誰在爲網絡安全制造標尺？

相關報導

格隆匯

誰在爲網絡安全制造標尺？

1年前

誰在爲網絡安全制造標尺？

“我們想幫助企業往後退一步，去全局的看一下自己的安全能力建設水平如何，以及在當下的階段最應該做的安全建設是什么？”

度量，對應的是更清晰的認知。而對企業安全而言，這種認知，也更在成爲一把新的標尺。

6月开始，呂一平开始頻繁地出現在各個企業裏。

和他一起的還有騰訊安全專家團隊的同事，作爲騰訊安全策略發展中心的總經理，他正在和團隊一起幫企業做一項特殊的工作——安全免疫力評估。

用他的話說，這是個不斷試驗和驗證的過程。在剛剛過去的6月，騰訊安全在北京舉辦了數字安全免疫力研討論壇，在會上一個名爲“數字安全免疫力”模型框架被提出。

騰訊集團副總裁、騰訊安全總裁丁珂在現場表示，在數智化新階段，企業需從被動安全變爲主動防御，提升數字安全免疫力，用“治未病”的思路替代“治已病”。

“治未病”的思路到底是什么？

把時間线往回拉，在過去的多年時間裏，騰訊安全屢屢出現在攻防演練、重保、應急響應等多個安全的核心場景中，服務了一衆中國大型和超大型客戶，在這個過程中，一個現象也更在悄然浮現：即企業如果不從一开始就下定決心從整體視角上規劃安全建設，而用兵來將擋、水來土掩的方式去回應安全問題，最終終究會疲於奔命，安全建設事倍功半。

而也恰是基於這種視角，一套“免疫力”理念的雛形在騰訊安全內部悄然形成——即改掉以往見招拆招的做法，幫助企業系統性地構建其內在的安全免疫，提升抗風險能力。

而在疫情三年，這種雛形則是更加清晰。由於空間地理的原因，當客戶遇到緊急問題需要處理的時候，在此過程中騰訊的安全專家團隊往往無法趕赴現場，無數次面臨“極限操作”的挑战。

安全免疫力理念的推出，正式進入倒計時。

但在倒計時的同時，另一個更爲真實的問題是，什么是真正符合企業需求的免疫力模型，以及騰訊安全對在多年場景服務中初步凝練成的方法論是否有把握？

出現在企業內部的呂一平和團隊，恰在尋找這個問題的答案。“我們主要有兩個目的，一方面是和自己之前擬定的免疫力模型框架做對比，看看自己有什么問題，企業的反饋和模型測試結果是否一致；另一方面也是把企業和同行業的其它企業進行比較，看差別在哪。”

距6月份“免疫力模型”首次發布三個月後，在剛剛舉辦的騰訊數字全球生態大會上，一款名爲“數字安全免疫力模型”的評測工具被正式發布，企業可以基於這款自測工具，完成自身企業場景的數字安全評分測試。這個測評工具覆蓋了企業的邊界安全、端點安全、开發安全、安全運營、數據安全和業務風控等絕大部分場景。

這意味着什么？“我們想幫助企業往後退一步，去全局的看一下自己的安全能力建設水平如何，以及在當下的階段最應該做的安全建設是什么？”呂一平告訴我們。

度量，對應的是更清晰的認知。而對企業安全而言，這種認知，也更在成爲一把新的標尺。

安全，需要被度量

安全，現在到底如何？“很多企業現在仍然處於‘頭疼醫頭，腳痛醫腳’的模式。”呂一平告訴我們。

誠然如此。根據不完全統計，中國企業在網絡安全側的投入比例總體是信息化投入的1%，而在全球的其它數字化市場，這個比例一般爲5%，甚至更高。

“甚至，很多企業沒有設立首席增長官，但一定有一個首席安全官。”丁珂說道。

這個現象背後對應的更大背景是如今伴隨着數字化建設的深入，安全已然成爲一道越來越被擺到台面上的命題。

在一份名爲《2022 全球網絡安全態勢報告》的文件中顯示，在參與調查的1200 多名安全行業的領導者中，有65%的受訪者表示，他們看到試圖進行網絡攻擊的情況在不斷增加；此外，更有接近一半(49%)的企業表示,他們在過去兩年中遭受了數據泄露，比一年前調查中的 39% 有所增加。

而在國內，這些數據都有足夠真實的產業表達。如果說，在過去的多年時間裏，金融、零售等相關領域一直是網絡安全的高地，那么如今，包括工業、零售，乃至教育、醫療都在成爲安全事件愈加頻發的地帶。

此外，安全的側重點也更在變化。在呂一平的調查中發現，如今市面上不少企業的關注重點仍然網絡安全和終端安全，但對於內部的开發安全，或者說安全運營管理都處於一個非常基礎的階段。

