無論是難以量化還是積重難返，都是企業(yè)建設(shè)網(wǎng)絡(luò)安全的阻礙，造成這一切的背后原因是什么？

思科在今年3月發(fā)布的《2023全球網(wǎng)絡(luò)安全準備指數(shù)》中指出了一個看起來似乎違背直覺的結(jié)論：發(fā)達國家與發(fā)展中國家相比，組織應(yīng)對網(wǎng)絡(luò)安全事件的準備有明顯不足。總體網(wǎng)絡(luò)安全最成熟的國家包括印度尼西亞、菲律賓、泰國及印度等亞太國家，其中，印度尼西亞有39%的組織處于思科定義的網(wǎng)絡(luò)安全“成熟階段”，菲律賓和泰國有27%的組織處于成熟階段；印度有24%的組織處于成熟階段。

而那些網(wǎng)絡(luò)安全發(fā)展較早、步伐較快的發(fā)達國家，在這方面同發(fā)展中國家有明顯差距。日本僅有5%的組織處于“成熟階段”，韓國僅有7%。其他地區(qū)的發(fā)達國家也不例外，美國只有13%的組織處于“成熟階段，加拿大僅有9%，墨西哥僅有12%。

對此，思科解釋到，造成發(fā)達國家和發(fā)展中國家網(wǎng)絡(luò)安全準備方面的巨大差距源于技術(shù)債務(wù)。與發(fā)達國家相比，發(fā)展中國家最近才開始陸續(xù)采用數(shù)字技術(shù)，這意味著這些組織沒有大量的遺留系統(tǒng)，在其IT基礎(chǔ)設(shè)施中部署和集成安全解決方案相對更容易。此外，技術(shù)債務(wù)的層層累加讓無法企業(yè)量化自身的安全狀況，也就無法實現(xiàn)對安全的全局把控。

報告表示，技術(shù)債務(wù)所帶來的巨額成本以及更新系統(tǒng)的影響，是發(fā)達國家組織在網(wǎng)絡(luò)安全方面準備不足的主要因素。此次報告基于對全球27個國家和地區(qū)及6700名網(wǎng)絡(luò)安全領(lǐng)導者的調(diào)查，思科將這些組織分為四個類型，初級、成形、已經(jīng)取得進展、成熟。其中，47%的組織處于成形階段，他們已經(jīng)采取了一些基本安全措施來保護自己；30%處于已經(jīng)取得進展，8%處于初級階段，只有15%處于成熟階段。

在我國，這樣的現(xiàn)象同樣存在。數(shù)字化進程較早的企業(yè)，近年來在安全方面的支出持續(xù)增加。這不僅是因為數(shù)字化帶來了更多的安全需求，還有為了應(yīng)對新的安全挑戰(zhàn)，更新遺留系統(tǒng)所帶來的高昂成本。對此，不少網(wǎng)絡(luò)安全供應(yīng)商提供了多種多樣的解決方案。以企業(yè)數(shù)據(jù)安全治理為例，不少供應(yīng)商提供了更精進的算法和更便捷的工具，以助于這些組織發(fā)現(xiàn)和分析那些存量數(shù)據(jù)。

但這種方法治標不治本，組織的安全技術(shù)債務(wù)來自于舊技術(shù)的滯后以及需求不清晰所帶來的盲目擴張，想要徹底解決這一問題，最好的方式或許是深入挖掘組織當下和未來的安全需求，評估現(xiàn)有的安全狀況，因地制宜、循序漸進地建設(shè)和改造現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)。但是，明晰自身需求，量化安全對于企業(yè)來說并不是一件容易的事。雖然可以通過合規(guī)指導來推動安全建設(shè)，但想要以安全來促進發(fā)展，只憑合規(guī)是遠遠不夠的。

