8月27日,第四届互联网安全领袖峰会(CSS2018)在京举行。
腾讯安全近些年在安全人才培养、打击网络犯罪、构建企业级安全服务能力(特别是云端的安全)方面动作频频。作为腾讯对接(安全)行业的重要平台和窗口,今年的CSS主论坛,腾讯安全又有哪些新的思路和想法?本届峰会的主题是“安全强驱动 数字新生态”,企业在来自合规、数字化转型(业务)的双重压力下,网络安全作为基础属性的定位又会有哪些变化?
安全牛记者将核心内容整理如下。
一、安全是底线,要立足具体行业
在上午的开幕致辞中,腾讯高级副总裁丁珂着重介绍了四个未来安全发展的趋势,企业安全认知需要作出的两点改变,以及腾讯安全去年在“一横一纵”两个方面对安全的投入和成果。
安全发展趋势:
1. 安全与业务发展紧耦合
在威胁的应对上,安全企业首先要做到的就是立足具体行业。各行业都有不同的发展阶段,和新技术的落地特征。安全不能成为阻力,而是要配合技术/业务的发展。不能商业模式越清晰,安全却越脱节。
2. 构建安全大脑
特定行业,如医疗、交通等,应构建行业安全大脑,并以此为“指挥中枢”,构建应急响应服务体系。这包括有效的解决方案,和支撑响应服务的(基础)安全人才团队。通过集中行业能力,实现生态共治。
3. 防止“爆雷”
各行业的持续发展,都需要有来自政府或行业的配套监管措施,建立应对风险的机制,不能任其长期处于高危发展模式甚至“爆雷”。信息安全,是其中一个重要方面。
4. 安全是所有“0”前面的“1”
出行安全、支付安全,用户数据(隐私)安全等,都事关重大。企业不能有唯利是图的思想。数字经济时代,信息安全已经是产业发展升级的重要驱动力,是企业发展的底线和红线。没有了安全这个“1”,后面的所有“0”都没有意义。
安全不仅能让责任有更清晰的界定,还是企业长期发展必须要考虑和坚持的底线。
跨越边界 安全既核心驱动力
对信息安全的认知,即“安全观”,已经亟待改变。
丁珂表示,安全已经不局限在一种虚拟世界对资产的防护,而是直接影响到整个产业,甚至关系到用户的人身安全。这种转变,车企的感受尤为强烈。“人命大于天”,企业对安全的认知,也要随之升维,不再是作为一种附属属性,而是要和业务的发展紧耦合,作为一种核心驱动力看待。
同时,面对数字化转型带来的新机遇和挑战,安全也不能固守“安全攻防”,而应以“协作”为基础,政府、企业、用户共同提升防护意识和能力,重视每个环节的安全隐患。安全不再是单个企业,或者某个领域的事情;技术的发展让传统的安全边界模糊,未来,安全合作也必须跨越现有的边界。
腾讯安全的一横一纵
腾讯去年在安全能力上的投入和取得的成果,丁珂认为可以概括成“一横”和“一纵”两个方向:
- 横向,腾讯在云安全、金融安全(灵鲲大数据金融安全平台)、以及行业安全大脑(应急响应)等领域,着重加大了研发投入,并计划将部分安全能力逐步向政府机构和相关企业开放,助力构建全行业全方位安全体系;
- 纵向,在安全人才培养体系的搭建方面,腾讯安全已经与北航、西电、重邮等众多高校展开深度合作,从安全竞赛、课程开发、联合实验室建设等角度,广泛参与高校网络空间安全一级学科的建设;同时,腾讯安全和联合绿盟科技,在CSS2018正式发起”AE50网络安全产学研协同育人联席会“,进一步完善安全人才梯队“培养-选拔-输送”的闭环。
二、安全前置、联防共治、机制保障
在峰会前致互联网从业者的一封信中,腾讯COO任宇昕认为,新技术及其应用的快速发展,不仅加速了各行业的数字化进程,也带来了新的安全挑战。
基于对过去一年腾讯对安全形势的观察和思考,腾讯认为,安全问题爆发的中心,即使是针对终端的勒索、挖矿病毒,其攻击目标也已经从个人转移到企业和公共机构,特别是关系国计民生的关键行业。
同时,“云+端”产品模式的落地,增大了攻击面,为攻击这提供了更多的攻击渠道。这一点在物联网时代(5G网络即将广泛应用)的大背景下尤其凸显。新的安全防护体系,需要覆盖数据全生命周期和流动的全流程,强调纵深协同和防护闭环的“云-管-端”体系能力的优势也已经逐步显现。
安全不再仅是产业发展的能力补充,而是所有0前面的1。拥抱数字化转型,构建“数字安全新生态”,任宇昕建议从“安全前置”、“联防共治”、“机制保障”三个方向着手:
