0
命運的齒輪總是以一種出人意料的方式轉動。
2016年,移動辦公逐漸興起,出于自己遠程辦公的需要,騰訊開始用當時還只是一個前沿概念的零信任理念改造內網,持續了幾年去做各種底層技術的摸索、體驗的優化。
當時并沒有一個明確的KPI或者節點促使他們做這個事情,但是到后來疫情來襲的時候,之前這些工作都有了用武之地:
騰訊之前移動辦公主要使用的是VPN,在疫情期間VPN最痛苦的兩點體驗,一是慢,程序員上傳代碼動輒幾個G十幾個G,容易斷掉,效率太低;二是運維,要遠程7×24小時維護,這兩個問題極大影響工作效率和員工體驗。
在全面使用零信任之前騰訊有過糾結:這只是一個概念性技術,突然對外開放大量接入口,如何確保安全?但疫情逼迫大家必須改變,那就上!結果體驗非常好,全員“真香了”。
于是在疫情早期,騰訊只用了2天的時間就支持騰訊全球“全尺寸”遠程辦公——所謂的全尺寸就是員工在家登陸內網的開發、運維和各種業務系統,和在辦公室的體驗完全一致。整個疫情最嚴重的時候,全員遠程辦公,騰訊的業務持續運行,沒有受到影響。
如今,騰訊已經使用零信任3年多。也正是這次經歷,讓騰訊更加意識到:在安全上適度地超前建設,能提升應對不確定性的能力。對于處在在產業變革浪潮中的企業來說,“確定性”彌足珍貴。
也許,是時候轉變安全觀念了。
安全,就是收益。
知名經濟學者薛兆豐前幾天在騰訊全球生態大會上提出這個鮮明的觀點。這個觀點旨在對另一句潛在的對立觀點進行糾偏,即“安全,就是成本”,后者已經是一個根深蒂固的觀念。
做ToB以來,騰訊安全和幾乎所有類型的企業客戶都打過交道。從接觸客戶的過程中,騰訊安全發現,對安全存在的問題,同一個公司不同角色對安全的認知和理解都不相同,甚至處于完全割裂的狀態。
現在企業的安全大多數是“分管一段”模式,于是:組織架構說我只負責邊界,業務說我只負責保護用戶的數據。有部分流量有潛伏進來造成破壞?這好像是IT部門的事情。此外,不少行業人員流動性也強,加劇了安全上的管理難題。
這是騰訊在調研了約1500家企業后發現的行業普遍性問題。企業的一把手、CSO、業務主管和一線員工對各自的安全評估差距非常大,側重點也千奇百怪。這導致不少企業在安全建設投入上,都會把一個簡單的事情復雜化,效率低下。看上去頗有規劃,但其實沒有針對性、系統性。當出現安全事故,感嘆“怎么錢花下去還是不停地出事?”
騰訊內部架構師跟銷售在討論客戶痛點時,經常會自我詰問:客戶真正的問題是什么?怎么對他們進行客觀評估?客戶是怎么理解的?怎么幫他們判斷出建設的優先級?
是否能有一個健康可持續的、門檻更低的、更有效率的安全體系,這個體系至少能延續5~10年,不論企業人員再怎么換,行業落地時都能無縫銜接?
