2月24日-28日,全球信息安全領域風向標RSAC在舊金山展開,今年大會主題為「人是安全要素」——關注信息安全社區中的人的價值,同時這一主題也是本屆RSAC大會的十大趨勢之首,折射出 「人」對安全建設的影響已然成為未來的安全趨勢。
事實上,在「網絡安全為人民,網絡安全依靠人民」 理念指導下,「以人為本」早已成為國內信息安全建設的基因。這與騰訊安全護航產業安全的做法不謀而合。自從「930變革」之後,騰訊安全就基於人在安全中的重要價值,從上到下系統地建立安全能力矩陣,並對外輸出可復用的安全能力,助力企業築牢安全防線。
戰略前瞻性:安全是企業CEO的一把手工程
在RSAC大會今年收到的2400份發言申請中,眾多針對「數據、威脅、風險、隱私、管理和團隊」的內容均涉及安全方面的人為因素。尤其是數據安全方面,大量數據顯示企業員工有意或無意的行為,是致使企業數據資產洩露的罪魁禍首。
另一方面,在企業中,安全是否受到足夠多人的重視也是導致以人為本的理念落地的關鍵一環。尤其是,安全是否受到企業CEO的直接關注?
事實並不樂觀——根據CIO網站調查數據,25%的受訪企業擁有CISO,11%擁有CSO,17%擁有另一位頭銜不同的高層安全管理人員——這意味著近一半的企業還沒有為安全團隊任命任何高層管理人員。
但是伴隨著數位化貫穿於企業研發、生產、流通和服務的全流程,企業的所有環節都需要安全保障,企業需要將安全置於最高等級的戰略高度。體現在企業的管理責任上,就是需要企業CEO親自抓。
正如騰訊高級執行副總裁、雲與智慧產業事業群總裁湯道生在第五屆CSS網際網路安全領袖峰會提出的:「安全不再只是CTO、CIO們的工作範疇,也需要CEO的戰略關注,產業網際網路時代,安全正成為CEO的一把手工程。」
基於對產業安全的前瞻性認知,騰訊安全在護航產業安全上也有了全新的使命——致力於成為產業數位化升級的安全戰略官,從源頭幫助企業做好安全。
底層驅動力:關注「人」的安全 3500人安全團隊提供全面防護
企業中數據生產後就會進入傳輸、存儲、處理、分析、訪問與服務應用等各環節,且周而復始如同流淌的血液,而這些環節涉及到研發運維人員、最終用戶、伺服器、辦公終端、內外網絡、大數據分析平臺、雲平臺等各個部分,「人」的安全至關重要。IDG調查顯示,71%的IT決策者關注零信任模型。隨著產業網際網路的滲透和改造,各行各業正在加速數位化的進程。
在終端安全方面,騰訊安全通過終端無邊界訪問控制系統(iOA)提供內網和辦公終端的安全防護,讓運維人員更加方便、高效地對內網龐大的終端進行管理。不久前由騰訊主導確立的全球首個零信任安全國際標準在瑞士日內瓦ITU-T(國際電信聯盟通信標準化組織)SG17安全研究組全體會議上立項成功,也驗證了騰訊在零信任安全領域的領先地位。
在雲端安全上,騰訊安全七大安全實驗室與安全平臺部超過300人協作成立「雲全棧安全研究工作組」,對雲安全展開全面、前瞻性的研究,將安全服務內置到雲中,致力於打造讓客戶放心的雲平臺。
安全本質上是人與人之間的對抗,紮實的安全人才體系是開展安全工作的基礎。在「安全戰略官」的使命指引下,騰訊安全凝聚了超過3500人的服務團隊,支撐起騰訊安全提供安全服務的「前臺、中臺、後臺」。
