7月23日,由企业网d1net举办的全国cio大会·信息安全专场在海南博鳌召开。本届大会主题为“数字化升级转型新场景”。主要分享交流cio在数字化工作中的经验和困惑,帮助全国各地的cio们更好地应对后疫情时代的数字化转型,传授以多种it手段赋能新业务并实现降本增效实战经验,内容涵盖基础架构、信息安全、协同办公、数据、新技术(ai,低代码等)等众多领域。大会同期评选和颁发“2022全国优秀cio个人奖”。
以下是现场速记。
腾讯安全资深架构师 曹文炎
曹文炎:各位嘉宾、各位领导,大家上午好!非常荣幸能和大家共同探讨和交流在数字化转型新时期安全防御体系的升级与思考。我是腾讯安全的曹文炎。今天分享的内容主要分三部分:
数字化转型很好地促进了业务的增长,一方面为我们的业务增长去提供了很强的原动力,另一方面对我们网络安全的挑战也变得越来越大,相信有非常多的企业中过招。我们开始引入到云计算这样的新技术,安全边界开始变得模糊。我们在数字化转型业务升级过程中会带来一些开源性的应用,这些应用自身漏洞也是不容小视的问题。安全架构在过去建设当中基本上以堆叠方式为主,没法适应我们在数字化转型过程中业务发展以及新安全的挑战。
企业在数字化转型中,安全到底如何做相应的落地?因为攻击逐步开始平民化,成本越来越低,漏洞到利用的转化时间也变得越来越小,我们负责安全团队的压力一定是剧增的,我们倡导一个共识,即任何安全防御都是有可能被突破和绕过的。因此,我们在整个数字化改造和业务升级过程中,需要寻找安全和业务之间的平衡点,因为这其实也关乎到我们的钱袋子。
提到转型,提到安全,可能会面临非常多的需求和方方面面的建设要求,安全建设只是冰山一角,到底在企业当中怎么落地安全?可以借助乔布斯一句话,“用户需要的并不是一个手机,更依赖的是软件。”安全也一样,我们所有的企业需要的并不是一个产品,更需要的是一个安全能力,产品形态只是安全能力的一种展现形式。因此我们在数字化过程中,安全厂商的高级安全能力会成为我们后续在评估和引入非常关键的一个环节。
衡量安全能力最有效的基线是效率,其次怎么通过更早的去发现新型威胁,更快对安全问题进行相应的防御,甚至能够做到自动化防御,最后能够高效的对安全事件进行溯源和分析,甚至能够做到反制的一些效果。因此效率是目标,围绕着效率,对安全提出了一些要求,比如要具备一些大数据的架构和挖掘的能力,我们的安全体系必须要适应云计算、物联网等新技术的引入,另外我们的安全必须要具备自动化对抗的能力,通过ai或算力能力去最终为我们效率做相应的兜底和负责。
在数字化转型过程中,我们到底怎么落地?腾讯在成立二十多年期间,在业务和安全之间一直在寻找相应平衡,经过发展和应用过程中,有一些实践经验可以向各位cio做一些分享。
我们的转型过程中跟北汽福田大部分有类似的问题,
第一,我们有海量应用,这些应用必须要跟互联网做相应的关联,因此没法把所有的网络暴露面收缩到内部。
第二,要为全球互联网用户提供服务,网络架构分散在各地,非常庞大。
第三,在腾讯,大家用到我们相关的应用,如微信、qq、云服务、邮箱会发现,应用之间有大量调用的逻辑,之间有互访的关系,应用之间的调用怎么规避所产生的安全问题也是我们比较迫切需要的。
第四,用户基数,内部员工比较大,个人信息保护是非常关键的环节,数据安全在腾讯内部一直是非常重要的红线,最近有一家互联网企业因为触犯了“三法”遭受了比较大的顶格处罚,我们面向业务服务过程中有非常大的压力和挑战。
第五,我们有10万 员工和凯发在线的合作伙伴需要去接入到我们业务网络里,对这一类员工的管控和体验的保障怎么解决,也是从业务和内部提出了双重挑战。
