騰訊安全蘇建東：以免疫思維建設(shè)產(chǎn)業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)設(shè)施

在12月1日舉辦的2023億邦產(chǎn)業(yè)互聯(lián)網(wǎng)年會(huì)上，騰訊安全服務(wù)總經(jīng)理蘇建東發(fā)表了題為《以免疫力思維建設(shè)產(chǎn)業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)設(shè)施》的演講。他指出，沒有網(wǎng)絡(luò)安全，企業(yè)就不可能成功地進(jìn)行數(shù)字化轉(zhuǎn)型，也無法將數(shù)據(jù)資產(chǎn)變成數(shù)據(jù)財(cái)富。

溫馨提示：本文為速記初審稿，在不影響原意的基礎(chǔ)上，由億邦動(dòng)力編輯整理。

以下為演講實(shí)錄：

大家早上好！很榮幸有機(jī)會(huì)在這里分享。剛剛有嘉賓也講到，現(xiàn)在各個(gè)產(chǎn)業(yè)都在進(jìn)行數(shù)字化轉(zhuǎn)型，我們已經(jīng)進(jìn)入到數(shù)字經(jīng)濟(jì)的時(shí)代，數(shù)據(jù)不僅是生產(chǎn)資料，也可以通過資本化變成數(shù)據(jù)財(cái)富。這里借用習(xí)總書記說過的一句話，沒有網(wǎng)絡(luò)安全就沒有國家安全。沒有網(wǎng)絡(luò)安全，我們不可能成功地進(jìn)行數(shù)字化轉(zhuǎn)型，也不可能把數(shù)據(jù)資產(chǎn)變成數(shù)據(jù)財(cái)富。

01 網(wǎng)絡(luò)安全問題為何頻發(fā)？

目前行業(yè)面臨的安全威脅比較嚴(yán)重，安全事件頻繁發(fā)生，引發(fā)數(shù)據(jù)泄露、運(yùn)營暫停、生產(chǎn)中斷等后果，我選了三個(gè)案例：

第一，波音公司，43GB數(shù)據(jù)被勒索軟件組織泄露；第二，全球最大的海事組織，因?yàn)榫W(wǎng)絡(luò)攻擊的原因?qū)е?000多艘船只暫停運(yùn)營；第三，豐田汽車一家供應(yīng)鏈的公司遭受到大規(guī)模網(wǎng)絡(luò)攻擊，導(dǎo)致了上下游的產(chǎn)業(yè)、工廠停工。

我這里列舉的都是國際大廠例子，并不是因?yàn)槲覀儑鴥?nèi)的網(wǎng)絡(luò)安全做得更好，而是這些國際一流的公司對網(wǎng)絡(luò)安全重視程度比國內(nèi)普遍高一些，安全投入更多一些，但依然出現(xiàn)安全事件。

從中可以看到，安全事件對我們業(yè)務(wù)造成非常大的影響，無論是數(shù)據(jù)泄露還是運(yùn)營暫停、還是生產(chǎn)中斷，其中有內(nèi)外兩個(gè)原因。

外部原因首先來自外部威脅組織。從內(nèi)部惡意攻擊者到一般的小黑客，到外部黑產(chǎn)，再到國際上有名的黑客組織以及國家級攻擊力量，他們手上掌握了各種各樣的攻擊手段，這些外部的高級威脅組織，相對很多甲方擁有非常大的網(wǎng)絡(luò)攻擊的優(yōu)勢，比如說知識優(yōu)勢，通過超前技術(shù)研究獲取知識優(yōu)勢。比如AIGC，大家對于ChatGPT到底有多少研究，是否知道在使用ChatGPT的過程當(dāng)中可能造成自己的數(shù)據(jù)泄露，很多程序員用ChatGPT開發(fā)代碼的時(shí)候可能被供應(yīng)鏈攻擊，引入的代碼藏有后門，導(dǎo)致了你的程序被人家利用，開始入侵。

