無(wú)論是難以量化還是積重難返，都是企業(yè)建設(shè)網(wǎng)絡(luò)安全的阻礙，造成這一切的背后原因是什么？

思科在今年3月發(fā)布的《2023全球網(wǎng)絡(luò)安全準(zhǔn)備指數(shù)》中指出了一個(gè)看起來(lái)似乎違背直覺(jué)的結(jié)論：發(fā)達(dá)國(guó)家與發(fā)展中國(guó)家相比，組織應(yīng)對(duì)網(wǎng)絡(luò)安全事件的準(zhǔn)備有明顯不足。總體網(wǎng)絡(luò)安全最成熟的國(guó)家包括印度尼西亞、菲律賓、泰國(guó)及印度等亞太國(guó)家，其中，印度尼西亞有39%的組織處于思科定義的網(wǎng)絡(luò)安全“成熟階段”，菲律賓和泰國(guó)有27%的組織處于成熟階段；印度有24%的組織處于成熟階段。

而那些網(wǎng)絡(luò)安全發(fā)展較早、步伐較快的發(fā)達(dá)國(guó)家，在這方面同發(fā)展中國(guó)家有明顯差距。日本僅有5%的組織處于“成熟階段”，韓國(guó)僅有7%。其他地區(qū)的發(fā)達(dá)國(guó)家也不例外，美國(guó)只有13%的組織處于“成熟階段，加拿大僅有9%，墨西哥僅有12%。

對(duì)此，思科解釋到，造成發(fā)達(dá)國(guó)家和發(fā)展中國(guó)家網(wǎng)絡(luò)安全準(zhǔn)備方面的巨大差距源于技術(shù)債務(wù)。與發(fā)達(dá)國(guó)家相比，發(fā)展中國(guó)家最近才開(kāi)始陸續(xù)采用數(shù)字技術(shù)，這意味著這些組織沒(méi)有大量的遺留系統(tǒng)，在其IT基礎(chǔ)設(shè)施中部署和集成安全解決方案相對(duì)更容易。此外，技術(shù)債務(wù)的層層累加讓無(wú)法企業(yè)量化自身的安全狀況，也就無(wú)法實(shí)現(xiàn)對(duì)安全的全局把控。

報(bào)告表示，技術(shù)債務(wù)所帶來(lái)的巨額成本以及更新系統(tǒng)的影響，是發(fā)達(dá)國(guó)家組織在網(wǎng)絡(luò)安全方面準(zhǔn)備不足的主要因素。此次報(bào)告基于對(duì)全球27個(gè)國(guó)家和地區(qū)及6700名網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的調(diào)查，思科將這些組織分為四個(gè)類型，初級(jí)、成形、已經(jīng)取得進(jìn)展、成熟。其中，47%的組織處于成形階段，他們已經(jīng)采取了一些基本安全措施來(lái)保護(hù)自己；30%處于已經(jīng)取得進(jìn)展，8%處于初級(jí)階段，只有15%處于成熟階段。

在我國(guó)，這樣的現(xiàn)象同樣存在。數(shù)字化進(jìn)程較早的企業(yè)，近年來(lái)在安全方面的支出持續(xù)增加。這不僅是因?yàn)閿?shù)字化帶來(lái)了更多的安全需求，還有為了應(yīng)對(duì)新的安全挑戰(zhàn)，更新遺留系統(tǒng)所帶來(lái)的高昂成本。對(duì)此，不少網(wǎng)絡(luò)安全供應(yīng)商提供了多種多樣的解決方案。以企業(yè)數(shù)據(jù)安全治理為例，不少供應(yīng)商提供了更精進(jìn)的算法和更便捷的工具，以助于這些組織發(fā)現(xiàn)和分析那些存量數(shù)據(jù)。

