12月8-10日,36氪在北京國際會議中心舉辦了「WISE2020新經濟之王大會——崛起與回歸」。本次大會是WISE大會的第八屆,2020年也是36氪成立的第十年。在企業服務分會場,我們以「十年企服:崛起與加速」為主題,聚合行業專家、專注企服賽道的知名投資人、行業代表企業,從行業市場環境分析到企業可持續發展戰略,從宏觀行業發展洞察到微觀企業服務管理升級,共同探討企服數位化發展趨勢,在十年企服的崛起與加速中,遠見企服賽道的新機遇。
在本次大會的第一天,騰訊安全產業安全運營部總經理呂一平先生以「網絡安全十年變遷:從底線到天花板」為主題,分享了過去十年信息安全領域的變化和發展趨勢,以及過去幾年騰訊安全在信息安全領域的前沿性研究和案例。此外,呂一平先生還指出,基礎設施、核心業務上雲是一個不可逆轉的趨勢,未來雲會變成安全的主戰場。
騰訊安全產業安全運營部總經理呂一平先生
以下是呂一平先生的演講實錄,經36氪整理編輯:
呂一平:大家好,今天很高興有機會跟大家做一些分享。其實今年36氪的主題叫十年,我這次演講的準備沒有講太多具體的技術,主要是跟大家分享一下我們過去這段時間信息安全的變化,前面的嘉賓其實都講了,技術在發生變化、行業在發生變化,線上線下的交互在發生變化。其實對安全來講也在發生變化,跟隨著技術大潮和行業大潮也在發生相應的變化。今天希望能跟大家分享一下我們的觀點和看法。主題叫做《網絡安全十年變遷:從底線到天花板》。
過去十年其實有一些大家都比較關注的網絡安全事件。比如說2010年震網事件,這是對於電力能源行業都比較關心的,伊朗的核電站被黑客攻擊,最後導致了整個核電站的離心機出現了嚴重故障;第二個是2013年斯諾登的洩密事件;到2017年的時候是勒索病毒WannacCry——直到今天,勒索病毒還在不斷發生,最近我們還接到了很多求助需求,包括醫療、製造業,勒索病毒的延續和發展都沒有停止過;然後是2018年的時候是劍橋分析事件,當時美國總統選舉也受到了一些大數據的幹擾。
大家可以看我們過去十年的信息安全裡面有一些變化。第一個,如果我們在十年之前看到了PC網際網路、移動網際網路興起以後我們看到的安全都是虛擬世界的安全,但是在過去的十年裡面,比如說像2010年的震網事件,包括過去幾年騰訊安全在車聯安全、物聯安全裡面前沿的研究都證明了一點,就是原來的虛擬世界裡面講的網絡安全現在逐步對現實世界造成了影響,它會影響到物理世界的安全,會影響到人身安全、生命安全,甚至會影響公共安全。
剛剛很多嘉賓在講我們很多的業務在從線下轉線上,很多的傳統行業商業模式在向數位化轉型,但其實從我們信息安全的角度來看,我們反而看到了一個反向的趨勢:原來線上的安全重點現在在逐步對線下的世界造成了影響。我們的信息安全也要更關注產業網際網路的發展過程中對於風控、車聯網、物聯網,怎麼樣能做好保障。
另外,劍橋分析這個事件說明,當我們把網絡安全、把系統安全都做得更好的時候,現在其實有一點會變得更加重要:信息安全最終保障的還是數據。隨著這個行業的變化、數位化轉型,大量的數據在匯集,大數據的威力很大,它的安全怎麼樣來保障也是非常重要的。所以這是過去十年裡我們看到的變化,安全不再是簡單的保障了,安全其實會對很多不同的行業和領域產生很大的影響。
這是我們關注到的近幾年來安全的趨勢,一個是各個國家對安全的重視也越來越高,包括一些高級的攻擊,不管是和政府相關的還是和商業相關的,都越來越多;第二個趨勢是對供應鏈的攻擊也會變得越來越多,不管是製造業還是工業甚至物流行業,其實我們的供應鏈都是相當長,我們在供應鏈環節裡面有很多的環節有很多人參與,所以在這個過程中其實安全也會變得越來越複雜,包括隨著物聯、車聯、工業網際網路的普及,針對硬體和固件的攻擊趨勢也在提升。
另外還有勒索病毒和挖礦也是一塊,這是我們過去幾年看到的網絡安全的趨勢。
過去十年信息安全所處的環境發生的大的變化是什麼呢?
