12月8-10日,36氪在北京国际会议中心举办了「WISE2020新经济之王大会——崛起与回归」。本次大会是WISE大会的第八届,2020年也是36氪成立的第十年。在企业服务分会场,我们以「十年企服:崛起与加速」为主题,聚合行业专家、专注企服赛道的知名投资人、行业代表企业,从行业市场环境分析到企业可持续发展战略,从宏观行业发展洞察到微观企业服务管理升级,共同探讨企服数字化发展趋势,在十年企服的崛起与加速中,远见企服赛道的新机遇。
在本次大会的第一天,腾讯安全产业安全运营部总经理吕一平先生以“网络安全十年变迁:从底线到天花板”为主题,分享了过去十年信息安全领域的变化和发展趋势,以及过去几年腾讯安全在信息安全领域的前沿性研究和案例。此外,吕一平先生还指出,基础设施、核心业务上云是一个不可逆转的趋势,未来云会变成安全的主战场。
以下是吕一平先生的演讲实录,经36氪整理编辑:
吕一平:大家好,今天很高兴有机会跟大家做一些分享。其实今年36氪的主题叫十年,我这次演讲的准备没有讲太多具体的技术,主要是跟大家分享一下我们过去这段时间信息安全的变化,前面的嘉宾其实都讲了,技术在发生变化、行业在发生变化,线上线下的交互在发生变化。其实对安全来讲也在发生变化,跟随着技术大潮和行业大潮也在发生相应的变化。今天希望能跟大家分享一下我们的观点和看法。主题叫做《网络安全十年变迁:从底线到天花板》。
过去十年其实有一些大家都比较关注的网络安全事件。比如说2010年震网事件,这是对于电力能源行业都比较关心的,伊朗的核电站被黑客攻击,最后导致了整个核电站的离心机出现了严重故障;第二个是2013年斯诺登的泄密事件;到2017年的时候是勒索病毒WannacCry——直到今天,勒索病毒还在不断发生,最近我们还接到了很多求助需求,包括医疗、制造业,勒索病毒的延续和发展都没有停止过;然后是2018年的时候是剑桥分析事件,当时美国总统选举也受到了一些大数据的干扰。
大家可以看我们过去十年的信息安全里面有一些变化。第一个,如果我们在十年之前看到了PC互联网、移动互联网兴起以后我们看到的安全都是虚拟世界的安全,但是在过去的十年里面,比如说像2010年的震网事件,包括过去几年腾讯安全在车联安全、物联安全里面前沿的研究都证明了一点,就是原来的虚拟世界里面讲的网络安全现在逐步对现实世界造成了影响,它会影响到物理世界的安全,会影响到人身安全、生命安全,甚至会影响公共安全。
刚刚很多嘉宾在讲我们很多的业务在从线下转线上,很多的传统行业商业模式在向数字化转型,但其实从我们信息安全的角度来看,我们反而看到了一个反向的趋势:原来线上的安全重点现在在逐步对线下的世界造成了影响。我们的信息安全也要更关注产业互联网的发展过程中对于风控、车联网、物联网,怎么样能做好保障。
另外,剑桥分析这个事件说明,当我们把网络安全、把系统安全都做得更好的时候,现在其实有一点会变得更加重要:信息安全最终保障的还是数据。随着这个行业的变化、数字化转型,大量的数据在汇集,大数据的威力很大,它的安全怎么样来保障也是非常重要的。所以这是过去十年里我们看到的变化,安全不再是简单的保障了,安全其实会对很多不同的行业和领域产生很大的影响。
这是我们关注到的近几年来安全的趋势,一个是各个国家对安全的重视也越来越高,包括一些高级的攻击,不管是和政府相关的还是和商业相关的,都越来越多;第二个趋势是对供应链的攻击也会变得越来越多,不管是制造业还是工业甚至物流行业,其实我们的供应链都是相当长,我们在供应链环节里面有很多的环节有很多人参与,所以在这个过程中其实安全也会变得越来越复杂,包括随着物联、车联、工业互联网的普及,针对硬件和固件的攻击趋势也在提升。
另外还有勒索病毒和挖矿也是一块,这是我们过去几年看到的网络安全的趋势。
过去十年信息安全所处的环境发生的大的变化是什么呢?
