随着數字化程序加快,企業數字化體系的邊界在不斷拓展,安全風險和挑戰不斷增加,傳統被動防禦的安全應對常顯疲态,數字安全時代亟待建立全新的安全範式。
6月13日,騰訊安全聯合IDC等多家機構在北京舉辦研讨論壇,并釋出“數字安全免疫力”模型架構,提出用“免疫力”的思維應對新時期下安全建設與企業發展難以協同的挑戰。騰訊集團副總裁、騰訊安全總裁丁珂在論壇上表示,數智化新階段,發展驅動成為安全建設的普遍共識,企業需從被動安全變為主動防禦,以資料資産和業務資産為目标,建設一套全新的安全範式和架構。
澎湃新聞副總編輯、生态内容管理工作委員會主席 黃楊專訪騰訊集團副總裁、騰訊安全總裁 丁珂
當日,澎湃新聞(www.thepaper.cn)副總編輯、生态内容管理工作委員會主席黃楊也就目前網絡安全态勢、AI如何影響網絡安全等議題與丁珂展開了對話。
目前,全球網絡安全形勢依然嚴峻,針對關鍵行業和新技術、新場景的網絡安全威脅事件頻發。例如,網際網路、金融企業遭遇DDoS拒絕服務攻擊比較常見,對傳統工業、教育和醫療領域來說,勒索病毒攻擊時有發生。此外,數字化程度較高的國家,也會對企業提出更嚴格的安全合規要求。
丁珂指出,對企業來說,安全不是成本而是生命線,也是業務“硬币”的另一面。在數智化新階段,發展驅動成為安全建設的普遍共識,企業需将安全思維從被動建設變為主動防禦,建構一套全新的安全範式和架構,提升數字安全免疫力,以更積極、主動的安全觀,用“治未病”的思路替代“治已病”,前置預判、及時響應處置安全風險,才能維護品牌價值、保障健康發展。
同時,目前企業對安全建設還存在“不知往哪投入、不知如何投入”的普遍痛點。對此,騰訊安全提出企業可以根據數字安全免疫力模型架構全局部署安全,并且在重點領域,例如業務安全、資料安全、安全營運管理、邊界安全、端點安全、應用開發安全等薄弱環節,重點注射“免疫力加強針”。
今年走進公衆視野的AIGC,其産業化和産品化尚在摸索中,但已經有大量攻擊者已經在用它生成攻擊腳本、釣魚郵件,甚至僞造身份用于詐騙。AI本身是安全的麼?AI會讓網絡變得更不安全麼?
騰訊安全研究認為,目前AIGC帶來的風險主要集中在“不可解釋”以及“不可追溯”的特性上,但這在技術上能夠找到應對的方法。丁珂談道,AIGC作為生産力的巨大提升,确實會帶來更複雜的攻防态勢和更大的防禦難度。但任何新技術都要經曆這個周期。而法律法規會随着技術的演進不斷更新,讓新技術的發展更加規範健全。
丁珂認為,随着大陸網絡安全法律法規體系的不斷完善,合規将給企業推進網絡安全帶來很大的驅動力,并且是很直覺地展現在需求側。未來伴随着資料要素市場的建立或企業對于資料價值的挖掘,也将驅動資料安全市場迅猛增長。
對于騰訊安全的商業邏輯和經營之道,丁珂表示并不追求一定要建構競争優勢壁壘,而是期望跟生态共同發展的成長,騰訊安全希望通過能力開放實作安全與業務伴生的生态模式。
談及未來,丁珂表示,安全闆塊已進入發展加速期,将持續關注處于藍海的很多新業務領域,期望能孵化出新的商業模式,而騰訊安全團隊也會持續關注并把握機會,做好産品。
以下為采訪實錄(在不改變原意的基礎上略經編輯):
澎湃新聞:目前,以人工智能、大資料等新技術推動的第四次工業革命正在不斷走向深入,給人類的生産生活帶來了深刻的變化。而網際網路作為新技術的載體,面臨的安全挑戰不僅數量在增多,形式也變得更加複雜。從網際網路安全從業者的角度,騰訊觀察到近年來國内外網絡安全形勢發生了哪些變化?這些變化呈現怎樣的趨勢?
