數字時代,網路安全依舊是攻防大戰,攻擊方和防守方沒變,變化的是戰場。
企業在擁抱數字化的同時,往往需要補足安全風險意識和技能。在近日舉辦的騰訊數字生態大會上,騰訊副總裁、騰訊安全總裁丁珂指出,數字化的程序並非一帆風順,在發展的過程中,網路安全是守護數字經濟健康可持續發展的基礎和保障,安全和數字化是伴生關係。
市場對網路安全的態度風向轉換僅僅用了兩年時間。相關資料顯示,全國有64%企業的CIO對網路安全的前景表示擔憂,在亞太地區有51%的企業經歷過網路的攻擊。
變化背後首要因素是政策,2021年《資料安全法》、《個保法》相繼頒佈,垂直領域如金融行業的資料管理辦法,工業安全的資料管理辦法陸續推出,短時間內密集實施的安全政策,體現了國家在網路安全層面的系統設計。
其次,疫情與數字化浪潮疊加,對更多行業產生了深遠影響,企業從資源驅動轉為資料驅動,勢必面臨著更大的安全敞口,安全已經成為數字化企業的底線和核心競爭力。
對於當下的網路安全態勢,騰訊安全有何思考,又如何具現騰訊在安全產業中的價值?在2021騰訊數字生態大會上,鈦媒體App對話騰訊副總裁丁珂,透過他的視角,全面瞭解了產業安全發展的現狀、趨勢以及騰訊安全的長期思考。
行業機會之下正視差距
“先不講行業會有多大機會,這個階段挺痛心的。”丁珂直言不諱。
中國網路安全行業有其自身的獨特性,國家快速實施的法律法規設定了紅線,並且建立了以信創為基礎的上層建築,同時推動了國產廠商走向自信、自強、自創的路徑,這是國內網路安全行業的大前提。
從國際化技術棧的視角看,我們現在的技術棧與組合能力,離真正國際上的威脅強度相比,攻擊方還是佔優。“但是在防守方跟建設方來看,把產品做到行雲流水的體驗,做到to B的產品與to C產品一樣還差得很遠。國際頂級安全廠商、雲廠商的線上產品使用者體驗都已經非常好”,丁珂說道。
近年來隨著資本的湧動,安全行業也難免為了資本“講故事”,丁珂告訴鈦媒體App,行業與現實有兩個層面的差距,也藉此機會向行業呼籲,正視差距,走向產業共建:第一,安全技術棧特別長,有的時候甚至覺得真正做安全的廠商還是太少,而且市面上冒出來的投資熱點有時過於網際網路化,不是真正做安全的,沉下心來做安全的可選擇廠商也有,但是遠遠不夠;第二,安全產業一定會走向開放合作,因為安全那麼長的技術棧,實際上分工繁多,每一個技術棧都需要做得很深。
“大家在創業的過程中,必然會經歷一個過程,單個廠商往往在產業鏈上的“點”有所建樹,但這個點拿到客戶面前,客戶不懂,你就賣不出價錢來。所以我們呼籲在產業上加以扶持,接下來騰訊安全也會專門設立創新沙盒扶持產業鏈廠商。”丁珂說,“安全產業確實很痛苦,門檻太高了,人人都說做安全,但其實真正懂安全的人不多,切身做過攻防有幾個?被資本熱捧的這一批,我覺得還是有點過度炒作。我認為,要達到國際頂尖的水平,還要在在使用者體驗,聚合性上給客戶一鍵安全的便利,技術距離真正解決問題還有相當大的差距。”
騰訊安全的差異化路徑選擇
在騰訊安全看來,雲原生一定比傳統IT更加安全。傳統的IT透過內外網隔離建設,但企業一旦把自己封閉到一個體系裡面,在雲技術和AI的攻擊手段之下,是不堪一擊的。
安全客戶也在想對策,如每一個季度引入紅藍軍,在金融、航空業、能源體系、房地產等各個領域引入沙盤演練。“我見過太多客戶自信滿滿說做得非常好,但是基本上一天之內肯定破防。真正的安全不是鴕鳥,關著門做安全,它一定是在最殘酷的攻防環境裡面歷練出來的,而且一定是跟著客戶的需求直面黑暗,天天都是在血雨腥風中打出來還能活下來,才是真正的安全。”丁珂說。
