作者:澎湃新闻记者 周頔
随着数字化进程加快,企业数字化体系的边界在不断拓展,安全风险和挑战不断增加,传统被动防御的安全应对常显疲态,数字安全时代亟待建立全新的安全范式。
6月13日,腾讯安全联合IDC等多家机构在北京举办研讨论坛,并发布“数字安全免疫力”模型框架,提出用“免疫力”的思维应对新时期下安全建设与企业发展难以协同的挑战。腾讯集团副总裁、腾讯安全总裁丁珂在论坛上表示,数智化新阶段,发展驱动成为安全建设的普遍共识,企业需从被动安全变为主动防御,以数据资产和业务资产为目标,建设一套全新的安全范式和框架。
当日,澎湃新闻(www.thepaper.cn)副总编辑、生态内容管理工作委员会主席黄杨也就当前网络安全态势、AI如何影响网络安全等议题与丁珂展开了对话。
当前,全球网络安全形势依然严峻,针对关键行业和新技术、新场景的网络安全威胁事件频发。例如,互联网、金融企业遭遇DDoS拒绝服务攻击比较常见,对传统工业、教育和医疗领域来说,勒索病毒攻击时有发生。此外,数字化程度较高的国家,也会对企业提出更严格的安全合规要求。
丁珂指出,对企业来说,安全不是成本而是生命线,也是业务“硬币”的另一面。在数智化新阶段,发展驱动成为安全建设的普遍共识,企业需将安全思维从被动建设变为主动防御,构建一套全新的安全范式和框架,提升数字安全免疫力,以更积极、主动的安全观,用“治未病”的思路替代“治已病”,前置预判、及时响应处置安全风险,才能维护品牌价值、保障健康发展。
同时,当前企业对安全建设还存在“不知往哪投入、不知如何投入”的普遍痛点。对此,腾讯安全提出企业可以根据数字安全免疫力模型框架全局部署安全,并且在重点领域,例如业务安全、数据安全、安全运营管理、边界安全、端点安全、应用开发安全等薄弱环节,重点注射“免疫力加强针”。
今年走进公众视野的AIGC,其产业化和产品化尚在摸索中,但已经有大量攻击者已经在用它生成攻击脚本、钓鱼邮件,甚至伪造身份用于诈骗。AI本身是安全的么?AI会让网络变得更不安全么?
腾讯安全研究认为,目前AIGC带来的风险主要集中在“不可解释”以及“不可追溯”的特性上,但这在技术上能够找到应对的方法。丁珂谈道,AIGC作为生产力的巨大提升,确实会带来更复杂的攻防态势和更大的防御难度。但任何新技术都要经历这个周期。而法律法规会随着技术的演进不断更新,让新技术的发展更加规范健全。
丁珂认为,随着我国网络安全法律法规体系的不断完善,合规将给企业推进网络安全带来很大的驱动力,并且是很直观地展现在需求侧。未来伴随着数据要素市场的建立或企业对于数据价值的挖掘,也将驱动数据安全市场迅猛增长。
对于腾讯安全的商业逻辑和经营之道,丁珂表示并不追求一定要构建竞争优势壁垒,而是期望跟生态共同发展的成长,腾讯安全希望通过能力开放实现安全与业务伴生的生态模式。
谈及未来,丁珂表示,安全板块已进入发展加速期,将持续关注处于蓝海的很多新业务领域,期望能孵化出新的商业模式,而腾讯安全团队也会持续关注并把握机会,做好产品。
以下为采访实录(在不改变原意的基础上略经编辑):
澎湃新闻:当前,以人工智能、大数据等新技术推动的第四次工业革命正在不断走向深入,给人类的生产生活带来了深刻的变化。而互联网作为新技术的载体,面临的安全挑战不仅数量在增多,形式也变得更加复杂。从互联网安全从业者的角度,腾讯观察到近年来国内外网络安全形势发生了哪些变化?这些变化呈现怎样的趋势?
