谁在为网络安全制造标尺？

“我们想帮助企业往后退一步，去全局的看一下自己的安全能力建设水平如何，以及在当下的阶段最应该做的安全建设是什么？ ”

度量，对应的是更清晰的认知。而对企业安全而言，这种认知，也更在成为一把新的标尺。

作者|皮爷

出品|产业家

6月开始，吕一平开始频繁地出现在各个企业里。

和他一起的还有腾讯安全专家团队的同事，作为腾讯安全策略发展中心的总经理，他正在和团队一起帮企业做一项特殊的工作——安全免疫力评估。

用他的话说，这是个不断试验和验证的过程。在刚刚过去的6月，腾讯安全在北京举办了数字安全免疫力研讨论坛，在会上一个名为“数字安全免疫力”模型框架被提出。

腾讯集团副总裁、腾讯安全总裁丁珂在现场表示，在数智化新阶段，企业需从被动安全变为主动防御，提升数字安全免疫力，用“治未病”的思路替代“治已病”。

“治未病”的思路到底是什么？

把时间线往回拉，在过去的多年时间里，腾讯安全屡屡出现在攻防演练、重保、应急响应等多个安全的核心场景中，服务了一众中国大型和超大型客户，在这个过程中，一个现象也更在悄然浮现：即企业如果不从一开始就下定决心从整体视角上规划安全建设，而用兵来将挡、水来土掩的方式去回应安全问题，最终终究会疲于奔命，安全建设事倍功半。

而也恰是基于这种视角，一套“免疫力”理念的雏形在腾讯安全内部悄然形成——即改掉以往见招拆招的做法，帮助企业系统性地构建其内在的安全免疫，提升抗风险能力。

而在疫情三年，这种雏形则是更加清晰。由于空间地理的原因，当客户遇到紧急问题需要处理的时候，在此过程中腾讯的安全专家团队往往无法赶赴现场，无数次面临“极限操作”的挑战。

安全免疫力理念的推出，正式进入倒计时。

但在倒计时的同时，另一个更为真实的问题是，什么是真正符合企业需求的免疫力模型，以及腾讯安全对在多年场景服务中初步凝练成的方法论是否有把握？

出现在企业内部的吕一平和团队，恰在寻找这个问题的答案。“我们主要有两个目的，一方面是和自己之前拟定的免疫力模型框架做对比，看看自己有什么问题，企业的反馈和模型测试结果是否一致；另一方面也是把企业和同行业的其它企业进行比较，看差别在哪。”

距6月份“免疫力模型”首次发布三个月后，在刚刚举办的腾讯数字全球生态大会上，一款名为“数字安全免疫力模型”的评测工具被正式发布，企业可以基于这款自测工具，完成自身企业场景的数字安全评分测试。这个测评工具覆盖了企业的边界安全、端点安全、开发安全、安全运营、数据安全和业务风控等绝大部分场景。

这意味着什么？“我们想帮助企业往后退一步，去全局的看一下自己的安全能力建设水平如何，以及在当下的阶段最应该做的安全建设是什么？”吕一平告诉我们。

度量，对应的是更清晰的认知。而对企业安全而言，这种认知，也更在成为一把新的标尺。

一、安全，需要被度量

安全，现在到底如何？“很多企业现在仍然处于‘头疼医头，脚痛医脚’的模式。”吕一平告诉我们。

诚然如此。根据不完全统计，中国企业在网络安全侧的投入比例总体是信息化投入的1%，而在全球的其它数字化市场，这个比例一般为5%，甚至更高。

“甚至，很多企业没有设立首席增长官，但一定有一个首席安全官。”丁珂说道。

这个现象背后对应的更大背景是如今伴随着数字化建设的深入，安全已然成为一道越来越被摆到台面上的命题。

在一份名为《2022 全球网络安全态势报告》的文件中显示，在参与调查的1200 多名安全行业的领导者中，有65%的受访者表示，他们看到试图进行网络攻击的情况在不断增加；此外，更有接近一半(49%)的企业表示,他们在过去两年中遭受了数据泄露，比一年前调查中的 39% 有所增加。

而在国内，这些数据都有足够真实的产业表达。如果说，在过去的多年时间里，金融、零售等相关领域一直是网络安全的高地，那么如今，包括工业、零售，乃至教育、医疗都在成为安全事件愈加频发的地带。