腾讯安全面对业务挑战到底怎么做?分为三个阶段:
第一阶段,砌围墙。解决业务所需要的基础安全能力。比如建立了从防御检测到响应的pdr闭环能力,在这一过程中,因为我们有海量业务,有快速迭代,高可靠、持续性,以及相应大并发特性的要求,因此我们在过去商用化的安全产品就没法很好地适配业务,比如防火墙,ips等没法串接在我的网络当中。第一阶段激烈讨论,到底是否要继续沿用商用化产品还是最终自研,最终确立了自研为主,商业化为辅。非常多企业安全能力承受度达到第一阶段,就想开始走自研道路,商业化一定要恢复,商业化安全厂商一定要为我的自研适配我的业务做相应的发展。这应该也是后续我们非常多的企业要走的一条道路。
第二阶段,强运营阶段。从流程、平台、工具去提供相应支撑。在这一过程,我们干了两件大事,一是成立了tsrc情报中心,通过外部和内部情报的导入去提升安全响应的效率。二是成立了算力算法中心,通过算力算法中心去进行大数据的挖掘和分析,通过每天腾讯遭受到的亿万级攻击去训练所有的平台和算法,最终为我所涉及到的云以及办公网、研发等场景的应用进行相应的赋能。
第三阶段,持续优化阶段。有腾讯安全大脑,刚刚所提到的安全运营中心“数可”,通过“数可”实现了整个大集团所有业务在线以及内部办公安全常态化运营。但是这几年常态化运营无法满足国家对于行业要求,比如公安部的护网战时准备,通过算力算法输出快速反制平台,针对护网场景以及高阶黑客攻击,具备了很强反制能力。我们在2018年开始面向于行业客户输出内部自用的产品提供相应服务,以及传统安全厂商能力的输入。
在腾讯内部做安全实践、做配合数字化转型,我们一直在坚持两大原则,要做相应的风险治理和运营闭环,内部分为两块,一是业务部门,大家理解的威胁和游戏部门的reg,业务部门要承接业务层面上的安全问题,合规部门会在整个集团外部合规体系的一些核查,基础安全和通用安全能力会由安全实验室为他提供通用的安全能力。业务部门需要解决业务安全,比如微信要解决金融支付的安全,账号反盗能力。安全团队要为他们所承载的业务环境去提供相应的安全保障。
专业的事情必须要由专业的人来做,业务的安全一定是由业务部门去做承接,基础安全能力一定是由安全团队和企业it团队做相应的支撑。这是我们在内部有非常清晰的界限。
在内部安全实践过程中,我们做好了五件事情:
为我的数据中心和云平台提供最基础的安全管控能力,围绕着预测、防御、检测、响应,甚至反制,都逐步在每个阶段提升安全能力。
在用户内外接入,因为我们有大量的办公,很好地解决了用户身份问题,腾讯的员工走到全球任何一个角落,在访问公司内部业务系统和他在公司内部访问的体验是一致的,能清晰的知道他是谁,从哪里接来,访问应用过程中有没有产生高危、高影响的敏感数据,会要求他进行相应的二次认证,以及对他接入的环境进行相应的安全检查。
转型最重要的是应用,基本上很多企业都存在亡羊补牢的问题,因为应用在整个开发或上线的生命周期并没有一个很好的机制,因此整个应用生命周期坚持的是全线最小化,能够让安全部门和业务部门有非常好的平台衔接。
业务是一种上限,我们有相应的专业安全团队进行评估和检查。应用到数据仓的数据安全管控也是非常严格的,这里会有一些精细化的业务权限的数据,以及针对特权账号,比如涉及到的客服、内部财务、销管等都会有比较细分的权限管控。
这么大一个网络、这么多业务以及这么多员工,安全到底怎么统一化管控?我们通过安全运营平台去实现整体化、常态化和相应各个阶段维度安全的评价和支撑。
接下来介绍一下在每个环节,腾讯在内部自用以及在商业化里大概有什么样的优势和特点。