這些困擾安全甲乙雙方已久的問題,在疫情期間被成倍放大,終于到了一個不得不變的關口。
“以前騰訊安全的模式更多是做總集,給客戶的安全托底,騰訊安全的專家在客戶方駐扎,貼身解決客戶問題。疫情期間,你根本見不了客戶,客戶和我們的關鍵人員都動不了,業務進展處于極限挑戰狀態。如果這是未來的常態,我們該怎么辦?”騰訊副總裁、安全負責人丁珂表示。
即便沒有疫情,這種情況也是不可持續的,企業“帶寬”有限,服務好了一家,那其他10家、1000家呢?騰訊安全意識到之前的慣性是不對的,安全的能力必須內嵌到客戶,變成客戶本身第一種免疫能力,將企業拖離無止境的頭痛醫頭、腳痛醫腳的泥淖。
在不斷的推敲和客戶驗證過程中,一個不同于傳統合規或合作事件驅動的、更適應當下數字環境的安全建設模式逐漸成型。6月,騰訊安全聯合IDC在北京正式對外分享了這一模型。
數字化時代,安全驅動力發生顯著變化。
“再過十年,您企業的核心資產、核心價值是哪些?是這棟樓還是你買的那堆設備?從財務的角度來說,無論是辦公樓還是高性能的硬件,用不了幾年就折舊了。企業家最終會逐步意識到,數據和構建在數據之上的商業模式,才是企業的核心價值。”
這是騰訊在與客戶交流中經常提出的問題。正是因為數據已經成為繼技術、人才、資本、資源之后,企業又一核心資產和生產要素,企業才更需要破除“安全=管理和控制”的迷思。安全不是緊箍咒,一切的安全工作都應該以保護企業的核心數據、核心業務的穩定運行作為出發點。
不管企業原來是出于什么訴求建設安全——也許是合規、也許是慣性,現在他們需要重新回到最原始的出發點:安全對誰最重要?
答案是企業自己。安全問題是企業的無限責任。當你擁有數據主權,就要承擔數據主責。
幾十萬的安全采購合同,安全廠商承擔的僅僅是“有限責任”,解決不了長治久安的問題。
企業今天健康,并不意味明天也健康。免疫力增強靠外力是不可持續的,企業在外力幫助下建立起基礎能力后,需要不斷迭代和優化,才能持續與外界對抗。
這也正是數字安全免疫力的核心:讓企業體系在運行過程中、生產過程中持續具備對抗的能力。
數字安全免疫力模型正是基于企業在數字化時代發展的內在要求,把安全的價值原點重建,并提煉出一個建設框架的思考模型。
正如前文所言:網絡安全≠安保。
網絡安全領域,對抗性是最尖銳的問題,它是絕對動態的、無處不在的,且不斷演進的。這意味著企業的應對必然是不斷變化升級的。在對抗中成長,不斷變革整體的網絡安全能力,才能解決問題。
如果說以前的企業是頭痛醫頭腳痛醫腳般地買一堆保健品,感冒了買感冒藥,發燒了買退燒藥,免疫力模型的邏輯則是搭建一套體系,讓普通的感冒通過自身免疫能力就能痊愈。
安全免疫力模型邏輯
傳統安全局限在邊界安全和端點安全。買盒子、建防火墻、發現漏洞修漏洞,慣性思維怎么破?
防住了、沒防住,都無法證明是否足夠安全的胡同,怎么走?
法律法規密集出臺,合規和安全事故成本會越來越高。如何從技術角度、成本角度、收益角度分析,聚焦重點板塊上做重點投入?
