誰(shuí)在為網(wǎng)絡(luò)安全制造標(biāo)尺？

“我們想幫助企業(yè)往后退一步，去全局的看一下自己的安全能力建設(shè)水平如何，以及在當(dāng)下的階段最應(yīng)該做的安全建設(shè)是什么？ ”

度量，對(duì)應(yīng)的是更清晰的認(rèn)知。而對(duì)企業(yè)安全而言，這種認(rèn)知，也更在成為一把新的標(biāo)尺。

作者|皮爺

出品|產(chǎn)業(yè)家

6月開(kāi)始，呂一平開(kāi)始頻繁地出現(xiàn)在各個(gè)企業(yè)里。

和他一起的還有騰訊安全專家團(tuán)隊(duì)的同事，作為騰訊安全策略發(fā)展中心的總經(jīng)理，他正在和團(tuán)隊(duì)一起幫企業(yè)做一項(xiàng)特殊的工作——安全免疫力評(píng)估。

用他的話說(shuō)，這是個(gè)不斷試驗(yàn)和驗(yàn)證的過(guò)程。在剛剛過(guò)去的6月，騰訊安全在北京舉辦了數(shù)字安全免疫力研討論壇，在會(huì)上一個(gè)名為“數(shù)字安全免疫力”模型框架被提出。

騰訊集團(tuán)副總裁、騰訊安全總裁丁珂在現(xiàn)場(chǎng)表示，在數(shù)智化新階段，企業(yè)需從被動(dòng)安全變?yōu)橹鲃?dòng)防御，提升數(shù)字安全免疫力，用“治未病”的思路替代“治已病”。

“治未病”的思路到底是什么？

把時(shí)間線往回拉，在過(guò)去的多年時(shí)間里，騰訊安全屢屢出現(xiàn)在攻防演練、重保、應(yīng)急響應(yīng)等多個(gè)安全的核心場(chǎng)景中，服務(wù)了一眾中國(guó)大型和超大型客戶，在這個(gè)過(guò)程中，一個(gè)現(xiàn)象也更在悄然浮現(xiàn)：即企業(yè)如果不從一開(kāi)始就下定決心從整體視角上規(guī)劃安全建設(shè)，而用兵來(lái)將擋、水來(lái)土掩的方式去回應(yīng)安全問(wèn)題，最終終究會(huì)疲于奔命，安全建設(shè)事倍功半。

而也恰是基于這種視角，一套“免疫力”理念的雛形在騰訊安全內(nèi)部悄然形成——即改掉以往見(jiàn)招拆招的做法，幫助企業(yè)系統(tǒng)性地構(gòu)建其內(nèi)在的安全免疫，提升抗風(fēng)險(xiǎn)能力。

而在疫情三年，這種雛形則是更加清晰。由于空間地理的原因，當(dāng)客戶遇到緊急問(wèn)題需要處理的時(shí)候，在此過(guò)程中騰訊的安全專家團(tuán)隊(duì)往往無(wú)法趕赴現(xiàn)場(chǎng)，無(wú)數(shù)次面臨“極限操作”的挑戰(zhàn)。

安全免疫力理念的推出，正式進(jìn)入倒計(jì)時(shí)。

但在倒計(jì)時(shí)的同時(shí)，另一個(gè)更為真實(shí)的問(wèn)題是，什么是真正符合企業(yè)需求的免疫力模型，以及騰訊安全對(duì)在多年場(chǎng)景服務(wù)中初步凝練成的方法論是否有把握？

出現(xiàn)在企業(yè)內(nèi)部的呂一平和團(tuán)隊(duì)，恰在尋找這個(gè)問(wèn)題的答案。“我們主要有兩個(gè)目的，一方面是和自己之前擬定的免疫力模型框架做對(duì)比，看看自己有什么問(wèn)題，企業(yè)的反饋和模型測(cè)試結(jié)果是否一致；另一方面也是把企業(yè)和同行業(yè)的其它企業(yè)進(jìn)行比較，看差別在哪?！?/p>