對此，騰訊安全在9月7日召開的騰訊全球數(shù)字生態(tài)大會上，再一次提出了企業(yè)數(shù)字安全免疫力模型。這是繼今年6月騰訊安全召開的數(shù)字安全免疫力研討論壇后，又一次提出要建設(shè)企業(yè)安全免疫力。在會上，騰訊安全不僅進一步剖析了免疫力模型的價值和功能，還推出了配套的企業(yè)安全自評估工具，助力企業(yè)查漏補缺，彌補安全建設(shè)中的薄弱點或缺失點。

9月7日，2023年騰訊全球數(shù)字生態(tài)大會在在深圳國際會展中心正式舉辦，本屆大會以“智變加速、產(chǎn)業(yè)煥新”為主題，下設(shè)20余個分論壇。在9月8日下午召開的數(shù)字安全分論壇中，騰訊集團副總裁、騰訊安全總裁丁珂表示，在AI大模型所帶來的智能化時代，企業(yè)需要建立以發(fā)展驅(qū)動的安全建設(shè)理念。同時，企業(yè)需要建立可度量的安全體系，評估安全建設(shè)的有效性。

如果說企業(yè)建設(shè)網(wǎng)絡(luò)安全是搭建一堵墻，那么這堵墻的大小、位置、方向以及搭建這堵墻所用到的材料等等就是企業(yè)的安全需求，挖掘企業(yè)的安全需求就是為了更好地建設(shè)網(wǎng)絡(luò)安全。通常，企業(yè)往往會通過合規(guī)、業(yè)務(wù)等方面的需求來確定安全需求。

但當下的網(wǎng)絡(luò)環(huán)境愈發(fā)惡劣，網(wǎng)絡(luò)攻擊日益頻繁、所帶來的損失日趨增長，對于企業(yè)來說，頭痛醫(yī)頭腳痛醫(yī)腳地建設(shè)安全很容易顧此失彼，無法全面、完整地保障企業(yè)的IT環(huán)境和核心資產(chǎn)。為此，騰訊安全結(jié)合騰訊自身多年的實踐和大量客戶的反饋，逐漸形成了一套數(shù)字安全免疫力模型。

免疫力模型模型以“洋蔥”狀層層疊加，最外層包括邊界安全、端點安全和應(yīng)用開發(fā)安全，這是大部分企業(yè)最常見、最基礎(chǔ)的安全能力建設(shè)。

中間層是安全運營和管理，騰訊安全在過去的一段時間內(nèi)對一些企業(yè)進行了測評，其中發(fā)現(xiàn)有部分企業(yè)雖然采購了網(wǎng)絡(luò)安全設(shè)備和工具，但安全狀況未能得到改善，無法滿足其預期。騰訊安全策略發(fā)展中心總經(jīng)理呂一平表示，這些企業(yè)普遍缺乏運營和管理能力，導致安全設(shè)備和工具無法聯(lián)動和協(xié)同，因此，中間層強調(diào)的是企業(yè)對于安全的運營和管理能力。

最內(nèi)層是當下企業(yè)最關(guān)注的數(shù)據(jù)安全及業(yè)務(wù)風險控制。自2021年《數(shù)據(jù)安全法》及《個人信息保護法》的發(fā)布后，數(shù)據(jù)安全成為很多企業(yè)關(guān)注的重點。此外，在今年很多安全類的創(chuàng)業(yè)大賽上，參賽企業(yè)大多集中在數(shù)據(jù)安全這一賽道，這也側(cè)面體現(xiàn)出企業(yè)對數(shù)據(jù)安全的需求激增。業(yè)務(wù)風險則是如智能網(wǎng)聯(lián)汽車、金融、互聯(lián)網(wǎng)等行業(yè)關(guān)注的重點，保障其業(yè)務(wù)正常平穩(wěn)的運行是這類行業(yè)的核心安全目標。

上述六個主要維度基本涵蓋了大部分企業(yè)的網(wǎng)絡(luò)安全需求，也是大部分安全供應(yīng)商所能服務(wù)的范疇。目前，針對安全狀況測評已經(jīng)有不少供應(yīng)商提出了自己的觀點和工具，那么對于企業(yè)來說，騰訊安全的免疫力模型的優(yōu)勢在哪里？