但這種方法治標(biāo)不治本，組織的安全技術(shù)債務(wù)來(lái)自于舊技術(shù)的滯后以及需求不清晰所帶來(lái)的盲目擴(kuò)張，想要徹底解決這一問(wèn)題，最好的方式或許是深入挖掘組織當(dāng)下和未來(lái)的安全需求，評(píng)估現(xiàn)有的安全狀況，因地制宜、循序漸進(jìn)地建設(shè)和改造現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)。但是，明晰自身需求，量化安全對(duì)于企業(yè)來(lái)說(shuō)并不是一件容易的事。雖然可以通過(guò)合規(guī)指導(dǎo)來(lái)推動(dòng)安全建設(shè)，但想要以安全來(lái)促進(jìn)發(fā)展，只憑合規(guī)是遠(yuǎn)遠(yuǎn)不夠的。

對(duì)此，騰訊安全在9月7日召開(kāi)的騰訊全球數(shù)字生態(tài)大會(huì)上，再一次提出了企業(yè)數(shù)字安全免疫力模型。這是繼今年6月騰訊安全召開(kāi)的數(shù)字安全免疫力研討論壇后，又一次提出要建設(shè)企業(yè)安全免疫力。在會(huì)上，騰訊安全不僅進(jìn)一步剖析了免疫力模型的價(jià)值和功能，還推出了配套的企業(yè)安全自評(píng)估工具，助力企業(yè)查漏補(bǔ)缺，彌補(bǔ)安全建設(shè)中的薄弱點(diǎn)或缺失點(diǎn)。

9月7日，2023年騰訊全球數(shù)字生態(tài)大會(huì)在在深圳國(guó)際會(huì)展中心正式舉辦，本屆大會(huì)以“智變加速、產(chǎn)業(yè)煥新”為主題，下設(shè)20余個(gè)分論壇。在9月8日下午召開(kāi)的數(shù)字安全分論壇中，騰訊集團(tuán)副總裁、騰訊安全總裁丁珂表示，在AI大模型所帶來(lái)的智能化時(shí)代，企業(yè)需要建立以發(fā)展驅(qū)動(dòng)的安全建設(shè)理念。同時(shí)，企業(yè)需要建立可度量的安全體系，評(píng)估安全建設(shè)的有效性。

如果說(shuō)企業(yè)建設(shè)網(wǎng)絡(luò)安全是搭建一堵墻，那么這堵墻的大小、位置、方向以及搭建這堵墻所用到的材料等等就是企業(yè)的安全需求，挖掘企業(yè)的安全需求就是為了更好地建設(shè)網(wǎng)絡(luò)安全。通常，企業(yè)往往會(huì)通過(guò)合規(guī)、業(yè)務(wù)等方面的需求來(lái)確定安全需求。

但當(dāng)下的網(wǎng)絡(luò)環(huán)境愈發(fā)惡劣，網(wǎng)絡(luò)攻擊日益頻繁、所帶來(lái)的損失日趨增長(zhǎng)，對(duì)于企業(yè)來(lái)說(shuō)，頭痛醫(yī)頭腳痛醫(yī)腳地建設(shè)安全很容易顧此失彼，無(wú)法全面、完整地保障企業(yè)的IT環(huán)境和核心資產(chǎn)。為此，騰訊安全結(jié)合騰訊自身多年的實(shí)踐和大量客戶的反饋，逐漸形成了一套數(shù)字安全免疫力模型。

免疫力模型模型以“洋蔥”狀層層疊加，最外層包括邊界安全、端點(diǎn)安全和應(yīng)用開(kāi)發(fā)安全，這是大部分企業(yè)最常見(jiàn)、最基礎(chǔ)的安全能力建設(shè)。

中間層是安全運(yùn)營(yíng)和管理，騰訊安全在過(guò)去的一段時(shí)間內(nèi)對(duì)一些企業(yè)進(jìn)行了測(cè)評(píng)，其中發(fā)現(xiàn)有部分企業(yè)雖然采購(gòu)了網(wǎng)絡(luò)安全設(shè)備和工具，但安全狀況未能得到改善，無(wú)法滿足其預(yù)期。騰訊安全策略發(fā)展中心總經(jīng)理呂一平表示，這些企業(yè)普遍缺乏運(yùn)營(yíng)和管理能力，導(dǎo)致安全設(shè)備和工具無(wú)法聯(lián)動(dòng)和協(xié)同，因此，中間層強(qiáng)調(diào)的是企業(yè)對(duì)于安全的運(yùn)營(yíng)和管理能力。