此外，安全的侧重点也更在变化。在吕一平的调查中发现，如今市面上不少企业的关注重点仍然网络安全和终端安全，但对于内部的开发安全，或者说安全运营管理都处于一个非常基础的阶段。

为什么会如此？

“现在不少企业里面负责安全的有很多人，但每个角色对安全的理解都不一样，最终就造成安全工作没有一个系统性的规划，不知道如何推进。”丁珂表示。

即对于安全这个命题，对于CEO和CSO，再或者是更具体的执行人员，其所处的视角不同，最终得到的结论也有所不同，这种不同的最直接体现就是对安全的资金投入。

这也是在如今不少大型企业始终处于“头疼医头，脚痛医脚”模式的原因，即在企业内部，安全这个“技术语言”缺少全局的企业视角表达，以及业务层面的表达，在没有顶层规划视角的情况下，很容易进入不断“打补丁”的恶性循环模式。

而对中小企业而言，这种安全建设的基础性表现更为明显。“很多中小企业对于安全业务的了解太少，比如数据安全，很多企业根本不清楚到底什么是数据安全、业务安全，对他们而言，安全意味的就是防火墙建设和安全盒子。”吕一平说道。

实际上，在“企业如今进行安全建设”的命题上，尽管市面上有不少流传的安全模型，但更多的是围绕在“边界安全”和“端点安全”两个点，对于如今愈发需要的数据安全、业务安全等没有足够清晰的方法论。

或者说，当下企业需要建立的安全能力到底有哪些？其中优先级分别是怎样？以及对大型企业和中小企业而言，他们各自的度量标准又是如何？

二、免疫力模型：安全“向上一步”

这些也正是腾讯安全试图求解的问题。而在这次大会上，一个选项被推了出来，它就是安全免疫力模型评测工具。

对其的具体介绍是，企业可以通过安全免疫力模型自测，基于自身在端点安全、应用边界安全、开发安全、安全运营管理、数据安全、业务安全等各项的建设，最终得到一个总分数，以明确自身的安全建设水平，以及在同行业的视角来看，“企业处于哪个水位”。

换言之，和如今市面上的“安全模型”相比，这套工具不仅包括固有的端点安全、网络安全，也更关注企业在业务和数据层面的安全建设，也就是企业核心资产上的安全防护。

这恰是如今腾讯提出的“洋葱理论”，即通过一层层由表及里的安全验证，最终给企业进行安全的综合打分。

“我们主要想帮助企业解决两个问题：第一个问题是，到底企业有哪些地方是安全的短板；第二个问题是，目前的安全水平如何，希望提升到什么水平，以解决核心业务中最重要的问题，将安全投入和资源用在最重要的事情上。”吕一平告诉我们，

而对于大型企业，这套工具的价值更在于在企业内部建立一个“统一认知”。即通过更直观的语言和问题表达，让企业的业务负责人真正意识到安全的重要性和价值所在。“为了提升到至少行业平均水平，甚至标杆企业，我们应该做什么？或者说，我们首先应该做什么？”

在过去2个月，这套被从腾讯安全过往多年经验中抽离出来的安全度量工具，也更是被拿到实际场景中不断验证。“对不少大型企业而言，他们的评估反馈基本和我们的评测一样，但其中也会有一些企业之前没有关注到的一些方面。”吕一平表示，“而基于具体的环节，企业就会进行针对的咨询。”

对于部分中小企业而言，他们给出的反馈则是这套安全度量工具可以帮助他们建立一个更成体系化的安全认知模型，即“在资金有限的情况下”如何做到效果最好，以及“最应该先做的环节到底是什么”。

“比如有一家金融的客户在跟我们在做试点，我们通过免疫模型的评估帮他们做了今年下半年一个短期规划，主要是解决他们目前风险最高、最急迫需要解决的问题。然后基于这些问题，我们通过天幕、御界（注：分别为流量阻断、终端安全产品）这些产品进行对应的部署，接下来的规划是，明年也会陆续在端点侧和终端侧进行相应的产品部署和能力建设。”

用吕一平的话来说则是，这套工具的最核心价值恰在于可以让企业“后退一步”，真正从全局视角度量企业自身的安全建设水平，进而明确当下最核心的任务。

三、“发现问题”，“解决问题”

