【资料图】
进入2023年以来,AGI、无人驾驶技术迭代更新,人工智能正在高速进入社会、企业数字化场景中。但站在企业的视角,面临的问题也更加复杂:人工智能让企业数据资产愈发庞大,而引发的数据安全问题以及带来的安全需求会更加突出;新的业务场景下,企业内外部的业务交叉情况越来越普遍,企业应对安全风险方面,需要做更多的工作和努力。但是在微观上,企业对数字安全的重视程度和投入还远远不够。
国际上有一个比较客观的基准线:企业数字安全预算投入要占企业数字化整体投入的5%。但根据腾讯安全与安在共同针对1500家企业深入调研后的数据显示,有70%的企业低于这个基准线,甚至还有超过10%的企业,安全投入低于1%。这意味着,企业在面对攻击事件的时候,基本处于“不设防”状态。
企业安全投入占比低的问题非常突出,有一个很关键的原因是:安全建设理念的滞后,与企业数字化建设的需求不相匹配。企业业务数字化逐步深入,但安全建设仍停留在“头疼医头、脚疼医脚”的传统阶段。人员安全意识不到位,供应链安全问题重视程度不够,内部威胁应对手段单一,人才资源稀缺等普遍存在的现象,都反应出企业对于安全建设理念的相对滞后。
我们必须认识到,数字化时代的安全建设驱动力已经发生了根本性变化。早期信息化时代,在数据信息量没有发生指数级增长的条件下,企业可以选择最保守的安全防御策略;但发展到数字化阶段,物联网、大数据和云计算广泛应用,企业面临的安全风险迅速扩大,企业安全建设进入攻防、事件、合规等综合因素驱动的新阶段;而在进入数智化时代以后,数字化业务成为组织中枢,数据成为核心资产。数据资产和业务资产已经成为驱动企业发展的核心要素之一。在“发展驱动”成为普遍共识的前提下,推动产业及企业“高质量发展”,需要基于数据资产和业务资产,重建一套全新的安全范式和安全框架。
数智化时代,产业及企业也需要像人一样,构建自身的“数字安全免疫力”,从“治已病”发展替代成为“治未病”,通过更积极、主动的安全观,统筹好发展与安全的关系,筑牢数字底座、护航高质量发展。
相较于传统安全范式,数字安全免疫力更加强调保护企业数据及业务资产,突出企业安全建设目标的合理性、有效性、规划性,解决企业“为什么做安全”这个核心问题,为安全重建价值原点;同时,面对多维威胁时,不再是单点防御、单兵作战,而是形成体系化的抵抗和防御机制,有效应对基础设施、网络、数据、业务以及管理领域的组合攻击行为。通过建立弹性、自适应、可扩展的数字安全免疫系统,满足企业动态安全需求,构建主动安全范式,从根本上改变传统的安全思维和理念。
安全免疫力的建设思路,已经在腾讯内外部的实践中获得了良好的体现。在过去20余年里,腾讯安全自身打造了多个大规模的成功实践。腾讯云数据万亿级分类治理,多款10亿级用户体量业务的风控对抗,10万名员工远程办公的零信任理念实践,规模达5000万核的自研业务安全上云的云原生实践。在大量的安全运营经验中,腾讯安全还沉淀了AI、威胁情报、攻防对抗三大原子能力。
在行业应用层面,正是面向数万家客户提供云、网、端、流、服全场景的安全服务,腾讯安全才能够为数字安全免疫力新范式提供充分的行业实践。截至目前,腾讯的服务半径已经覆盖了80%以上的金融行业客户、90%以上的头部能源企业、20余家头部车企;我们的内容风控产品行业渗透率超过90%,服务数万家开发者;在重大事件的安全保障方面,为全球重要赛事提供直播重保服务,助力广交会创新“线上线下融合办展”的创新模式,连续四届“零事故”。
基于腾讯在零信任领域的丰富经验,顺丰科技与腾讯安全合作推进了零信任安全、全网统一威胁检测与响应的一体化解决方案,实时护航内部员工的办公安全;在和江苏银行的合作中,双方共同探索“联邦学习”技术在金融场景的应用方法,探索出一套拥有200多个特征变量、十万数据量的后台多元化模型,把服务时效缩短到200毫秒以内,极大提高了江苏银行的金融服务效率。
“数字安全免疫力”已经在数智化时代显现出符合产业和企业发展的价值。而在未来,腾讯希望继续坚持“发展驱动”理念,践行“高质量发展”观,与时俱进,通过技术创新、人才培养、产业合作,持续推动各行各业更好更快的释放数字化建设带来的红利。(丁珂 作者系腾讯集团副总裁、腾讯安全总裁)