第二，這些高級威脅組織擁有很強(qiáng)的情報(bào)優(yōu)勢，每年互聯(lián)網(wǎng)上會(huì)爆發(fā)出來各種高危漏洞，這些高級威脅組織可以一天之內(nèi)拿到這些爆發(fā)漏洞的情報(bào)，一周之內(nèi)組裝成武器，開始全互聯(lián)網(wǎng)掃描。但是企業(yè)基本上滯后一周才知道漏洞，一個(gè)月才可以修復(fù)，中間的時(shí)間很容易被這些黑客組織利用攻擊。

第三，效率上的優(yōu)勢，他們專業(yè)做網(wǎng)絡(luò)攻擊，攻擊手段自動(dòng)化，可以很快攻擊進(jìn)來把數(shù)據(jù)拿走。

從內(nèi)部原因看企業(yè)自身，今年我們在1500個(gè)企業(yè)進(jìn)行了調(diào)研，發(fā)現(xiàn)兩點(diǎn)問題，第一，企業(yè)安全建設(shè)投入不足，70%的企業(yè)在安全方面投入占比不到5%，還有很多企業(yè)投入不到1%，投入不高必然導(dǎo)致安全度不高。

第二，安全建設(shè)理念依然滯后，安全建設(shè)仍停留在“頭疼醫(yī)頭、腳疼醫(yī)腳”

的傳統(tǒng)搭煙囪階段。安全在制約企業(yè)的發(fā)展，無論是國際知名的信息安全事件還是未來潛在的安全風(fēng)險(xiǎn)，都會(huì)阻礙企業(yè)發(fā)展。

02 網(wǎng)絡(luò)安全的核心挑戰(zhàn)是？

網(wǎng)絡(luò)安全的核心挑戰(zhàn)是，安全如何體現(xiàn)價(jià)值。

從合規(guī)導(dǎo)向的層面，國家建立了很多法律法規(guī)以及安全標(biāo)準(zhǔn)等合規(guī)要求，很多監(jiān)管機(jī)構(gòu)定期掃描網(wǎng)站以及對外暴露的情況。到了2019年開始做實(shí)戰(zhàn)導(dǎo)向，各級公安機(jī)關(guān)組織國家級、省市級、行業(yè)級的攻防演練對抗，檢驗(yàn)攻防對抗能力。

即便這樣，安全建設(shè)還是很難回答幾個(gè)問題：到底能否防住黑客攻擊，內(nèi)鬼主動(dòng)數(shù)據(jù)泄露能否被主動(dòng)發(fā)現(xiàn)，投入100萬和1000萬的安全水位差異在哪里。

要回答這些問題，騰訊安全和IDC以及業(yè)界1000多位CSO進(jìn)行熱烈討論，提煉出來一套以發(fā)展驅(qū)動(dòng)為核心的模型，這套模型可以比喻成企業(yè)數(shù)字安全免疫力。

其中有幾個(gè)關(guān)鍵：

第一，我們要重建企業(yè)安全建設(shè)的核心目標(biāo)。以前我們的安全建設(shè)就是為了安全建設(shè)，但是今天要以企業(yè)資產(chǎn)為核心，以數(shù)據(jù)和業(yè)務(wù)為核心，重建安全底座，通過三層安全架構(gòu)，把靜態(tài)安全轉(zhuǎn)變?yōu)閺椥?、自適應(yīng)、可擴(kuò)展性的安全。

第二，安全理念從“治已病”轉(zhuǎn)變成“治未病”的理念，在黑客進(jìn)攻我之前把問題修復(fù)掉。

第三，積極主動(dòng)地進(jìn)行安全建設(shè)，從被動(dòng)防御變成主動(dòng)防御。

實(shí)現(xiàn)路徑是第一，構(gòu)建兩個(gè)免疫堡壘，從數(shù)據(jù)安全、業(yè)務(wù)安全構(gòu)建安全堡壘，按照數(shù)據(jù)流向構(gòu)建數(shù)據(jù)全生命周期的防御體系，保證數(shù)據(jù)安全，保證數(shù)據(jù)財(cái)富，同時(shí)要適應(yīng)業(yè)務(wù)擴(kuò)張和發(fā)展彈性可伸縮。