- 安全前置,网络安全从企业数字化转型的规划阶段做起:建立安全思维,部署和持续优化安全策略,不能等出了问题后再去考虑如何修补;
- 联防共治,行业携手应对网络安全新变化:数字新生态,万物互联,需要网络安全全行业携手,互为靠背;
- 机制保障,各企业、机构应设置安全运营的基线:这包括制定适合自身的事件响应机制,通过预案制定和流程演练,作答及时处置安全风险,构筑“数字安全消防栓”。
三、CSS视角:2018全球十大网络安全议题
会上,腾讯安全联合实验室负责人吴宇发布了《CSS视角下的2018全球十大网络安全议题》。
吴宇表示,希望通过对全球安全产业发展动态以及典型性安全案例的扫描和整理,可以为产业内从业者、合作伙伴提供更详实的参考,对当下的安全环境有更准确的判断,更好地推进机构、领域间在安全体系建设方面的合作。
具体议题及安全牛的解读如下:
1. 国内外相继推出法案,加强关键基础设施保护:
体现了全球政府对关键基础设施及其安全性的重视,特别是应对网络安全威胁的能力,从国家层面干预,提升防护能力短板。
2. 超大型技术设施相继建成,保障通信网络安全:
无论是战时军方的指令,还是政府高层的机密会谈,通信网络的安全是信息完整传递的重要保障;特别在通信和黑客技术的发展此消彼长的今天,这点更显得尤为重要。各国量子通信网络的建立,让各国政府对通信安全的担忧有了初步的缓解。但其有效性,业界普遍认为,还有待验证。
3. 欧盟相继推出安全条例,信息安全受全球范围关注:
欧盟作为经济世界中最重要的组织之一,它推出的以企业为责任主体,对个人隐私数据的安全防护要求——通用数据保护条例(GDPR)影响广泛。合规,作为企业安全工作重要驱动力,被明显加强。
4. 美国废除中立,签署法案,国际互联网安全形势迎来全新挑战:
奥巴马的网络安全遗产之一——“网络中立性原则”被美国现任特朗普政府撤销,在美国国家利益(安全)绝对优先的前提下,全球公民的隐私权受到严重挑战。同时,广泛且强制的监控,加重了政府相关部门对公民数据滥用的潜在风险。
5. 数据及信息泄露事件频发,提高数据安全能力迫在眉睫:
医疗、金融、出行(航班、酒店)等数据事件频发,用户对各平台的信任将随着大达折扣。为避免用户快速流失,甚至落得如雅虎一般的境地,同时受到诸如GDPR等合规压力的双重影响,数据安全的重要性和迫切性,在企业安全工作中迅速凸显。
6. 数字货币频频遭遇攻击,数字金融领域安全任重道远:
以区块链技术体系为重要支撑的应用——加密数字货币,其标榜的安全性正逐渐受到关注和质疑。EOS/以太坊等智能合约漏洞、数字货币交易所CoinCheck被盗等事件,在不断敲打着数字货币的发行方和进行交易的用户。数字金融安全,不仅任重道远,同时迫在眉睫。
7. AI技术前景无限,相关政策法案助力规避风险:
任何一项技术,都是可以被恶意滥用的。人工智能、机器学习、神经网络等技术也不例外。在去年的各大安全会议,已经越来越多的嘉宾关注或介绍过AI被欺骗甚至被恶意使用的案例。AI的技术前景很深,为了削弱其可能带来的负面影响,相关政策和法案的出台,会是一个有力的“大棒”。
8. 满足日常需求,维护社会稳定,行业安全无小事:
如果说工控生产系统发生安全事件对社会的影响还不够直接的话,那么如果一个三甲医院的因发生诸如勒索攻击等事件,导致IT系统宕机而延误治疗,对患者的影响是直接且非常恶劣的。这无疑会增加社会不安定因素。从行业层面重视,集中安全能力,建立有效、不断优化的应急响应(演练)机制,对真个行业的持续发展至关重要。
9. 构建全新安全联盟体系,维护数字新生态 :
数字化转型所形成的新的生态,除了行业监管外,也需要安全厂商以联盟的形式参与其中,助力其安全能力的快速建设。
10. 探索技术领域,构建安全体系,安全是最强驱动力:
安全已成为业务发展的关键核心驱动力,这一点几乎毋庸置疑,但下一步,具体如何配合相关领域技术和业务模式的发展,从企业、行业的角度,快速构建有效的安全(技术和管理)体系,提升安全能力短板,仍是不容忽视的挑战。
