近年来,我国数字化发展迅猛,为社会经济注入全新动能,产业互联网对各行各业的渗透和助力日益加速。然而在这一过程中所带来的新的安全问题也不容忽视,迫切需要加以解决。在9月11日举行的腾讯全球数字生态大会CSS互联网安全领袖峰会-产业专场上,腾讯副总裁丁珂发表了题为《打赢云上安全保卫战,普惠产业稳固发展》的主旨演讲。
丁珂指出,云已经成为安全攻防的主战场,而上云是应对数字时代安全问题的“最优解”。云原生安全具备开箱即用、弹性、自适应、全生命周期防护等显著优势。腾讯安全围绕安全治理、数据安全、应用安全、计算安全、网络安全五个层面搭建了完备的云原生安全防护体系,将云原生的安全产品开放给腾讯云上的客户,让每一位客户都能使用腾讯级的安全产品。
一方面,腾讯依托云原生安全思路,构建和云完全适配的原生安全产品架构,既可以有效的保障云平台自身安全;另一方面,腾讯也持续在云上为租户提供原生的安全防护产品,如云SOC、云 Waf、云防火墙等。客户上云后,可以自选符合业务需要的安全产品,一键开合、按需索取、按量付费,显著降低安全部署的成本,消除安全运营门槛、提升整体的安全水位。此外,腾讯安全还面向生态伙伴开放云原生安全相关的技术储备,推动云上安全理念在产业中的技术探索和实践落地。
“作为行业的探索者和先行者,我们走出了新的规范,树立了新安全样板”,丁珂表示,未来的企业将与云平台形成“价值共同体”和“责任共同体”,共同推进云上安全建设。腾讯安全搭建了产业链协同的生态平台,愿与生态伙伴们能力、优势互补,一起构建“安全的云”, 共同提供更适合云上客户需求的安全防护产品,普惠产业稳固发展。
以下为腾讯副总裁丁珂演讲全文:
尊敬的各位嘉宾、媒体朋友们、线上观众朋友们,大家上午好。
欢迎大家来到CSS互联网安全领袖峰会。今年的CSS和腾讯全球数字生态大会合并在一起,在云端举办。往年线下举办的峰会,极限也就容纳几万人,现在得益于云计算技术的发展和云基础设施的建设,我们突破了这个极限,可以几十万人在线开会。
云是产业互联网发展的载体,开放、便捷、多样和高性价比的特性,能够帮助企业提高效率,提升生产力。但云的普及,也会带来不少新问题、新挑战。
首先,云上安全威胁的规模快速扩大。从2018年到2019年,以国内各大公有云为目标的网络攻击明显上升,年均增长200%以上。一方面,5G、物联网、AI、云计算的普遍应用,使企业的数字化环境日益复杂,显著增加攻击面。另一方面,云上安全威胁比例持续增高。腾讯安全的情报数据显示,以云资源作为攻击源的比例,占到国内所有攻击源的45.55%,约2/3的网络DDoS攻击事件都以云平台IP作为攻击目标。
其次,云上安全威胁的破坏力在增长。在黑灰产向云上迁移的过程中,AI技术逐步代替了部分劳动密集型工作。如通过DeepFake 自动生成换脸⾊情视频、训练验证码自动识别引擎、拟人化自动化攻击等。大数据技术的应用,让黑灰产对探测和利用漏洞的周期变短,受攻击方应对威胁的时间窗口变得非常窄。
第三,黑灰产也在通过公有云,不断完善自身的基础设施。他们将攻击的服务器部署在云上,攻击强度和密度变得非常大,甚至还能够利用公有云自身的安全能力去和传统安全厂商对抗。据统计,对公有云目标的攻击中,有近35%从公有云平台发起。
毫无疑问,云已经成为安全攻防的“主战场”。
近几年,中国网络安全总支出增速保持在18%左右。而我国云安全市场,从2016年开始增速就持续高于40%,远超过网安市场的大盘增速。这说明,在产业互联网时代,大家都意识到了云上安全的重要性,也愿意为安全建设投入成本。
但我们也需要认清一个事实:大多数企业安全体系的完备程度,相比数字化的发展速度,还存在比较大的差距。不能简单的把安全寄希望于一笔预算的投入,而是应该系统性地重新思考安全的战略定位,选择恰当的路径和手段,找到解决安全风险的“最优解”。
解决目前安全思维和部署上的差距,有几个关键的路径。
一个是“安全左移”。思维上的左移,要从企业的宏观视角,把安全当做企业的CEO一把手工程来关注。流程上的左移,要在生产流程中把安全前置。
第二,是要“减少攻击面”,通过AI和大数据来提前发现和处置异常,降低高风险环节的权限,降低风险概率。对于重要的数据资产,主动控制资产暴露的时间窗口和空间位置,能够有效的规避风险。
第三,要加强“供应链安全”。大型企业或者政府对于自身安全的重视程度都很高,攻击者就开始通过供应链第三方潜入系统发动攻击。要将产业链相关方置于同样的安全框架、标准和监管之下,或者纳入到同一个防御体系中。
但是,要做到以上三个方面,难度太大了。对于多数客户来说,采购安全设备、投入技术研发、招聘专家的成本负担很高,从零开始自建防御体系也不现实,怎么办呢?