對此，呂一平解釋到，數(shù)字安全免疫力模型首先是騰訊基于自身多年的安全防護經(jīng)驗和專家知識累積的。和其他安全廠商相比，騰訊安全的產(chǎn)品服務(wù)方案要經(jīng)過騰訊內(nèi)部大體量級的業(yè)務(wù)考驗。此外，騰訊的業(yè)務(wù)屬于高度數(shù)字化的互聯(lián)網(wǎng)業(yè)務(wù)，在發(fā)展的過程中積累了非常多的數(shù)字化和在線化需求，這同大部分數(shù)字化轉(zhuǎn)型中的企業(yè)的需求不謀而合。因此，騰訊安全在總結(jié)經(jīng)驗后，不僅可以提供經(jīng)過實踐驗證的安全方案和服務(wù)，還能夠解決大部分企業(yè)在數(shù)字化轉(zhuǎn)型中存在的問題和需求。

其次，免疫力模型還是騰訊安全在服務(wù)TOB行業(yè)的過程中，不斷收集不同行業(yè)的反饋，總結(jié)包括金融、制造、汽車等重點行業(yè)的典型客戶需求后，經(jīng)過沉淀和通用化所形成的。這意味著免疫力模型對那些數(shù)字化轉(zhuǎn)型及對安全關(guān)注和需求程度較高的企業(yè)和行業(yè)有很強的適配性。借助免疫力模型，企業(yè)可以參考行業(yè)頭部的最佳實踐案例，挖掘行業(yè)特有安全需求的同時，也能發(fā)現(xiàn)自身與頭部企業(yè)的差距。

呂一平強調(diào)，數(shù)字安全免疫力模型不是產(chǎn)品，也不會走商業(yè)化的道路。它是騰訊安全為了梳理企業(yè)安全需求、打造企業(yè)安全觀念、塑造企業(yè)安全模式的思維框架圖，為此，騰訊安全不僅在自身和部分客戶進行了實踐驗證，還對部分客戶進行了輕量化的咨詢。根據(jù)免疫力評估梳理出的痛點，騰訊安全與客戶一起探討、深入細節(jié)、解決問題，最終形成可落地的解決方案，這也是騰訊安全在過去幾個月一直做的事。

免疫力模型除了上述優(yōu)勢以外，還有哪些功能？實際上，并非所有企業(yè)都不清楚自身的安全需求，對于部分企業(yè)來說，他們已經(jīng)足夠了解自身的安全現(xiàn)狀和短板，但他們?nèi)鄙俚氖锹涞胤椒?。知道問題卻不知道如何解決問題是這類企業(yè)的“通病”，而這也是免疫力模型所能解決的另一個主要問題，安全方案的落地性。

據(jù)呂一平介紹，騰訊安全近期與一家新能源行業(yè)的企業(yè)就安全方案落地方面進行了深入的交流。該企業(yè)此前也曾咨詢過其他安全廠商，這些安全供應(yīng)商不僅制定了詳細的規(guī)劃，還撰寫了一大堆文檔共企業(yè)參考。但是，這個解決方案提出后，該企業(yè)的問題并沒有完全得到解決。這是因為他們?nèi)狈β涞胤绞?，他們不清楚?yīng)該如何實施這套解決方案，因此也就無法全面地解決問題。

騰訊安全入場后，首先利用免疫力模型對該企業(yè)進行了整體的安全狀況評估。在評估之后，騰訊安全發(fā)現(xiàn)該企業(yè)當前最主要的問題是梳理核心業(yè)務(wù)及核心場景所需要的資產(chǎn)和數(shù)據(jù)。在清楚地發(fā)現(xiàn)問題之后，騰訊安全利用免疫力模型與騰訊安全產(chǎn)品及服務(wù)強結(jié)合的特點，提出了基于免疫力模型的安全產(chǎn)品和方案，并幫助他們成功解決問題。