距6月份“免疫力模型”首次發(fā)布三個(gè)月后，在剛剛舉辦的騰訊數(shù)字全球生態(tài)大會(huì)上，一款名為“數(shù)字安全免疫力模型”的評(píng)測(cè)工具被正式發(fā)布，企業(yè)可以基于這款自測(cè)工具，完成自身企業(yè)場(chǎng)景的數(shù)字安全評(píng)分測(cè)試。這個(gè)測(cè)評(píng)工具覆蓋了企業(yè)的邊界安全、端點(diǎn)安全、開(kāi)發(fā)安全、安全運(yùn)營(yíng)、數(shù)據(jù)安全和業(yè)務(wù)風(fēng)控等絕大部分場(chǎng)景。

這意味著什么？“我們想幫助企業(yè)往后退一步，去全局的看一下自己的安全能力建設(shè)水平如何，以及在當(dāng)下的階段最應(yīng)該做的安全建設(shè)是什么？”呂一平告訴我們。

度量，對(duì)應(yīng)的是更清晰的認(rèn)知。而對(duì)企業(yè)安全而言，這種認(rèn)知，也更在成為一把新的標(biāo)尺。

一、安全，需要被度量

安全，現(xiàn)在到底如何？“很多企業(yè)現(xiàn)在仍然處于‘頭疼醫(yī)頭，腳痛醫(yī)腳’的模式?！眳我黄礁嬖V我們。

誠(chéng)然如此。根據(jù)不完全統(tǒng)計(jì)，中國(guó)企業(yè)在網(wǎng)絡(luò)安全側(cè)的投入比例總體是信息化投入的1%，而在全球的其它數(shù)字化市場(chǎng)，這個(gè)比例一般為5%，甚至更高。

“甚至，很多企業(yè)沒(méi)有設(shè)立首席增長(zhǎng)官，但一定有一個(gè)首席安全官?！倍＄嬲f(shuō)道。

這個(gè)現(xiàn)象背后對(duì)應(yīng)的更大背景是如今伴隨著數(shù)字化建設(shè)的深入，安全已然成為一道越來(lái)越被擺到臺(tái)面上的命題。

在一份名為《2022 全球網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》的文件中顯示，在參與調(diào)查的1200 多名安全行業(yè)的領(lǐng)導(dǎo)者中，有65%的受訪者表示，他們看到試圖進(jìn)行網(wǎng)絡(luò)攻擊的情況在不斷增加；此外，更有接近一半(49%)的企業(yè)表示,他們?cè)谶^(guò)去兩年中遭受了數(shù)據(jù)泄露，比一年前調(diào)查中的 39% 有所增加。

而在國(guó)內(nèi)，這些數(shù)據(jù)都有足夠真實(shí)的產(chǎn)業(yè)表達(dá)。如果說(shuō)，在過(guò)去的多年時(shí)間里，金融、零售等相關(guān)領(lǐng)域一直是網(wǎng)絡(luò)安全的高地，那么如今，包括工業(yè)、零售，乃至教育、醫(yī)療都在成為安全事件愈加頻發(fā)的地帶。

此外，安全的側(cè)重點(diǎn)也更在變化。在呂一平的調(diào)查中發(fā)現(xiàn)，如今市面上不少企業(yè)的關(guān)注重點(diǎn)仍然網(wǎng)絡(luò)安全和終端安全，但對(duì)于內(nèi)部的開(kāi)發(fā)安全，或者說(shuō)安全運(yùn)營(yíng)管理都處于一個(gè)非?；A(chǔ)的階段。

為什么會(huì)如此？

“現(xiàn)在不少企業(yè)里面負(fù)責(zé)安全的有很多人，但每個(gè)角色對(duì)安全的理解都不一樣，最終就造成安全工作沒(méi)有一個(gè)系統(tǒng)性的規(guī)劃，不知道如何推進(jìn)?！倍＄姹硎?。

即對(duì)于安全這個(gè)命題，對(duì)于CEO和CSO，再或者是更具體的執(zhí)行人員，其所處的視角不同，最終得到的結(jié)論也有所不同，這種不同的最直接體現(xiàn)就是對(duì)安全的資金投入。

這也是在如今不少大型企業(yè)始終處于“頭疼醫(yī)頭，腳痛醫(yī)腳”模式的原因，即在企業(yè)內(nèi)部，安全這個(gè)“技術(shù)語(yǔ)言”缺少全局的企業(yè)視角表達(dá)，以及業(yè)務(wù)層面的表達(dá)，在沒(méi)有頂層規(guī)劃視角的情況下，很容易進(jìn)入不斷“打補(bǔ)丁”的惡性循環(huán)模式。

