腾讯安全苏建东:以免疫思维建设产业互联网安全基础设施

在12月1日举办的2023亿邦产业互联网年会上,腾讯安全服务总经理苏建东发表了题为《以免疫力思维建设产业互联网安全基础设施》的演讲。他指出,没有网络安全,企业就不可能成功地进行数字化转型,也无法将数据资产变成数据财富。

温馨提示:本文为速记初审稿,在不影响原意的基础上,由亿邦动力编辑整理。

以下为演讲实录:

大家早上好!很荣幸有机会在这里分享。刚刚有嘉宾也讲到,现在各个产业都在进行数字化转型,我们已经进入到数字经济的时代,数据不仅是生产资料,也可以通过资本化变成数据财富。这里借用习总书记说过的一句话,没有网络安全就没有国家安全。没有网络安全,我们不可能成功地进行数字化转型,也不可能把数据资产变成数据财富。

01 网络安全问题为何频发?

目前行业面临的安全威胁比较严重,安全事件频繁发生,引发数据泄露、运营暂停、生产中断等后果,我选了三个案例:

第一,波音公司,43GB数据被勒索软件组织泄露;第二,全球最大的海事组织,因为网络攻击的原因导致1000多艘船只暂停运营;第三,丰田汽车一家供应链的公司遭受到大规模网络攻击,导致了上下游的产业、工厂停工。

我这里列举的都是国际大厂例子,并不是因为我们国内的网络安全做得更好,而是这些国际一流的公司对网络安全重视程度比国内普遍高一些,安全投入更多一些,但依然出现安全事件。

从中可以看到,安全事件对我们业务造成非常大的影响,无论是数据泄露还是运营暂停、还是生产中断,其中有内外两个原因。

外部原因首先来自外部威胁组织。从内部恶意攻击者到一般的小黑客,到外部黑产,再到国际上有名的黑客组织以及国家级攻击力量,他们手上掌握了各种各样的攻击手段,这些外部的高级威胁组织,相对很多甲方拥有非常大的网络攻击的优势,比如说知识优势,通过超前技术研究获取知识优势。比如AIGC,大家对于ChatGPT到底有多少研究,是否知道在使用ChatGPT的过程当中可能造成自己的数据泄露,很多程序员用ChatGPT开发代码的时候可能被供应链攻击,引入的代码藏有后门,导致了你的程序被人家利用,开始入侵。

第二,这些高级威胁组织拥有很强的情报优势,每年互联网上会爆发出来各种高危漏洞,这些高级威胁组织可以一天之内拿到这些爆发漏洞的情报,一周之内组装成武器,开始全互联网扫描。但是企业基本上滞后一周才知道漏洞,一个月才可以修复,中间的时间很容易被这些黑客组织利用攻击。

第三,效率上的优势,他们专业做网络攻击,攻击手段自动化,可以很快攻击进来把数据拿走。

从内部原因看企业自身,今年我们在1500个企业进行了调研,发现两点问题,第一,企业安全建设投入不足,70%的企业在安全方面投入占比不到5%,还有很多企业投入不到1%,投入不高必然导致安全度不高。

第二,安全建设理念依然滞后,安全建设仍停留在“头疼医头、脚疼医脚”

的传统搭烟囱阶段。安全在制约企业的发展,无论是国际知名的信息安全事件还是未来潜在的安全风险,都会阻碍企业发展。

02 网络安全的核心挑战是?

网络安全的核心挑战是,安全如何体现价值。

从合规导向的层面,国家建立了很多法律法规以及安全标准等合规要求,很多监管机构定期扫描网站以及对外暴露的情况。到了2019年开始做实战导向,各级公安机关组织国家级、省市级、行业级的攻防演练对抗,检验攻防对抗能力。

即便这样,安全建设还是很难回答几个问题:到底能否防住黑客攻击,内鬼主动数据泄露能否被主动发现,投入100万和1000万的安全水位差异在哪里。

要回答这些问题,腾讯安全和IDC以及业界1000多位CSO进行热烈讨论,提炼出来一套以发展驱动为核心的模型,这套模型可以比喻成企业数字安全免疫力。

其中有几个关键:

第一,我们要重建企业安全建设的核心目标。以前我们的安全建设就是为了安全建设,但是今天要以企业资产为核心,以数据和业务为核心,重建安全底座,通过三层安全架构,把静态安全转变为弹性、自适应、可扩展性的安全。

第二,安全理念从“治已病”转变成“治未病”的理念,在黑客进攻我之前把问题修复掉。

第三,积极主动地进行安全建设,从被动防御变成主动防御。

实现路径是第一,构建两个免疫堡垒,从数据安全、业务安全构建安全堡垒,按照数据流向构建数据全生命周期的防御体系,保证数据安全,保证数据财富,同时要适应业务扩张和发展弹性可伸缩。

第二,中间构建免疫中枢,通过企业安全运营管理,用人、技术、流程把整个体系打通,形成体系化、全局化的攻防体系。

第三,三道免疫屏障,包括边界安全、端点安全、应用开发安全,我们可以做平台化、服务化,向安全的数字化转型发展。通过精细化运营,提升数据和业务的安全,聚焦核心价值,构建企业安全的免疫力和韧性。

03 如何建立安全免疫中枢?