這些問題都在數字安全免疫力模型得到一一解答。圍繞最核心的企業資產,模型搭建起三道免疫屏障:
業務+數據,相當于人的內臟和大腦,是企業最核心最有價值的資產,也是所有安全的防御目標;
安全運營與管理,是保護層,從業務top-line視角建設一套以人為核心的“免疫中樞系統”。威脅情報和安全運營管理體系像人體血液里的白血球,可以時刻監測周圍情況,做好提前預防、及時處置;
最外層反而是傳統安全,端點安全、邊界安全和應用開發,設置了安全防御邊界,做到“皮膚級別”的安全防護。
層層遞進又層層加固,騰訊將其形象地取名為“洋蔥模型”。正如其名,它由內到往外,將安全體系逐一拆解:
緊貼企業資產的兩大堡壘:數據和業務,讓企業能夠有針對性的建設。
變革對抗方式,安全對抗不再單兵作戰,而是體系化的對抗。
變被動為主動,一旦碰到安全風險問題,體內的免疫機制會自發地把風險排除在體外,或者把入侵傷害控制在很小的范圍,并進行及時處理。
免疫力模型最關鍵的是兩個核心價值點。
一是改變安全建設的出發點,從為了做而做,到為了保護核心資產——即數據和業務而做。
二是賦予企業管理者安全上的全局視角,將復雜的安全問題找到了拆解的方法。
對于先天免疫力弱的企業,即業務復雜度、數字系統薄弱,同樣可以通過后天建立起免疫力。
“對照數字安全免疫力框架,先解決最嚴重、緊急層面的問題,再在空檔期逐層完成基礎建設、業務拆分、管理邏輯的完善。”
丁珂認為,不同企業的發展周期不同,面臨的安全問題也不一樣,但只要頂層架構戰略有決心有擔當,拆解方法得當,都會找到有效解決方法。
“有時候我和企業的管理層、董事長交流,我都會發自內心告訴他,如果你同意未來的核心資產是用戶數據,最好一開始就有決心去長治久安、常抓不懈。如果缺乏一個安全上的頂層架構,可能即便投入很多人力財力,幾年下來也沒有積累。”
安全自評工具
企業的安全,一時的“0事故”可以靠運氣,但長期的“0重大事故”,就要靠自身的安全實力了。人體免疫力很重要的一個價值,是它“在場”,它并不能解決所有的疾病,但它會第一時間感知到問題并發出信號。
因此在應急事件之外,企業也應該有一套日常能評估安全狀況的體系。就像人需要定期體檢,以此了解身體狀況,及時發現健康問題和隱患,并對于體檢結果中存在的問題,進行積極治療。
騰訊的自評工具就是這樣一套“體檢工具”。
不要小看這套工具,想當初,移動支付一出,人們的生活方式得到顛覆性改變,不僅升級了我們消費體驗,也催生出網約車、充電寶等前所未有的經濟形態。
支付變革的核心之一,正是極大簡化了付款流程和方式。
這套評測工具,也極大簡化了流程。此前,企業的安全狀況評測需要靠咨詢公司,不僅成本高,且周期長。如今,只需要掃描二維碼,填寫相關信息,就能度量自身安全現狀,掌握自身安全投入不足或者局部投入過剩等問題,還能參考行業安全水平較高的企業做法,見賢思齊,改善自身安全水平。
安全不只是技術問題,是法律法規問題,更是企業的價值觀問題。
“我們統計結果顯示——也可能是幸存者偏差——凡是有安全原點思維的企業,即以最核心資產出發建安全的企業,免疫力模型的評分是絕對是領先的。”丁珂笑著說。
順豐就是其中一個代表。作為物流領域超級巨頭,順豐擁有一個極其龐大、復雜的系統。在安全上,順豐也曾面臨整個物流行業都面臨的棘手難題:由于運單號涉及電話、住址等隱私信息,容易被不法分子重點滲透,快遞領域在幾年前是詐騙重災區。
順豐深知安全責任之重,在安全建設上一直心存敬畏且兢兢業業,在管理上要求極高。
順豐快遞系統面臨的第一個問題是運單與純實名對應。第二,人員管理,要系統化控制快遞員的權限,比如快遞員們的掃碼終端有查系統的需求,因此不能不讓他們查,但又不能讓他們過度查。第三,快遞丟失等事件判責,順豐旗下資產復雜,有眾多地面物流、航空公司等,發生快遞糾紛,順豐要能一一追溯、查詢。
