8月24日,在第四届互联网安全领袖峰会(Cyber Security Summit,简称CSS)召开前,腾讯COO任宇昕发表了致互联网从业者公开信,分享了对过去一年安全行业发展趋势的看法:首先,安全问题爆发的中心从个体转移到企业、公共机构;其次,安全防护的模式从单体走向云、管、端协同;第三,安全防护涉及的新领域越来越多,AI、区块链等新领域值得关注。
基于这三大趋势,任宇昕认为,安全不再仅仅是产业发展的能力补充,而是所有0前面的1。对于企业来说,安全能力与新技术研发、应用同样重要。对于行业来说,构建完善的数字安全新生态体系,才能有效保障并驱动数字经济的良性发展。
而在各行各业该如何拥抱数字化转型、构建数字安全新生态问题上,任宇昕给出了三点建议:首先,“安全前置”,网络安全需要从转型规划阶段做起;其次,“联防共治”,行业携手应对网络安全新变化;第三,“机制保障”,各领域企业、机构应该在运营中设置信息安全底线。
以下为公开信全文:
各位互联网从业者,大家好!
就在上个月,新加坡保健服务集团健康数据库遭到最大规模网络安全攻击,导致新加坡1/4人口健康隐私数据外泄。而这还只是近年来网络安全事件中的冰山一角。这让我们认识到,当互联网已经渗透到社会生活和经济方方面面的时候,网络安全已不再只是互联网行业自身的问题,也成为了社会公共安全的重要部分。
过去数年来,物联网、大数据、云计算的快速应用,以及AI、区块链等新技术持续进步,加速了各行各业数字化进程,也带来了新的安全挑战。在这里,我想用三个趋势描述过去一年我们对安全形势的观察和思考。
首先,安全问题爆发的中心,已经从个体转移到企业、公共机构。
在以个人应用为中心的互联网时代早期,安全问题多发于个人电脑、手机等终端,而信息窃取、黑产诈骗、网络犯罪等,也多围绕这个展开。但随着数字经济深入发展,传统产业全面拥抱数字化转型,医疗、金融、能源、电力等涉及到国计民生的支柱产业日趋云化、智能化,信息安全问题爆发的中心也从个人走向企业和公共机构。
除了前面提到的新加坡保健服务集团事件之外,今年1月,印度也发生过一场更大规模的信息犯罪,其全国公民信息数据库遭遇攻击,10亿公民信息被窃。
国内面临的形势同样严峻,今年上半年,警方破获的多起“矿机”案中,黑产组织将多家政府、医院网站挟持变成自己的挖矿机器,掠夺计算资源牟利。而勒索病毒GlobeImposter家族变种爆发,导致大量学校、医院停摆。这些问题不仅会影响用户正常使用,还可能影响公共安全秩序,让信息安全问题演变成公共事件。
其次,安全防护的模式,已经从单体走向云、管、端协同。
在万物连接的时代,“云+端”的产品设计模式,也为攻击者提供了更多的攻击渠道和安全漏洞,安全隐患变得更加广泛、多元。在用户侧,各类智能设备进入千家万户,成为物联网节点,也成为一个个通往云端服务器的大门,遭遇攻击,就可能成为进入云端设备的入口;在企业、机构侧,数据中心、云计算平台广泛使用,常规布置的安全防护体系,极有可能因为一些边缘的端口、节点出现问题而失效。
因此,信息安全防护需要将安全产品和安全引擎覆盖数据生产、传输和存储的全链路,走向云、管、端一体的系统化构建。
同时,新安全防护体系面对的攻击更加集中,以腾讯云安全防护体系为例,每年需要帮助云上客户防御超过700万次的DDoS攻击,为15万家企业累计发现120万个漏洞风险,可见安全形势有多严峻。
第三、安全防护涉及的新领域越来越多,AI、区块链等新领域值得关注。
AI技术飞速发展,落地应用也在不断推进,但使用越便利往往也意味着发生网络问题的危害越严重。在去年举办的极棒赛事中,一些参赛选手通过攻击指纹传感器,轻松破解了智能设备的AI生物识别技术,看似强大而安全的AI,在存在隐患的运行环境下变得非常脆弱。AI本身以及运行环境的漏洞所导致的安全问题,值得全行业关注。
区块链技术也是如此。目前,一些领域正尝试应用区块链技术,比如医疗领域的处方流转、政务领域的电子发票。但同时,区块链在安全机制、生态安全、使用者安全上依然存在不小的问题,腾讯安全联合知道创宇发布的《2018上半年区块链安全报告》显示,区块链安全问题导致的损失已经高达27亿美元。而随着未来区块链的应用范围日益广泛,参与者的增加,各种原因导致的区块链安全事件也将显著增加。
AI、区块链只是冰山一角,未来,随着自动驾驶、工业机器人等新应用持续落地,信息安全所涉领域将会更加复杂,安全隐患也更大。
这些新趋势和问题,意味着安全不再仅仅是产业发展的能力补充,而是所有0前面的1。对于企业来说,安全能力与新技术研发、应用同样重要。对于行业来说,构建完善的数字安全新生态体系,才能有效保障并驱动数字经济的良性发展。那么,企业安全能力、数字安全新生态该如何打造呢?我们认为可以从以下三个方面着手。
首先,“安全前置”,网络安全需要从转型规划阶段做起。以前大家习惯先做产品技术创新,再增加安全防护。但在数字经济时代,安全防护本身应该成为产品强健体魄的一部分,而不只是额外增加的防护服。各行各业在拥抱数字经济、进行数字化转型时,应在规划阶段就建立起安全思维、部署好安全策略、做好安全防护,不要等到出现安全问题再去修补。
其次,“联防共治”,行业携手应对网络安全新变化。未来,A产品用户面临的安全问题,极有可能与自身无关,而是来自于B产品的疏漏。万物互联的生态,需要网络安全的全行业携手,互为靠背。今年6月,腾讯安全参与发起的“中国区块链安全联盟”,就是希望通过行业携手建立区块链生态良性发展长效机制。
第三,“机制保障”,各领域企业、机构应该在运营中设置信息安全底线。就像每栋楼都有消防栓一样,拥抱数字化转型的企业也都应制定自身安全事件处理机制,构筑自己的“数字安全消防栓”。去年实施的《网络安全法》以及相关信息安全保护法规,为各行各业安全运营提供了路径指引,包括制定安全事件的应急预案、及时处置安全风险,以及发生安全问题应采取相应补救措施,这应该是数字时代安全运营的底线。
这些解决方案,也是即将于8月27-28日召开的“第四届互联网安全领袖峰会(Cyber Security Summit,简称CSS)”希望探讨的话题。届时,我们将与通用、中国船舶、百度、顺丰、微软、Visa等大型企业,国内外顶尖安全公司,以及众多顶级专家、学者一起,共同探讨数字时代背景下,安全如何驱动数字新生态的建设。
作为互联网安全领袖峰会的发起方,过去几年来,腾讯始终以开放心态,连接行业安全力量,助力所有合作伙伴以及拥抱数字变革、进行数字化转型的企业、机构。
未来,腾讯将以七大安全实验室的核心安全能力、10亿用户基础的安全云库大数据、20年网络安全服务经验,与警方、运营商、银行、各领域企业等产业链合作伙伴携手,深耕传统网络安全的同时,在AI、云计算等新安全领域持续发力,构建全领域的合作对抗安全威胁、推进数字安全新生态的建设。
让我们一起携手努力!谢谢大家!
腾讯公司首席运营官任宇昕