数字安全免疫力是一个企业针对各种数字安全威胁时的防御机制,与人体免疫力相似,企业数字安全免疫力包含两类:企业安全文化意识与合规是先天性数字安全免疫力,今天任何一个企业在建数字化系统的时候,毫无疑问会建设一些基本的安全能力,任何硬件、软件、操作系统、数据库本身会嵌入安全模块,这些也可以属于先天性数字安全免疫力;包括边界安全、端点安全、应用安全、安全运营和管理、数据安全治理以及业务风险控制在内的六大模块是后天适应性数字安全免疫力。在风险、合规、事件和发展等因素驱动下,企业从资产“心脏”出发,构筑多层“免疫屏障”,可实现韧性增长。
本篇文章将首先阐述数字安全免疫力的内涵并简要说明模型的构成,其次分析数字安全免疫力的价值所在,最后将谈及企业如何筑牢数字安全免疫力促进韧性发展。
数字化业务时代来临,企业安全建设面临多重挑战
企业在数字化升级过程中面临诸多挑战,这些挑战既来自外部环境的变化,也涉及到内部变革的复杂性。
外部环境来看,我们正处在一个重要的临界点,2022年,无论全球还是中国,GDP总量的50%以上(中国约超60万亿元人民币)是基于数字化或受数字化影响的,中国2022-2026年数字化转型总支出将达到2.38万亿美元。这意味着,企业数字化发展正在从数字化转型时代进入到数字化业务时代,过去企业的核心是业务的数字化,现在的核心是数据的业务化,数据以及与其相关的网络安全问题变得更加重要。
数字化业务时代的来临,数据变得越来越重要,遭受网络攻击的可能性也越来越大,安全事件层出不穷。例如,今年2月份中国有45亿条快递数据被泄露,3月份一家台湾IT厂商被黑客盗取160GB数据。IDC数据显示,早期企业遭勒索金额平均在100~200美元之间,而到2021年,此类攻击导致的经济损失已达到百万美元级别。
图1 全球重大数据泄露事件概览,2018-2022
(来源:IDC《加强企业数字安全免疫力,助力数字时代下的韧性发展白皮书》,2023)
与此同时,监管力度逐渐升级。从我国来看,过去几年出台了大量与网络安全、保密、个人隐私安全相关的法律。从全球来看,欧盟在2018年出台了了GDPR《通用数据保护条例》,美国也相继推出了HIPPA、萨班斯、芯片法案等一系列法律文件,对与信息安全有关的诸多领域进行了严格的法律约束。
从企业内部层面来看,企业安全建设也面临着三方面挑战:
在战略、组织与人才层面,企业缺少对安全、合规价值的战略认知,因此对安全投入的评估不够充分,对安全体系、团队的建设也没有足够的预期。在安全人才储备上,企业普遍缺乏适应新发展的专业化人才,甚至难以组织起体系化的安全人才团队。
在数字技术层面,云环境下的企业IT架构有很多新的变化,AIGC等创新技术的应用也让企业整体的数字化始终处于优化升级的过程中,需要建立和提升许多新的能力。在生产上,企业智能化生产环境在大量增加,生产设备基于物联网的连接,自动生成数据的规模和重要程度连续攀升。不少企业过往多年投入建设的老旧安全系统,也越来越难以实施安全加固策略,加固和修复工作往往会无从下手。
在经营管理流程与安全能力衔接方面,新技术、新产品所构建的平台化创新体系使传统的安全流程越来越缺乏适配性,大量企业未能应用数字化、自动化手段监测安全动态、洞察威胁隐患、实施风险管理以及快速应对事件的发生,更难以根据事件反馈不断优化和调整安全策略。