最內(nèi)層是當(dāng)下企業(yè)最關(guān)注的數(shù)據(jù)安全及業(yè)務(wù)風(fēng)險(xiǎn)控制。自2021年《數(shù)據(jù)安全法》及《個(gè)人信息保護(hù)法》的發(fā)布后，數(shù)據(jù)安全成為很多企業(yè)關(guān)注的重點(diǎn)。此外，在今年很多安全類的創(chuàng)業(yè)大賽上，參賽企業(yè)大多集中在數(shù)據(jù)安全這一賽道，這也側(cè)面體現(xiàn)出企業(yè)對(duì)數(shù)據(jù)安全的需求激增。業(yè)務(wù)風(fēng)險(xiǎn)則是如智能網(wǎng)聯(lián)汽車、金融、互聯(lián)網(wǎng)等行業(yè)關(guān)注的重點(diǎn)，保障其業(yè)務(wù)正常平穩(wěn)的運(yùn)行是這類行業(yè)的核心安全目標(biāo)。

上述六個(gè)主要維度基本涵蓋了大部分企業(yè)的網(wǎng)絡(luò)安全需求，也是大部分安全供應(yīng)商所能服務(wù)的范疇。目前，針對(duì)安全狀況測(cè)評(píng)已經(jīng)有不少供應(yīng)商提出了自己的觀點(diǎn)和工具，那么對(duì)于企業(yè)來(lái)說(shuō)，騰訊安全的免疫力模型的優(yōu)勢(shì)在哪里？

對(duì)此，呂一平解釋到，數(shù)字安全免疫力模型首先是騰訊基于自身多年的安全防護(hù)經(jīng)驗(yàn)和專家知識(shí)累積的。和其他安全廠商相比，騰訊安全的產(chǎn)品服務(wù)方案要經(jīng)過(guò)騰訊內(nèi)部大體量級(jí)的業(yè)務(wù)考驗(yàn)。此外，騰訊的業(yè)務(wù)屬于高度數(shù)字化的互聯(lián)網(wǎng)業(yè)務(wù)，在發(fā)展的過(guò)程中積累了非常多的數(shù)字化和在線化需求，這同大部分?jǐn)?shù)字化轉(zhuǎn)型中的企業(yè)的需求不謀而合。因此，騰訊安全在總結(jié)經(jīng)驗(yàn)后，不僅可以提供經(jīng)過(guò)實(shí)踐驗(yàn)證的安全方案和服務(wù)，還能夠解決大部分企業(yè)在數(shù)字化轉(zhuǎn)型中存在的問(wèn)題和需求。

其次，免疫力模型還是騰訊安全在服務(wù)TOB行業(yè)的過(guò)程中，不斷收集不同行業(yè)的反饋，總結(jié)包括金融、制造、汽車等重點(diǎn)行業(yè)的典型客戶需求后，經(jīng)過(guò)沉淀和通用化所形成的。這意味著免疫力模型對(duì)那些數(shù)字化轉(zhuǎn)型及對(duì)安全關(guān)注和需求程度較高的企業(yè)和行業(yè)有很強(qiáng)的適配性。借助免疫力模型，企業(yè)可以參考行業(yè)頭部的最佳實(shí)踐案例，挖掘行業(yè)特有安全需求的同時(shí)，也能發(fā)現(xiàn)自身與頭部企業(yè)的差距。

呂一平強(qiáng)調(diào)，數(shù)字安全免疫力模型不是產(chǎn)品，也不會(huì)走商業(yè)化的道路。它是騰訊安全為了梳理企業(yè)安全需求、打造企業(yè)安全觀念、塑造企業(yè)安全模式的思維框架圖，為此，騰訊安全不僅在自身和部分客戶進(jìn)行了實(shí)踐驗(yàn)證，還對(duì)部分客戶進(jìn)行了輕量化的咨詢。根據(jù)免疫力評(píng)估梳理出的痛點(diǎn)，騰訊安全與客戶一起探討、深入細(xì)節(jié)、解決問(wèn)題，最終形成可落地的解決方案，這也是騰訊安全在過(guò)去幾個(gè)月一直做的事。