而對(duì)中小企業(yè)而言，這種安全建設(shè)的基礎(chǔ)性表現(xiàn)更為明顯?！昂芏嘀行∑髽I(yè)對(duì)于安全業(yè)務(wù)的了解太少，比如數(shù)據(jù)安全，很多企業(yè)根本不清楚到底什么是數(shù)據(jù)安全、業(yè)務(wù)安全，對(duì)他們而言，安全意味的就是防火墻建設(shè)和安全盒子。”呂一平說(shuō)道。

實(shí)際上，在“企業(yè)如今進(jìn)行安全建設(shè)”的命題上，盡管市面上有不少流傳的安全模型，但更多的是圍繞在“邊界安全”和“端點(diǎn)安全”兩個(gè)點(diǎn)，對(duì)于如今愈發(fā)需要的數(shù)據(jù)安全、業(yè)務(wù)安全等沒(méi)有足夠清晰的方法論。

或者說(shuō)，當(dāng)下企業(yè)需要建立的安全能力到底有哪些？其中優(yōu)先級(jí)分別是怎樣？以及對(duì)大型企業(yè)和中小企業(yè)而言，他們各自的度量標(biāo)準(zhǔn)又是如何？

二、免疫力模型：安全“向上一步”

這些也正是騰訊安全試圖求解的問(wèn)題。而在這次大會(huì)上，一個(gè)選項(xiàng)被推了出來(lái)，它就是安全免疫力模型評(píng)測(cè)工具。

對(duì)其的具體介紹是，企業(yè)可以通過(guò)安全免疫力模型自測(cè)，基于自身在端點(diǎn)安全、應(yīng)用邊界安全、開(kāi)發(fā)安全、安全運(yùn)營(yíng)管理、數(shù)據(jù)安全、業(yè)務(wù)安全等各項(xiàng)的建設(shè)，最終得到一個(gè)總分?jǐn)?shù)，以明確自身的安全建設(shè)水平，以及在同行業(yè)的視角來(lái)看，“企業(yè)處于哪個(gè)水位”。

換言之，和如今市面上的“安全模型”相比，這套工具不僅包括固有的端點(diǎn)安全、網(wǎng)絡(luò)安全，也更關(guān)注企業(yè)在業(yè)務(wù)和數(shù)據(jù)層面的安全建設(shè)，也就是企業(yè)核心資產(chǎn)上的安全防護(hù)。

這恰是如今騰訊提出的“洋蔥理論”，即通過(guò)一層層由表及里的安全驗(yàn)證，最終給企業(yè)進(jìn)行安全的綜合打分。

“我們主要想幫助企業(yè)解決兩個(gè)問(wèn)題：第一個(gè)問(wèn)題是，到底企業(yè)有哪些地方是安全的短板；第二個(gè)問(wèn)題是，目前的安全水平如何，希望提升到什么水平，以解決核心業(yè)務(wù)中最重要的問(wèn)題，將安全投入和資源用在最重要的事情上?！眳我黄礁嬖V我們，

而對(duì)于大型企業(yè)，這套工具的價(jià)值更在于在企業(yè)內(nèi)部建立一個(gè)“統(tǒng)一認(rèn)知”。即通過(guò)更直觀的語(yǔ)言和問(wèn)題表達(dá)，讓企業(yè)的業(yè)務(wù)負(fù)責(zé)人真正意識(shí)到安全的重要性和價(jià)值所在。“為了提升到至少行業(yè)平均水平，甚至標(biāo)桿企業(yè)，我們應(yīng)該做什么？或者說(shuō)，我們首先應(yīng)該做什么？”

在過(guò)去2個(gè)月，這套被從騰訊安全過(guò)往多年經(jīng)驗(yàn)中抽離出來(lái)的安全度量工具，也更是被拿到實(shí)際場(chǎng)景中不斷驗(yàn)證。“對(duì)不少大型企業(yè)而言，他們的評(píng)估反饋基本和我們的評(píng)測(cè)一樣，但其中也會(huì)有一些企業(yè)之前沒(méi)有關(guān)注到的一些方面?！眳我黄奖硎?，“而基于具體的環(huán)節(jié)，企業(yè)就會(huì)進(jìn)行針對(duì)的咨詢?！?/p>

