■腾讯高级副总裁丁珂
CSS视角下的2018年全球网络安全十大议题

■文/郑志辉

8月27日,由中央网信办、工信部、公安部等部委支持和指导,腾讯公司、中国互联网协会、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国网络空间安全协会联合主办第四届互联网安全领袖峰会(Cyber Security Summit2018,简称CSS2018)在京举行。在开幕式致辞中,腾讯高级副总裁丁珂围绕四个关键词:行业共建、生态共治、政府监管和企业自律,对数字经济时代的安全趋势做了研判和解读。

丁珂表示,“数字经济时代信息安全已不只是一种基础能力,还是产业发展升级的驱动力之一;安全是所有0前面的1,没有了1,所有0都失去了意义。”

丁珂还表示,数字安全新生态建设需要在两大路径上努力:首先,是安全升维,安全问题未必出现在原有的体系内,因此,企业要以全新视角去理解安全问题;其次,是转换安全观,以协作为基础,推动政府、企业、用户联动,共同提升防护意识。

而腾讯作为安全新生态的首倡者,丁珂认为可以从“一横一纵”两大维度为数字安全新生态建设提供助力,全面开放腾讯在安全领域的领先技术能力和平台资源。

信息安全 已是产业发展、社会正常运转的驱动力

2018年以来,勒索病毒GlobeImposter家族最新变种在国内爆发,大批政府、高校、医院等公共基础设施中招,导致众多文件和应用被病毒加密破坏无法打开,影响这些机构正常运行。

除此之外,新兴的AI领域,同样暴露出来许多安全隐患。更加讽刺的是,号称“最安全”的新技术“区块链”,同样没能挡住攻击:2018年1月,日本最大的加密货币交易所之一CoinCheck遭遇黑客攻击,平台全部(5.26亿)NEM币(新经币)被非法转移。

丁珂指出,这些现象背后,都在传递这样一个讯息——“在数字经济时代,信息安全已经不只是一种基础能力,还是产业发展、社会正常运转的驱动力。安全已成为所有0前面的1,没有了1,所有0都失去了意义”。

“过去几年,我们持续呼吁各行各业重视安全、重视安全投入,事实上,转变在持续发生,各领域对安全的投入在持续加大。Gartner Group 2018年4月的报告显示:全球安全产业规模稳步增长。2017年规模达990亿美元;2018 年预计增长至 1060 亿美元。”

不过,投入持续加大,并未有效降低信息安全风险。Ponemon Institute的报告显示,2017年全球企业遭受网络攻击总量较2016年增长15%,严重性增加了23%。而且,在破坏的严重性方面,已经不再局限于传统意义上的物质、财产损失,而是会影响到运营、制造乃至人的生命安全。

数字安全新生态建设需在两大路径上努力

面对依然严峻的网络安全形势,丁珂认为,各行业构建“数字安全新生态”,可以从两大路径出发。

“首先,安全认知升维。”丁珂介绍说,就在上个月,腾讯安全协助山东警方破获了一起木马案,涉案的某高新技术企业控制了包含389万台电脑的“僵尸网络”,并用这些电脑闲置的CPU资源“挖矿”。这个案例暴露出了很多企业、个人依旧忽视信息安全保护,没有做好足够防御措施。

如果没有充分认知,类似的安全问题同样可能发生在传统厂商身上。在针对特斯拉的安全研究中,2016年、2017年,腾讯安全科恩实验室持续发现了多个漏洞,基于这些漏洞,黑客可以通过无物理接触的远程攻击方式,在驻车模式、行驶模式下对特斯拉进行任意远程操控。

丁珂进一步指出,对于传统企业而言,安全认知升级,还应该超越现有的业务边界,以全新视角去理解安全问题,因为,安全问题未必出现在原有的体系内,而是发生在体系外。例如,传统汽车厂商都在进行数字化转型升级,宝马在汽车IT安全方面一直位列前茅,然而,2017年,腾讯安全科恩实验室的研究团队受邀为宝马提供技术支持,在13个月的时间里,发现了14个不同的安全问题。

“其次,转换安全观。传统安全观以攻防为主体,面对新的数字生态,应该跳出攻防概念,以协作为基础,推动政府、企业、用户联动,共同提升防护意识,避免链条中某一环节被攻破导致整个生态体系的安全防护毁于一旦。”丁珂说。

不仅企业,如果不转变安全思维,产业链的安全威胁有可能随时爆发。年初,腾讯安全玄武实验室首次发现的“应用克隆”攻击模型,用户只要点击链接,攻击者即可克隆账户权限盗取账号和资金。而这种“克隆病毒”就是基于一系列漏洞耦合在一起而产生的风险,并不是某一个APP的个案问题,而是移动APP面临的普遍问题。

“只有从根本上转变安全观念,提升安全认知维度,才能真正地以安全为驱动力,构建真正意义上的数字安全新生态。”丁珂说。

“一横一纵”助力安全升维

对于未来,在全行业拥抱数字变革、进行数字化转型的背景下,丁珂表示,腾讯将继续输出安全能力,并从“一横一纵”两大维度,为数字安全新生态建设提供驱动力。

在横向安全能力建设上,腾讯搭建了国内首个安全联合实验室矩阵,安全研究覆盖包括互联网、物联网、大数据、云、AI等各个领域,其中,针对传统领域的数字化转型,腾讯安全构建了云、管、端一体的安全产品和安全引擎,让安全能力保障数据生产、传输和存储全链路;此外,腾讯安全还建设了“腾讯灵鲲大数据金融安全平台”,致力于通过安全科技,解决金融监管、食品药品安全追踪、打击治理网络假冒及网络传销等社会问题。接下来,这些安全能力都将开放给政府机构、各领域企业,为构建全方位安全体系建设提供助力。

在纵向安全能力建设上,腾讯不仅联合16家安全上市公司,发起P16安全企业领袖俱乐部建立,推动安全产业协同发展,还搭建了产学研一体化的安全人才培养体系,通过与广州大学、西安电子科技大学、武汉学院等多家院校展开深度合作,成立了“腾讯智慧安全创新研究院”与“网络生态安全联合实验室”,从基础层进行人才培养;同时,举办了TCTF、极棒等安全极客赛事,以半实战环境选拔网络安全人才,最终实现企业端输送,完成安全人才培养的闭环。

昨日,腾讯安全联合实验室还对外发布《CSS视角下的2018年全球网络安全十大议题》,不仅涵盖关键基础设施安全,数字金融安全,以及前沿科技安全等内容,更有全球互联网安全相关法案、法规的深度解读,力图化繁为简、以少见多,协助各界从中洞悉全球安全危机的趋势,洞察政策变化对互联网安全的影响。