建立数字安全免疫系统的核心是构建免疫中枢,也就是安全运营与管理,这是实现治未病和主动安全的关键。

如何构建免疫中枢?第一,识别自己本身存在的问题,在黑客之前发现自己存在的问题,才能够实现“治未病”,所以强调“情报驱动的威胁暴露管理”,公司在互联网上暴露了哪些资产,有哪些漏洞,要在黑客之前发现;第二,“攻防驱动的全链路验证”,我的防御体系有没有效果,一定通过攻防驱动,以攻促防;第三,“通过场景驱动的自动化运营”,黑客相对我们是有效率优势的,通过场景驱动的自动化运营弥补效率缺陷。

要建立安全免疫中枢,企业首先要做好情报驱动的威胁暴露管理,这是实现“治已病”到“治未病”的关键。很多企业连自己在互联网上有多少资产都不清楚,那么安全免疫中枢的建立是无法实现的。

通过深度的资产暴露测绘,可以看到整个资产分成三个层面:明网(Surface Web)、深网(Deep Web)、暗网(Dark Web),可能有大量的数据泄露、大量的账号泄露,企业自己都不知道。我们要知道这些资产有哪些病,可以在黑客发现我们的问题之前修复,就实现了“治未病”。全世界漏洞情报非常多,腾讯覆盖了500多个全球一手情报源,但是其中有很多误报。我们通过AI的技术降低误报,通过POC监测、机器学习算法、专家团队进行研判,可以在30分钟之内发现重大漏洞,在一天之内启动响应。我们的误报率、漏报率极低,把漏洞情报推送过来,让漏洞扫描对应资产可以实现“治未病”。

这里有一个案例,我们监测到国内的某一家银行有部分信用卡数据在暗网存在数据泄露,黑客上传以后我们很快监测到,然后联系数据售卖作者获得样本信息进行确认,数据量不够没有办法确认真伪,向作者索要更多的数据,然后和客户一起进行溯源分析,最后根据客户提供的数据和泄露者提供的数据,最终确认泄露途径,给出了数据分析的报告。这样帮助企业降低数据泄露造成的影响。

第二,攻防驱动的全链路验证是实现从被动防御到主动安全的关键。通过攻防驱动全链路验证主动提前发现问题,其中有两个核心关键点:全链路意味着对整个安全体系非常了解,腾讯构建了云安全的攻防矩阵,通过矩阵结构化、体系化帮助我们发现所有问题。我们还有红蓝对抗的人工验证和自动化系统验证结合,让自动化系统遍历验证已知攻击路径和攻击技术,这样结合起来可以有效地提高整个安全链路验证的效率。

举一个例子,我们和国内某车企合作,通过全链路攻防验证,从云和IDC正面突破进员工终端以及办公网,他们办公楼遍布全国,从外溢WiFi和有效终端以及各种各样的服务中心进行攻击,包括工厂模拟无人机入侵。最终,我们拿下了他们内部所有核心靶标,包括核心服务器、代码平台、运维平台等等,最终发现六大类安全风险,包括办公网准入风险、工厂准入风险、研发、访问控制、供应链风险、数据泄露风险,在这样全方位排查之后,可以针对风险进行相应的修复。

谢谢大家!

嘉宾简介

苏建东,腾讯安全安全服务负责人,有20年信息安全研究与从业经验,专注前沿性云计算、大数据安全体系研究10年,主导多个部委央企大型私有云安全架构设计,主导推出国内首个云加密服务、首个云数字证书服务、首个云等保合规解决方案。

关于本次会议

2023亿邦产业互联网年会是2023亿邦年会系列主题会议之一,于12月1日在上海浦东香格里拉大酒店举办。

2023亿邦年会由亿邦动力主办,马蹄社、亿邦智库协办,主题为“换挡期之万全之策”。年会议程首次覆盖企业数字化的全周期:国内电商、品牌全球化、产业数字化。通过“万全之策”主题的牵引,64位重磅嘉宾对54大热门议题展开深入探讨,对2023年度一系列关键问题积极寻求回应,共同探索立足短期实际、坚持长期主义的增长之道。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。