企業(yè)安全正面臨著新的挑戰(zhàn)。首先，信息安全環(huán)境風浪轉為顛覆風暴。地緣政治、灰黑產、新技術帶來的新挑戰(zhàn)幾乎對所有的企業(yè)和行業(yè)都會造成影響，特別是和國際接軌的企業(yè)。此外，信息安全的合規(guī)壓力在世界范圍內逐漸增強，企業(yè)需要具備更加強大的安全能力。

其次，數(shù)字化業(yè)務時代來臨，企業(yè)數(shù)字化轉型進入深水期。2022年，全球各行業(yè)領先企業(yè)已經有14%進入數(shù)字化業(yè)務，其收入的30%-40%來源于數(shù)字化相關的產品和服務，而這一比例在2025年將達到42%-45%。這意味著未來企業(yè)數(shù)字化將會無處不在，安全作為企業(yè)數(shù)字化轉型的主要保障和助力，勢必同數(shù)字化一起快速發(fā)展。

最后是技術大變革，IT行業(yè)每隔10-15年就會迎來一次技術大變革，近幾年火熱的AIGC、量子計算、元宇宙等等都證明了當下的技術環(huán)境已經迎來變革期。同時，犯罪分子和黑客已經在利用這些新技術強化攻擊，因此，企業(yè)需要提升安全能力，以適應技術變革所帶來的安全環(huán)境和挑戰(zhàn)。

但是，企業(yè)的安全建設仍然是基于舊的安全建設“慣性”，一個是對外部威脅缺乏足夠的關注和響應，另一方面，安全的價值原點仍然是“合規(guī)”，沒有意識到核心業(yè)務和數(shù)據(jù)資產的防護才是核心目的。在此背景下，6月13日，騰訊安全聯(lián)合IDC等多家機構在北京舉辦數(shù)字安全免疫力研討論壇，并發(fā)布“數(shù)字安全免疫力”模型框架，提出用免疫的思維應對新時期下安全建設與企業(yè)發(fā)展難以協(xié)同的挑戰(zhàn)。

在此次論壇中，騰訊安全公布了此前與安在新媒體聯(lián)合發(fā)布的“2023企業(yè)數(shù)據(jù)安全水平抽樣調查報告”（下稱報告），對超過1500名CSO發(fā)起企業(yè)數(shù)字安全線上、線下抽樣調查。此次報告旨在圍繞企業(yè)安全管理者和建設者最核心的痛點展開，揭示企業(yè)數(shù)字安全建設的訴求，推動企業(yè)更加積極建設企業(yè)數(shù)字安全免疫力。此次報告的調研對象是1500+CSO、CISO等企業(yè)安全部門、業(yè)務負責人以及CIO、CTO、CEO等企業(yè)決策層。

此次報告針對企業(yè)總體安全能力、安全與發(fā)展的關系以及數(shù)字安全建設免疫力方面總結了包括企業(yè)安全投入失調、安全建設理念滯后等多條結論。在這些結論中，最令人在意的有以下三點：

首先是企業(yè)安全總體水位低于預期。報告指出，至今仍有11.3%的企業(yè)安全能力“基本空白”，不同行業(yè)安全成熟度差異巨大。報告顯示，在貿易、物流、醫(yī)療等行業(yè)，安全部署不充分的企業(yè)超50%，而智能網(wǎng)聯(lián)、車聯(lián)網(wǎng)、互聯(lián)網(wǎng)、政府、金融等行業(yè)的安全能力相對成熟。此外，安全投入低于5%預算的企業(yè)比例超過70%。誠然，相對于貿易、交通等行業(yè)，智能網(wǎng)聯(lián)、互聯(lián)網(wǎng)、金融等行業(yè)的數(shù)字化步伐更快，程度更深，對于安全的需求也相對較高。但在宏觀政策背景及數(shù)字經濟時代的當下，仍然有11.3%的企業(yè)在安全能力方面“基本空白”，造成這一現(xiàn)象的原因是什么？

其次是安全與發(fā)展存在斷層。報告指出，超過一半的受訪者認為，企業(yè)核心數(shù)據(jù)信息泄露是企業(yè)數(shù)字安全最大危害，其次是業(yè)務中斷。當下，越來越多的數(shù)據(jù)承載著企業(yè)的核心資產，而數(shù)據(jù)的流動屬性及非結構屬性導致傳統(tǒng)的安全防御體系無法完全奏效。同時，業(yè)務中斷會使企業(yè)面臨直接的經濟損失及品牌失靈等隱性損失，使企業(yè)業(yè)務發(fā)展帶來較大威脅。由于造成業(yè)務中斷的原因包括非人為的硬件故障、自然災害以及人為的配置錯誤、勒索攻擊、數(shù)據(jù)泄露等等，因此，對企業(yè)的整體安全能力要求更高。