丁珂:近年來,騰訊安全的能力不斷成長,面向場景也在延伸,大緻經曆了三個階段:
第一個階段是從2000年前後開始的網際網路PC時代。PC領域的盜版情況十分普遍,盜版軟體也有漏洞,導緻安全問題頻發。我們做過統計,那個時候幾乎60%的電腦都中過木馬病毒。QQ是網際網路時代普及率最高的軟體之一,在這樣的環境下使用者的賬戶安全很難得到保障,于是騰訊就開展了PC端和手機端的安全軟體業務,淨化使用者的上網環境。
然後,随着移動網際網路興起,騰訊的業務延伸到了保護使用者隐私。使用者使用安全産品的場景也開始有了變化,比如溝通、支付等等。而安全業務也從傳統的端點保護變成了要搜集威脅情報,掌握網絡攻擊的情況,針對自身業務做到先發制人。
目前進入到第三個階段——數智化時代。騰訊安全也從單純服務個人使用者,轉變為建立合作供應鍊與上下遊,服務于政府、金融、能源、汽車制造、教育、醫療等各個行業。在這個階段,安全從使用者、産品進入到産業和生态階段,更多是面向B端客戶提供完整的安全能力、助力他們建立完整的安全理念和範式,針對薄弱環節采用“對症”的安全産品。
我們調研了1500位CSO(首席安全官)和50位企業決策層,發現每家企業的數字化能力都有了巨大的提升。而數字化能力提升之後,卻面臨着一些安全建設的斷層甚至鴻溝。一方面是安全意識不到位,有些企業在做安全規劃時,還停留在買裝置、拓帶寬的層面,對于保護使用者資料、維護業務安全等方面沒有多少預算,對這些方面的安全意識也不強。另一方面是不知道往哪投入、怎麼投入,這也是現階段企業網絡安全建設的普遍痛點。此外,即使法律法規的要求在持續強化,很多企業也并沒有意識到,保護企業自身的資料資産安全、保護企業掌握的使用者隐私資料安全,都已經成為企業必須承擔的安全責任。
企業需要從全局建構“數字安全免疫力”,并且在重點領域,例如業務安全、資料安全、安全營運管理、邊界安全、端點安全、應用開發安全等薄弱環節,重點注射“免疫力加強針”。騰訊安全的責任,是在不同發展環節、不同場景、不同攻防和合規需求下,為企業客戶提供性能更好、防護效率更高的安全産品,幫助企業建構免疫力,以小成本解決企業面向未來的成長性問題。
澎湃新聞:目前企業的網絡安全建設面臨的最大挑戰有哪些?是内部自身的問題更多些,還是外部攻擊更多一些?騰訊安全的解決方案是什麼?
丁珂:現在外部攻擊壓力是非常大的。網際網路、金融企業遭遇DDoS拒絕服務攻擊比較常見,對傳統工業、教育和醫療領域來說,勒索病毒攻擊時有發生。此外,數字化程度較高的國家,也會對企業提出嚴格的安全合規要求。企業必須與時俱進練好基本功,在安全領域持續投入,建立合理的治理安全架構、基于業務和資料的安全政策等,同時日常也要做滲透測試。
我們重要的客戶,基本每季度或半年都會進行紅藍滲透測試和攻防演練。除非企業數字化水準特别低,或者企業沒有商業價值,否則一定要做網絡安全防護,并且也要注意威脅情報。
此外,企業還應特别重視“治未病”。行業裡一旦碰到安全事件,就要快速自查,從技術和時效性層面時刻關注類似的安全情況,讓安全建設形成系統化、體系化的條件反射。
澎湃新聞:ChatGPT的火爆出圈,讓人工智能再次成為公衆熱議的話題。目前AI大模型落地商業化還處在摸索中,但一些不法分子已經将AI用在了網絡攻擊中。騰訊安全在人工智能倫理方面的考慮有哪些?
丁珂:今年走進公衆視野的AIGC(生成式人工智能),其産業化和産品化尚在摸索中,但已經有大量攻擊者已經在用它生成攻擊腳本、釣魚郵件,甚至僞造身份用于詐騙。當攻擊變得無處不在的時候,傳統的安全産品也需要接受技術革新。
AI會讓網絡變得更不安全麼?可能階段性會有這個趨勢,我認為應該從兩個方面看:
一方面,技術進步的速度往往快于法律法規的更新,各國皆是如此,對于AI這種先進的技術工具,不同國家和地區的法律法規都有不同程度的滞後。一般情況下人們在應用新技術時,往往會循序漸進,不僅會考慮法律法規,而且還會有很多倫理、道德方面的思考,摸索出一條可持續的使用路徑,而惡意攻擊者在使用新技術時往往會将它用到極緻。新技術應用一般都會經曆這樣的一個周期。
另一方面,大模型平台自身也在探索法律法規和倫理道德,進而防止被壞人利用。早期,不法分子确實可以利用大模型來快速生成攻擊代碼。但現在大模型平台可以判斷這樣的請求是不是有危害性,如果有就會發出提醒,同時并不會按照指令行事生成攻擊代碼。
當然這個過程中也确實可能會碰到模棱兩可、看上去正确或中性的指令,比如deepfakes生成換臉的視訊或照片,可能用于正當用途,也可能用于非法用途,這個防範起來就變得複雜了。
雖然說攻擊方的确天然占據先發優勢,但是過往的經驗上看,總體上看防禦側都是能夠應對的。對于目前出現的AIGC的攻擊應用,我們的技術團隊做過研究,風險主要集中在“不可解釋”以及“不可追溯”的特性上,但這在技術上能夠找到應對的方法。
澎湃新聞:維護網絡安全的支出并不會直接産生效益,一些企業會認為增加了自身負擔,對此您怎麼看?