爲什么會如此？

“現在不少企業裏面負責安全的有很多人，但每個角色對安全的理解都不一樣，最終就造成安全工作沒有一個系統性的規劃，不知道如何推進。”丁珂表示。

即對於安全這個命題，對於CEO和CSO，再或者是更具體的執行人員，其所處的視角不同，最終得到的結論也有所不同，這種不同的最直接體現就是對安全的資金投入。

這也是在如今不少大型企業始終處於“頭疼醫頭，腳痛醫腳”模式的原因，即在企業內部，安全這個“技術語言”缺少全局的企業視角表達，以及業務層面的表達，在沒有頂層規劃視角的情況下，很容易進入不斷“打補丁”的惡性循環模式。

而對中小企業而言，這種安全建設的基礎性表現更爲明顯。“很多中小企業對於安全業務的了解太少，比如數據安全，很多企業根本不清楚到底什么是數據安全、業務安全，對他們而言，安全意味的就是防火牆建設和安全盒子。”呂一平說道。

實際上，在“企業如今進行安全建設”的命題上，盡管市面上有不少流傳的安全模型，但更多的是圍繞在“邊界安全”和“端點安全”兩個點，對於如今愈發需要的數據安全、業務安全等沒有足夠清晰的方法論。

或者說，當下企業需要建立的安全能力到底有哪些？其中優先級分別是怎樣？以及對大型企業和中小企業而言，他們各自的度量標准又是如何？

免疫力模型：安全“向上一步”

這些也正是騰訊安全試圖求解的問題。而在這次大會上，一個選項被推了出來，它就是安全免疫力模型評測工具。

對其的具體介紹是，企業可以通過安全免疫力模型自測，基於自身在端點安全、應用邊界安全、开發安全、安全運營管理、數據安全、業務安全等各項的建設，最終得到一個總分數，以明確自身的安全建設水平，以及在同行業的視角來看，“企業處於哪個水位”。

換言之，和如今市面上的“安全模型”相比，這套工具不僅包括固有的端點安全、網絡安全，也更關注企業在業務和數據層面的安全建設，也就是企業核心資產上的安全防護。

這恰是如今騰訊提出的“洋蔥理論”，即通過一層層由表及裏的安全驗證，最終給企業進行安全的綜合打分。

“我們主要想幫助企業解決兩個問題：第一個問題是，到底企業有哪些地方是安全的短板；第二個問題是，目前的安全水平如何，希望提升到什么水平，以解決核心業務中最重要的問題，將安全投入和資源用在最重要的事情上。”呂一平告訴我們，

而對於大型企業，這套工具的價值更在於在企業內部建立一個“統一認知”。即通過更直觀的語言和問題表達，讓企業的業務負責人真正意識到安全的重要性和價值所在。“爲了提升到至少行業平均水平，甚至標杆企業，我們應該做什么？或者說，我們首先應該做什么？”

在過去2個月，這套被從騰訊安全過往多年經驗中抽離出來的安全度量工具，也更是被拿到實際場景中不斷驗證。“對不少大型企業而言，他們的評估反饋基本和我們的評測一樣，但其中也會有一些企業之前沒有關注到的一些方面。”呂一平表示，“而基於具體的環節，企業就會進行針對的咨詢。”

對於部分中小企業而言，他們給出的反饋則是這套安全度量工具可以幫助他們建立一個更成體系化的安全認知模型，即“在資金有限的情況下”如何做到效果最好，以及“最應該先做的環節到底是什么”。

“比如有一家金融的客戶在跟我們在做試點，我們通過免疫模型的評估幫他們做了今年下半年一個短期規劃，主要是解決他們目前風險最高、最急迫需要解決的問題。然後基於這些問題，我們通過天幕、御界（注：分別爲流量阻斷、終端安全產品）這些產品進行對應的部署，接下來的規劃是，明年也會陸續在端點側和終端側進行相應的產品部署和能力建設。”

用呂一平的話來說則是，這套工具的最核心價值恰在於可以讓企業“後退一步”，真正從全局視角度量企業自身的安全建設水平，進而明確當下最核心的任務。

“發現問題”，“解決問題”

但發現問題顯然是不夠的，在發現的同時背後對應的更是對問題的拆分和解決。而就安全建設水平而言，這些問題的解決則是需要對症下藥。

根據呂一平介紹，通過數字安全免疫力模型自測，基於不同的安全能力，企業共計可以分爲四類：即專家型企業、運營型企業、工具型企業以及待提升企業。

專家型企業，以金融和電力居多，本身對應的是數字安全免疫力模型自測分數較高的企業，即從各個指標來看，其安全建設都處於較好的水平。但在具體的某一些垂直細分場景中，它仍然有提升的需要。

騰訊安全的做法是，支持自身產品的“被集成”，即企業可以將騰訊安全在部分環節的原子能力集成到企業自身的安全體系中進行能力的補齊，進而進行更好的安全運營和管理。

運營型企業主要對應則是半互聯網性質的企業。其典型特徵是，相較於其它部署有成體系的安全平台和批量採購安全工具的企業而言，企業更強調量體裁衣，即基於自身的業務屬性進行專門的安全運營和數據監測，更多的需求則是通過數字安全免疫力模型測試來查看自身是否還需要其他環節的工具，以及具體流程上強化運營，比如零售類、電商類企業。