此外，報告還指出，由于安全價值認知存在錯位，當下的企業(yè)安全戰(zhàn)略以被動防御為主。這導致企業(yè)在面對新技術、新應用所帶來的新安全威脅時，很難及時有效地進行針對性的防御，同時，被動防御無法防護網(wǎng)絡內部的攻擊，在應急響應方面也會稍顯滯后。對此，如何進一步推動安全與發(fā)展的聯(lián)系？

最后，報告指出，部分企業(yè)嘗試通過自研建立安全體系但總體效果不理想，17.4%企業(yè)沒有條件、8.9%企業(yè)“投了白投”;27.7%企業(yè)效果欠佳，35%的企業(yè)研發(fā)效率低。與合作伙伴聯(lián)合開發(fā)或經成熟廠商定制產品與服務更受企業(yè)青睞，聯(lián)合開發(fā)企業(yè)占比38.3%，定制開發(fā)占比37.3%。

出于成本壓力，企業(yè)可能會采用自研的方式建立安全體系。但由于人力資源的短缺、技術能力的不成熟以及數(shù)據(jù)、應用場景的匱乏等原因，自研安全體系得不到全方位的驗證，無法達到最佳效果，造成“先天免疫力”欠佳。同時，由于安全廠商市場的逐漸成熟，企業(yè)往往采用聯(lián)合開發(fā)等方式提升“獲得性免疫力”。但是，部分實踐證明，單靠采購安全產品等外力很難持續(xù)性地提升企業(yè)的整體安全能力。

對此，安在特別參與了此次數(shù)字安全免疫力研討論壇，并就上述問題在會后群訪環(huán)節(jié)與騰訊集團副總裁、騰訊安全總裁丁珂、騰訊安全策略發(fā)展中心經理呂一平、IDC中國副總裁武連峰、天融信科技集團副總裁劉斯宇等安全專家進行了深入討論。

武連峰認為，從2022年年底，數(shù)字化轉型發(fā)展已經到了一個臨界點，從業(yè)務的數(shù)字化轉向了數(shù)字的業(yè)務化，數(shù)據(jù)變的越來越重要，相關的安全也會變的更為重要。從價值和激發(fā)機制的角度來說，傳統(tǒng)理念相比，數(shù)字安全免疫力更加強調前置投入，把安全融入到企業(yè)的方方面面。

目前，企業(yè)安全建設已經進入了新的階段。除了合規(guī)、事件、攻防驅動之外，發(fā)展驅動已然成為企業(yè)安全建設的普遍共識，企業(yè)需從被動安全轉變?yōu)橹鲃臃烙?，以?shù)據(jù)資產和業(yè)務資產為目標，建設一套全新的安全范式和框架。

丁珂表示，當前企業(yè)普遍存在安全與發(fā)展斷層的問題，其中一個很重要的表現(xiàn)是企業(yè)安全預算投入不足。國際上對于安全預算有一個基準線，針對數(shù)字安全預算投入要占企業(yè)數(shù)字化整體投入的5%，關基、重要部門要占到10%。然而，根據(jù)報告顯示，70%的企業(yè)低于國際基準線，甚至有10%的企業(yè)低于1%。武連峰表示，當下對中國企業(yè)IT投入占營收比例普遍在1%以下，而中國企業(yè)的平均安全投入占IT投入的1.7%。

如此低的預算勢必會對企業(yè)總體安全能力帶來影響，同時，由于不同行業(yè)對安全需求的差異導致部分企業(yè)甚至幾乎沒有安全能力。在網(wǎng)絡安全的宏觀背景下，這些企業(yè)將面臨著更嚴格的監(jiān)管要求和更大的安全挑戰(zhàn)。

另一方面，由于企業(yè)安全和發(fā)展存在斷層，企業(yè)業(yè)務數(shù)字化越深入，安全的保障能力就越微弱。丁珂表示，部分企業(yè)的安全建設仍停留在“頭疼醫(yī)頭、腳疼醫(yī)腳”的傳統(tǒng)搭煙囪階段，而造成這一原因的底層邏輯是數(shù)字化時代的安全建設驅動力發(fā)生了根本變化。

對此，丁珂解釋道，在企業(yè)數(shù)字化剛剛起步階段，企業(yè)只需要達到靜態(tài)安全就能夠滿足當時的安全需求，因此，大多數(shù)企業(yè)都會采用最保守的安全防御策略。但隨著數(shù)字化階段的不斷深入，物聯(lián)網(wǎng)、大數(shù)據(jù)和云計算被廣泛使用，供應鏈越來越復雜，企業(yè)安全面臨的風險極速擴張，同時，由于監(jiān)管和法規(guī)的逐漸完善，企業(yè)安全建設迎來攻防、事件、合規(guī)等綜合因素驅動的新階段。

