6月11-12日,2019年度騰訊安全國際技術(shù)峰會(TenSec)在上海舉辦。本次峰會由騰訊安全發(fā)起、騰訊安全科恩實驗室與騰訊安全平臺部聯(lián)合主辦,騰訊安全學(xué)院協(xié)辦,邀請了國內(nèi)外安全專家,共同探討了云計算、物聯(lián)網(wǎng)、人工智能、企業(yè)安全建設(shè)等多領(lǐng)域的安全問題。騰訊安全平臺部研發(fā)安全團隊負(fù)責(zé)人馬松松分享了騰訊企業(yè)研發(fā)安全的建設(shè),介紹了騰訊內(nèi)部安全工程化的“五重縱深防御“體系。
騰訊安全平臺部負(fù)責(zé)人楊勇在峰會上表示:“產(chǎn)業(yè)互聯(lián)網(wǎng)時代,安全行業(yè)進(jìn)入了真正的深水區(qū),它要求安全從業(yè)者有更多的跨界知識,來面對更加廣闊的攻擊面和更多的產(chǎn)業(yè)。但安全是所有0前面的那個1,如何寫好這個1只會越來越復(fù)雜,需要全社會共同參與,企業(yè)更要承擔(dān)起責(zé)任。”
騰訊安全平臺部負(fù)責(zé)人 楊勇
“五重縱深防御“,構(gòu)建安全工程化體系
基于安全管理規(guī)范和流程,結(jié)合騰訊十多年研發(fā)安全經(jīng)驗,騰訊研發(fā)安全致力于建設(shè)層層管控、環(huán)環(huán)相扣的自動化系統(tǒng),從認(rèn)知、組織、技術(shù)和堅持四個方面著手,確保安全工程化體系落到實處。
馬松松提到,大眾印象中的IT高手更多是“孤膽英雄”式的,這固然值得崇拜,但全面的保護(hù)需要工程化的系統(tǒng)能力,盡量降低人力單獨參與,否則無法匹配大規(guī)模的業(yè)務(wù),尤其是在業(yè)務(wù)量級上升之后,單純靠人力是不可持續(xù)的。他結(jié)合騰訊安全平臺部十多年的安全建設(shè)經(jīng)驗,介紹了內(nèi)部安全工程化的“五重縱深防御“體系。
騰訊安全平臺部建立起涵蓋網(wǎng)絡(luò)安全(宙斯盾DDoS防護(hù)、DNS劫持監(jiān)控)、應(yīng)用安全(洞犀Web風(fēng)險監(jiān)控、金剛終端風(fēng)險監(jiān)控、門神Web攻擊防護(hù)及源碼安全掃描等)、主機安全(洋蔥反入侵系統(tǒng)、基線監(jiān)控)、數(shù)據(jù)安全(合規(guī)監(jiān)控、全程票據(jù)),并具備多維提升能力(基礎(chǔ)數(shù)據(jù)、威脅分析等)的五重自動化縱深防御系統(tǒng),實現(xiàn)層層管控、環(huán)環(huán)相扣。
但馬松松坦言,理想的工程化體系在企業(yè)實際落地過程中,往往也會遇到問題,如安全價值感知、安全業(yè)務(wù)平衡、安全投入保障等。從工程化體系到企業(yè)具體的安全建設(shè)實踐,仍然有相當(dāng)長的一段路要走。
認(rèn)知是前提,組織是保障,技術(shù)是核心,堅持是信念
馬松松表示,認(rèn)知是進(jìn)行企業(yè)安全建設(shè)的前提,也是企業(yè)必須付出的成本。一方面要認(rèn)識到安全的重要性,但一方面也要意識到風(fēng)險是不可能被徹底消滅的,更值得關(guān)注的是企業(yè)為了安全應(yīng)該做哪些投入、將取得何種成效。
騰訊安全平臺部研發(fā)安全團隊負(fù)責(zé)人 馬松松
想要建設(shè)良好的企業(yè)安全體系,自上而下的組織架構(gòu)是必須的保障。馬松松形象地比喻,組織架構(gòu)要“既能上達(dá)天庭,也要下知疾苦,更要利益攸關(guān)“。許多國家都已開始立法增加利益攸關(guān)程度,我國更是通過了《網(wǎng)絡(luò)安全法》,新出臺了《數(shù)據(jù)安全管理辦法(征求意見稿)》,這也意味著從政府層面對組織保障的重視在不斷加強。
技術(shù)是確保企業(yè)安全建設(shè)的核心,尤其是基礎(chǔ)數(shù)據(jù)的重要性時刻不能遺忘。企業(yè)安全研發(fā)需要不斷關(guān)注、評估、追求新的技術(shù)手段,但要切記,歐洲服務(wù)器,安全建設(shè)沒有“一勞永逸、一招制敵”,要分清楚哪些是炒作哪些是真正的能力,需要不斷運營、在多項能力中取舍平衡。他還提到,未來的發(fā)展方向在于賦能研發(fā)人員,要給研發(fā)人員足夠的支持,未來興起的安全解決方案將離開發(fā)者更近。
最后,馬松松還提到了堅持對于企業(yè)安全建設(shè)的重要性,搞安全建設(shè)可能是枯燥的長期持續(xù)投入,需要人和事情的長期深耕與堅持。
產(chǎn)業(yè)互聯(lián)網(wǎng)進(jìn)程加快,企業(yè)安全建設(shè)迫在眉睫
隨著產(chǎn)業(yè)互聯(lián)網(wǎng)進(jìn)程的加快,越來越多傳統(tǒng)行業(yè)面臨數(shù)字化轉(zhuǎn)型,這為企業(yè)發(fā)展帶來機遇的同時,也為企業(yè)安全建設(shè)帶來了挑戰(zhàn)與風(fēng)險。
一方面,產(chǎn)業(yè)互聯(lián)網(wǎng)時代,云、管、端都暴露出了攻擊入口,而數(shù)據(jù)傳輸、設(shè)備連接、軟件供應(yīng)鏈等多個鏈條環(huán)環(huán)相扣,各個環(huán)節(jié)都可能成為黑客攻擊的對象。另一方面,我們面臨的對手也更為強大,不再是單個黑客,而是分工細(xì)化成熟的黑產(chǎn)產(chǎn)業(yè)鏈。
在此種環(huán)境下,系統(tǒng)性的企業(yè)安全建設(shè)可謂是迫在眉睫。