第一、整体的IT架构在升级。业内有一个观点,安全是一个伴生属性,安全不是独立存在的,但是网络安全始终伴随着科技的发展。方滨兴院士曾经讲过一句话,“你让我预测30年之后需要什么样的网络安全技术我是预测不出来的,因为网络安全技术的发展是伴随着新技术的发展在演进的”,比如说我们讲的大数据、人工智能、云计算、移动互联网、物联网。
新技术在引入的过程中,特别是刚刚几位嘉宾都提到了云计算在结合着5G的发展,未来边缘计算也会越来越普及,把算力往端和边缘上去靠。在这种新的场景下,包括5G场景会带来面向于不同行业的网络切片技术的发展。网络安全保障和功能的定义都是由网络定义,而不是由设备来定义的时候,这时候信息安全和网络安全技术的应用也会发生不一样的改变,我们的关注点也会随之发生改变。
随着这些新技术的发展,新技术场景过程中都会有新的信息安全问题产生,这在过去几年腾讯安全做了很多的前沿性研究和案例。
举个例子,我们2016年研究了特斯拉案例,2018年研究的宝马案例,证明了智能网联汽车里面,随着联网和自动驾驶功能的引入会带来新的安全风险和挑战。我们也做了针对智能手机和物联设备,比如说充电设备的研究。其实也证明了一点,随着物联设备不断的普及,同时它会带来相应的新的安全风险,这些安全风险都是我们需要去关注和保障的。
第二,国内国外的政策上也有很多的变化。2017年《网络安全法》发布以后,国家对安全越来越重视了,而且最近这几年腾讯安全也参加了国家每年都会组织的实战攻防演练,针对国家的关键信息基础设施、重要的行业和企业,通过实战的模式来进行攻防演练,主要是希望能够更好的去发现潜在的安全问题,更好的对这些行业和企业进行保障。所以从国家的角度来讲,这方面的工作一直在加强。
另外,这两年有一个趋势,对于数据的关注,特别是个人隐私数据的关注和保护也到了很高的高度,包括去年发布的个人信息安全的规范甚至对青少年和儿童有了更深入和更细致的数据保护的规范,这是我们看到的一个趋势。包括国际上,不管是欧盟的GDPR、英国的BPA、美国的和个人隐私信息保护的要求和规范,还有强制性的规定,也说明从整个国内和国际角度来讲网络安全变得越来越重要,数据的保护也会变得越来越重要,这是我们看到的一个比较大的趋势。
第三,安全对抗在加剧。原来讲的国家安全是海陆空,后面航天也加进去了,现在网络安全赛博的世界也在加进去,变成了“海陆空天网”五维的环境,都是国家安全的范畴,所以网络安全提升到了很高的高度。我们看到了黑客攻击的活动会越来越复杂,高级的网络攻击APT的模式会变成常态化,APT的攻击模式可以和政治相关的,也会有跟商业相关的模式,这是我们看到的比较大的趋势。
这对于网络安全行业的直接影响,就是促使安全整个的需求和特点在发生变化:
网络安全由可选项变成了必选项,特别是原来很多行业和企业对网络安全更多是一个成本,但是随着数字化的变化,随着各个行业的商业模式,随着线上化和数字化转型它变得更加开放,更加向互联网打开以后,网络安全变成了一个必备的属性了,如果没有安全的话,可能会对你的核心业务或者新的商业模式造成比较大的影响。
云安全会变成一个主战场。我们的核心业务和核心基础设施往云上走,这是一个不可逆转的趋势。所以对我们来讲,我们也看到了这个趋势,云安全会变成一个主战场。但是这里有一个好事,很多客户跟我们反馈,特别是到了一些重大的实战攻防阶段,说你们的专家实在太少了,我们有的时候比较晚跟你们沟通和交流的时候,就发现你们的专家都已经被很多其他的行业客户预定出去了。上云其实有一个很好的点,原来如果我们在私有化场景下,我们的专家要一个一个保护我们的客户和行业单位,到云上以后我们是把专家所有的智慧、所有的能力和所有的先进技术全部都凝聚在我们的云上了,最后我们是在云上把所有的安全保障能力固定下来,去保障我们的客户。所以如果我们的客户或者合作伙伴能够上到云上,原来你要花很多费用和精力去请一个高级保镖,现在上云上就有高级保镖在保护你了。
从合规驱动走向发展驱动。现在越来越多的企业原来说只要满足合规要求,过了等保、过了检查要求就可以了,但是现在越来越多的企业会意识到一点,一个好的安全保障、一个好的安全能力是常态化的事情,所以说很多行业和企业在这块的思维模式也在发生变化,在投入上也在发生变化。
针对这些变化,我们安全产业的各个主体要做什么呢?从政府侧,我们需要做顶层设计的牵引。这块我们国家已经做得非常好了,特别是最近几年在安全方面,通过实战的手段、大型的攻防演练和检察来督促各个行业和企业来提升自己的能力,这些是实战的能力而不是简单的防护能力。
从安全厂商来看,我们的确要去深入的细分场景,因为各行各业都在逐步的深入到数字化转型的互联网里面来,针对不同的行业会有不同的行业场景和商业模式的场景,所以我们需要结合这些场景更好的定制行业的方案。对我们云厂商来讲,比如我们腾讯要做好云原生的安全研究,安全普惠,让大家用一个比较低的成本去享受比较高级的保镖的保障。
最后从企业的角度来讲,随着更多的核心业务进入到数字化阶段,进入到线上,更多的资产变成了数字资产,这个过程中一旦安全出现了问题,真的不是底线问题,而是会影响到整个公司的核心业务的发展,所以安全必须是一把手的工程。现在很多企业首席安全官这个角色是汇报给董事长和CEO了,这也是挺好的变化。
最后,其实腾讯安全正是关注到了很多这样新的安全需求,特别是在行业垂直上的需求,所以说我们其实提供了全栈式的安全保障,而且我们非常关注云原生,我们把所有专家的知识、能力、技术,全部都整合在腾讯云上面。我们要做到安全的普惠,我们要让更多的企业和安全用一个更低的成本享受到高级的防护带来的好处和收益。让大家在做数字化转型和线上转型的过程中安心,我们腾讯安全始终为大家保驾护航,谢谢。
来源:36kr
作者:胡静怡