丁珂:這關系到産業安全的商業邏輯,也就涉及我們提出的“企業數字安全免疫力”新範式。騰訊安全認為,免疫力也是企業原生的成長過程。
一方面,安全對企業來說是生命線,目前很多監管标準疊加,合規成本上升。特别是在内容安全領域,我們了解到一些企業大規模使用人工團隊進行篩查,從商業的成本收益模型上看,如果AIGC等自動化平台可以實作調用,将極大節約企業内容風控稽核的成本。我們觀察到,2021年到2022年,國内内容風控API(應用程式程式設計接口)調用量漲了130%左右,但整個市場規模漲了20%左右,這說明整體市場空間越來越大,企業内容稽核的實際成本在不斷降低。
另一方面,安全就像是企業核心業務這枚硬币的“背面”,安全建設得越好,業務團隊越能安枕無憂。在我們騰訊内部,業務團隊不覺得安全投入是成本項,如果第一時間打掉了安全風險,企業的産品品牌價值就不會損失,收入不會莫名其妙地流失,業務的健康度也會保持在一個平穩的水位。
以網絡遊戲為例,如果不做好安全防護,出現了外挂、盜号等情況,對業務營收肯定是有影響的。是以對于業務團隊來說,往往很樂意負擔安全的成本,不會推三阻四。他們會說:一定要把安全投入和發展收益最高效地結合在一起,形成一種企業原生的安全價值觀。
以前傳統的IT企業,每年會将IT建設的5%-9%劃做安全支出,但目前IT的商業模式開始呈現兩個趨勢,一種是授權服務方式,與客戶長期共同發展,另一種是MaaS服務解決方案,我們在雲端建構API,客戶企業需要本地化部署我們就去建設。
澎湃新聞:随着《資料安全法》《個人資訊保護法》《關鍵資訊基礎設施安全保護條例》等法律法規落地,網絡安全領域的合規壓力有感受到增大嗎?
丁珂:近幾年國家對網絡安全越發重視,政策法規也逐漸系統化,幾乎每年都會編制、修訂兩三部關鍵的法律法規。這對整體安全來說是好事,可以讓無邊界的責任變得清晰明确,但是企業短期可能會不适應,但未來一定會更聚焦一些有價值的方向。
可以說,合規确實是安全很大的驅動力,并且是很直覺地展現在需求側。比如原來做傳統安防裝置的廠商,因為他們有生物識别的應用,最近兩年也會開始咨詢資料安全相關的産品;比如去年《反電信網絡詐騙法》出台之後,很多銀行也開始咨詢和購買我們的反欺詐産品。
我們也感受到了國家信創在更多行業應用落地,從早期試點到現在越來越成熟,給了非常大的指引。對我們來說,與客戶合作共建安全不會有任何障礙。我們也參與了很多客戶的數字化流程建設與産品研發過程,包括在安全性、開放效率等不同角度實作了合作。基于這種信任,我們和客戶會協同解決漏洞等問題。
當下最棘手的問題是一些企業在特定曆史時期的存量問題比較多,積累起來,企業沒有能力去改變。但随着信創的推進,這些問題不會是停滞不前的,會共同進步,越來越合理。
澎湃新聞:在資料收集和存儲方面,網絡安全面臨的挑戰越來越多,對于企業數字化轉型過程中遇到的資料安全問題,騰訊安全采取了哪些政策來保護企業的資料安全?
丁珂:目前很多金融服務公司、網際網路公司等,他們沒有特别大規模的固定資産,資料就是他們的核心資産,有巨大的潛在價值。是以,資料安全最重要的一點是法律法規層面的合規性,這在全世界也是通行的。未來伴随着資料要素市場的建立或者說企業對于資料價值的挖掘,基于資料安全驅動的安全市場增量将會非常大。
我們一般會将資料分為四個大類:個人隐私資料、企業業務相關的行為資料、交易資料、内容資料。這四大類資料的界定非常關鍵,比如廣告使用了使用者的行為資料,法律規定企業可以閉環使用。而有些資料企業是不能用的,比如内容資料、隐私資料等。
騰訊安全會幫助提供識别權限管理和敏感資料加密的服務,就是隐私保護和特定使用者權限,以及權限變更的風險提示。目前資料的關注度很高,而且法律法規的要求也持續變化,我們一直在持續跟進。
澎湃新聞:在安全賽道上,騰訊安全自身的最大優勢是什麼?如何建構競争優勢壁壘?