在和順豐合作中,騰訊安全充分考慮物流行業體系復雜、上下游生態鏈漫長的特點,既要處置風險,又不能誤傷;還要做到安全與網絡、終端、賬號、郵件等基礎設施聯動,做好安全防御體系的開放性和智能化。
最終雙方一起構建了完整的零信任安全、全網統一威脅檢測與響應的一體化解決方案。
騰訊走一步看三步的節奏,形成了一種思維慣性,這種思維慣性慢慢滲透到企業的產品、項目等等方面。順豐之所以敢全面使用騰訊的產品,看中的是騰訊的這種思維與經歷:不僅能處理當下的問題,更能預判接下來遇到的問題,并未雨綢繆,適當超前建設。
在丁珂看來,騰訊和順豐都是“小鎮做題家”,一步一個腳印走到現在,即使走出小鎮,但在這個飛速發展的時代,他們依然需要面對很多未知的挑戰,因此能在合作中產生共情。
數字化時代,行業都將經歷一場變革。所以企業都是在摸著石頭過河,甚至沒有石頭摸,但必須要過河,走一步看一步的方式無法應對瞬息萬變的外部環境,某種意義上,大家都是小鎮做題家,都需要系統性的應對安全上的不確定性。
順豐是先行建立數字安全免疫力的一批企業之一,可喜的是,數字安全免疫力已經在產業間發生。金融、教育、醫療、制造業等行業,經歷過勒索病毒等特征類的千錘百煉,深刻體會到數字安全免疫力的必要性,已經走在系統化建設安全架構的路上。
行業里已經有一部分先建立起數字安全免疫力,從生物免疫力的角度,人人都有免疫力了,才算真正的軀體免疫力。不遠的未來,大家會快速跟進,形成趨勢。
其實,目前企業網絡安全的核心主要在兩個方面:企業安全認識、企業安全預算。
大多數企業領導也許知道安全的重要性,但對不安全造成的損失以及安全未來的價值認知不足,因此安全建設難以落實到具體預算上。
“數字安全免疫力”來得正是時候。
3年疫情,大家對抗疫記憶猶新,對于“健康”的感觸更深。對于不懂技術的業務人員,“免疫力”理解門檻低,也表達了不斷增強肌體從而變得更健康的過程。
此外,它破除了安全誤區,此前一提到安全,聯想到的就是管理和控制,但免疫力作為一個軟性概念,讓企業管理者意識到,數字安全是伴隨業務成長,是業務的助力點,而非對立面。
一個好的概念可以改變整個敘事邏輯和信息傳達,起到“一句頂一萬句”的神奇功效。
企業安全建設,不是只有CIO和CSO才關心的問題,是真正需要企業CEO關注的“一把手工程”。數字安全免疫力,完美地傳達了幫助企業自身發展更健康的理念,能讓中國企業和管理層真正認識了安全的重要性。
幸運的是,數字安全免疫力模型的精髓不僅僅在于名字,一個好的安全理念,必須動態變化、發展,經過充分實踐驗證。
無論是什么樣的產品,都在騰訊內部經過了充分的應用,經歷無數次否定和迭代,才面向客戶。
而這套新范式,也與客戶進行共同的驗證。騰訊覆蓋了80%以上的金融行業客戶、90%以上的頭部能源企業,也為卡塔爾世界杯、北京冬奧會這樣的重要時刻,提供賽事直播重保服務。
無論是個人還是企業,想要“長青”,離不開兩個東西:彈性和韌性。
彈性是什么? 外柔內剛,可承受一定的壓力、一定的委屈、一定程度的妥協,但也有自己的底線。說起來容易,但其中如何把握好尺度,需要身體力行摸索。
彈性之外,還需要有韌性。韌性,是持續的優化和迭代,是去掉肌肉原始記憶,建立新的肌肉記憶,死磕細節,不斷優化能力。它需要能力與勤奮,也需要對細節、目標的堅持。
在同質化嚴重的網絡安全領域,騰訊從未停止過通過先進技術進行行業創新,他們取得如今的成績,身上一定少不了彈性和韌性。
我們不知道騰訊安全未來到底能到達什么樣的高度,可以確定的是,在未來虛擬世界的戰場上,它會和中國網安企業一樣,位于萬千行業幕后,以自身力量使方寸之間的數字世界運行如常。雷峰網(公眾號:雷峰網)雷峰網雷峰網
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