免疫力模型除了上述優(yōu)勢(shì)以外，還有哪些功能？實(shí)際上，并非所有企業(yè)都不清楚自身的安全需求，對(duì)于部分企業(yè)來(lái)說(shuō)，他們已經(jīng)足夠了解自身的安全現(xiàn)狀和短板，但他們?nèi)鄙俚氖锹涞胤椒?。知道?wèn)題卻不知道如何解決問(wèn)題是這類企業(yè)的“通病”，而這也是免疫力模型所能解決的另一個(gè)主要問(wèn)題，安全方案的落地性。

據(jù)呂一平介紹，騰訊安全近期與一家新能源行業(yè)的企業(yè)就安全方案落地方面進(jìn)行了深入的交流。該企業(yè)此前也曾咨詢過(guò)其他安全廠商，這些安全供應(yīng)商不僅制定了詳細(xì)的規(guī)劃，還撰寫了一大堆文檔共企業(yè)參考。但是，這個(gè)解決方案提出后，該企業(yè)的問(wèn)題并沒(méi)有完全得到解決。這是因?yàn)樗麄內(nèi)狈β涞胤绞?，他們不清楚?yīng)該如何實(shí)施這套解決方案，因此也就無(wú)法全面地解決問(wèn)題。

騰訊安全入場(chǎng)后，首先利用免疫力模型對(duì)該企業(yè)進(jìn)行了整體的安全狀況評(píng)估。在評(píng)估之后，騰訊安全發(fā)現(xiàn)該企業(yè)當(dāng)前最主要的問(wèn)題是梳理核心業(yè)務(wù)及核心場(chǎng)景所需要的資產(chǎn)和數(shù)據(jù)。在清楚地發(fā)現(xiàn)問(wèn)題之后，騰訊安全利用免疫力模型與騰訊安全產(chǎn)品及服務(wù)強(qiáng)結(jié)合的特點(diǎn)，提出了基于免疫力模型的安全產(chǎn)品和方案，并幫助他們成功解決問(wèn)題。

然而，騰訊安全并不是一家萬(wàn)能的公司，總有自身沒(méi)有涉獵或力有不逮的安全領(lǐng)域，那么在面對(duì)此類問(wèn)題時(shí)，免疫力模型是否就無(wú)用武之地了呢？對(duì)此，呂一平表示，免疫力模型最大的功能不是讓騰訊安全的產(chǎn)品入場(chǎng)，而是讓用戶獲得安全的原子能力。

如果將企業(yè)比作人，那么企業(yè)采購(gòu)安全產(chǎn)品就相當(dāng)于打針吃藥。通過(guò)打針吃藥雖然能夠解決一定的問(wèn)題，但對(duì)于一個(gè)人來(lái)說(shuō)，最好的辦法是通過(guò)先天或者后天的方式獲得持續(xù)性的抗體，從而在面對(duì)任何病毒時(shí)都能夠應(yīng)對(duì)。企業(yè)在采購(gòu)安全產(chǎn)品也是如此，如果只是單純的將安全產(chǎn)品當(dāng)作解決問(wèn)題的工具，企業(yè)只會(huì)陷入產(chǎn)品越來(lái)越多，問(wèn)題卻無(wú)法解決的困境。此外，對(duì)于企業(yè)來(lái)說(shuō)，安全供應(yīng)商不能代表企業(yè)的安全能力，這是因?yàn)殡p方對(duì)安全的責(zé)任不同。企業(yè)需要安全供應(yīng)商，但也需要建設(shè)自己的能力。因此，汲取安全產(chǎn)品所蘊(yùn)含的原子能力是企業(yè)建設(shè)安全的重中之重。這也是免疫力模型中“免疫力”所強(qiáng)調(diào)和特指的部分。

此外，在此次數(shù)字生態(tài)大會(huì)上，騰訊安全還推出了與免疫力模型配套的企業(yè)安全自評(píng)估工具。為了打造這款工具，騰訊安全在6月份發(fā)布免疫力模型之后，對(duì)各行各業(yè)幾十家企業(yè)進(jìn)行評(píng)估，并重點(diǎn)關(guān)注了金融、能源、制造和智能網(wǎng)聯(lián)汽車等幾個(gè)行業(yè)。