我们遵循的是黑白两个视角,黑的视角是从访问,从攻击者视角去判断,比如现在的业务到底存在什么样的暴露面,这些暴露面可能会产生什么样的攻击行为,一旦攻击被绕过之后,黑客在内部会怎样做相应的扩散?因此在攻击防护里主要加强了对黑、坏的流量的检查。白视角基于用户身份,用户身份在权限范围之内访问过程中是否基于信任的机制,整个过程中是否满足相应权限管控的要求。从攻击保护和访问防护里进行工作的加强。
通过安全策略不断做安全升级,依赖安全算法算力中心为每个过程去提供相应能力化的输入。
一直提算力算法中心,这是腾讯的核武器,业界为什么很少听到腾讯内部出现安全事件最有力的平台之一,就是我们算力算法之一。算力算法中心会通过一些数据挖掘和分析能力去赋能不同的场景和不同的业务特性相应所需要的安全需求,比如公有云、idc、办公、研发,以及凯发在线的合作伙伴等之类场景的赋能。通过算力算法中心,在落地不同层次场景里精细的产品和平台工具。
首先我们善于边界防护的能力,了解腾讯都知道,腾讯的边界防护没有防火墙,是否意味着没有大门,黑客随时可以冲到我的内部?
我们依赖门神ips来实现,这与传统ips有非常大的区别,主要有几点:1.旁路部署,不需要串接在我们网络当中,因此高流量、高并发的业务特性有非常好的效果。2.能够帮助我们去立就安全产品,可能部署奇安信等一些安全设备,但是这些设备由于以策略部署串接在网络,导致业务不可信情况下,可以跟它进行相应联动,我可以做二次分析做到精准防护。
怎么做检测?防御被突破绕过之后,黑客进来在内部藏起来之后,如何找到它?通过apt,1.旁路流量分析。2.引用全球领先的哈勃沙箱的能力,通过哈勃沙箱进行攻击样本、变种样本秒级化的检测,在这里像护网常见的钓鱼邮件,包括社会工程学带来一系列的规避了影响,都可以通过哈勃沙箱进行快速检测。通过apt就能够实现黑客在内部潜伏的精准定位,并且能够知道它在内部扩散链到底是怎样的形式。
怎么抓?出了安全事件,做溯源分析,最终发现黑客攻击非常隐蔽,形成了很多跳板,但是造成的经济损失怎么追回来?抓会成为非常重要的核心。我们推出东风平台,东风沿用科恩实验室十几年国内外顶级攻防大赛里的攻防经验积累去训练产品,针对一些高阶攻击会形成相应剧本,会从黑客攻击视角假设腾讯网络被人打破之后怎么办,通过高阶剧本或通用的剧本,能够很好地知道黑客进来之后,在内部干了什么,它进入我们房间,可能把我们家翻了一遍,肯定要回酒店或回他家里休息时,会在他身上放一个摄像头,能把他本地网络、攻击界面摸得清清楚楚,配合公安部进行溯源和抓人。这是目前腾讯做得非常厉害的,我们这两年在护网过程中,腾讯也要参加,攻击队基本打到腾讯这一环节,通过剧本设计基本都能做到反制,抓到攻击队是谁。这是这两年腾讯部在公安部的护网能够拿到冠军的核心武器。
内外办公接入场景。我们非常注重用户和员工的体验,安全如果抛开员工体验,很难在内部落地,我们在内外接入里通过业界零信任论做了很好机制的落地。
我们有几大特性和特点,
1. 我们为用户提供了统一的用户身份认证,因为我们在上业务有大量用户认证源,通过平台能够实现用户认证的统一论证中心,通过平台就可以实现后端业务所有体验单点和用户认证过程。
2. 过去要解决终端安全问题,可能要面临防毒,上外设管控、准入、有相应vpn接入的诉求,我们发现不仅成本高,用户体验还不好,因此通过统一安全客户端,通过一个端实现刚才提到的全功能。
3. 腾讯以前办公基本用了思科的vpn,2016年之前发现有安全事件会介入,用vpn,通过账号窃取之后,直接导致内部应用暴露给黑客。