對(duì)于部分中小企業(yè)而言，他們給出的反饋則是這套安全度量工具可以幫助他們建立一個(gè)更成體系化的安全認(rèn)知模型，即“在資金有限的情況下”如何做到效果最好，以及“最應(yīng)該先做的環(huán)節(jié)到底是什么”。

“比如有一家金融的客戶在跟我們?cè)谧鲈圏c(diǎn)，我們通過(guò)免疫模型的評(píng)估幫他們做了今年下半年一個(gè)短期規(guī)劃，主要是解決他們目前風(fēng)險(xiǎn)最高、最急迫需要解決的問(wèn)題。然后基于這些問(wèn)題，我們通過(guò)天幕、御界（注：分別為流量阻斷、終端安全產(chǎn)品）這些產(chǎn)品進(jìn)行對(duì)應(yīng)的部署，接下來(lái)的規(guī)劃是，明年也會(huì)陸續(xù)在端點(diǎn)側(cè)和終端側(cè)進(jìn)行相應(yīng)的產(chǎn)品部署和能力建設(shè)?！?/p>

用呂一平的話來(lái)說(shuō)則是，這套工具的最核心價(jià)值恰在于可以讓企業(yè)“后退一步”，真正從全局視角度量企業(yè)自身的安全建設(shè)水平，進(jìn)而明確當(dāng)下最核心的任務(wù)。

三、“發(fā)現(xiàn)問(wèn)題”，“解決問(wèn)題”

但發(fā)現(xiàn)問(wèn)題顯然是不夠的，在發(fā)現(xiàn)的同時(shí)背后對(duì)應(yīng)的更是對(duì)問(wèn)題的拆分和解決。而就安全建設(shè)水平而言，這些問(wèn)題的解決則是需要對(duì)癥下藥。

根據(jù)呂一平介紹，通過(guò)數(shù)字安全免疫力模型自測(cè)，基于不同的安全能力，企業(yè)共計(jì)可以分為四類：即專家型企業(yè)、運(yùn)營(yíng)型企業(yè)、工具型企業(yè)以及待提升企業(yè)。

專家型企業(yè)，以金融和電力居多，本身對(duì)應(yīng)的是數(shù)字安全免疫力模型自測(cè)分?jǐn)?shù)較高的企業(yè)，即從各個(gè)指標(biāo)來(lái)看，其安全建設(shè)都處于較好的水平。但在具體的某一些垂直細(xì)分場(chǎng)景中，它仍然有提升的需要。

騰訊安全的做法是，支持自身產(chǎn)品的“被集成”，即企業(yè)可以將騰訊安全在部分環(huán)節(jié)的原子能力集成到企業(yè)自身的安全體系中進(jìn)行能力的補(bǔ)齊，進(jìn)而進(jìn)行更好的安全運(yùn)營(yíng)和管理。

運(yùn)營(yíng)型企業(yè)主要對(duì)應(yīng)則是半互聯(lián)網(wǎng)性質(zhì)的企業(yè)。其典型特征是，相較于其它部署有成體系的安全平臺(tái)和批量采購(gòu)安全工具的企業(yè)而言，企業(yè)更強(qiáng)調(diào)量體裁衣，即基于自身的業(yè)務(wù)屬性進(jìn)行專門(mén)的安全運(yùn)營(yíng)和數(shù)據(jù)監(jiān)測(cè)，更多的需求則是通過(guò)數(shù)字安全免疫力模型測(cè)試來(lái)查看自身是否還需要其他環(huán)節(jié)的工具，以及具體流程上強(qiáng)化運(yùn)營(yíng)，比如零售類、電商類企業(yè)。

而工具型的企業(yè)，往往對(duì)應(yīng)的則是底層安全能力建設(shè)較為基礎(chǔ)的企業(yè)，即作為某個(gè)行業(yè)的頭部企業(yè)，其對(duì)于安全建設(shè)的意識(shí)很強(qiáng)，但如何進(jìn)行安全建設(shè)，以及如何把企業(yè)內(nèi)現(xiàn)有的安全產(chǎn)品和體系用好，建立高效聯(lián)動(dòng)的安全機(jī)制，這更是這類企業(yè)的核心難題。