在評(píng)估工具中，這些企業(yè)將分為四個(gè)不同的類型，包括專家型客戶、運(yùn)營(yíng)型客戶、工具型客戶和待提升的客戶。據(jù)呂一平介紹，這四個(gè)類型是根據(jù)企業(yè)的數(shù)字化轉(zhuǎn)型進(jìn)程以及數(shù)字化建設(shè)的成熟度而劃分。其中，專家型客戶指的是安全能力建設(shè)已經(jīng)足夠成熟，從各個(gè)維度都能獲得較高的打分，但在某些細(xì)分場(chǎng)景中還有一定的需求。這類企業(yè)有一個(gè)共同點(diǎn)，那就是能夠集成安全的原子能力。換言之就是這類企業(yè)已經(jīng)擁有一個(gè)較為成熟的安全運(yùn)營(yíng)和管理的平臺(tái)體系，能夠基本覆蓋全部的企業(yè)業(yè)務(wù)和IT場(chǎng)景，對(duì)安全的需求主要圍繞在如何集成更多技術(shù)和能力，而非解決單獨(dú)的某個(gè)問(wèn)題。

運(yùn)營(yíng)型客戶更多的是半互聯(lián)網(wǎng)行業(yè)的公司，這類企業(yè)強(qiáng)調(diào)強(qiáng)安全運(yùn)營(yíng)，對(duì)業(yè)務(wù)的需求格外了解。通常，這類企業(yè)不會(huì)購(gòu)買特別多的安全產(chǎn)品或設(shè)備，而是會(huì)圍繞業(yè)務(wù)制定運(yùn)營(yíng)流程和建立安全的監(jiān)控體系，安全水平主要是通過(guò)運(yùn)營(yíng)能力來(lái)驅(qū)動(dòng)。運(yùn)營(yíng)型客戶在評(píng)估中可能會(huì)發(fā)現(xiàn)自身在工具方面還是有一定的缺失，這也是運(yùn)營(yíng)型客戶需要補(bǔ)充和關(guān)注的焦點(diǎn)。

工具型客戶通常是那些安全能力建設(shè)較為基礎(chǔ)的，但在其行業(yè)中又屬于頭部的這一類企業(yè)。它們的普遍特點(diǎn)是安全能力投入不足，雖然具備一定數(shù)量的安全產(chǎn)品，但因缺乏統(tǒng)一的運(yùn)營(yíng)能力導(dǎo)致其沒(méi)有一個(gè)健康的、有效的安全運(yùn)營(yíng)體系。因此，這類企業(yè)在面臨安全事件時(shí)，很可能因安全設(shè)備之間的聯(lián)動(dòng)不暢導(dǎo)致沒(méi)有快速、高效的響應(yīng)機(jī)制。

實(shí)際上，工具型客戶也是免疫力模型的最主要受眾之一。通過(guò)免疫力模型，工具型客戶可以發(fā)現(xiàn)自身的安全薄弱點(diǎn)及安全需求，并參考騰訊安全推出的產(chǎn)品和工具來(lái)彌補(bǔ)。同時(shí)，企業(yè)還可以借助例如騰訊安全的安全托管服務(wù)等，聯(lián)動(dòng)其擁有的安全設(shè)備，提高其整體安全運(yùn)營(yíng)能力。

最后是待提升的客戶。這類客戶無(wú)論從管理理念還是從安全建設(shè)的角度都處于一個(gè)需要提升的過(guò)程和階段。對(duì)于這類客戶來(lái)說(shuō)，騰訊安全能夠做到的更多。在工具方面，騰訊安全能夠提供針對(duì)不同行業(yè)、不同需求的安全產(chǎn)品；在運(yùn)營(yíng)方面，騰訊安全也可以幫助企業(yè)組建安全團(tuán)隊(duì)，分工協(xié)作；在制度方面，騰訊安全可以幫助企業(yè)劃分安全職責(zé)。總而言之，待提升的客戶需要的是一個(gè)全面、詳細(xì)且站在頂層視角的安全規(guī)劃和路徑，以梳理和發(fā)現(xiàn)更多的問(wèn)題。