第二，中間構(gòu)建免疫中樞，通過企業(yè)安全運(yùn)營管理，用人、技術(shù)、流程把整個(gè)體系打通，形成體系化、全局化的攻防體系。

第三，三道免疫屏障，包括邊界安全、端點(diǎn)安全、應(yīng)用開發(fā)安全，我們可以做平臺化、服務(wù)化，向安全的數(shù)字化轉(zhuǎn)型發(fā)展。通過精細(xì)化運(yùn)營，提升數(shù)據(jù)和業(yè)務(wù)的安全，聚焦核心價(jià)值，構(gòu)建企業(yè)安全的免疫力和韌性。

03 如何建立安全免疫中樞？

建立數(shù)字安全免疫系統(tǒng)的核心是構(gòu)建免疫中樞，也就是安全運(yùn)營與管理，這是實(shí)現(xiàn)治未病和主動(dòng)安全的關(guān)鍵。

如何構(gòu)建免疫中樞？第一，識別自己本身存在的問題，在黑客之前發(fā)現(xiàn)自己存在的問題，才能夠?qū)崿F(xiàn)“治未病”，所以強(qiáng)調(diào)“情報(bào)驅(qū)動(dòng)的威脅暴露管理”，公司在互聯(lián)網(wǎng)上暴露了哪些資產(chǎn)，有哪些漏洞，要在黑客之前發(fā)現(xiàn)；第二，“攻防驅(qū)動(dòng)的全鏈路驗(yàn)證”，我的防御體系有沒有效果，一定通過攻防驅(qū)動(dòng)，以攻促防；第三，“通過場景驅(qū)動(dòng)的自動(dòng)化運(yùn)營”，黑客相對我們是有效率優(yōu)勢的，通過場景驅(qū)動(dòng)的自動(dòng)化運(yùn)營彌補(bǔ)效率缺陷。

要建立安全免疫中樞，企業(yè)首先要做好情報(bào)驅(qū)動(dòng)的威脅暴露管理，這是實(shí)現(xiàn)“治已病”到“治未病”的關(guān)鍵。很多企業(yè)連自己在互聯(lián)網(wǎng)上有多少資產(chǎn)都不清楚，那么安全免疫中樞的建立是無法實(shí)現(xiàn)的。

通過深度的資產(chǎn)暴露測繪，可以看到整個(gè)資產(chǎn)分成三個(gè)層面：明網(wǎng)（Surface Web）、深網(wǎng)（Deep Web）、暗網(wǎng)（Dark Web），可能有大量的數(shù)據(jù)泄露、大量的賬號泄露，企業(yè)自己都不知道。我們要知道這些資產(chǎn)有哪些病，可以在黑客發(fā)現(xiàn)我們的問題之前修復(fù)，就實(shí)現(xiàn)了“治未病”。全世界漏洞情報(bào)非常多，騰訊覆蓋了500多個(gè)全球一手情報(bào)源，但是其中有很多誤報(bào)。我們通過AI的技術(shù)降低誤報(bào)，通過POC監(jiān)測、機(jī)器學(xué)習(xí)算法、專家團(tuán)隊(duì)進(jìn)行研判，可以在30分鐘之內(nèi)發(fā)現(xiàn)重大漏洞，在一天之內(nèi)啟動(dòng)響應(yīng)。我們的誤報(bào)率、漏報(bào)率極低，把漏洞情報(bào)推送過來，讓漏洞掃描對應(yīng)資產(chǎn)可以實(shí)現(xiàn)“治未病”。

