近日,由工業(yè)和信息化部新聞宣傳中心指導(dǎo),騰訊安全、騰訊研究院、中國(guó)信息安全聯(lián)合三十余位業(yè)內(nèi)專家共同編制的《數(shù)字安全免疫力建設(shè)指南》(以下簡(jiǎn)稱指南)正式發(fā)布。圍繞“發(fā)展驅(qū)動(dòng)”的安全范式,指南從理念認(rèn)知、范式重建、量化評(píng)估、關(guān)鍵模塊以及實(shí)踐案例等方面,為企業(yè)構(gòu)建數(shù)字安全免疫力提供了指引和參考。
四大核心:構(gòu)建“發(fā)展驅(qū)動(dòng)”新范式
指南指出,“安全是發(fā)展的前提,發(fā)展是安全的保障”。當(dāng)前,網(wǎng)絡(luò)與安全密不可分,共同構(gòu)成了國(guó)家數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)設(shè)施,也成為企業(yè)創(chuàng)新與發(fā)展的基石。企業(yè)的數(shù)字化發(fā)展與安全建設(shè),亟待破除安全的“成本中心”思維,用發(fā)展的眼光看待安全,建立發(fā)展與安全融合的“發(fā)展驅(qū)動(dòng)”范式。
騰訊集團(tuán)高級(jí)執(zhí)行副總裁、云與智慧產(chǎn)業(yè)事業(yè)群CEO湯道生表示,數(shù)字化的快速發(fā)展,帶來(lái)不可忽視的安全問(wèn)題。企業(yè)的安全建設(shè)思維,需要從傳統(tǒng)的邊界防護(hù)與事件驅(qū)動(dòng),向異常行為監(jiān)測(cè)、威脅情報(bào)與數(shù)據(jù)驅(qū)動(dòng)轉(zhuǎn)變,建立一套合規(guī)、可擴(kuò)展、自適應(yīng)的數(shù)字安全免疫系統(tǒng)。
數(shù)字安全免疫力正是“發(fā)展驅(qū)動(dòng)”的探索。2023年6月,騰訊安全聯(lián)合IDC提出“數(shù)字安全免疫力”新框架,希望以企業(yè)客戶真實(shí)場(chǎng)景、真實(shí)痛點(diǎn)、真實(shí)需求為研究對(duì)象,為企業(yè)創(chuàng)建一套以數(shù)據(jù)與業(yè)務(wù)為中心,統(tǒng)籌發(fā)展與安全的方法論、工具集。
本次發(fā)布的《數(shù)字安全免疫力建設(shè)指南》是免疫力框架落地的具體實(shí)操路徑。在具體內(nèi)涵上,指南介紹了數(shù)字安全免疫力的四大核心:以企業(yè)運(yùn)作為最終目的,取代傳統(tǒng)將“安全”作為第一視角的建設(shè)思路,基于企業(yè)現(xiàn)狀、預(yù)算水平提升安全有效性,而非“絕對(duì)安全”。提前規(guī)劃主動(dòng)預(yù)案,基于企業(yè)業(yè)務(wù)的發(fā)展目標(biāo),提前為未來(lái)可能發(fā)生的威脅做好準(zhǔn)備并做好安全規(guī)劃。綜合協(xié)調(diào)安全資源,實(shí)現(xiàn)內(nèi)部安全產(chǎn)品以及外部安全資源的協(xié)同。最后通過(guò)足夠高的安全水位、自迭代能力以及非交互式驗(yàn)證的技術(shù)實(shí)現(xiàn)安全無(wú)感知。
數(shù)世咨詢創(chuàng)始人李少鵬從安全技術(shù)變遷解讀了數(shù)字安全免疫力的內(nèi)涵。他表示,安全已經(jīng)從傳統(tǒng)的計(jì)算機(jī)安全、信息安全、網(wǎng)絡(luò)安全演進(jìn)到了如今的數(shù)字安全,風(fēng)險(xiǎn)已不再局限于圍繞數(shù)字化資產(chǎn)的攻防對(duì)抗,數(shù)字安全免疫力的思路并非直接將“安全”作為第一視角,而是圍繞企業(yè)運(yùn)作中面臨的風(fēng)險(xiǎn)展開。
六大模塊:精確度量安全水平
不同規(guī)模、行業(yè)、數(shù)字化程度企業(yè)遭遇的個(gè)性化安全挑戰(zhàn)不一而同,同時(shí)伴隨著外部威脅和市場(chǎng)環(huán)境的快速變化,企業(yè)需要?jiǎng)討B(tài)掌握自身的安全水位。指南對(duì)此提出了“精確安全度量”――運(yùn)用安全評(píng)測(cè)工具動(dòng)態(tài)評(píng)估自身水位。例如騰訊安全研發(fā)的數(shù)字安全免疫力測(cè)評(píng)工具,通過(guò)填寫調(diào)研問(wèn)卷的方式,可讓企業(yè)掌握全局的安全建設(shè)短板。同時(shí),評(píng)估的報(bào)告也會(huì)將企業(yè)與行業(yè)平均水平對(duì)比,讓企業(yè)更直觀了解差距。
此外,指南還建議企業(yè)從“等?!睂?shí)際價(jià)值、安全人員能力、AI技術(shù)影響等維度動(dòng)態(tài)評(píng)估更新。例如,關(guān)注以AIGC為代表的新興技術(shù)安全。在AIGC的助力下,防御成本將大幅度下降,防御體系的自我決策和反應(yīng)能力都會(huì)指數(shù)級(jí)提升,核心思路也將從攻防驅(qū)動(dòng)轉(zhuǎn)為風(fēng)險(xiǎn)驅(qū)動(dòng),大量低級(jí)網(wǎng)絡(luò)攻擊手段將快速失效。