然而，騰訊安全并不是一家萬能的公司，總有自身沒有涉獵或力有不逮的安全領(lǐng)域，那么在面對此類問題時，免疫力模型是否就無用武之地了呢？對此，呂一平表示，免疫力模型最大的功能不是讓騰訊安全的產(chǎn)品入場，而是讓用戶獲得安全的原子能力。

如果將企業(yè)比作人，那么企業(yè)采購安全產(chǎn)品就相當于打針吃藥。通過打針吃藥雖然能夠解決一定的問題，但對于一個人來說，最好的辦法是通過先天或者后天的方式獲得持續(xù)性的抗體，從而在面對任何病毒時都能夠應(yīng)對。企業(yè)在采購安全產(chǎn)品也是如此，如果只是單純的將安全產(chǎn)品當作解決問題的工具，企業(yè)只會陷入產(chǎn)品越來越多，問題卻無法解決的困境。此外，對于企業(yè)來說，安全供應(yīng)商不能代表企業(yè)的安全能力，這是因為雙方對安全的責任不同。企業(yè)需要安全供應(yīng)商，但也需要建設(shè)自己的能力。因此，汲取安全產(chǎn)品所蘊含的原子能力是企業(yè)建設(shè)安全的重中之重。這也是免疫力模型中“免疫力”所強調(diào)和特指的部分。

此外，在此次數(shù)字生態(tài)大會上，騰訊安全還推出了與免疫力模型配套的企業(yè)安全自評估工具。為了打造這款工具，騰訊安全在6月份發(fā)布免疫力模型之后，對各行各業(yè)幾十家企業(yè)進行評估，并重點關(guān)注了金融、能源、制造和智能網(wǎng)聯(lián)汽車等幾個行業(yè)。

在評估工具中，這些企業(yè)將分為四個不同的類型，包括專家型客戶、運營型客戶、工具型客戶和待提升的客戶。據(jù)呂一平介紹，這四個類型是根據(jù)企業(yè)的數(shù)字化轉(zhuǎn)型進程以及數(shù)字化建設(shè)的成熟度而劃分。其中，專家型客戶指的是安全能力建設(shè)已經(jīng)足夠成熟，從各個維度都能獲得較高的打分，但在某些細分場景中還有一定的需求。這類企業(yè)有一個共同點，那就是能夠集成安全的原子能力。換言之就是這類企業(yè)已經(jīng)擁有一個較為成熟的安全運營和管理的平臺體系，能夠基本覆蓋全部的企業(yè)業(yè)務(wù)和IT場景，對安全的需求主要圍繞在如何集成更多技術(shù)和能力，而非解決單獨的某個問題。

運營型客戶更多的是半互聯(lián)網(wǎng)行業(yè)的公司，這類企業(yè)強調(diào)強安全運營，對業(yè)務(wù)的需求格外了解。通常，這類企業(yè)不會購買特別多的安全產(chǎn)品或設(shè)備，而是會圍繞業(yè)務(wù)制定運營流程和建立安全的監(jiān)控體系，安全水平主要是通過運營能力來驅(qū)動。運營型客戶在評估中可能會發(fā)現(xiàn)自身在工具方面還是有一定的缺失，這也是運營型客戶需要補充和關(guān)注的焦點。

工具型客戶通常是那些安全能力建設(shè)較為基礎(chǔ)的，但在其行業(yè)中又屬于頭部的這一類企業(yè)。它們的普遍特點是安全能力投入不足，雖然具備一定數(shù)量的安全產(chǎn)品，但因缺乏統(tǒng)一的運營能力導致其沒有一個健康的、有效的安全運營體系。因此，這類企業(yè)在面臨安全事件時，很可能因安全設(shè)備之間的聯(lián)動不暢導致沒有快速、高效的響應(yīng)機制。

實際上，工具型客戶也是免疫力模型的最主要受眾之一。通過免疫力模型，工具型客戶可以發(fā)現(xiàn)自身的安全薄弱點及安全需求，并參考騰訊安全推出的產(chǎn)品和工具來彌補。同時，企業(yè)還可以借助例如騰訊安全的安全托管服務(wù)等，聯(lián)動其擁有的安全設(shè)備，提高其整體安全運營能力。