4.自身设备安全问题也是我们在整个环节中发现非常大的隐患。通过ioa能够实现自身设备和外部应用的隐藏。
我们roa有相应的访问加速能力,即使领导出差在国外,同样能够获得在国内出差访问内部业务的体验,这也是我们在全球部署的idc资源的网络特性所带来的一些比较好的效果。
我们针对在内部访问安全的大概流程,所有的访问过程中,都会基于你的身份,基于访问过程中的权限,基于访问权限所带来资源的办法去进行相应安全的校验和识别。
发现很多在数字化转型里一定会涉及到应用跟应用之间的打通和整合,应用之间的打通带来的安全问题往往是安全部门很难覆盖和触达的,腾讯通过应用的安全网关很好解决安全部门和业务部门打交道,跟研发部门一系列的沟通。首先我们会通过建立应用的服务中台,所有的应用会建立相应准入化的机制,也就是说要满足相应应用的健全和安全性的要求,才能实现应用和应用之间的调用。应用之间的api,比如调用敏感数据,会进行相应数据化的脱敏和相应防护,最终往相应数据仓和数据壶里进行相应数据安全的管控覆盖和能力。在智能制造里,我们会涉及到内部一些生产业务要跟互联网开始打交道时,传统的网杂可能非常不好用,对业务改造的体验也不好,也可以应用网关。
针对应用生命周期的安全,这个过程非常完善,但是在企业里可能没有类似腾讯这么多的安全团队来支撑应用安全怎么办?我们用了一个比较好的方式,因为我们也很讨厌跟业务部门、研发部门沟通,我们只能为他做相应的赋能,这种赋能就是给你工具,你的业务在上线前通过我的工具去检查一下,上线后通过我的工具去评估一下,然后在安全运营流程里提交所识别的风险,最终线上安全人员可以判断你的业务上线和迭代之后到底是否安全,代码是否满足相应合规的要求。
我们还是有一些开放性工具,最近我们把研发代码审计工具开放化了,大家也可以在互联网上搜索做免费相应体验。
最重要的是数据安全,数据安全也是围绕着数据完整生命周期去进行相应数据安全的投入,我们在数据安全改造里,对客户有非常大的便利特性,要解决数据安全的问题,是不需要太多改造业务的。我们有做一些投资客户的收购并购,业务整合过程中,要满足安全的话,就用这种即插即用的方式,可以通过给你应用层面装相应的小插件,或者不装插件情况下,通过数据安全的网关实现数据整体安全保护和相应安全数据的防护要求。
安全运营场景。部署的安全产品肯定是多品牌的,多品牌产品怎么做联动?另外覆盖网络、应用、系统等各个方面,怎么进行相应联动呢?腾讯在内部通过soc平台实现常态化安全层面的运营,可以跟第三方,也可以跟自己的安全设备进行相应联动,满足不同场景里相关安全运营的诉求。
我们也遇到了非常多的客户,也经常问,我们经常跟商业化厂商聊的时候,他们老说他们就是一套态势感知,就是一套soc,腾讯有一个非常大的能力,即可以模块化,比如检测、情报、分析、处置中心都可以模块化去赋能现在已部署的安全厂商的soc平台或态势感知平台,也可以赋能现有自研的安全平台。目前跟国网、南网有大量的自研能力设计的平台,都是通过模块化为他的平台赋予更强的安全能力。
安全最难做的事情是怎么评价有效性,怎么让我们从cio、cso的视角,从运维视角,去进行安全工作的评价,我们通过安全运营中心做了很好一些展示和分析,清楚今年安全工作到底做得怎么样,薄弱点在哪里,面临主要安全风险在哪里,为明年和接下来要做的安全规划和体系升级提供最正确的高价值的依据,这就是可以通过安全运营中心做相应的能力化的实现。
我们2018年下半年真正面向行业客户输出我们相应的方案,相信很多cio对腾讯安全都不是很了解,只知道腾讯安全可能就是内部自用的团队开始对外做能力的输出,我们有什么不一样?
