数字时代,网络安全依旧是攻防大战,攻击方和防守方没变,变化的是战场。
企业在拥抱数字化的同时,往往需要补足安全风险意识和技能。在近日举办的腾讯数字生态大会上,腾讯副总裁、腾讯安全总裁丁珂指出,数字化的进程并非一帆风顺,在发展的过程中,网络安全是守护数字经济健康可持续发展的基础和保障,安全和数字化是伴生关系。
市场对网络安全的态度风向转换仅仅用了两年时间。相关数据显示,全国有64%企业的CIO对网络安全的前景表示担忧,在亚太地区有51%的企业经历过网络的攻击。
变化背后首要因素是政策,2021年《数据安全法》、《个保法》相继颁布,垂直领域如金融行业的数据管理办法,工业安全的数据管理办法陆续推出,短时间内密集实施的安全政策,体现了国家在网络安全层面的系统设计。
其次,疫情与数字化浪潮叠加,对更多行业产生了深远影响,企业从资源驱动转为数据驱动,势必面临着更大的安全敞口,安全已经成为数字化企业的底线和核心竞争力。
对于当下的网络安全态势,腾讯安全有何思考,又如何具现腾讯在安全产业中的价值?在2021腾讯数字生态大会上,钛媒体App对话腾讯副总裁丁珂,通过他的视角,全面了解了产业安全发展的现状、趋势以及腾讯安全的长期思考。
行业机会之下正视差距
“先不讲行业会有多大机会,这个阶段挺痛心的。”丁珂直言不讳。
中国网络安全行业有其自身的独特性,国家快速实施的法律法规设定了红线,并且建立了以信创为基础的上层建筑,同时推动了国产厂商走向自信、自强、自创的路径,这是国内网络安全行业的大前提。
从国际化技术栈的视角看,我们现在的技术栈与组合能力,离真正国际上的威胁强度相比,攻击方还是占优。“但是在防守方跟建设方来看,把产品做到行云流水的体验,做到to B的产品与to C产品一样还差得很远。国际顶级安全厂商、云厂商的线上产品用户体验都已经非常好”,丁珂说道。
近年来随着资本的涌动,安全行业也难免为了资本“讲故事”,丁珂告诉钛媒体App,行业与现实有两个层面的差距,也借此机会向行业呼吁,正视差距,走向产业共建:第一,安全技术栈特别长,有的时候甚至觉得真正做安全的厂商还是太少,而且市面上冒出来的投资热点有时过于互联网化,不是真正做安全的,沉下心来做安全的可选择厂商也有,但是远远不够;第二,安全产业一定会走向开放合作,因为安全那么长的技术栈,实际上分工繁多,每一个技术栈都需要做得很深。
“大家在创业的过程中,必然会经历一个过程,单个厂商往往在产业链上的“点”有所建树,但这个点拿到客户面前,客户不懂,你就卖不出价钱来。所以我们呼吁在产业上加以扶持,接下来腾讯安全也会专门设立创新沙盒扶持产业链厂商。”丁珂说,“安全产业确实很痛苦,门槛太高了,人人都说做安全,但其实真正懂安全的人不多,切身做过攻防有几个?被资本热捧的这一批,我觉得还是有点过度炒作。我认为,要达到国际顶尖的水平,还要在在用户体验,聚合性上给客户一键安全的便利,技术距离真正解决问题还有相当大的差距。”
腾讯安全的差异化路径选择
在腾讯安全看来,云原生一定比传统IT更加安全。传统的IT通过内外网隔离建设,但企业一旦把自己封闭到一个体系里面,在云技术和AI的攻击手段之下,是不堪一击的。
安全客户也在想对策,如每一个季度引入红蓝军,在金融、航空业、能源体系、房地产等各个领域引入沙盘演练。“我见过太多客户自信满满说做得非常好,但是基本上一天之内肯定破防。真正的安全不是鸵鸟,关着门做安全,它一定是在最残酷的攻防环境里面历练出来的,而且一定是跟着客户的需求直面黑暗,天天都是在血雨腥风中打出来还能活下来,才是真正的安全。”丁珂说。