最后是待提升的客戶。這類客戶無論從管理理念還是從安全建設(shè)的角度都處于一個需要提升的過程和階段。對于這類客戶來說，騰訊安全能夠做到的更多。在工具方面，騰訊安全能夠提供針對不同行業(yè)、不同需求的安全產(chǎn)品；在運營方面，騰訊安全也可以幫助企業(yè)組建安全團隊，分工協(xié)作；在制度方面，騰訊安全可以幫助企業(yè)劃分安全職責?？偠灾嵘目蛻粜枰氖且粋€全面、詳細且站在頂層視角的安全規(guī)劃和路徑，以梳理和發(fā)現(xiàn)更多的問題。

通過分析上述行業(yè)，騰訊安全已經(jīng)總結(jié)了大部分的共性安全需求和問題，并將其與騰訊安全所擁有的安全專業(yè)知識和理解相結(jié)合，并最終推出了安全自評估工具。

目前，安全自評估工具幾乎適用于任何體量的企業(yè)。對于大型企業(yè)或行業(yè)頭部企業(yè)來說，他們可以通過該工具梳理需要解決的問題和重點的建設(shè)規(guī)劃，并通過騰訊安全的產(chǎn)品或其他第三方的產(chǎn)品得到解決。值得注意的是，對于這類企業(yè)來說，建設(shè)安全更需要的是企業(yè)的投入，無論是資源還是精力，企業(yè)投入越多，解決的問題就越多。

對于中小型企業(yè)來說，安全自評估工具可以幫助他們清楚地知道自身的安全水平以及同行業(yè)的安全基礎(chǔ)水位。通過安全自評估工具的度量結(jié)果，企業(yè)不僅可以清晰地梳理自身的短板，最重要的是，還可以將有限的資源投入到亟需解決的問題上。

在“數(shù)智化”時代，“治己病”已然無法滿足企業(yè)的安全需求，如何“治未病”才是更多企業(yè)所關(guān)注的。通過免疫力模型和安全自評估工具，企業(yè)可以退一步，從治理具體問題延伸到企業(yè)的全局視角，基于頂層邏輯來真正挖掘企業(yè)當下和未來的安全方向，從而實現(xiàn)“治己病”到“治未病”的跨越。

今年6月，騰訊安全首次發(fā)布了數(shù)字安全免疫力模型，那時的騰訊講述的主要是理念和思維模式，而在此次數(shù)字生態(tài)大會上，騰訊安全已經(jīng)提取了包括金融、能源，制造、智能網(wǎng)聯(lián)汽車等多個行業(yè)的共性安全需求和問題，并推出了安全自評估工具。

圍繞著數(shù)字安全免疫力模型，騰訊安全在這一年時間已經(jīng)做了足夠多的工作，但他們并不愿止步于此。未來，騰訊安全將進一步覆蓋更多的行業(yè)，歸納總結(jié)不同行業(yè)的安全能力建設(shè)水位，提取行業(yè)共性的痛點和問題以及不同行業(yè)在數(shù)字化轉(zhuǎn)型中所關(guān)注的場景和安全能力需求。通過上述工作，騰訊安全不僅能夠發(fā)現(xiàn)更多客戶的需求，還能進一步優(yōu)化產(chǎn)品，促進迭代。期待騰訊安全在這條正循環(huán)的路上越走越遠，也希望數(shù)字安全免疫力模型及配套工具能幫助更多的企業(yè)建設(shè)和發(fā)展自身的安全。


 

詳情請關(guān)注安在新媒體，一家信息安全領(lǐng)域媒體，以“做有內(nèi)涵的泛黑客媒體”為方向，線上通過自媒體，采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò)，通過介紹他們的經(jīng)歷、感悟、對行業(yè)的看法等來剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò)；致力于建立完整的信息發(fā)布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

 

官網(wǎng)：http://anzerclub.com/

市場部聯(lián)系（廠商）：徐倩（微信：Madeline_Sue）

市場部聯(lián)系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）