在本次大會上,騰訊安全提出,數字化帶來的收益切實可見,但可持續的長期發展,不但要保證自身的健康,還需要承擔企業責任,甚至是要發展數字未來利他的價值觀。
產業鏈條變長,資料的縱深極大,騰訊的實踐發現,或許產業攜手透過共建來構築面向數字經濟的安全底座,是一個必經之路。
若要實現安全產業共建,首要前提便是設定邊界與建立生態,對此,騰訊安全產品化路徑的選擇,從一出生開始就走出了差異化。
丁珂說,騰訊安全最主要的產品是雲原生產品,很多安全生態的廠商,不管是防火牆,還是端產品,或者流量深度分析產品,都是基於邊界做的。而騰訊是一家雲廠商,出發點是服務公有云安全,從一開始其實就沒有與行業直接競爭。
“坦率來講,行業廠商看到的安全市場盤500億,但騰訊安全拓展的並不是傳統安全市場,所以一開始就是競合關係,這個基礎也確實得到很多安全廠商的理解和認同,他不覺得你過來非要怎麼樣,反而他們跟我們一起看到了增量,所以合作基礎非常好。”
據瞭解,在類似智慧城市等總包型專案中,考慮到建設規模大、時間緊、任務重,需要以共建的思路幫助客戶建立安全屏障,行業往往採用合作的方式,組合多家安全廠商的優勢產品,共同為大專案服務。
丁珂也提到,傳統安全領域已經不乏廠商,騰訊覺得沒有再去重新做一遍,而且當下安全行業處於進化階段,產業也在共同探討長期的未來。有一些場景,合作伙伴比我們更適合做,騰訊安全會在技術棧中挑戰最難的領域,並且長期投入、長期建設。
安全共建的三個層次
騰訊安全確定好邊界,問題是如何“共建”?
在騰訊內部,騰訊安全與雲、微信、IEG、遊戲一起共建,把內部的優秀實踐,做到視覺化、智慧化、聯動化推到市場;在外部,騰訊安全與生態夥伴一起共建,共同面向數字經濟打造穩固的安全“底座”——騰訊和其他安全公司的一大差異就體現在這。
丁珂提到,共建的第一層是升級傳統的甲乙方供求關係,安全廠商和客戶共同以結果為導向,共同擔當、共同建設、共同成長。
傳統的安全是甲乙方以“買賣盒子”的交付形式,以邊界為防護目標。但是數字時代明顯邊界消融,甲乙方的關係實際上是背靠背的戰友關係。例如騰訊安全和上汽集團、華潤集團等大型央國企建立聯合實驗室,這是騰訊安全完善行業級安全能力的新嘗試。
共建的第二層是以資料為驅動,實現業務發展和資料安全共建。
騰訊安全觀察了很多客戶,總結了一套資料資產的馬斯洛模型,理論上說數字的價值越往上越高,但第三層是特別重要的分水嶺。下面兩層主要面對企業自主可控的生產物資、生產資料和生產流程環節,到了第三層以上,就轉變到了跟使用者行為資料的強互動,這時候,企業針對資料的所有經營,就進入了《網路安全法》《個保法》等法律法規相關的範疇。
在這個流轉過程中,需要特別重視價值雙贏,重視合規,而且在挖掘價值的同時,需要有一些強技術的支援。資料不落地的場景下,在面臨較強約束的情況下,整個產業怎麼樣能夠共同挖掘出面向未來的數字化產品的價值。
共建的第三個層面,是安全生態的聯動。安全共建是產業發展的必經過程,行業裡面不同安全廠商分別專心攻克關鍵點,再透過產業鏈協同提供給客戶一個整體的方案,這樣客戶才能接受,方案才能賣出價錢。
“從任何角度來看,我們都需要基於整個安全生態做好共建,大家拿出最好的技術和產品,為數字經濟構建穩固的基礎設施,提供最充沛的動能。”丁珂總結表示。
(本文首發鈦媒體App 作者 | 張帥)