紮實的安全人才也為騰訊安全護航產業安全提供了源源不竭的創新動力,僅僅在2019年,騰訊安全就輸出了覆蓋多個領域的研究成果。其中,騰訊安全科恩實驗室首次發布針對特斯拉Autopilot的研究成果,再次消滅了一個自動駕駛的潛在安全隱患,AI方面科恩的研究成果更是入選了頂會AAAI-20;騰訊安全玄武實驗室深耕移動安全,披露了指紋識別領域的最新研究——自動化破解多種類型指紋識別;騰訊安全雲鼎實驗室基於對雲安全情報數據的統計分析和最新雲安全攻防趨勢的研究,首次發布了 「八橫八縱」 的雲上攻擊全景路徑……這些不僅拓深了相應領域的研究深度,也直接反哺到產業,助力企業提升了安全性。
除此之外,「以賽代練」及「紅藍對抗」還在讓騰訊安全這3500人持續進化。為了找出平時用常規手段未被發現的漏洞並及時收斂,讓不法黑客在攻擊時無計可施從而進一步保證雲平臺和雲上租戶的安全,騰訊安全不定期舉行內部安全攻防實戰對抗:聯合騰訊安全平臺部、七大實驗室、企業IT、TSRC等眾多安全團隊,在合規授權的前提下站在「攻方」視角尋找業務漏洞,通過模擬真實情況下的攻防,檢驗自身業務在實戰對抗、漏洞挖掘、入侵檢測等方面的安全防護水平。在內部安全演習的過程中,騰訊安全已協助QQ、微信、微信支付、黃金紅包、區塊鏈電子發票等業務完善安全防護能力。
與此同時,騰訊安全還著眼於整個產業安全「人才池」的儲備,通過發起騰訊信息安全爭霸賽(TCTF)、攜手發起極棒國際安全極客大賽(GeekPwn)等安全競賽,「以賽代練」培養適應當下安全形勢的安全人才。騰訊安全還聯合國內重點高校、知名企業,對賽事中表現突出的選手/戰隊,提供從高校到企業的完整成長路徑,加速安全人才的能力提升。
企業服務力:專家服務模式輸出
基於前瞻性的安全思維和完備的服務團隊,騰訊安全目前已形成了覆蓋身份安全、網絡安全、終端安全、應用安全、數據安全、業務安全、安全管理、安全服務等八大領域的全棧安全產品體系,以及面向政務、金融、零售電商、交通出行、醫療、遊戲等行業的系統解決方案,全方位滿足企業複雜多樣的安全需求。
其中安全服務充分發揮了騰訊安全20年服務於10億級用戶的技術沉澱及騰訊安全聯合實驗室頂尖安全專家團隊的優勢,通過安全諮詢、風險評估、方案設計、應急響應、安全運維等服務,幫助企業在事前、事中、事後獲得合適的安全解決方案,護航企業「諮詢-開發-建設-運維」IT全生命周期的安全。
例如,從2017年1月至2018年2月期間, 騰訊安全針對不同寶馬車型進行了全面測試,總計發現並配合修復了14個安全問題。寶馬集團評價,這是迄今為止對寶馬集團車輛進行的最全面、最複雜的測試,並由此授予騰訊安全全球首個「寶馬集團數位化及IT研發技術獎」;在央視數位化轉型的重點項目——視頻社交媒體「央視頻」中,騰訊安全全程保障了「國慶閱兵「及「春晚」等活動的線上直播開展,實現了「零」事故;除此之外,智慧旅遊大數據平臺「一機遊雲南」、「如祺出行」、深圳市智慧黨建平臺等背後都有來自騰訊安全為其建立的安全管理體系和安全技術體系。
騰訊安全專家服務另一大特色還在於充分貼合業務場景,想客戶所想。受今年疫情的影響,疫情查詢、疫情防治、口罩購買、物資捐贈、線上買菜、在線教育、雲會議等線上服務興起,但承載這些服務的小程序的安全卻是一片未知之地,為了讓企業運營小程序更加安心,騰訊安全率先推出小程序安全完整解決方案,通過全生命周期的安全服務護航小程序的安全。
從頂層的安全價值上升到企業CEO,到底層的3500人服務團隊,再到獨具特色的安全專家服務模式輸出,騰訊安全希望做好產業數位化升級的安全戰略官,助力企業從戰略視角切入,構建「以人為本」的戰略安全體系。