丁珂:近年来,腾讯安全的能力不断成长,面向场景也在延伸,大致经历了三个阶段:
第一个阶段是从2000年前后开始的互联网PC时代。PC领域的盗版情况十分普遍,盗版软件也有漏洞,导致安全问题频发。我们做过统计,那个时候几乎60%的电脑都中过木马病毒。QQ是互联网时代普及率最高的软件之一,在这样的环境下用户的账户安全很难得到保障,于是腾讯就开展了PC端和手机端的安全软件业务,净化用户的上网环境。
然后,随着移动互联网兴起,腾讯的业务延伸到了保护用户隐私。用户使用安全产品的场景也开始有了变化,比如沟通、支付等等。而安全业务也从传统的端点保护变成了要搜集威胁情报,掌握网络攻击的情况,针对自身业务做到先发制人。
目前进入到第三个阶段——数智化时代。腾讯安全也从单纯服务个人用户,转变为建立合作供应链与上下游,服务于政府、金融、能源、汽车制造、教育、医疗等各个行业。在这个阶段,安全从用户、产品进入到产业和生态阶段,更多是面向B端客户提供完整的安全能力、助力他们建立完整的安全理念和范式,针对薄弱环节采用“对症”的安全产品。
我们调研了1500位CSO(首席安全官)和50位企业决策层,发现每家企业的数字化能力都有了巨大的提升。而数字化能力提升之后,却面临着一些安全建设的断层甚至鸿沟。一方面是安全意识不到位,有些企业在做安全规划时,还停留在买设备、拓带宽的层面,对于保护用户数据、维护业务安全等方面没有多少预算,对这些方面的安全意识也不强。另一方面是不知道往哪投入、怎么投入,这也是现阶段企业网络安全建设的普遍痛点。此外,即使法律法规的要求在持续强化,很多企业也并没有意识到,保护企业自身的数据资产安全、保护企业掌握的用户隐私数据安全,都已经成为企业必须承担的安全责任。
企业需要从全局构建“数字安全免疫力”,并且在重点领域,例如业务安全、数据安全、安全运营管理、边界安全、端点安全、应用开发安全等薄弱环节,重点注射“免疫力加强针”。腾讯安全的责任,是在不同发展环节、不同场景、不同攻防和合规需求下,为企业客户提供性能更好、防护效率更高的安全产品,帮助企业构建免疫力,以小成本解决企业面向未来的成长性问题。
澎湃新闻:目前企业的网络安全建设面临的最大挑战有哪些?是内部自身的问题更多些,还是外部攻击更多一些?腾讯安全的解决方案是什么?
丁珂:现在外部攻击压力是非常大的。互联网、金融企业遭遇DDoS拒绝服务攻击比较常见,对传统工业、教育和医疗领域来说,勒索病毒攻击时有发生。此外,数字化程度较高的国家,也会对企业提出严格的安全合规要求。企业必须与时俱进练好基本功,在安全领域持续投入,建立合理的治理安全框架、基于业务和数据的安全策略等,同时日常也要做渗透测试。
我们重要的客户,基本每季度或半年都会进行红蓝渗透测试和攻防演练。除非企业数字化水平特别低,或者企业没有商业价值,否则一定要做网络安全防护,并且也要注意威胁情报。
此外,企业还应特别重视“治未病”。行业里一旦碰到安全事件,就要快速自查,从技术和时效性层面时刻关注类似的安全情况,让安全建设形成系统化、体系化的条件反射。
澎湃新闻:ChatGPT的火爆出圈,让人工智能再次成为公众热议的话题。当前AI大模型落地商业化还处在摸索中,但一些不法分子已经将AI用在了网络攻击中。腾讯安全在人工智能伦理方面的考虑有哪些?
丁珂:今年走进公众视野的AIGC(生成式人工智能),其产业化和产品化尚在摸索中,但已经有大量攻击者已经在用它生成攻击脚本、钓鱼邮件,甚至伪造身份用于诈骗。当攻击变得无处不在的时候,传统的安全产品也需要接受技术革新。
AI会让网络变得更不安全么?可能阶段性会有这个趋势,我认为应该从两个方面看:
一方面,技术进步的速度往往快于法律法规的更新,各国皆是如此,对于AI这种先进的技术工具,不同国家和地区的法律法规都有不同程度的滞后。一般情况下人们在应用新技术时,往往会循序渐进,不仅会考虑法律法规,而且还会有很多伦理、道德方面的思考,摸索出一条可持续的使用路径,而恶意攻击者在使用新技术时往往会将它用到极致。新技术应用一般都会经历这样的一个周期。
另一方面,大模型平台自身也在探索法律法规和伦理道德,从而防止被坏人利用。早期,不法分子确实可以利用大模型来快速生成攻击代码。但现在大模型平台可以判断这样的请求是不是有危害性,如果有就会发出提醒,同时并不会按照指令行事生成攻击代码。
当然这个过程中也确实可能会碰到模棱两可、看上去正确或中性的指令,比如deepfakes生成换脸的视频或照片,可能用于正当用途,也可能用于非法用途,这个防范起来就变得复杂了。
虽然说攻击方的确天然占据先发优势,但是过往的经验上看,总体上看防御侧都是能够应对的。对于目前出现的AIGC的攻击应用,我们的技术团队做过研究,风险主要集中在“不可解释”以及“不可追溯”的特性上,但这在技术上能够找到应对的方法。
澎湃新闻:维护网络安全的支出并不会直接产生效益,一些企业会认为增加了自身负担,对此您怎么看?
