国内TOP安全厂商如何践行RSAC首倡的“以人为本”?
2月24日-28日,全球信息安全领域风向标RSAC在旧金山展开,今年大会主题为“人是安全要素”——关注信息安全社区中的人的价值,同时这一主题也是本届RSAC大会的十大趋势之首,折射出 “人”对安全建设的影响已然成为未来的安全趋势。
事实上,在“网络安全为人民,网络安全依靠人民” 理念指导下,“以人为本”早已成为国内信息安全建设的基因。这与腾讯安全护航产业安全的做法不谋而合。自从“930变革”之后,腾讯安全就基于人在安全中的重要价值,从上到下系统地建立安全能力矩阵,并对外输出可复用的安全能力,助力企业筑牢安全防线。
战略前瞻性:安全是企业CEO的一把手工程
在RSAC大会今年收到的2400份发言申请中,众多针对“数据、威胁、风险、隐私、管理和团队”的内容均涉及安全方面的人为因素。尤其是数据安全方面,大量数据显示企业员工有意或无意的行为,是致使企业数据资产泄露的罪魁祸首。
另一方面,在企业中,安全是否受到足够多人的重视也是导致以人为本的理念落地的关键一环。尤其是,安全是否受到企业CEO的直接关注?
事实并不乐观——根据CIO网站调查数据,25%的受访企业拥有CISO,11%拥有CSO,17%拥有另一位头衔不同的高层安全管理人员——这意味着近一半的企业还没有为安全团队任命任何高层管理人员。
但是伴随着数字化贯穿于企业研发、生产、流通和服务的全流程,企业的所有环节都需要安全保障,企业需要将安全置于最高等级的战略高度。体现在企业的管理责任上,就是需要企业CEO亲自抓。
正如腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生在第五届CSS互联网安全领袖峰会提出的:“安全不再只是CTO、CIO们的工作范畴,也需要CEO的战略关注,产业互联网时代,安全正成为CEO的一把手工程。”
基于对产业安全的前瞻性认知,腾讯安全在护航产业安全上也有了全新的使命——致力于成为产业数字化升级的安全战略官,从源头帮助企业做好安全。
底层驱动力:关注“人”的安全 3500人安全团队提供全面防护
企业中数据生产后就会进入传输、存储、处理、分析、访问与服务应用等各环节,且周而复始如同流淌的血液,而这些环节涉及到研发运维人员、最终用户、服务器、办公终端、内外网络、大数据分析平台、云平台等各个部分,“人”的安全至关重要。IDG调查显示,71%的IT决策者关注零信任模型。随着产业互联网的渗透和改造,各行各业正在加速数字化的进程。
在终端安全方面,腾讯安全通过终端无边界访问控制系统(iOA)提供内网和办公终端的安全防护,让运维人员更加方便、高效地对内网庞大的终端进行管理。不久前由腾讯主导确立的全球首个零信任安全国际标准在瑞士日内瓦ITU-T(国际电信联盟通信标准化组织)SG17安全研究组全体会议上立项成功,也验证了腾讯在零信任安全领域的领先地位。
在云端安全上,腾讯安全七大安全实验室与安全平台部超过300人协作成立“云全栈安全研究工作组”,对云安全展开全面、前瞻性的研究,将安全服务内置到云中,致力于打造让客户放心的云平台。
安全本质上是人与人之间的对抗,扎实的安全人才体系是开展安全工作的基础。在“安全战略官”的使命指引下,腾讯安全凝聚了超过3500人的服务团队,支撑起腾讯安全提供安全服务的“前台、中台、后台”。
扎实的安全人才也为腾讯安全护航产业安全提供了源源不竭的创新动力,仅仅在2019年,腾讯安全就输出了覆盖多个领域的研究成果。其中,腾讯安全科恩实验室首次发布针对特斯拉Autopilot的研究成果,再次消灭了一个自动驾驶的潜在安全隐患,AI方面科恩的研究成果更是入选了顶会AAAI-20;腾讯安全玄武实验室深耕移动安全,披露了指纹识别领域的最新研究——自动化破解多种类型指纹识别;腾讯安全云鼎实验室基于对云安全情报数据的统计分析和最新云安全攻防趋势的研究,首次发布了 “八横八纵” 的云上攻击全景路径……这些不仅拓深了相应领域的研究深度,也直接反哺到产业,助力企业提升了安全性。
除此之外,“以赛代练”及“红蓝对抗”还在让腾讯安全这3500人持续进化。为了找出平时用常规手段未被发现的漏洞并及时收敛,让不法黑客在攻击时无计可施从而进一步保证云平台和云上租户的安全,腾讯安全不定期举行内部安全攻防实战对抗:联合腾讯安全平台部、七大实验室、企业IT、TSRC等众多安全团队,在合规授权的前提下站在“攻方”视角寻找业务漏洞,通过模拟真实情况下的攻防,检验自身业务在实战对抗、漏洞挖掘、入侵检测等方面的安全防护水平。在内部安全演习的过程中,腾讯安全已协助QQ、微信、微信支付、黄金红包、区块链电子发票等业务完善安全防护能力。