騰訊安全首提安全度量體系 助力企業(yè)高效打造安全免疫力

AI大模型席卷全球，為各行業(yè)帶來顛覆式創(chuàng)新機(jī)遇的同時(shí)，也打開了網(wǎng)絡(luò)攻擊的潘多拉魔盒。近日，一份報(bào)告指出，利用生成式AI制作的惡意軟件增長了約700%，網(wǎng)絡(luò)釣魚郵件增長了約135%。

“AI技術(shù)的飛速發(fā)展進(jìn)一步提升了黑客攻擊的效率，因?yàn)榇竽Ｐ途邆涓咝?nèi)容生成的特點(diǎn)，會(huì)讓黑客以更低的門檻和成本，發(fā)動(dòng)更密集的攻擊?！彬v訊集團(tuán)副總裁、騰訊安全總裁丁珂在2023騰訊全球數(shù)字生態(tài)大會(huì)上表示。

在丁珂看來，面對AI大模型引發(fā)的全新安全挑戰(zhàn)，傳統(tǒng)的安全工具、經(jīng)驗(yàn)、策略將失去效力，企業(yè)亟需重建適應(yīng)智能化時(shí)代的安全體系，打造更靈活、彈性、可擴(kuò)展的數(shù)字安全免疫能力。

【資料圖】

AI大模型時(shí)代安全攻防戰(zhàn)升級(jí)

一直以來，在安全領(lǐng)域，攻擊方和防守方就存在天然的不對等關(guān)系。而AI大模型的廣泛應(yīng)用，更是開啟了新一輪的攻防戰(zhàn)。

從攻擊角度來看，攻擊方利用AI技術(shù)大幅降低攻擊成本和門檻之后，會(huì)大幅提升攻擊的頻次和密度。“在大模型加持下，黑客會(huì)讓攻防變成‘即時(shí)戰(zhàn)略’的對抗，企業(yè)的反應(yīng)時(shí)間窗口將被迫縮短至小時(shí)級(jí)或者分鐘級(jí)?！倍＄姹硎?。

不容樂觀的是，大部分企業(yè)的安全建設(shè)仍停留在“頭疼醫(yī)頭、腳疼醫(yī)腳”的傳統(tǒng)搭煙囪階段?！?023企業(yè)安全建設(shè)水平抽樣調(diào)研報(bào)告》顯示，在安全預(yù)算投入上，超過70%的企業(yè)低于基準(zhǔn)線，甚至還有超過10%的企業(yè)，安全投入低于1%，對攻擊事件“不設(shè)防”。

而這一現(xiàn)象的根本原因在于，大部分企業(yè)對安全價(jià)值認(rèn)知的長期錯(cuò)位，他們認(rèn)為安全投入就是成本，而且難以量化價(jià)值。

對此，經(jīng)濟(jì)學(xué)者薛兆豐在會(huì)上從經(jīng)濟(jì)學(xué)角度出發(fā)，給數(shù)字安全投入算了一筆賬。他表示，過往企業(yè)家關(guān)注的是安全本身，但是智能化時(shí)代，企業(yè)數(shù)字化加深變廣，主動(dòng)從數(shù)字化進(jìn)入數(shù)智化，如果不建立完善的安全免疫力，那所有數(shù)字化投入都會(huì)失去原有的經(jīng)濟(jì)性。因此，安全愈發(fā)成為最高決策的關(guān)鍵點(diǎn)和投入點(diǎn)，也應(yīng)該作為企業(yè)進(jìn)行戰(zhàn)略投入的關(guān)鍵方向。

“度量安全”是重建安全體系的首要前提

面對AI大模型時(shí)代快速擴(kuò)大的安全風(fēng)險(xiǎn)，企業(yè)傳統(tǒng)的安全范式亟待重建。“企業(yè)需要跳出‘防黑防鬼’的被動(dòng)防御窠臼，聚焦業(yè)務(wù)和數(shù)據(jù)兩個(gè)核心價(jià)值，構(gòu)建內(nèi)生數(shù)字免疫力?！彬v訊安全策略發(fā)展中心總經(jīng)理呂一平表示，“就像是對抗多種病毒，最優(yōu)選擇永遠(yuǎn)不是打抗生素，而是建立強(qiáng)壯的體魄和免疫力?！?/p>

今年上半年，騰訊安全聯(lián)合IDC發(fā)布的“數(shù)字安全免疫力”模型也提出，企業(yè)需要重建安全價(jià)值原點(diǎn)，將企業(yè)核心業(yè)務(wù)與企業(yè)數(shù)據(jù)資產(chǎn)作為所有安全的防御目標(biāo)，設(shè)置防御縱深。