IDC数据显示,2022年,中国IT网络安全整体市场在133亿美金左右,到2026年预计增长至288亿美金,每年平均增长近20%,增速位列全球第一。但从绝对值来看,中国企业的安全投入和美国与全球相比差距较大,中国各行业平均IT安全支出仅占ICT整体支出1.7%,而美国占比则平均为4.6%,全球为3.4%。所以,中国企业还需要持续投资安全。
基于企业数字安全免疫力模型,升级企业安全体系
为了更好地构建安全能力,IDC与腾讯安全共同构建数字安全免疫力模型。数字安全免疫力是企业面对各种数字安全威胁时的防御机制,包括先天性免疫力和适应性免疫力。安全文化和意识是企业的先天性免疫力,如果企业的管理层、企业员工如果没有安全意识,企业花了再多的钱,购置了一堆硬件和软件,但其实还是不安全的,所以整个安全意识非常关键。面向高度具体的攻击所形成的防线是企业的适应性免疫力,包含6大模块:边界安全、端点安全、应用开发安全、安全运营与管理、数据安全治理、业务风险控制。其中,安全运营与管理是核心中枢,将上下三层连接起来;边界安全、端点安全和应用开发安全是三个屏障;数据安全治理和业务风险控制是两个堡垒。
(来源:IDC《加强企业数字安全免疫力,助力数字时代下的韧性发展白皮书》,2023)
与传统的安全理念不同,数字安全免疫力更加强调前置投入,将安全要素融入至企业的战略、管理、运营流程中,打通平台、技术、能力等层面的壁垒,强调动态、轻量、实时的反应能力,可以一定程度上实现自主性地容错、纠错和升级,最终达成安全与发展协同的目标:
首先,基于数字安全免疫力理念,全面提升企业抵御安全风险能力,构筑企业数字化韧性:当遇到突发事件如新冠疫情时,企业的快速应对能力和快速恢复能力,同时在风险过去之后企业找到新机会的能力,是我们所强调的企业数字化韧性。反过来,当安全事件大量出现时,如何打造安全韧性也会变得极为关键。
其次,通过安全建设保障业务运营和创新,提升企业商业竞争力:如果企业在构筑数字安全免疫力时能够做到适度精准,就能够保障业务运营的同时持续创新,增加企业商业竞争力。当企业因出现安全问题而造成损失时,创新能力和韧性都会受到非常大的影响,因此底层安全是支撑企业未来可持续创新的动力。
第三,聚焦供应链安全建设和安全生态发展:企业在数字业务时代进行创新的过程中会遇到更多的困难,所以如何利用生态进行创新,就会变成企业的刚需。如果企业没有安全保障,就很难在生态领域上形成更大的影响力。因此如何更好地通过数字安全免疫力来赋能生态,提升企业的行业领导力变得很重要。
积极实践,构筑企业数字安全免疫力
不足的安全意识,日新月异的技术发展,以及匮乏的安全运营能力,导致企业安全建设呈现出不充分、不完善、难推进等特征。企业在发展自身安全体系、强化安全保障活动时,可以基于数字安全免疫力框架,统筹合规驱动、事件驱动、攻防驱动、发展驱动四大安全底层驱动要素,将多重安全要素实现有机组合,形成面向当前和未来的、动态联系的、可持续迭代的安全体系模型框架:
在文化与意识层面,建立上下一致的认知,形成统一有序的行动;在边界安全层面,夯实安全基础防线,守护不断扩展的边界;在端点安全层面,填补端点安全间隙,构筑多形态环境安全;在应用开发安全层面,降低修复成本,推进安全左移;在安全运营与管理层面,打造统一、可视、主动、协同的安全运营;在数据安全治理层面,打造企业数据生态,加速合规数据价值释放;在业务风险治理层面,健全风险管理体系,兼顾风险与效率平衡。
此外,企业应定期“体检”,掌握自身健康状态,提早发现并控制“疾病”;应接种相应“疫苗”,补充风险抵御能力;更重要的是,企业应保持积极活跃“生活方式”,打造自上而下、自内而外的全面数字安全建设体系,为促进企业整体发展带来切实价值。