我认为,上云是应对数字时代安全问题的“最优解”,应该用云的方法,去解决云上的安全问题。
依托云原生安全思路,构建和云完全适配的原生安全产品架构,既可以有效的保障云平台自身安全,也能让云上租户按需索取、按量付费,有效降低安全运营门槛、提升整体的安全水位。
云原生安全具备开箱即用、弹性、自适应、全生命周期防护等显著优势。
开箱即用,能够让云上安全产品模块化、敏捷化和傻瓜化。云上租户配置安全产品的成本大幅降低,其兼容性和灵活性会更好。
举个例子。在抗疫期间,小程序发挥了不可替代的作用,疫情防控、线上购物、出行预约等等都通过小程序完成。受疫情影响,不少小程序要在5-7天的极限时间内完成开发,还要满足极其严苛的安全标准。特别是政务类小程序,涉及大量用户隐私信息,不容有失。我们推出了一套小程序“微应急”安全防护方案,客户通过云端操作,就可以直接部署。电商小程序可以一键打开营销风控服务,有效抵御羊毛党,将生活必需品、抗疫必需品送到真正的用户手中。政务小程序可以一键加强数据安全审计,对重要数据进行关键保护。
“弹性”和“自适应”,指的是安全能力伴随业务的变化而弹性增长,既能扛得住高强度攻击,也能在平稳期释放多余的计算能力,降低企业成本。
从今年2月份开始,腾讯会议用户量暴增,上线两个月就突破千万日活,8天扩容超过10万台云主机,100天内迭代超过20个版本。一旦安全防护能力跟不上业务发展速度,业务就会处于“不设防”状态。腾讯安全基于云原生的安全防护思路,提供了外部合规治理、内部基础防护、业务安全、情报监测和应急响应等完整的保障体系,确保千万用户安全。
全生命周期防护,能够确保云上业务从出生到消亡,拥有全面、持续的安全防护。
6月24日,首届“云端”举办的广交会圆满落幕,两万六千多家企业“云上”参展,连续10天24小时不间断地直播,向全球展示180多万件商品。我们结合广交会的安全场景和业务特性,打造了一套量身定制的安全防护体系,让广交会线上系统拥有原生的安全能力。重保前,提供业务风险分析、防护策略优化、合规基线配置等服务;重保中,提供安全监测、应急响应、安全值守等服务。全程部署了云防火墙、DDoS防护、漏洞扫描、主机安全等原生安全产品。最终,这套安全防护体系拦截各类攻击超百万次,确保广交会0安全风险,0安全事故。
这些,都是云原生安全的价值所在。未来的企业,将与云平台形成“价值共同体”和“责任共同体”,共同推进云上安全建设,解决所有安全问题。
为了更好的应对数字化带来的云上安全问题,腾讯安全一直在进行云原生安全建设。我们主要围绕安全治理、数据安全、应用安全、计算安全和网络安全五个层面,搭建云原生安全防护体系。不仅用于腾讯云本身的安全建设,还将云原生的安全产品开放给腾讯云上的客户,让每一位客户都能使用腾讯级的安全产品。
在云安全方面,腾讯已经取得了1500多项技术专利,位列行业第一。今年上半年,我们在云基础安全和云业务安全上的能力,获得了Gartner、Forrester、IDC、Sullivan等国际权威安全机构的认可。我们还获得了德国、韩国、新加坡、美国、欧盟五个国家和地区的最高安全资质认证,守护腾讯云超过百万的客户。作为行业的探索者和先行者,我们走出了新的规范,树立了新安全样板。
我们希望能够依托云原生安全,显著降低安全建设成本,让企业“用得起”;降低安全产品的使用门槛,让企业“用得上”;提高安全防护的效果,让企业“用得安心”。
云原生安全实践,需要生态协同。腾讯也搭建了产业链协同的生态平台,与伙伴们能力优势互补,一起构建“安全的云”,共同提供更适合云上客户需求的安全防护产品,普惠产业稳固发展。
谢谢大家。