在本次大会上,腾讯安全提出,数字化带来的收益切实可见,但可持续的长期发展,不但要保证自身的健康,还需要承担企业责任,甚至是要发展数字未来利他的价值观。
产业链条变长,数据的纵深极大,腾讯的实践发现,或许产业携手通过共建来构筑面向数字经济的安全底座,是一个必经之路。
若要实现安全产业共建,首要前提便是设定边界与建立生态,对此,腾讯安全产品化路径的选择,从一出生开始就走出了差异化。
丁珂说,腾讯安全最主要的产品是云原生产品,很多安全生态的厂商,不管是防火墙,还是端产品,或者流量深度分析产品,都是基于边界做的。而腾讯是一家云厂商,出发点是服务公有云安全,从一开始其实就没有与行业直接竞争。
“坦率来讲,行业厂商看到的安全市场盘500亿,但腾讯安全拓展的并不是传统安全市场,所以一开始就是竞合关系,这个基础也确实得到很多安全厂商的理解和认同,他不觉得你过来非要怎么样,反而他们跟我们一起看到了增量,所以合作基础非常好。”
据了解,在类似智慧城市等总包型项目中,考虑到建设规模大、时间紧、任务重,需要以共建的思路帮助客户建立安全屏障,行业往往采用合作的方式,组合多家安全厂商的优势产品,共同为大项目服务。
丁珂也提到,传统安全领域已经不乏厂商,腾讯觉得没有再去重新做一遍,而且当下安全行业处于进化阶段,产业也在共同探讨长期的未来。有一些场景,合作伙伴比我们更适合做,腾讯安全会在技术栈中挑战最难的领域,并且长期投入、长期建设。
安全共建的三个层次
腾讯安全确定好边界,问题是如何“共建”?
在腾讯内部,腾讯安全与云、微信、IEG、游戏一起共建,把内部的优秀实践,做到可视化、智能化、联动化推到市场;在外部,腾讯安全与生态伙伴一起共建,共同面向数字经济打造稳固的安全“底座”——腾讯和其他安全公司的一大差异就体现在这。
丁珂提到,共建的第一层是升级传统的甲乙方供求关系,安全厂商和客户共同以结果为导向,共同担当、共同建设、共同成长。
传统的安全是甲乙方以“买卖盒子”的交付形式,以边界为防护目标。但是数字时代明显边界消融,甲乙方的关系实际上是背靠背的战友关系。例如腾讯安全和上汽集团、华润集团等大型央国企建立联合实验室,这是腾讯安全完善行业级安全能力的新尝试。
共建的第二层是以数据为驱动,实现业务发展和数据安全共建。
腾讯安全观察了很多客户,总结了一套数据资产的马斯洛模型,理论上说数字的价值越往上越高,但第三层是特别重要的分水岭。下面两层主要面对企业自主可控的生产物资、生产资料和生产流程环节,到了第三层以上,就转变到了跟用户行为数据的强交互,这时候,企业针对数据的所有经营,就进入了《网络安全法》《个保法》等法律法规相关的范畴。
在这个流转过程中,需要特别重视价值双赢,重视合规,而且在挖掘价值的同时,需要有一些强技术的支持。数据不落地的场景下,在面临较强约束的情况下,整个产业怎么样能够共同挖掘出面向未来的数字化产品的价值。
共建的第三个层面,是安全生态的联动。安全共建是产业发展的必经过程,行业里面不同安全厂商分别专心攻克关键点,再通过产业链协同提供给客户一个整体的方案,这样客户才能接受,方案才能卖出价钱。
“从任何角度来看,我们都需要基于整个安全生态做好共建,大家拿出最好的技术和产品,为数字经济构建稳固的基础设施,提供最充沛的动能。”丁珂总结表示。
(本文首发钛媒体App 作者 | 张帅)
根据《网络安全法》实名制要求,请绑定手机号后发表评论