超一半的CSO认为安全成为企业发展制约。这是腾讯安全与安在联合调研1500位CSO后得出的结果。
随着企业数字化转型逐渐向业务核心渗透,数字安全已然成为维系企业发展脉动中越来越重要的一环。然而,企业在具体实践中通常面临安全和发展的权衡。尤其是在当下,AI、量子计算等新兴技术日新月异,而这些新技术的发展又是驱动企业创新的底层动力。在这一背景下,企业不仅要思考如何与时俱进,快速应用新技术,还需防范新技术应用衍生而来的新风险类别和新型攻击手段。
6月13日,腾讯安全联合IDC在北京举办了数字安全免疫力研讨论坛,并邀请了来自产业、学界的多名专家共同探讨,在新时期下,如何应用免疫的思维应对安全建设和企业发展的协同关系。
中国人民大学商学院教授毛基业认为,消费互联网创新方向和逻辑的核心在于所有事物的线上化、数据的透明可视化。而这一切将在产业互联网、工业互联网上得以复制。他表示,在这一过程中,数据关联度和集中度的加深将扩大数据安全潜在风险,企业亟需新的安全范式,以在激活数据资产价值的同时做好数据安全的保障工作。
针对建设新安全范式的问题,腾讯安全和IDC在论坛上发布了“数字安全免疫力”模型框架,旨在为企业提供建设弹性、自适应、可扩展安全免疫体系的参考。据介绍,该框架将企业的数字安全能力分为先天免疫力和后天适应性免疫力两个方面,覆盖文化与意识、边界安全、端点安全、应用开发安全、安全运营与治理、数据安全治理、业务风险治理 7 个维度。
论坛上,IDC中国副总裁、首席分析师武连峰对模型框架做出了进一步阐释。他表示,企业的安全意识、文化、合规均属于必备的先天免疫力,而边界安全、端点安全、开发安全等其他维度的安全能力建设则更多需要企业从自身的数据和业务出发,对相关安全风险进行针对性防御。同时,武连峰认为,2023年开始,数字化转型将从业务数字化步入数据的业务化时代,这意味着企业将面临来自网络空间攻击、黑灰产入侵等多维威胁。因此,在他看来,企业需要更加强调前置安全投入,强化动态、轻量、实时的反应能力。
腾讯集团副总裁、腾讯安全总裁丁珂也表示,数字化时代安全建设驱动力发生了根本变化,企业应该把核心业务、企业数据资产作为所有安全的防御目标,重建安全价值原点。
针对AI大模型发展可能带来的新风险威胁,丁珂指出,AI衍生出的作恶边界在拓宽,已经出现新技术在强化攻击手段上的应用,比如用来提升撰写恶意软件、钓鱼邮件的效率。他认为,要应对这样新型风险,企业一方面可以结合场景、业务,设定帐号权限、建立防御纵深;另一方面,可以针对AI模型进行部分前置的安全研究和问题收敛。
腾讯安全副总裁周斌也提出了类似的观点。周斌表示,未来黑灰产可能会将更多的机器行为模拟为真人行为,使得传统算法难以应用。他认为,业务风控、对抗将逐步从传统的规则型对抗,走向模型对抗为主的时代。这要求企业将防御体系升级为动态模型+动态策略,即需要根据场景快速建模、优化并上线应用,快速验证模型效果。