丁珂:这关系到产业安全的商业逻辑,也就涉及我们提出的“企业数字安全免疫力”新范式。腾讯安全认为,免疫力也是企业原生的成长过程。
一方面,安全对企业来说是生命线,当前很多监管标准叠加,合规成本上升。特别是在内容安全领域,我们了解到一些企业大规模使用人工团队进行筛查,从商业的成本收益模型上看,如果AIGC等自动化平台可以实现调用,将极大节约企业内容风控审核的成本。我们观察到,2021年到2022年,国内内容风控API(应用程序编程接口)调用量涨了130%左右,但整个市场规模涨了20%左右,这说明整体市场空间越来越大,企业内容审核的实际成本在不断降低。
另一方面,安全就像是企业核心业务这枚硬币的“背面”,安全建设得越好,业务团队越能安枕无忧。在我们腾讯内部,业务团队不觉得安全投入是成本项,如果第一时间打掉了安全风险,企业的产品品牌价值就不会损失,收入不会莫名其妙地流失,业务的健康度也会保持在一个平稳的水位。
以网络游戏为例,如果不做好安全防护,出现了外挂、盗号等情况,对业务营收肯定是有影响的。所以对于业务团队来说,往往很乐意负担安全的成本,不会推三阻四。他们会说:一定要把安全投入和发展收益最高效地结合在一起,形成一种企业原生的安全价值观。
以前传统的IT企业,每年会将IT建设的5%-9%划做安全支出,但当前IT的商业模式开始呈现两个趋势,一种是授权服务方式,与客户长期共同发展,另一种是MaaS服务解决方案,我们在云端构建API,客户企业需要本地化部署我们就去建设。
澎湃新闻:随着《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规落地,网络安全领域的合规压力有感受到增大吗?
丁珂:近几年国家对网络安全越发重视,政策法规也逐渐系统化,几乎每年都会编制、修订两三部关键的法律法规。这对整体安全来说是好事,可以让无边界的责任变得清晰明确,但是企业短期可能会不适应,但未来一定会更聚焦一些有价值的方向。
可以说,合规确实是安全很大的驱动力,并且是很直观地展现在需求侧。比如原来做传统安防设备的厂商,因为他们有生物识别的应用,最近两年也会开始咨询数据安全相关的产品;比如去年《反电信网络诈骗法》出台之后,很多银行也开始咨询和购买我们的反欺诈产品。
我们也感受到了国家信创在更多行业应用落地,从早期试点到现在越来越成熟,给了非常大的指引。对我们来说,与客户合作共建安全不会有任何障碍。我们也参与了很多客户的数字化流程建设与产品研发过程,包括在安全性、开放效率等不同角度实现了合作。基于这种信任,我们和客户会协同解决漏洞等问题。
当下最棘手的问题是一些企业在特定历史时期的存量问题比较多,积累起来,企业没有能力去改变。但随着信创的推进,这些问题不会是停滞不前的,会共同进步,越来越合理。
澎湃新闻:在数据收集和存储方面,网络安全面临的挑战越来越多,对于企业数字化转型过程中遇到的数据安全问题,腾讯安全采取了哪些策略来保护企业的数据安全?
丁珂:当前很多金融服务公司、互联网公司等,他们没有特别大规模的固定资产,数据就是他们的核心资产,有巨大的潜在价值。所以,数据安全最重要的一点是法律法规层面的合规性,这在全世界也是通行的。未来伴随着数据要素市场的建立或者说企业对于数据价值的挖掘,基于数据安全驱动的安全市场增量将会非常大。
我们一般会将数据分为四个大类:个人隐私数据、企业业务相关的行为数据、交易数据、内容数据。这四大类数据的界定非常关键,比如广告使用了用户的行为数据,法律规定企业可以闭环使用。而有些数据企业是不能用的,比如内容数据、隐私数据等。
腾讯安全会帮助提供识别权限管理和敏感数据加密的服务,就是隐私保护和特定用户权限,以及权限变更的风险提示。当前数据的关注度很高,而且法律法规的要求也持续变化,我们一直在持续跟进。
澎湃新闻:在安全赛道上,腾讯安全自身的最大优势是什么?如何构建竞争优势壁垒?
