，如何度量安全投入的价值一直是摆在整个安全行业面前的一道难题。“不出事，做安全建设有什么用？出事了，做安全建设有什么用？”这两大诘问既是段子，也是不争的事实。
 
事实上，如何让安全投入的价值获得更直观和显性的呈现，让安全建设的成果能够触达到组织体系中的各个层面，引起管理层和决策层的足够重视，已经成为当前行业中的乙方和甲方共同思考的话题。
 
围绕这一出发点，业内也提出了包括安全有效性验证、攻击面管理等在内的一系列解决方案，来帮助企业找到新的视角来看清自身所处的安全水位，但具体落地效果如何，还需要给市场一些时间来检验。
 
9月8日下午，在腾讯全球数字生态大会的数字安全专场中，围绕“安全度量”的话题，腾讯安全对最新发布的“数字安全免疫力”模型框架进行了解读，并发布了与之相配套的“数字安全免疫力水平评估工具”，分享了来自腾讯安全的新思考和新解法。


在数字安全专场中，腾讯集团副总裁、腾讯安全总裁丁珂表示，当前产业互联网已进入“智能化”下半场，AI大模型在赋能千行百业全新发展机遇的同时，也将开启新一轮的“攻强守弱”。面对智能化的攻防趋势，企业亟须建立可度量的安全体系，评估安全建设的有效性，打造内在自适应的“安全免疫力”，方能更从容地应对安全挑战。

新思考：重建安全度量体系 应对智能化时代安全挑战

面对全新的威胁态势，丁珂分享了腾讯安全最新的三点思考。
 
首先他提出，拥抱智能化时代，需要建立发展驱动的安全建设理念。
 
他表示，企业安全建设的目标，始终是要保护企业最重要的资产和增速最快的业务，这是安全建设的源点。AI大模型会让各行各业加速与数据交互，智能化、数据资产化将成为主要特征，企业的数据和数字化的业务成为核心资产，变得越来越重要。因此，‍‍面对增量，围绕核心资产的增加，‍‍发展脉络的展开，企业安全建设，需要围绕企业的数据和业务展开，以支撑企业在数字化时代发展战略，‍‍对其未来5～10年的目标去做长远的规划持续性地建设。
 
第二，企业需要建立可度量的安全体系，评估安全建设的有效性。
 
明确安全的目标之后，还需要围绕核心资产建立完善有效的安全体系化的评估。他表示：“在汽车的物理安全测试中有一个很著名的碰撞测试，在智能化时代的今天，汽车的安全性评估也要延伸到网络安全、用户隐私安全的部分。”
 
据介绍，今年6月，腾讯安全和IDC联合发布了“数字安全免疫力”模型框架，把复杂的安全体系抽象成了一个洋葱模型，新模型提出，企业应以数据和业务安全为目标，建设弹性、自适应、可扩展的安全免疫体系，为企业在数字时代的高质量发展保驾护航。
 
所谓“数字安全免疫力”是指，企业在面临多维威胁（特别是日益猖狂的网络空间攻击、黑灰产浸入）时，能更加及时地启动体系化的抵抗和防御机制，以有效应对基础设施、网络、数据、业务以及管理领域的组合攻击行为。


腾讯安全将数字安全免疫力拆解为2个免疫堡垒，1个免疫中枢和3道免疫屏障：
 
l 2个免疫堡垒：即数据安全治理与业务风险控制。此二者是数字安全免疫体系的载体，要围绕企业价值主体——数据资产和业务资产设置防御纵深，验证安全防御的完整性和有效性；

l 1个免疫中枢：即企业安全运营管理。安全运营是数字安全免疫体系的“中枢系统”，要以人为核心，贯穿企业战略、组织、流程等全部运营模块，使安全体系化、全局化；

l 3道免疫屏障：即边界安全、端点安全和应用开发安全。数字安全免疫体系的“屏障层”，强调安全防御技术与产品，采用插件式思路，构建企业获得性安全免疫力。
 
丁珂表示，“数字安全免疫力”模型框架赋予了企业决策层一个掌舵安全的“坐标系”，根据腾讯安全服务top300客户的实践来看，企业安全预算有50%要部署在数据和业务风控层，20%部署在智能安全运营层，30%部署在外围的安全工具层。
 
第三，应对智能化时代的攻防趋势，企业需要打造内在自适应的“数字安全免疫力”。
 
丁珂指出，安全建设是动态的，如果外部的技术和安全趋势一有变化，就要重新构建一整个模块的安全体系来匹配，从成本和效果考量都是不合格的。打造更灵活、弹性、可扩展的安全免疫能力，企业的安全建设才会更长效。
 
正如丁珂所言，当前正处于一个安全形势愈发严峻的时代，企业在做好基础安全建设之余，在不断提升现有的安全防护措施和手段的同时，还需要全方位地提升自身的免疫力，以更从容应对不可预知的突发威胁。
 