騰訊安全的解決方案是基于安全托管的方式，通過(guò)專家診斷和對(duì)應(yīng)的工具補(bǔ)齊進(jìn)而幫助企業(yè)構(gòu)建起完整的安全鏈路。

呂一平曾打了個(gè)比方。“有點(diǎn)類似于你買(mǎi)了一堆磚，但是你沒(méi)有把這個(gè)磚能夠壘的特別好，那我們一起來(lái)幫助你壘好?！?/strong>

而最后一類則是待提升的企業(yè)。即相較于前三類，這種企業(yè)在安全側(cè)的建設(shè)基礎(chǔ)較為初階，不論是從安全的管理理念組織，還是安全產(chǎn)品體系本身的能力建設(shè)，都還是處于初期階段。

針對(duì)這樣的客戶來(lái)講的話，騰訊安全會(huì)在為企業(yè)提供產(chǎn)品支撐的同時(shí)，更會(huì)幫助進(jìn)行專項(xiàng)咨詢，比如幫助其規(guī)劃是否要建設(shè)單獨(dú)的安全團(tuán)隊(duì)，再比如在專門(mén)的安全制度執(zhí)行上，是否能有一些比較分明的職責(zé)分工等等。

“在現(xiàn)在的網(wǎng)絡(luò)安全服務(wù)里，更多的開(kāi)始涌現(xiàn)安全能力原子化和安全能力服務(wù)化的趨勢(shì)?！?/strong>呂一平表示，“安全能力原子化，對(duì)應(yīng)就是產(chǎn)品可以支持被集成，被組合，而安全能力服務(wù)化則是基于最終的效果和服務(wù)，幫助企業(yè)把安全做好?！?/p>

在這兩個(gè)被感知的趨勢(shì)背后，對(duì)應(yīng)的更是騰訊安全自身堅(jiān)實(shí)的產(chǎn)和服務(wù)品能力。在如今騰訊安全的布局中，基礎(chǔ)安全、業(yè)務(wù)安全、數(shù)據(jù)安全以及安全服務(wù)中諸多如零信任iOA、威脅情報(bào)、天御，以及“SOC+”等拳頭產(chǎn)品如今已然成為諸多企業(yè)安全建設(shè)中的首要選項(xiàng)。

而在最近國(guó)際權(quán)威機(jī)構(gòu)Forrester發(fā)布《The Unified Endpoint Management Landscape, Q3 2023》（以下簡(jiǎn)稱“報(bào)告”）中，憑借零信任iOA在DEX（數(shù)字化員工體驗(yàn)）、風(fēng)險(xiǎn)控制等方面的優(yōu)勢(shì)，騰訊安全更是獲得Forrester的認(rèn)可和推薦，成為國(guó)內(nèi)唯一入選的安全服務(wù)廠商。

“在梳理完需求幫客戶做好咨詢明確解決方案之后，我們有時(shí)候也會(huì)幫企業(yè)安全部門(mén)做最后一步?！眳我黄礁嬖V我們，“這里面會(huì)是預(yù)算、專業(yè)人員和領(lǐng)導(dǎo)的支持。我們會(huì)采用簡(jiǎn)單直觀的 ‘兵器推演’或‘沙盤(pán)推演’的模式，與業(yè)務(wù)領(lǐng)導(dǎo)層共同探討，‘如果不進(jìn)行安全能力建設(shè)，他們的核心業(yè)務(wù)可能會(huì)面臨什么風(fēng)險(xiǎn)，以及可能導(dǎo)致的后果’等等問(wèn)題，企業(yè)負(fù)責(zé)人基本一看就能明白?！?/p>

實(shí)際上，這些細(xì)節(jié)構(gòu)成的不僅是基于安全的“診斷”能力，也更等同于一場(chǎng)面向不同企業(yè)安全的“手術(shù)”。如果想要從根本解決病癥，就必須對(duì)癥下藥、量體裁衣。