丁珂:腾讯经历了海量个人用户助推企业成长的过程,业务领域也越发全面复杂,从IM、游戏到支付、云业务等等。腾讯安全的技术和能力,恰恰源自于腾讯过去二十多年自身发展中的积累,并在腾讯及生态海量场景和产品中获得实践。在安全领域的产品、服务,我们都是通过实践积累走出来的,这方面还是非常自信的。我们积累了优势的原子能力,又将这些能力封装,并在腾讯自身的业务上进行了工程验证。我们的技术能力、对产品的提炼以及对业务的理解上,都还是有独到的地方的。
在To B服务客户的过程中,我们深度参与了金融、能源等好多项目,也有了自己对这些行业的安全观察,这也是我们比较自信的地方。
对于未来,我们也并不追求一定要构建竞争优势壁垒,期望能走跟生态共同发展成长的路径。我们会越来越多地把产品变成API、SDK(软件开发工具包)模块化产品,让合作伙伴来用,直接集成。很多安全厂商也是我们的合作伙伴,他们也看重腾讯安全的“三大原子力”:AI、威胁情报和攻防能力。例如威胁情报是很多客户关注的能力,很多厂商的安全设备里就直接集成了我们的API,能直接调用腾讯安全的能力。
我们不想建立壁垒,反而希望打破壁垒,和业界共同发展,往能力开放这个路径上走。从腾讯安全的视角来看,合作、开放、共赢是必然的趋势。安全产业是生态伴生型的生态形式,安全能力强、产品质量好的厂商,就会建立强伴生的关系。未来,安全和业务是强伴生的,越是偏向业务的安全越要有自信。
澎湃新闻:腾讯安全是否有计划进一步深化与政府、企业以及社会各界的合作,提高整体网络安全水平?我们知道维护网络安全也是国家责任,您如何看待网络安全中的国家责任和企业责任?二者边界该如何设定?您如何看待网络安全产业的未来?
丁珂:安全最重要的是系统化,在过去几年里,国家的法律法规系统化定义了安全,目前正在推动安全领域进步,特别是合规要求,明确了企业的主体责任。
比如对一家酒店的经营者来说,住客会留下很多信息,这些信息他不能拿出去卖,如果管理不善造成了泄露、造成了用户损失还要担责。当前国家的各种法律法规、规章制度,把企业的数据安全责任和用户隐私责任界定得很清楚。
与此同时,很多历史欠账还是要补救的,目前企业在安全投入上的节奏与数字安全基础设施有错位,造成了有些关键数据已经流出去了,可能会产生不好的影响。腾讯安全的角色就是要帮助企业更好、更安全地跟用户互动,在了解的过程中将用户数据的价值挖掘出来,同时担负起安全责任,让企业能够长远安全发展不留隐患。总体来说,发展兼顾社会责任和安全是一个体系化的成长,所以一定是与法律法规、企业责任共同成长的。
对于边界问题,现在不是管得过多,而是很多的法律规章框架存在衔接的问题,上位法在金融、零售等行业的实践落地存在适配度问题,实践中还有很多空档可以调整优化,还处在共同成长的阶段。制度建设层面,法律法规也不需要太多,而是需要细则,行业应用方面往往需要一个摸索周期。
澎湃新闻:放眼未来,互联网安全还将应用于哪些商业新场景?未来腾讯安全在技术创新方面还有哪些计划?有什么远期目标?
丁珂:对于腾讯安全来说,未来还是要在客户企业数字化业务的大场景里持续成长,以最快速度解决问题,把新技术落实到各种场景里。
整体来说,很多新领域还是蓝海,如果能孵化出商业模式,比如模型即服务的商业模式,能够被集成、被生态伙伴认可,也会带给我们团队巨大的收获感。
我觉得,安全板块应该在进入一个加速期,而在这个加速期,腾讯安全团队最关注的一定是把握机会、做好产品。