明確安全的目標(biāo)之后，如何圍繞核心資產(chǎn)建立完善有效的安全體系呢？在丁珂看來，不同行業(yè)和不同體量規(guī)模的企業(yè)在安全建設(shè)上千企千面，需要有一個(gè)可度量的安全體系，幫助企業(yè)評(píng)估安全建設(shè)水平和關(guān)鍵風(fēng)險(xiǎn)。

論壇上，騰訊安全配合免疫力模型發(fā)布了“數(shù)字安全免疫力模型評(píng)估工具”。呂一平介紹稱，這款評(píng)估工具是基于業(yè)務(wù)識(shí)別關(guān)鍵風(fēng)險(xiǎn)，并參考同業(yè)建立標(biāo)尺，每個(gè)企業(yè)在參與測試后將得到一個(gè)基準(zhǔn)分，通過對比可以得知自身在行業(yè)內(nèi)的水平位置，與行業(yè)頭部、中位數(shù)的差距是多少，在清晰理解風(fēng)險(xiǎn)和差距的基礎(chǔ)上，幫助企業(yè)建立可落地安全建設(shè)路徑。

據(jù)了解，目前已經(jīng)有金融、能源、工業(yè)等60家企業(yè)參與了評(píng)估工具的測試。評(píng)估報(bào)告顯示，金融行業(yè)總體得分第一，但是在細(xì)分的業(yè)務(wù)風(fēng)控場景有不足；能源和工業(yè)安全工具部署非常充分，但是圍繞關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的模塊有待提升。

企業(yè)如何打造自適應(yīng)的“安全免疫力”？

企業(yè)摸清安全建設(shè)水平，就能做好安全嗎？答案并不肯定。在丁珂看來，AI大模型時(shí)代，外部技術(shù)和攻擊瞬息萬變，如果外部因素一有變化，就要重新構(gòu)建一整個(gè)模塊的安全體系來匹配，從成本和效果考量這都是不合格的，企業(yè)需要打造一套具有彈性、自適應(yīng)、可擴(kuò)展的數(shù)字安全免疫系統(tǒng)。

騰訊安全“數(shù)字安全免疫力”模型框架，把復(fù)雜的安全體系抽象成了一個(gè)洋蔥模型，圍繞企業(yè)的數(shù)據(jù)和業(yè)務(wù)從內(nèi)到外建立3個(gè)層次6大模塊的安全體系。企業(yè)可以通過自評(píng)工具，摸清自身安全建設(shè)水平及不足，并參考同行業(yè)建立標(biāo)尺快速構(gòu)建安全免疫力。目前，騰訊安全已經(jīng)幫助眾多行業(yè)頭部企業(yè)注入安全免疫力。

以中遠(yuǎn)海運(yùn)為例，其依托騰訊安全產(chǎn)品和專家服務(wù)構(gòu)建起技防+人防的數(shù)字安全免疫力，有效保障了公司的數(shù)據(jù)、系統(tǒng)和業(yè)務(wù)安全。中遠(yuǎn)海運(yùn)科技股份有限公司副總經(jīng)理林亦雯在演講中提到，“在最近的一次槍林彈雨中，騰訊安全與中遠(yuǎn)海運(yùn)一起做到了毫發(fā)無傷，再一次證明免疫力才是我們最好的鎧甲?！?/p>

中國領(lǐng)先的商業(yè)運(yùn)營服務(wù)供應(yīng)商寶龍商業(yè)也依托騰訊安全自研金融級(jí)AI——天御決策操作系統(tǒng)，構(gòu)建了智能化的大數(shù)據(jù)風(fēng)控模型，讓數(shù)據(jù)分析與AI在各運(yùn)營場景更輕松、智慧地驅(qū)動(dòng)決策的制定與應(yīng)用。

為了幫助千行百業(yè)的企業(yè)高效構(gòu)建內(nèi)在自適應(yīng)的“安全免疫力”，騰訊安全也不斷升級(jí)產(chǎn)品能力。據(jù)騰訊安全副總裁楊光夫介紹，騰訊安全將發(fā)布安全數(shù)據(jù)湖，幫助企業(yè)解決數(shù)據(jù)存儲(chǔ)和使用成本問題，提高數(shù)據(jù)查詢速度，具備180天以上對原始數(shù)據(jù)的事件調(diào)查和威脅狩獵，助力企業(yè)實(shí)現(xiàn)安全智能化轉(zhuǎn)型。

正如騰訊集團(tuán)高級(jí)執(zhí)行副總裁、云與智慧產(chǎn)業(yè)事業(yè)群CEO湯道生所說，“在數(shù)據(jù)爆炸的時(shí)代，安全已經(jīng)成為企業(yè)與開發(fā)者必須要翻越的山峰?！倍a(chǎn)業(yè)的發(fā)展，需要各界攜手，一起打造更加主動(dòng)和可持續(xù)的數(shù)字安全免疫力生態(tài)，從容應(yīng)對新時(shí)代的安全挑戰(zhàn)。

關(guān)鍵詞：