四、看見(jiàn)一艘網(wǎng)絡(luò)安全的新航船

“能力之前也是一直在積累，這些來(lái)自我們之前輕量級(jí)咨詢的經(jīng)驗(yàn)，現(xiàn)在是覺(jué)得時(shí)間到了，也就有了這次免疫力模型評(píng)測(cè)工具的發(fā)布?！眳我黄礁嬖V我們。

從當(dāng)下數(shù)字化角度來(lái)看，數(shù)字免疫力模型的價(jià)值在于作為一個(gè)中性的安全評(píng)測(cè)工具，它構(gòu)建出的恰是一把基于當(dāng)下新數(shù)字時(shí)代安全評(píng)測(cè)的標(biāo)尺，這套標(biāo)尺可以幫助企業(yè)“后退”一步，站在更高的視角進(jìn)行足夠系統(tǒng)且足夠前沿的安全建設(shè)思考。

而在具體的產(chǎn)品選擇上，盡管在每個(gè)安全場(chǎng)景和環(huán)節(jié)背后對(duì)應(yīng)的都有騰訊基于自身產(chǎn)品給出的解決方案，但企業(yè)依舊可以自行選擇?！鞍ㄔ谠u(píng)測(cè)之后，如果需要我們幫助企業(yè)做安全側(cè)的輕量級(jí)咨詢，我們也會(huì)把客觀的建議告訴企業(yè)，比如騰訊這塊產(chǎn)品能力不具備，企業(yè)可以自己去市場(chǎng)上采購(gòu)等等。”

如今，這些正在成為騰訊安全團(tuán)隊(duì)對(duì)外服務(wù)的常態(tài)。甚至更近一步來(lái)看，這也更將成為整個(gè)中國(guó)安全市場(chǎng)的新常態(tài)。

野蠻對(duì)應(yīng)無(wú)序，秩序帶來(lái)增長(zhǎng)。即在這把新安全標(biāo)尺的助力下，不論中小企業(yè)，還是大型企業(yè)，對(duì)于安全都會(huì)有一個(gè)成體系化的認(rèn)知和重視，而在此之上則會(huì)逐漸形成越發(fā)穩(wěn)固、越發(fā)有規(guī)則的中國(guó)網(wǎng)絡(luò)安全體系。

在這個(gè)新的建立在度量標(biāo)尺之上的安全體系里，既會(huì)有針對(duì)具體問(wèn)題的產(chǎn)品和解決方案，也會(huì)有諸如企業(yè)如何構(gòu)建安全組織架構(gòu)，以及如何界定安全職責(zé)的企業(yè)安全體系范式，更會(huì)有一個(gè)足夠有邊界、有開(kāi)放和兼容的安全服務(wù)生態(tài)。

如今，這把標(biāo)尺仍在進(jìn)化。

“后面估計(jì)還會(huì)出一些比如行業(yè)的平均分標(biāo)尺，有標(biāo)尺的話，大家在這里面也可以去跟專家和一些主管部門(mén)做好銜接；另外，接下來(lái)也會(huì)和一些研究院合作，在各行各業(yè)里面，真的能把安全咨詢這個(gè)東西做起來(lái)。”丁珂說(shuō)道。

可以理解為，這也更是騰訊安全的特殊價(jià)值。

即在技術(shù)、產(chǎn)品和服務(wù)方案之外，它也更在成為中國(guó)安全產(chǎn)業(yè)的基建角色，這種基于安全的基建不是過(guò)往人們對(duì)底層技術(shù)、PaaS等開(kāi)發(fā)側(cè)開(kāi)放兼容的理解，而更是基于整個(gè)行業(yè)的新產(chǎn)品和需求框架的重塑，化無(wú)序?yàn)橛行?，真正建立其安全產(chǎn)業(yè)里足夠有形的需求和標(biāo)準(zhǔn)化的環(huán)節(jié)，進(jìn)而推動(dòng)整個(gè)市場(chǎng)增長(zhǎng)。

“所以，很多時(shí)候在做安全的時(shí)候，我們經(jīng)常會(huì)想：你到底堅(jiān)持的是什么？除了資產(chǎn)之外，還有什么？其實(shí)是價(jià)值觀。安全的問(wèn)題，本質(zhì)就是價(jià)值觀的問(wèn)題?！倍＄娓嬖V我們。