“提高免疫力,而不是一痛就吃药。”
作者 | 余 快编辑 | 王亚峰
2016年,移动办公逐渐兴起,出于自己远程办公的需要,腾讯开始用当时还只是一个前沿概念的零信任理念改造内网,持续了几年去做各种底层技术的摸索、体验的优化。当时并没有一个明确的KPI或者节点促使他们做这个事情,但是到后来疫情来袭的时候,之前这些工作都有了用武之地:腾讯之前移动办公主要使用的是VPN,在疫情期间VPN最痛苦的两点体验,一是慢,程序员上传代码动辄几个G十几个G,容易断掉,效率太低;二是运维,要远程7×24小时维护,这两个问题极大影响工作效率和员工体验。在全面使用零信任之前腾讯有过纠结:这只是一个概念性技术,突然对外开放大量接入口,如何确保安全?但疫情逼迫大家必须改变,那就上!结果体验非常好,全员“真香了”。于是在疫情早期,腾讯只用了2天的时间就支持腾讯全球“全尺寸”远程办公——所谓的全尺寸就是员工在家登陆内网的开发、运维和各种业务系统,和在办公室的体验完全一致。整个疫情最严重的时候,全员远程办公,腾讯的业务持续运行,没有受到影响。如今,腾讯已经使用零信任3年多。也正是这次经历,让腾讯更加意识到:在安全上适度地超前建设,能提升应对不确定性的能力。对于处在在产业变革浪潮中的企业来说,“确定性”弥足珍贵。知名经济学者薛兆丰前几天在腾讯全球生态大会上提出这个鲜明的观点。这个观点旨在对另一句潜在的对立观点进行纠偏,即“安全,就是成本”,后者已经是一个根深蒂固的观念。做ToB以来,腾讯安全和几乎所有类型的企业客户都打过交道。从接触客户的过程中,腾讯安全发现,对安全存在的问题,同一个公司不同角色对安全的认知和理解都不相同,甚至处于完全割裂的状态。现在企业的安全大多数是“分管一段”模式,于是:组织架构说我只负责边界,业务说我只负责保护用户的数据。有部分流量有潜伏进来造成破坏?这好像是IT部门的事情。此外,不少行业人员流动性也强,加剧了安全上的管理难题。这是腾讯在调研了约1500家企业后发现的行业普遍性问题。企业的一把手、CSO、业务主管和一线员工对各自的安全评估差距非常大,侧重点也千奇百怪。这导致不少企业在安全建设投入上,都会把一个简单的事情复杂化,效率低下。看上去颇有规划,但其实没有针对性、系统性。当出现安全事故,感叹“怎么钱花下去还是不停地出事?”腾讯内部架构师跟销售在讨论客户痛点时,经常会自我诘问:客户真正的问题是什么?怎么对他们进行客观评估?客户是怎么理解的?怎么帮他们判断出建设的优先级?是否能有一个健康可持续的、门槛更低的、更有效率的安全体系,这个体系至少能延续5~10年,不论企业人员再怎么换,行业落地时都能无缝衔接?这些困扰安全甲乙双方已久的问题,在疫情期间被成倍放大,终于到了一个不得不变的关口。“以前腾讯安全的模式更多是做总集,给客户的安全托底,腾讯安全的专家在客户方驻扎,贴身解决客户问题。疫情期间,你根本见不了客户,客户和我们的关键人员都动不了,业务进展处于极限挑战状态。如果这是未来的常态,我们该怎么办?”腾讯副总裁、腾讯安全总裁丁珂表示。即便没有疫情,这种情况也是不可持续的,企业“带宽”有限,服务好了一家,那其他10家、1000家呢?腾讯安全意识到之前的惯性是不对的,安全的能力必须内嵌到客户,变成客户本身的一种免疫能力,将企业拖离无止境的头痛医头、脚痛医脚的泥淖。在不断的推敲和客户验证过程中,一个不同于传统合规或合作事件驱动的、更适应当下数字环境的安全建设模式逐渐成型。6月,腾讯安全联合IDC在北京正式对外分享了这一模型。“再过十年,您企业的核心资产、核心价值是哪些?是这栋楼还是你买的那堆设备?从财务的角度来说,无论是办公楼还是高性能的硬件,用不了几年就折旧了。企业家最终会逐步意识到,数据和构建在数据之上的商业模式,才是企业的核心价值。”这是腾讯在与客户交流中经常提出的问题。正是因为数据已经成为继技术、人才、资本、资源之后,企业又一核心资产和生产要素,企业才更需要破除“安全=管理和控制”的迷思。安全不是紧箍咒,一切的安全工作都应该以保护企业的核心数据、核心业务的稳定运行作为出发点。不管企业原来是出于什么诉求建设安全——也许是合规、也许是惯性,现在他们需要重新回到最原始的出发点:安全对谁最重要?答案是企业自己。安全问题是企业的无限责任。当你拥有数据主权,就要承担数据主责。几十万的安全采购合同,安全厂商承担的仅仅是“有限责任”,解决不了长治久安的问题。企业今天健康,并不意味明天也健康。免疫力增强靠外力是不可持续的,企业在外力帮助下建立起基础能力后,需要不断迭代和优化,才能持续与外界对抗。这也正是数字安全免疫力的核心:让企业体系在运行过程中、生产过程中持续具备对抗的能力。数字安全免疫力模型正是基于企业在数字化时代发展的内在要求,把安全的价值原点重建,并提炼出一个建设框架的思考模型。正如前文所言:网络安全≠安保。