我们有国内非常顶级的攻防能力,有安全实验室去致力于不同领域和技术的研究,这里的研究可以通过我们对行业和技术能够积累非常多的零对捕获,去训练产品,因此在产品模式当中可以很好的对隐藏和未知威胁形成校验。我们在国内外安全攻防大赛里基本上蝉联多年冠军,这也是腾讯非常独特的能力。
2016年远程破解特斯拉,当时我们拿到了他在整个车联网里非常大的安全case,2017年特斯拉推出新的车型,过去优化了车联网系统之后,又再次邀请腾讯为他进行二次校验,我们再次通过攻防能力又发现了它新的安全风险,这里我们能够远程的控制特斯拉的刹车、尾灯以及车门。在整个车联网封闭网络以及我们在系统层面的手机厂商都有非常多的一些技术领域的合作。
拥有过么最大的威胁情报库,我们不仅仅能够快速地提升设备的响应效率,威胁情报库也跟国内安全厂商也非常多的合作,我们所熟悉领先的安全厂商都有引用我们一些威胁库去提升设备的检测效率。
到底疗效如何?金融行业客户安全能力层数、安全团队一定非常高,但他们在护网里压力非常大,为了拿高分,为了有更好的防护效果,就会引用腾讯一些高阶能力。举例,银行很难把安全设备串在网络里,但是在护网攻防过程中一定会打进来,怎么阻断呢?就通过我们天幕ips进行阻断。传统安全设备也不能闲着,就可以通过做流量分析,丢给我的天幕ips,通过天幕ips去实现99.99%高阶封禁能力。
往后走,会涉及到主机安全,在业务层面上,大家经常会遇到很强的主机安全防护一定会影响业务,因此腾讯在主机层面上把安全的工作往前做,主机环境比较单纯,一旦有攻击就要做相应的预警,管理员就要做相应的维护。所以在护网时,有些客户就会把主机策略开得非常大,比如用g01或edr产品,导致业务访问很慢,甚至业务有断网或不可用的情况,腾讯通过内部的业务实践也有了很好的实践,通过产品一定能看出比较好的一些效果。通过ioa也能提升终端安全性。
专治疑难杂症。在业界勒索病毒是大家多多少少会遇到的,一旦备份不完整,甚至备份数据都被黑客加密了,非常难解决的,只能乖乖交赎金。但是腾讯具备这些能力,能够有办法帮你做相应的解密,但不是百分之百。
案例,我们非常了解客户的业务,知道业务逻辑的一些问题,这个案例是人社局的数据被删了2个t,客户以为遭受了黑客攻击事件,最终有人建议找到了我们,我们专家团队到了现场,通过一天一叶的排查,最终发现是业务逻辑所带来数据被删的风险。腾讯的安全专家不仅懂安全,也懂数据的业务。你可以考虑跟我们进行相应合作,进行相应差异化的校验,我们一定会在渗透过程中给你不一样的体验。
我们自用的安全能力对外输出,其实还是有非常多的方案和能力刚刚没有做相应的介绍。腾讯跟传统安全厂商有非常大的定位上的区别,比如我们可能比友商更懂业务,比咨询机构更懂技术,比集成商更懂客户相关需求。我们真正是以甲方的视角,以乙方的服务态度,为客户去输出相应的安全能力和方案。
大家后续有相关问题,可以随时加我微信进行就同。谢谢!