而現(xiàn)在，企業(yè)進入“數(shù)智化”時代，企業(yè)成為數(shù)字產業(yè)化的一部分，同時也是產業(yè)數(shù)字化的推動者。在這個過程中，數(shù)字化業(yè)務成為組織中樞，數(shù)據(jù)成為核心資產，企業(yè)安全需要從“被動安全”轉變?yōu)?ldquo;主動防御”，企業(yè)安全建設的驅動力也從過去的攻防、事件、合規(guī)變成現(xiàn)在的發(fā)展驅動。

在此次論壇上，騰訊安全對當前企業(yè)發(fā)展的安全新范式下一個定義，那就是“數(shù)字安全免疫力”。對此，呂一平表示，首先，免疫力指的是企業(yè)和業(yè)務需要將外部的安全能力轉換為自身的安全能力，建設“數(shù)字安全免疫力”能夠幫助企業(yè)在“數(shù)智化”時代建立安全思維，提高安全意識。其次，免疫力還代表著全局視角，數(shù)字化貫穿了企業(yè)全生命周期和業(yè)務單元中，單點的防護措施已經無法保障企業(yè)安全。面因此，安全不再只是CSO所關注的重點，而是要提升到CEO的高度，從頂層視角規(guī)劃安全建設，推動安全和業(yè)務的融合和發(fā)展。最后，免疫力能夠幫助企業(yè)聚焦安全在合規(guī)成本日趨增長的今天，企業(yè)需要對自身業(yè)務和安全架構進行梳理，優(yōu)先解決核心、重要、敏感的安全風險，“數(shù)字安全免疫力”模型可以作為參考，幫助企業(yè)進一步梳理自身安全問題和能力，推動企業(yè)的安全建設。

在此次論壇上，騰訊安全還發(fā)布了數(shù)字安全免疫力模型。據(jù)丁珂介紹，這一“洋蔥狀”的模型分為三層縱深，包括2個免疫堡壘，1個免疫中樞和3道免疫屏障。2個免疫堡壘指的是企業(yè)應當以數(shù)據(jù)和業(yè)務為核心建立數(shù)據(jù)安全治理和業(yè)務風險控制兩大縱深防御體系，1個免疫中樞指的是企業(yè)應該以人為核心建立常態(tài)化的安全運營管理體系，支持“中樞系統(tǒng)”運轉，3道免疫屏障指的是企業(yè)應該規(guī)避傳統(tǒng)軟硬件安全的桎梏，通過平臺思維和插件思維，將端點安全、邊界安全和應用開發(fā)安全作為3道屏障保護企業(yè)數(shù)據(jù)和業(yè)務。

此外，數(shù)字安全免疫力模型還經歷了大量的安全場景實踐，騰訊安全自身就是數(shù)字安全免疫力理念的踐行者，在經歷10億級用戶、海量業(yè)務場景、全球十余萬員工以及百萬客戶云平臺的驗證下，數(shù)字安全免疫力模型得到了充分的應用和迭代。同時，騰訊安全覆蓋了80%以上的金融行業(yè)客戶、90%以上的頭部能源企業(yè)，在眾多客戶的助力下，數(shù)字安全免疫力模型最終實現(xiàn)了以“發(fā)展驅動”為理念，重構數(shù)字時代的安全新范式。

數(shù)據(jù)和業(yè)務成為企業(yè)核心資產，企業(yè)勢必要在安全防護上也革新理念，重新排兵布陣。從大的趨勢來看，數(shù)字化業(yè)務將會覆蓋幾乎所有行業(yè)，絕大多數(shù)企業(yè)都將或被動或主動的擁抱數(shù)字化，因此，越早進入數(shù)字化、越早獲得安全免疫力，企業(yè)將會在未來的競爭中更具優(yōu)勢。

對此，騰訊安全以“數(shù)字安全免疫力”為各個行業(yè)提供了參考和學習的范本，期待騰訊安全的進一步發(fā)展，為更多產業(yè)和用戶提供更先進的安全理念和視角。


 

詳情請關注安在新媒體，一家信息安全領域媒體，以“做有內涵的泛黑客媒體”為方向，線上通過自媒體，采訪網(wǎng)絡安全領域人物梳理行業(yè)脈絡，通過介紹他們的經歷、感悟、對行業(yè)的看法等來剖析網(wǎng)絡安全發(fā)展的脈絡；致力于建立完整的信息發(fā)布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

官網(wǎng)：http://anzerclub.com/

市場部聯(lián)系（廠商）：徐倩（微信：Madeline_Sue）

市場部聯(lián)系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）