通過(guò)分析上述行業(yè)，騰訊安全已經(jīng)總結(jié)了大部分的共性安全需求和問(wèn)題，并將其與騰訊安全所擁有的安全專業(yè)知識(shí)和理解相結(jié)合，并最終推出了安全自評(píng)估工具。

目前，安全自評(píng)估工具幾乎適用于任何體量的企業(yè)。對(duì)于大型企業(yè)或行業(yè)頭部企業(yè)來(lái)說(shuō)，他們可以通過(guò)該工具梳理需要解決的問(wèn)題和重點(diǎn)的建設(shè)規(guī)劃，并通過(guò)騰訊安全的產(chǎn)品或其他第三方的產(chǎn)品得到解決。值得注意的是，對(duì)于這類企業(yè)來(lái)說(shuō)，建設(shè)安全更需要的是企業(yè)的投入，無(wú)論是資源還是精力，企業(yè)投入越多，解決的問(wèn)題就越多。

對(duì)于中小型企業(yè)來(lái)說(shuō)，安全自評(píng)估工具可以幫助他們清楚地知道自身的安全水平以及同行業(yè)的安全基礎(chǔ)水位。通過(guò)安全自評(píng)估工具的度量結(jié)果，企業(yè)不僅可以清晰地梳理自身的短板，最重要的是，還可以將有限的資源投入到亟需解決的問(wèn)題上。

在“數(shù)智化”時(shí)代，“治己病”已然無(wú)法滿足企業(yè)的安全需求，如何“治未病”才是更多企業(yè)所關(guān)注的。通過(guò)免疫力模型和安全自評(píng)估工具，企業(yè)可以退一步，從治理具體問(wèn)題延伸到企業(yè)的全局視角，基于頂層邏輯來(lái)真正挖掘企業(yè)當(dāng)下和未來(lái)的安全方向，從而實(shí)現(xiàn)“治己病”到“治未病”的跨越。

今年6月，騰訊安全首次發(fā)布了數(shù)字安全免疫力模型，那時(shí)的騰訊講述的主要是理念和思維模式，而在此次數(shù)字生態(tài)大會(huì)上，騰訊安全已經(jīng)提取了包括金融、能源，制造、智能網(wǎng)聯(lián)汽車等多個(gè)行業(yè)的共性安全需求和問(wèn)題，并推出了安全自評(píng)估工具。

圍繞著數(shù)字安全免疫力模型，騰訊安全在這一年時(shí)間已經(jīng)做了足夠多的工作，但他們并不愿止步于此。未來(lái)，騰訊安全將進(jìn)一步覆蓋更多的行業(yè)，歸納總結(jié)不同行業(yè)的安全能力建設(shè)水位，提取行業(yè)共性的痛點(diǎn)和問(wèn)題以及不同行業(yè)在數(shù)字化轉(zhuǎn)型中所關(guān)注的場(chǎng)景和安全能力需求。通過(guò)上述工作，騰訊安全不僅能夠發(fā)現(xiàn)更多客戶的需求，還能進(jìn)一步優(yōu)化產(chǎn)品，促進(jìn)迭代。期待騰訊安全在這條正循環(huán)的路上越走越遠(yuǎn)，也希望數(shù)字安全免疫力模型及配套工具能幫助更多的企業(yè)建設(shè)和發(fā)展自身的安全。


 

詳情請(qǐng)關(guān)注安在新媒體，一家信息安全領(lǐng)域媒體，以“做有內(nèi)涵的泛黑客媒體”為方向，線上通過(guò)自媒體，采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò)，通過(guò)介紹他們的經(jīng)歷、感悟、對(duì)行業(yè)的看法等來(lái)剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò)；致力于建立完整的信息發(fā)布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

 

官網(wǎng)：http://anzerclub.com/

市場(chǎng)部聯(lián)系（廠商）：徐倩（微信：Madeline_Sue）

市場(chǎng)部聯(lián)系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）