2月24日-28日,全球信息安全领域的风向标RSAC在旧金山,今年会议的主题是人是安全因素——关注信息安全社区人的价值,这个主题也是今年RSAC会议十大趋势之一,反映出 人对安全建设的影响已成为未来的安全趋势。
事实上,在网络安全为人民服务,网络安全依赖人民 概念的指导下,以人为本已经成为国内信息安全建设的基因。这与腾讯安全护航行业的安全实践不谋而合。自930变革以来,腾讯安全基于人类安全的重要价值,从上到下系统地建立安全能力矩阵,输出可重复使用的安全能力,帮助企业建立坚实的安全防线。
战略前瞻性:安全是企业CEO一把手工程
在RSAC在今年会议收到的2400份演讲申请中,许多关于数据、威胁、风险、隐私、管理和团队的内容都涉及到安全的人为因素。特别是在数据安全方面,大量数据显示企业员工有意或无意的行为是企业数据资产泄露的罪魁祸首。
另一方面,在企业中,安全是否受到足够多人的重视,也是以人为本理念实施的关键环节。特别是企业是否安全CEO直接关注?
事实并不乐观-根据CIO25%的受访企业拥有网站调查数据CISO,11%拥有CSO,17%有不同头衔的高级安全管理人员——这意味着近一半的企业没有为安全团队任命任何高级管理人员。
然而,随着企业研发、生产、流通和服务全过程的数字化,企业的所有环节都需要安全保障,企业需要将安全放在最高的战略高度。体现在企业的管理责任上,就是需要企业CEO亲自抓。
正如腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生在第五届CSS互联网安全领袖峰会提出:安全不再仅仅是CTO、CIO还需要人们的工作范围CEO在工业互联网时代,安全正在成为战略关注CEO一把手工程。
腾讯安全基于对工业安全的前瞻性认识,在护送工业安全方面也有了新的使命——致力于成为数字产业升级的安全战略官,帮助企业从源头做好安全工作。
底层驱动力:3500人安全团队关注人提供全面保护
企业数据生产将进入传输、存储、处理、分析、访问和服务应用,如流动血液,这些环节涉及研发人员、最终用户、服务器、办公终端、内外网络、大数据分析平台、云平台等部分,人安全至关重要。IDG调查显示,71%IT决策者关注零信任模型。随着工业互联网的渗透和转型,各行各业都在加快数字化进程。
在终端安全方面,腾讯安全通过终端无边界访问控制系统(iOA)提供内网和办公终端的安全防护,让运维人员更加方便、高效地对内网庞大的终端进行管理。不久前由腾讯主导确立的全球首个零信任安全国际标准在瑞士日内瓦ITU-T(国际电信联盟通信标准化组织)SG17安全研究小组全体会议成功立项,也验证了腾讯在零信任安全领域的领先地位。
在云安全方面,腾讯安全七大安全实验室与安全平台部300多人合作成立了云全栈安全研究工作组
安全本质上是人与人之间的对抗,坚实的安全人才体系是开展安全工作的基础。在安全战略官使命的指导下,腾讯安全聚集了3500多个服务团队,支持腾讯提供安全服务的前台、中间和后台。
扎实的安全人才也为腾讯安全护航行业的安全提供了源源不断的创新动力。仅在2019年,腾讯安全就输出了涵盖多个领域的研究成果。其中,腾讯安全科恩实验室首次发布特斯拉Autopilot研究结果再次消除了自动驾驶的潜在安全隐患,AI科恩的研究成果入选顶级会议AAAI-20;腾讯安全玄武实验室深入从事移动安全,披露了指纹识别领域的最新研究——各种指纹识别的自动化破解;腾讯安全云顶实验室首次发布了 八横八纵 的云攻击全景路径……这些不仅拓深了相应领域的研究深度,也直接反馈给了行业,帮助企业提高了安全性。
此外,以赛代练和红蓝对抗仍在不断演变腾讯安全3500人。为了找出常规手段未发现的漏洞,及时收敛,让非法黑客在攻击时无能为力,进一步保障云平台和云租户的安全,腾讯安全不时举行内部安全攻防实战:与腾讯安全平台部、七大实验室、企业合作IT、TSRC许多规授权的前提下,许多安全团队从攻击者的角度寻找业务漏洞,通过模拟真实情况下的攻击和防御,测试其业务在实际战斗对抗、漏洞挖掘、入侵检测等方面的安全防护水平。在内部安全演习过程中,腾讯安全协助QQ、提高微信、微信支付、黄金红包、区块链电子发票等业务的安全防护能力。