這里有一個(gè)案例，我們監(jiān)測到國內(nèi)的某一家銀行有部分信用卡數(shù)據(jù)在暗網(wǎng)存在數(shù)據(jù)泄露，黑客上傳以后我們很快監(jiān)測到，然后聯(lián)系數(shù)據(jù)售賣作者獲得樣本信息進(jìn)行確認(rèn)，數(shù)據(jù)量不夠沒有辦法確認(rèn)真?zhèn)危蜃髡咚饕嗟臄?shù)據(jù)，然后和客戶一起進(jìn)行溯源分析，最后根據(jù)客戶提供的數(shù)據(jù)和泄露者提供的數(shù)據(jù)，最終確認(rèn)泄露途徑，給出了數(shù)據(jù)分析的報(bào)告。這樣幫助企業(yè)降低數(shù)據(jù)泄露造成的影響。

第二，攻防驅(qū)動(dòng)的全鏈路驗(yàn)證是實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)安全的關(guān)鍵。通過攻防驅(qū)動(dòng)全鏈路驗(yàn)證主動(dòng)提前發(fā)現(xiàn)問題，其中有兩個(gè)核心關(guān)鍵點(diǎn)：全鏈路意味著對整個(gè)安全體系非常了解，騰訊構(gòu)建了云安全的攻防矩陣，通過矩陣結(jié)構(gòu)化、體系化幫助我們發(fā)現(xiàn)所有問題。我們還有紅藍(lán)對抗的人工驗(yàn)證和自動(dòng)化系統(tǒng)驗(yàn)證結(jié)合，讓自動(dòng)化系統(tǒng)遍歷驗(yàn)證已知攻擊路徑和攻擊技術(shù)，這樣結(jié)合起來可以有效地提高整個(gè)安全鏈路驗(yàn)證的效率。

舉一個(gè)例子，我們和國內(nèi)某車企合作，通過全鏈路攻防驗(yàn)證，從云和IDC正面突破進(jìn)員工終端以及辦公網(wǎng)，他們辦公樓遍布全國，從外溢WiFi和有效終端以及各種各樣的服務(wù)中心進(jìn)行攻擊，包括工廠模擬無人機(jī)入侵。最終，我們拿下了他們內(nèi)部所有核心靶標(biāo)，包括核心服務(wù)器、代碼平臺、運(yùn)維平臺等等，最終發(fā)現(xiàn)六大類安全風(fēng)險(xiǎn)，包括辦公網(wǎng)準(zhǔn)入風(fēng)險(xiǎn)、工廠準(zhǔn)入風(fēng)險(xiǎn)、研發(fā)、訪問控制、供應(yīng)鏈風(fēng)險(xiǎn)、數(shù)據(jù)泄露風(fēng)險(xiǎn)，在這樣全方位排查之后，可以針對風(fēng)險(xiǎn)進(jìn)行相應(yīng)的修復(fù)。

謝謝大家！

嘉賓簡介

蘇建東，騰訊安全安全服務(wù)負(fù)責(zé)人，有20年信息安全研究與從業(yè)經(jīng)驗(yàn)，專注前沿性云計(jì)算、大數(shù)據(jù)安全體系研究10年，主導(dǎo)多個(gè)部委央企大型私有云安全架構(gòu)設(shè)計(jì)，主導(dǎo)推出國內(nèi)首個(gè)云加密服務(wù)、首個(gè)云數(shù)字證書服務(wù)、首個(gè)云等保合規(guī)解決方案。

關(guān)于本次會(huì)議

2023億邦產(chǎn)業(yè)互聯(lián)網(wǎng)年會(huì)是2023億邦年會(huì)系列主題會(huì)議之一，于12月1日在上海浦東香格里拉大酒店舉辦。

2023億邦年會(huì)由億邦動(dòng)力主辦，馬蹄社、億邦智庫協(xié)辦，主題為“換擋期之萬全之策”。年會(huì)議程首次覆蓋企業(yè)數(shù)字化的全周期：國內(nèi)電商、品牌全球化、產(chǎn)業(yè)數(shù)字化。通過“萬全之策”主題的牽引，64位重磅嘉賓對54大熱門議題展開深入探討，對2023年度一系列關(guān)鍵問題積極尋求回應(yīng)，共同探索立足短期實(shí)際、堅(jiān)持長期主義的增長之道。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。