丁珂:騰訊經曆了海量個人使用者助推企業成長的過程,業務領域也越發全面複雜,從IM、遊戲到支付、雲業務等等。騰訊安全的技術和能力,恰恰源自于騰訊過去二十多年自身發展中的積累,并在騰訊及生态海量場景和産品中獲得實踐。在安全領域的産品、服務,我們都是通過實踐積累走出來的,這方面還是非常自信的。我們積累了優勢的原子能力,又将這些能力封裝,并在騰訊自身的業務上進行了工程驗證。我們的技術能力、對産品的提煉以及對業務的了解上,都還是有獨到的地方的。
在To B服務客戶的過程中,我們深度參與了金融、能源等好多項目,也有了自己對這些行業的安全觀察,這也是我們比較自信的地方。
對于未來,我們也并不追求一定要建構競争優勢壁壘,期望能走跟生态共同發展成長的路徑。我們會越來越多地把産品變成API、SDK(軟體開發工具包)子產品化産品,讓合作夥伴來用,直接內建。很多安全廠商也是我們的合作夥伴,他們也看重騰訊安全的“三大原子力”:AI、威脅情報和攻防能力。例如威脅情報是很多客戶關注的能力,很多廠商的安全裝置裡就直接內建了我們的API,能直接調用騰訊安全的能力。
我們不想建立壁壘,反而希望打破壁壘,和業界共同發展,往能力開放這個路徑上走。從騰訊安全的視角來看,合作、開放、共赢是必然的趨勢。安全産業是生态伴生型的生态形式,安全能力強、産品品質好的廠商,就會建立強伴生的關系。未來,安全和業務是強伴生的,越是偏向業務的安全越要有自信。
澎湃新聞:騰訊安全是否有計劃進一步深化與政府、企業以及社會各界的合作,提高整體網絡安全水準?我們知道維護網絡安全也是國家責任,您如何看待網絡安全中的國家責任和企業責任?二者邊界該如何設定?您如何看待網絡安全産業的未來?
丁珂:安全最重要的是系統化,在過去幾年裡,國家的法律法規系統化定義了安全,目前正在推動安全領域進步,特别是合規要求,明确了企業的主體責任。
比如對一家酒店的經營者來說,住客會留下很多資訊,這些資訊他不能拿出去賣,如果管理不善造成了洩露、造成了使用者損失還要擔責。目前國家的各種法律法規、規章制度,把企業的資料安全責任和使用者隐私責任界定得很清楚。
與此同時,很多曆史欠賬還是要補救的,目前企業在安全投入上的節奏與數字安全基礎設施有錯位,造成了有些關鍵資料已經流出去了,可能會産生不好的影響。騰訊安全的角色就是要幫助企業更好、更安全地跟使用者互動,在了解的過程中将使用者資料的價值挖掘出來,同時擔負起安全責任,讓企業能夠長遠安全發展不留隐患。總體來說,發展兼顧社會責任和安全是一個體系化的成長,是以一定是與法律法規、企業責任共同成長的。
對于邊界問題,現在不是管得過多,而是很多的法律規章架構存在銜接的問題,上位法在金融、零售等行業的實踐落地存在适配度問題,實踐中還有很多空檔可以調整優化,還處在共同成長的階段。制度建設層面,法律法規也不需要太多,而是需要細則,行業應用方面往往需要一個摸索周期。
澎湃新聞:放眼未來,網際網路安全還将應用于哪些商業新場景?未來騰訊安全在技術創新方面還有哪些計劃?有什麼遠期目标?
丁珂:對于騰訊安全來說,未來還是要在客戶企業數字化業務的大場景裡持續成長,以最快速度解決問題,把新技術落實到各種場景裡。
整體來說,很多新領域還是藍海,如果能孵化出商業模式,比如模型即服務的商業模式,能夠被內建、被生态夥伴認可,也會帶給我們團隊巨大的收獲感。
我覺得,安全闆塊應該在進入一個加速期,而在這個加速期,騰訊安全團隊最關注的一定是把握機會、做好産品。
![能快速建構和定制網絡拓撲圖的WPF開源項目-NodeNetwork[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)