第一、整體的IT架構在升級。業內有一個觀點,安全是一個伴生屬性,安全不是獨立存在的,但是網絡安全始終伴隨著科技的發展。方濱興院士曾經講過一句話,「你讓我預測30年之後需要什麼樣的網絡安全技術我是預測不出來的,因為網絡安全技術的發展是伴隨著新技術的發展在演進的」,比如說我們講的大數據、人工智慧、雲計算、移動網際網路、物聯網。
新技術在引入的過程中,特別是剛剛幾位嘉賓都提到了雲計算在結合著5G的發展,未來邊緣計算也會越來越普及,把算力往端和邊緣上去靠。在這種新的場景下,包括5G場景會帶來面向於不同行業的網絡切片技術的發展。網絡安全保障和功能的定義都是由網絡定義,而不是由設備來定義的時候,這時候信息安全和網絡安全技術的應用也會發生不一樣的改變,我們的關注點也會隨之發生改變。
隨著這些新技術的發展,新技術場景過程中都會有新的信息安全問題產生,這在過去幾年騰訊安全做了很多的前沿性研究和案例。
舉個例子,我們2016年研究了特斯拉案例,2018年研究的寶馬案例,證明了智能網聯汽車裡面,隨著聯網和自動駕駛功能的引入會帶來新的安全風險和挑戰。我們也做了針對智慧型手機和物聯設備,比如說充電設備的研究。其實也證明了一點,隨著物聯設備不斷的普及,同時它會帶來相應的新的安全風險,這些安全風險都是我們需要去關注和保障的。
第二,國內國外的政策上也有很多的變化。2017年《網絡安全法》發布以後,國家對安全越來越重視了,而且最近這幾年騰訊安全也參加了國家每年都會組織的實戰攻防演練,針對國家的關鍵信息基礎設施、重要的行業和企業,通過實戰的模式來進行攻防演練,主要是希望能夠更好的去發現潛在的安全問題,更好的對這些行業和企業進行保障。所以從國家的角度來講,這方面的工作一直在加強。
另外,這兩年有一個趨勢,對於數據的關注,特別是個人隱私數據的關注和保護也到了很高的高度,包括去年發布的個人信息安全的規範甚至對青少年和兒童有了更深入和更細緻的數據保護的規範,這是我們看到的一個趨勢。包括國際上,不管是歐盟的GDPR、英國的BPA、美國的和個人隱私信息保護的要求和規範,還有強制性的規定,也說明從整個國內和國際角度來講網絡安全變得越來越重要,數據的保護也會變得越來越重要,這是我們看到的一個比較大的趨勢。
第三,安全對抗在加劇。原來講的國家安全是海陸空,後面航天也加進去了,現在網絡安全賽博的世界也在加進去,變成了「海陸空天網」五維的環境,都是國家安全的範疇,所以網絡安全提升到了很高的高度。我們看到了黑客攻擊的活動會越來越複雜,高級的網絡攻擊APT的模式會變成常態化,APT的攻擊模式可以和政治相關的,也會有跟商業相關的模式,這是我們看到的比較大的趨勢。
這對於網絡安全行業的直接影響,就是促使安全整個的需求和特點在發生變化:
網絡安全由可選項變成了必選項,特別是原來很多行業和企業對網絡安全更多是一個成本,但是隨著數位化的變化,隨著各個行業的商業模式,隨著線上化和數位化轉型它變得更加開放,更加向網際網路打開以後,網絡安全變成了一個必備的屬性了,如果沒有安全的話,可能會對你的核心業務或者新的商業模式造成比較大的影響。
雲安全會變成一個主戰場。我們的核心業務和核心基礎設施往雲上走,這是一個不可逆轉的趨勢。所以對我們來講,我們也看到了這個趨勢,雲安全會變成一個主戰場。但是這裡有一個好事,很多客戶跟我們反饋,特別是到了一些重大的實戰攻防階段,說你們的專家實在太少了,我們有的時候比較晚跟你們溝通和交流的時候,就發現你們的專家都已經被很多其他的行業客戶預定出去了。上雲其實有一個很好的點,原來如果我們在私有化場景下,我們的專家要一個一個保護我們的客戶和行業單位,到雲上以後我們是把專家所有的智慧、所有的能力和所有的先進技術全部都凝聚在我們的雲上了,最後我們是在雲上把所有的安全保障能力固定下來,去保障我們的客戶。所以如果我們的客戶或者合作夥伴能夠上到雲上,原來你要花很多費用和精力去請一個高級保鏢,現在上雲上就有高級保鏢在保護你了。
從合規驅動走向發展驅動。現在越來越多的企業原來說只要滿足合規要求,過了等保、過了檢查要求就可以了,但是現在越來越多的企業會意識到一點,一個好的安全保障、一個好的安全能力是常態化的事情,所以說很多行業和企業在這塊的思維模式也在發生變化,在投入上也在發生變化。
針對這些變化,我們安全產業的各個主體要做什麼呢?從政府側,我們需要做頂層設計的牽引。這塊我們國家已經做得非常好了,特別是最近幾年在安全方面,通過實戰的手段、大型的攻防演練和檢察來督促各個行業和企業來提升自己的能力,這些是實戰的能力而不是簡單的防護能力。
從安全廠商來看,我們的確要去深入的細分場景,因為各行各業都在逐步的深入到數位化轉型的網際網路裡面來,針對不同的行業會有不同的行業場景和商業模式的場景,所以我們需要結合這些場景更好的定製行業的方案。對我們雲廠商來講,比如我們騰訊要做好雲原生的安全研究,安全普惠,讓大家用一個比較低的成本去享受比較高級的保鏢的保障。
最後從企業的角度來講,隨著更多的核心業務進入到數位化階段,進入到線上,更多的資產變成了數字資產,這個過程中一旦安全出現了問題,真的不是底線問題,而是會影響到整個公司的核心業務的發展,所以安全必須是一把手的工程。現在很多企業首席安全官這個角色是匯報給董事長和CEO了,這也是挺好的變化。
最後,其實騰訊安全正是關注到了很多這樣新的安全需求,特別是在行業垂直上的需求,所以說我們其實提供了全棧式的安全保障,而且我們非常關注云原生,我們把所有專家的知識、能力、技術,全部都整合在騰訊雲上面。我們要做到安全的普惠,我們要讓更多的企業和安全用一個更低的成本享受到高級的防護帶來的好處和收益。讓大家在做數位化轉型和線上轉型的過程中安心,我們騰訊安全始終為大家保駕護航,謝謝。