而工具型的企業，往往對應的則是底層安全能力建設較爲基礎的企業，即作爲某個行業的頭部企業，其對於安全建設的意識很強，但如何進行安全建設，以及如何把企業內現有的安全產品和體系用好，建立高效聯動的安全機制，這更是這類企業的核心難題。

騰訊安全的解決方案是基於安全托管的方式，通過專家診斷和對應的工具補齊進而幫助企業構建起完整的安全鏈路。

呂一平曾打了個比方。“有點類似於你买了一堆磚，但是你沒有把這個磚能夠壘的特別好，那我們一起來幫助你壘好。”

而最後一類則是待提升的企業。即相較於前三類，這種企業在安全側的建設基礎較爲初階，不論是從安全的管理理念組織，還是安全產品體系本身的能力建設，都還是處於初期階段。

針對這樣的客戶來講的話，騰訊安全會在爲企業提供產品支撐的同時，更會幫助進行專項咨詢，比如幫助其規劃是否要建設單獨的安全團隊，再比如在專門的安全制度執行上，是否能有一些比較分明的職責分工等等。

“在現在的網絡安全服務裏，更多的开始湧現安全能力原子化和安全能力服務化的趨勢。”呂一平表示，“安全能力原子化，對應就是產品可以支持被集成，被組合，而安全能力服務化則是基於最終的效果和服務，幫助企業把安全做好。”

在這兩個被感知的趨勢背後，對應的更是騰訊安全自身堅實的產和服務品能力。在如今騰訊安全的布局中，基礎安全、業務安全、數據安全以及安全服務中諸多如零信任iOA、威脅情報、天御，以及“SOC+”等拳頭產品如今已然成爲諸多企業安全建設中的首要選項。

而在最近國際權威機構Forrester發布《The Unified Endpoint Management Landscape, Q3 2023》（以下簡稱“報告”）中，憑借零信任iOA在DEX（數字化員工體驗）、風險控制等方面的優勢，騰訊安全更是獲得Forrester的認可和推薦，成爲國內唯一入選的安全服務廠商。

“在梳理完需求幫客戶做好咨詢明確解決方案之後，我們有時候也會幫企業安全部門做最後一步。”呂一平告訴我們，“這裏面會是預算、專業人員和領導的支持。我們會採用簡單直觀的 ‘兵器推演’或‘沙盤推演’的模式，與業務領導層共同探討，‘如果不進行安全能力建設，他們的核心業務可能會面臨什么風險，以及可能導致的後果’等等問題，企業負責人基本一看就能明白。”

實際上，這些細節構成的不僅是基於安全的“診斷”能力，也更等同於一場面向不同企業安全的“手術”。如果想要從根本解決病症，就必須對症下藥、量體裁衣。

看見一艘網絡安全的新航船

“能力之前也是一直在積累，這些來自我們之前輕量級咨詢的經驗，現在是覺得時間到了，也就有了這次免疫力模型評測工具的發布。”呂一平告訴我們。

從當下數字化角度來看，數字免疫力模型的價值在於作爲一個中性的安全評測工具，它構建出的恰是一把基於當下新數字時代安全評測的標尺，這套標尺可以幫助企業“後退”一步，站在更高的視角進行足夠系統且足夠前沿的安全建設思考。

而在具體的產品選擇上，盡管在每個安全場景和環節背後對應的都有騰訊基於自身產品給出的解決方案，但企業依舊可以自行選擇。“包括在評測之後，如果需要我們幫助企業做安全側的輕量級咨詢，我們也會把客觀的建議告訴企業，比如騰訊這塊產品能力不具備，企業可以自己去市場上採購等等。”

如今，這些正在成爲騰訊安全團隊對外服務的常態。甚至更近一步來看，這也更將成爲整個中國安全市場的新常態。

野蠻對應無序，秩序帶來增長。即在這把新安全標尺的助力下，不論中小企業，還是大型企業，對於安全都會有一個成體系化的認知和重視，而在此之上則會逐漸形成越發穩固、越發有規則的中國網絡安全體系。

在這個新的建立在度量標尺之上的安全體系裏，既會有針對具體問題的產品和解決方案，也會有諸如企業如何構建安全組織架構，以及如何界定安全職責的企業安全體系範式，更會有一個足夠有邊界、有开放和兼容的安全服務生態。

如今，這把標尺仍在進化。

“後面估計還會出一些比如行業的平均分標尺，有標尺的話，大家在這裏面也可以去跟專家和一些主管部門做好銜接；另外，接下來也會和一些研究院合作，在各行各業裏面，真的能把安全咨詢這個東西做起來。”丁珂說道。

可以理解爲，這也更是騰訊安全的特殊價值。

即在技術、產品和服務方案之外，它也更在成爲中國安全產業的基建角色，這種基於安全的基建不是過往人們對底層技術、PaaS等开發側开放兼容的理解，而更是基於整個行業的新產品和需求框架的重塑，化無序爲有序，真正建立其安全產業裏足夠有形的需求和標准化的環節，進而推動整個市場增長。