网络安全领域,对抗性是最尖锐的问题,它是绝对动态的、无处不在的,且不断演进的。这意味着企业的应对必然是不断变化升级的。在对抗中成长,不断变革整体的网络安全能力,才能解决问题。如果说以前的企业是头痛医头脚痛医脚般地买一堆保健品,感冒了买感冒药,发烧了买退烧药,免疫力模型的逻辑则是搭建一套体系,让普通的感冒通过自身免疫能力就能痊愈。传统安全局限在边界安全和端点安全。买盒子、建防火墙、发现漏洞修漏洞,惯性思维怎么破?防住了、没防住,都无法证明是否足够安全的胡同,怎么走?法律法规密集出台,合规和安全事故成本会越来越高。如何从技术角度、成本角度、收益角度分析,聚焦重点板块上做重点投入?这些问题都在数字安全免疫力模型得到一一解答。围绕最核心的企业资产,模型搭建起三道免疫屏障:业务+数据,相当于人的内脏和大脑,是企业最核心最有价值的资产,也是所有安全的防御目标;安全运营与管理,是保护层,从业务top-line视角建设一套以人为核心的“免疫中枢系统”。威胁情报和安全运营管理体系像人体血液里的白血球,可以时刻监测周围情况,做好提前预防、及时处置;最外层反而是传统安全,端点安全、边界安全和应用开发,设置了安全防御边界,做到“皮肤级别”的安全防护。层层递进又层层加固,腾讯将其形象地取名为“洋葱模型”。正如其名,它由内到往外,将安全体系逐一拆解:- 紧贴企业资产的两大堡垒:数据和业务,让企业能够有针对性的建设。
- 变革对抗方式,安全对抗不再单兵作战,而是体系化的对抗。
- 变被动为主动,一旦碰到安全风险问题,体内的免疫机制会自发地把风险排除在体外,或者把入侵伤害控制在很小的范围,并进行及时处理。
一是改变安全建设的出发点,从为了做而做,到为了保护核心资产——即数据和业务而做。二是赋予企业管理者安全上的全局视角,将复杂的安全问题找到了拆解的方法。对于先天免疫力弱的企业,即业务复杂度、数字系统薄弱,同样可以通过后天建立起免疫力。“对照数字安全免疫力框架,先解决最严重、紧急层面的问题,再在空档期逐层完成基础建设、业务拆分、管理逻辑的完善。”丁珂认为,不同企业的发展周期不同,面临的安全问题也不一样,但只要顶层架构战略有决心有担当,拆解方法得当,都会找到有效解决方法。“有时候我和企业的管理层、董事长交流,我都会发自内心告诉他,如果你同意未来的核心资产是用户数据,最好一开始就有决心去长治久安、常抓不懈。如果缺乏一个安全上的顶层架构,可能即便投入很多人力财力,几年下来也没有积累。”企业的安全,一时的“0事故”可以靠运气,但长期的“0重大事故”,就要靠自身的安全实力了。人体免疫力很重要的一个价值,是它“在场”,它并不能解决所有的疾病,但它会第一时间感知到问题并发出信号。因此在应急事件之外,企业也应该有一套日常能评估安全状况的体系。就像人需要定期体检,以此了解身体状况,及时发现健康问题和隐患,并对于体检结果中存在的问题,进行积极治疗。这个自评工具覆盖了等保2.0测评项的大多数的内容,涵盖了边界安全、端点安全、应用开发安全、安全运营与管理、数据安全治理、业务风险控制等企业安全关注的主要场景。此前,也有一些例如BAS、攻防演练等方式可以帮助企业度量安全,但是普遍还是偏向技术人员视角。对于企业管理层而言,腾讯安全这个自评工具能帮助他们快速了解全局的安全状况,掌握自身安全投入不足或者局部投入过剩等问题,还能参考行业安全水平较高的企业做法,见贤思齐,改善自身安全水平。
04「小镇做题家」们的共情:让一部分人先「免疫」起来
安全不只是技术问题,是法律法规问题,更是企业的价值观问题。
“我们统计结果显示——也可能是幸存者偏差——凡是有安全原点思维的企业,即以最核心资产出发建安全的企业,免疫力模型的评分是绝对是领先的。”丁珂笑着说。
顺丰就是其中一个代表。作为物流领域超级巨头,顺丰拥有一个极其庞大、复杂的系统,人员众多且有大量远程接入系统的需求,其在业务开展中会接触和处理大量的数据,这些数据的安全防护尤为重要。
顺丰深知安全责任之重,在安全建设上一直心存敬畏且兢兢业业,在管理上要求极高。但是,如何在确保内外安全合规的基础上,实现安全与效率的平衡?
