2月24日-28日,全球信息安全领域风向标RSAC在旧金山展开,今年大会主题为“人是安全要素”——关注信息安全社区中的人的价值,同时这一主题也是本届RSAC大会的十大趋势之首,折射出 “人”对安全建设的影响已然成为未来的安全趋势。
事实上,在“网络安全为人民,网络安全依靠人民” 理念指导下,“以人为本”早已成为国内信息安全建设的基因。这与腾讯安全护航产业安全的做法不谋而合。自从“930变革”之后,腾讯安全就基于人在安全中的重要价值,从上到下系统地建立安全能力矩阵,并对外输出可复用的安全能力,助力企业筑牢安全防线。
战略前瞻性:安全是企业CEO的一把手工程
在RSAC大会今年收到的2400份发言申请中,众多针对“数据、威胁、风险、隐私、管理和团队”的内容均涉及安全方面的人为因素。尤其是数据安全方面,大量数据显示企业员工有意或无意的行为,是致使企业数据资产泄露的罪魁祸首。
另一方面,在企业中,安全是否受到足够多人的重视也是导致以人为本的理念落地的关键一环。尤其是,安全是否受到企业CEO的直接关注?
事实并不乐观——根据CIO网站调查数据,25%的受访企业拥有CISO,11%拥有CSO,17%拥有另一位头衔不同的高层安全管理人员——这意味着近一半的企业还没有为安全团队任命任何高层管理人员。
但是伴随着数字化贯穿于企业研发、生产、流通和服务的全流程,企业的所有环节都需要安全保障,企业需要将安全置于最高等级的战略高度。体现在企业的管理责任上,就是需要企业CEO亲自抓。
正如腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生在第五届CSS互联网安全领袖峰会提出的:“安全不再只是CTO、CIO们的工作范畴,也需要CEO的战略关注,产业互联网时代,安全正成为CEO的一把手工程。”
基于对产业安全的前瞻性认知,腾讯安全在护航产业安全上也有了全新的使命——致力于成为产业数字化升级的安全战略官,从源头帮助企业做好安全。
底层驱动力:关注“人”的安全 3500人安全团队提供全面防护
企业中数据生产后就会进入传输、存储、处理、分析、访问与服务应用等各环节,且周而复始如同流淌的血液,而这些环节涉及到研发运维人员、最终用户、服务器、办公终端、内外网络、大数据分析平台、云平台等各个部分,“人”的安全至关重要。IDG调查显示,71%的IT决策者关注零信任模型。随着产业互联网的渗透和改造,各行各业正在加速数字化的进程。
在终端安全方面,腾讯安全通过终端无边界访问控制系统(iOA)提供内网和办公终端的安全防护,让运维人员更加方便、高效地对内网庞大的终端进行管理。不久前由腾讯主导确立的全球首个零信任安全国际标准在瑞士日内瓦ITU-T(国际电信联盟通信标准化组织)SG17安全研究组全体会议上立项成功,也验证了腾讯在零信任安全领域的领先地位。
在云端安全上,腾讯安全七大安全实验室与安全平台部超过300人协作成立“云全栈安全研究工作组”,对云安全展开全面、前瞻性的研究,将安全服务内置到云中,致力于打造让客户放心的云平台。
安全本质上是人与人之间的对抗,扎实的安全人才体系是开展安全工作的基础。在“安全战略官”的使命指引下,腾讯安全凝聚了超过3500人的服务团队,支撑起腾讯安全提供安全服务的“前台、中台、后台”。
扎实的安全人才也为腾讯安全护航产业安全提供了源源不竭的创新动力,仅仅在2019年,腾讯安全就输出了覆盖多个领域的研究成果。其中,腾讯安全科恩实验室首次发布针对特斯拉Autopilot的研究成果,再次消灭了一个自动驾驶的潜在安全隐患,AI方面科恩的研究成果更是入选了顶会AAAI-20;腾讯安全玄武实验室深耕移动安全,披露了指纹识别领域的最新研究——自动化破解多种类型指纹识别;腾讯安全云鼎实验室基于对云安全情报数据的统计分析和最新云安全攻防趋势的研究,首次发布了 “八横八纵” 的云上攻击全景路径……这些不仅拓深了相应领域的研究深度,也直接反哺到产业,助力企业提升了安全性。
除此之外,“以赛代练”及“红蓝对抗”还在让腾讯安全这3500人持续进化。为了找出平时用常规手段未被发现的漏洞并及时收敛,让不法黑客在攻击时无计可施从而进一步保证云平台和云上租户的安全,腾讯安全不定期举行内部安全攻防实战对抗:联合腾讯安全平台部、七大实验室、企业IT、TSRC等众多安全团队,在合规授权的前提下站在“攻方”视角寻找业务漏洞,通过模拟真实情况下的攻防,检验自身业务在实战对抗、漏洞挖掘、入侵检测等方面的安全防护水平。在内部安全演习的过程中,腾讯安全已协助QQ、微信、微信支付、黄金红包、区块链电子发票等业务完善安全防护能力。
与此同时,腾讯安全还着眼于整个产业安全“人才池”的储备,通过发起腾讯信息安全争霸赛(TCTF)、携手发起极棒国际安全极客大赛(GeekPwn)等安全竞赛,“以赛代练”培养适应当下安全形势的安全人才。腾讯安全还联合国内重点高校、知名企业,对赛事中表现突出的选手/战队,提供从高校到企业的完整成长路径,加速安全人才的能力提升。
企业服务力:专家服务模式输出
基于前瞻性的安全思维和完备的服务团队,腾讯安全目前已形成了覆盖身份安全、网络安全、终端安全、应用安全、数据安全、业务安全、安全管理、安全服务等八大领域的全栈安全产品体系,以及面向政务、金融、零售电商、交通出行、医疗、游戏等行业的系统解决方案,全方位满足企业复杂多样的安全需求。
其中安全服务充分发挥了腾讯安全20年服务于10亿级用户的技术沉淀及腾讯安全联合实验室安全专家团队的优势,通过安全咨询、风险评估、方案设计、应急响应、安全运维等服务,帮助企业在事前、事中、事后获得合适的安全解决方案,护航企业“咨询-开发-建设-运维”IT全生命周期的安全。
例如,从2017年1月至2018年2月期间, 腾讯安全针对不同宝马车型进行了全面测试,总计发现并配合修复了14个安全问题。宝马集团评价,这是迄今为止对宝马集团车辆进行的最全面、最复杂的测试,并由此授予腾讯安全全球首个“宝马集团数字化及IT研发技术奖”;在央视数字化转型的重点项目——视频社交媒体“央视频”中,腾讯安全全程保障了“国庆阅兵“及“春晚”等活动的线上直播开展,实现了“零”事故;除此之外,智慧旅游大数据平台“一机游云南”、“如祺出行”、深圳市智慧党建平台等背后都有来自腾讯安全为其建立的安全管理体系和安全技术体系。
腾讯安全专家服务另一大特色还在于充分贴合业务场景,想客户所想。受今年疫情的影响,疫情查询、疫情防治、口罩购买、物资捐赠、线上买菜、在线教育、云会议等线上服务兴起,但承载这些服务的小程序的安全却是一片未知之地,为了让企业运营小程序更加安心,腾讯安全率先推出小程序安全完整解决方案,通过全生命周期的安全服务护航小程序的安全。
从顶层的安全价值上升到企业CEO,到底层的3500人服务团队,再到独具特色的安全专家服务模式输出,腾讯安全希望做好产业数字化升级的安全战略官,助力企业从战略视角切入,构建“以人为本”的战略安全体系。