更强大的免疫力意味着，在威胁群体健康的突发事件发生时，企业能够以更快的速度恢复健康运行状态，让自身保持蓬勃发展的生命力，更好地赋能业务，让业务更韧性逆势生长。

新解法：基于数字免疫力打造智能化时代的安全评估体系

在论坛上，基于最新的“数字安全免疫力”模型框架，腾讯安全还正式发布了相匹配的“数字安全免疫力评估工具”。该工具将进一步帮助用户更好地利用免疫力模型，理解如何构建数字安全免疫力，以及有效评价自身数字安全免疫力水平。
 
腾讯安全策略发展中心总经理吕一平介绍，这款评估工具是基于业务识别关键风险，并参考同业建立标尺，每个企业在参与测试后将得到一个基准分，通过对比可以得知自身在行业内的水平位置，与行业头部、中位数的差距是多少，进而帮助用户了解当前自身安全免疫建设状态，了解自己和同行业对比的水位。此外，在清晰理解风险和差距的基础上，该评估工具还会帮助企业建立可落地安全建设路径，给出相应的案例并指导下一步的重点建设方案，最终实现“诊疗一体”的目标。


基于免疫力模型设计的评估工具，通过结构化的“成熟度”调查，围绕数据安全治理、业务风险控制、安全运营与管理、边界安全（网络安全）、端点安全、应用开发安全六大安全维度设置了共120道题，覆盖企业安全建设的典型场景。
 
“很多企业的安全同仁会聚焦在自己负责的板块，但是从发展的视角看安全，要整体考量所有核心模块，评估工具的初心是希望给安全建设者一个‘退一步’的机会，能站在更全局的视角去自我评估，看看自身企业的安全能力到底处在一个什么样的水位上，去审视当前还存在哪些高危的风险，存在哪些安全建设能力上的短板。”吕一平表示。
 
他指出，在安全度量的层面上，包括红蓝攻防演练、实战攻防、BAS攻击入侵与模拟等等都是有效检验安全水位的形式之一。能够有效地帮助企业了解到风险点在哪，去验证当前最薄弱的环节。“但这些往往还是在讲技术语言，或许技术负责人和安全负责人能够很好地理解，在企业的管理者和决策者面前，3个高危漏洞到底代表什么？我的安全到底做得好还是不好？我该为安全继续投入100万还是1000万？”这个问题仍然很难回答。
 
“数字安全免疫力水平评估工具”的差异定位在于，它更多地是从企业整体的安全能力建设水准的角度去做度量，能够以一个更直接的方式帮助企业负责人和决策人看清楚持续安全投入的总体成绩，这是这款工具的最大价值。
 
据他介绍，目前已经有金融、能源、工业等60家企业参与了评估工具的测试，调研结果显示，企业最想提升的安全模块主要集中在数据安全治理和业务风险控制两大板块。
 
以金融行业为例，40%的企业表达了对业务风险控制的建设期待，35%的企业表示最想提升企业数据安全治理能力。这与行业业务属性强相关，金融行业是天然的数据安全敏感型行业，对数据权限管理要求更细致，在零售数字化的过程中，为了适应客群下沉、金融产品秒批秒放、快速审核等特点，也需要更加快速、精准、敏捷的风控能力。
 
而能源行业和制造行业有超过50%的企业关注数据安全治理能力提升，并对入侵防御、VPN等安全产品有部署需求。
 
此外，各行业安全能力建设头部效应明显，其中能源行业头部更聚焦，制造行业水平更相近。金融行业总体得分第一，行业数字安全免疫力水平较高，但在细分业务的风控场景稍有不足；而能源业和制造业在安全工具的部署方面较为充分，但围绕关键数据和业务的模块有待提升。
 
据60家参与评估工具测试的企业反馈，“数字安全免疫力自评工具”能模块化地反映企业自身安全建设短板，帮助企业定位关键风险，从而帮助企业针对性地优化安全部署，助力企业构筑多维安全屏障。
 
大模型驱动产业互联网进入智能化的下半场，安全建设是动态的，打造灵活、弹性、可扩展的安全免疫能力，企业的安全建设才会更长效。建设企业良好的数字安全免疫体系之路任重道远，从“数字安全免疫力自评工具”出发，腾讯安全将结合过去自身实践与服务海量企业客户的经验，持续开放自身技术原子能力，助力企业完善数字安全免疫力，从容应对新时代的安全挑战。
 
随着数字化时代的到来，新技术带来了全新的攻击手段和方式，过去“头痛医头脚痛医脚”的被动式事后防御，已经无法满足时代背景的安全需求。只有以前瞻性的安全理念和安全设计，将“治已病”发展为“治未病”，围绕企业数字安全免疫力模型中的七大要素打造自上而下、自内而外的全面数字安全建设体系，方能让自身远离病痛。
 
正如丁珂一开始在演讲中所言，“做网络安全自评估在某些程度上有点像做健康体检，许多人都排斥体检这件事情，体检的确会比较反人性，一旦体检完总是会有这样或那样的不良指标，只要不体检就能继续熬夜，继续消耗自己。但换到企业安全的视角，安全投入这件事情绝不是说我还能熬多久，而是需要有一个非常规律的建设过程，必须为了业务健康稳定的总体目标去做长期投入。”