在和顺丰合作中,腾讯安全充分考虑物流行业体系复杂、上下游生态链漫长的特点,既要处置风险,又不能误伤;还要做到安全与网络、终端、账号、邮件等基础设施联动,做好安全防御体系的开放性和智能化。
最终双方一起构建了完整的零信任安全、全网统一威胁检测与响应的一体化解决方案。
腾讯走一步看三步的节奏,形成了一种思维惯性,这种思维惯性慢慢渗透到企业的产品、项目等等方面。顺丰之所以敢全面使用腾讯的产品,看中的是腾讯的这种思维与经历:不仅能处理当下的问题,更能预判接下来遇到的问题,并未雨绸缪,适当超前建设。
在丁珂看来,腾讯和顺丰都是“小镇做题家”,一步一个脚印走到现在,即使走出小镇,但在这个飞速发展的时代,他们依然需要面对很多未知的挑战,因此能在合作中产生共情。数字化时代,行业都将经历一场变革。所以企业都是在摸着石头过河,甚至没有石头摸,但必须要过河,走一步看一步的方式无法应对瞬息万变的外部环境,某种意义上,大家都是小镇做题家,都需要系统性的应对安全上的不确定性。顺丰是先行建立数字安全免疫力的一批企业之一,可喜的是,数字安全免疫力已经在产业间发生。金融、教育、医疗、制造业等行业,经历过勒索病毒等特征类的千锤百炼,深刻体会到数字安全免疫力的必要性,已经走在系统化建设安全架构的路上。行业里已经有一部分先建立起数字安全免疫力,从生物免疫力的角度,人人都有免疫力了,才算真正的躯体免疫力。不远的未来,大家会快速跟进,形成趋势。其实,目前企业网络安全的核心主要在两个方面:企业安全认识、企业安全预算。大多数企业领导也许知道安全的重要性,但对不安全造成的损失以及安全未来的价值认知不足,因此安全建设难以落实到具体预算上。3年疫情,大家对抗疫记忆犹新,对于“健康”的感触更深。对于不懂技术的业务人员,“免疫力”理解门槛低,也表达了不断增强肌体从而变得更健康的过程。此外,它破除了安全误区,此前一提到安全,联想到的就是管理和控制,但免疫力作为一个软性概念,让企业管理者意识到,数字安全是伴随业务成长,是业务的助力点,而非对立面。一个好的概念可以改变整个叙事逻辑和信息传达,起到“一句顶一万句”的神奇功效。企业安全建设,不是只有CIO和CSO才关心的问题,是真正需要企业CEO关注的“一把手工程”。数字安全免疫力,完美地传达了帮助企业自身发展更健康的理念,能让中国企业和管理层真正认识了安全的重要性。幸运的是,数字安全免疫力模型的精髓不仅仅在于名字,一个好的安全理念,必须动态变化、发展,经过充分实践验证。无论是什么样的产品,都在腾讯内部经过了充分的应用,经历无数次否定和迭代,才面向客户。而这套新范式,也与客户进行共同的验证。腾讯覆盖了80%以上的金融行业客户、90%以上的头部能源企业,也为卡塔尔世界杯、北京冬奥会这样的重要时刻,提供赛事直播重保服务。无论是个人还是企业,想要“长青”,离不开两个东西:弹性和韧性。弹性是什么?外柔内刚,可承受一定的压力、一定的委屈、一定程度的妥协,但也有自己的底线。说起来容易,但其中如何把握好尺度,需要身体力行摸索。弹性之外,还需要有韧性。韧性,是持续的优化和迭代,是去掉肌肉原始记忆,建立新的肌肉记忆,死磕细节,不断优化能力。它需要能力与勤奋,也需要对细节、目标的坚持。在同质化严重的网络安全领域,腾讯从未停止过通过先进技术进行行业创新,他们取得如今的成绩,身上一定少不了弹性和韧性。我们不知道腾讯安全未来到底能到达什么样的高度,可以确定的是,在未来虚拟世界的战场上,它会和中国网安企业一样,位于万千行业幕后,以自身力量使方寸之间的数字世界运行如常。