在持續(xù)完善“數(shù)字安全免疫力”框架的同時(shí),指南更關(guān)注企業(yè)實(shí)踐。根據(jù)數(shù)據(jù)安全、業(yè)務(wù)安全、邊界安全、端點(diǎn)安全、應(yīng)用開發(fā)安全與安全運(yùn)營(yíng)管理六大模塊對(duì)應(yīng)的具體場(chǎng)景為企業(yè)推薦對(duì)應(yīng)的建設(shè)意見與工具建議,為處于數(shù)字化轉(zhuǎn)型期的企業(yè)提供實(shí)戰(zhàn)指引。
在數(shù)據(jù)安全方面,數(shù)字安全免疫力建設(shè)指南提出數(shù)據(jù)分類、分級(jí)是數(shù)據(jù)安全建設(shè)的關(guān)鍵。同時(shí)要建立數(shù)據(jù)安全防護(hù)基線、建立統(tǒng)一化運(yùn)營(yíng)體系;業(yè)務(wù)安全方面,指南提出缺乏安全能力護(hù)航的業(yè)務(wù)可能成為黑灰產(chǎn)的“提款機(jī)”,人機(jī)識(shí)別、風(fēng)控引擎、內(nèi)容安全、業(yè)務(wù)安全合規(guī)等是必要的投入。
隨著云計(jì)算和數(shù)字化轉(zhuǎn)型,企業(yè)邊界模糊,需重新定義邊界為IT環(huán)境“入口”的集合。企業(yè)應(yīng)重視端點(diǎn)安全,統(tǒng)一協(xié)同邊界和端點(diǎn)安全產(chǎn)品,構(gòu)建新安全護(hù)城河,提高應(yīng)對(duì)未知風(fēng)險(xiǎn)和移動(dòng)辦公威脅的能力。
在應(yīng)用開發(fā)安全中,需要將安全建設(shè)也植入到開發(fā)團(tuán)隊(duì)當(dāng)中,并結(jié)合風(fēng)險(xiǎn)點(diǎn)部署安全工具,而且要確保開發(fā)團(tuán)隊(duì)能熟練使用安全工具;安全運(yùn)營(yíng)管理則需要發(fā)揮出“中心指揮部”的戰(zhàn)略價(jià)值,串聯(lián)起不同的安全產(chǎn)品、資源,建議引入SOC、威脅情報(bào)、攻擊面管理等技術(shù)提升安全運(yùn)營(yíng)效率。
免疫力實(shí)踐:護(hù)航企業(yè)數(shù)字安全
研討會(huì)上,來(lái)自多個(gè)行業(yè)的企業(yè)代表、安全負(fù)責(zé)人分享了自身數(shù)字安全免疫力的建設(shè)實(shí)踐。
作為數(shù)字安全免疫力框架模型的提出者,騰訊自身就是長(zhǎng)期的踐行者。在過(guò)去20多年的發(fā)展過(guò)程中,騰訊安全護(hù)航自身海量用戶和業(yè)務(wù)場(chǎng)景,就遵循著彈性、自適應(yīng)、可擴(kuò)展的安全建設(shè)思路。
據(jù)騰訊安全副總裁、云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)介紹,騰訊云目前打造了以默認(rèn)安全、底層可信、縱深防御為特點(diǎn)的高安全等級(jí)架構(gòu),讓企業(yè)在云上能天然具備更高的安全水位。
“商業(yè)的未來(lái)就是和AI深度綁定”,據(jù)悅商科技CEO、寶龍商業(yè)首席創(chuàng)新官吳弼川介紹,悅商運(yùn)營(yíng)管理系統(tǒng)依托騰訊云自研金融級(jí)AI-天御決策操作系統(tǒng),構(gòu)建了智能化的大數(shù)據(jù)風(fēng)控模型,保障用戶在商業(yè)運(yùn)營(yíng)全業(yè)務(wù)場(chǎng)景數(shù)據(jù)合規(guī)互聯(lián)互通,簡(jiǎn)化了80%的運(yùn)營(yíng)流程。
在醫(yī)療健康領(lǐng)域,腦動(dòng)極光CISO、OWASP分會(huì)負(fù)責(zé)人張坤建議重點(diǎn)關(guān)注遠(yuǎn)程醫(yī)療、健康傳感、臨床研究、器械維護(hù)等八大場(chǎng)景的數(shù)據(jù)安全。腦動(dòng)極光通過(guò)建設(shè)數(shù)據(jù)安全基礎(chǔ)能力、建立事件快速響應(yīng)能力、加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)感知三大舉措,提升了醫(yī)療數(shù)據(jù)的安全免疫力。
本次發(fā)布會(huì)上,指南還對(duì)2024年九大關(guān)鍵安全趨勢(shì)做了研判,覆蓋數(shù)據(jù)要素、工業(yè)互聯(lián)網(wǎng)安全、威脅情報(bào)等領(lǐng)域和技術(shù),為企業(yè)構(gòu)建免疫力提供前瞻式趨勢(shì)參考。
工業(yè)和信息化部新聞宣傳中心(人民郵電報(bào)社)總編輯王保平在會(huì)議上表示,希望專家智慧的沉淀,能夠切實(shí)成為企業(yè)安全建設(shè)的“指南針”和“設(shè)計(jì)圖”,幫助企業(yè)打造面向未來(lái)、適應(yīng)發(fā)展的數(shù)字安全免疫力體系,共同為網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)的高質(zhì)量發(fā)展貢獻(xiàn)力量。