但发现问题显然是不够的，在发现的同时背后对应的更是对问题的拆分和解决。而就安全建设水平而言，这些问题的解决则是需要对症下药。

根据吕一平介绍，通过数字安全免疫力模型自测，基于不同的安全能力，企业共计可以分为四类：即专家型企业、运营型企业、工具型企业以及待提升企业。

专家型企业，以金融和电力居多，本身对应的是数字安全免疫力模型自测分数较高的企业，即从各个指标来看，其安全建设都处于较好的水平。但在具体的某一些垂直细分场景中，它仍然有提升的需要。

腾讯安全的做法是，支持自身产品的“被集成”，即企业可以将腾讯安全在部分环节的原子能力集成到企业自身的安全体系中进行能力的补齐，进而进行更好的安全运营和管理。

运营型企业主要对应则是半互联网性质的企业。其典型特征是，相较于其它部署有成体系的安全平台和批量采购安全工具的企业而言，企业更强调量体裁衣，即基于自身的业务属性进行专门的安全运营和数据监测，更多的需求则是通过数字安全免疫力模型测试来查看自身是否还需要其他环节的工具，以及具体流程上强化运营，比如零售类、电商类企业。

而工具型的企业，往往对应的则是底层安全能力建设较为基础的企业，即作为某个行业的头部企业，其对于安全建设的意识很强，但如何进行安全建设，以及如何把企业内现有的安全产品和体系用好，建立高效联动的安全机制，这更是这类企业的核心难题。

腾讯安全的解决方案是基于安全托管的方式，通过专家诊断和对应的工具补齐进而帮助企业构建起完整的安全链路。

吕一平曾打了个比方。“有点类似于你买了一堆砖，但是你没有把这个砖能够垒的特别好，那我们一起来帮助你垒好。”

而最后一类则是待提升的企业。即相较于前三类，这种企业在安全侧的建设基础较为初阶，不论是从安全的管理理念组织，还是安全产品体系本身的能力建设，都还是处于初期阶段。

针对这样的客户来讲的话，腾讯安全会在为企业提供产品支撑的同时，更会帮助进行专项咨询，比如帮助其规划是否要建设单独的安全团队，再比如在专门的安全制度执行上，是否能有一些比较分明的职责分工等等。

“在现在的网络安全服务里，更多的开始涌现安全能力原子化和安全能力服务化的趋势。”吕一平表示，“安全能力原子化，对应就是产品可以支持被集成，被组合，而安全能力服务化则是基于最终的效果和服务，帮助企业把安全做好。”

在这两个被感知的趋势背后，对应的更是腾讯安全自身坚实的产和服务品能力。在如今腾讯安全的布局中，基础安全、业务安全、数据安全以及安全服务中诸多如零信任iOA、威胁情报、天御，以及“SOC+”等拳头产品如今已然成为诸多企业安全建设中的首要选项。

而在最近国际权威机构Forrester发布《The Unified Endpoint Management Landscape, Q3 2023》（以下简称“报告”）中，凭借零信任iOA在DEX（数字化员工体验）、风险控制等方面的优势，腾讯安全更是获得Forrester的认可和推荐，成为国内唯一入选的安全服务厂商。

“在梳理完需求帮客户做好咨询明确解决方案之后，我们有时候也会帮企业安全部门做最后一步。”吕一平告诉我们，“这里面会是预算、专业人员和领导的支持。我们会采用简单直观的 ‘兵器推演’或‘沙盘推演’的模式，与业务领导层共同探讨，‘如果不进行安全能力建设，他们的核心业务可能会面临什么风险，以及可能导致的后果’等等问题，企业负责人基本一看就能明白。”

实际上，这些细节构成的不仅是基于安全的“诊断”能力，也更等同于一场面向不同企业安全的“手术”。如果想要从根本解决病症，就必须对症下药、量体裁衣。

四、看见一艘网络安全的新航船

“能力之前也是一直在积累，这些来自我们之前轻量级咨询的经验，现在是觉得时间到了，也就有了这次免疫力模型评测工具的发布。”吕一平告诉我们。

从当下数字化角度来看，数字免疫力模型的价值在于作为一个中性的安全评测工具，它构建出的恰是一把基于当下新数字时代安全评测的标尺，这套标尺可以帮助企业“后退”一步，站在更高的视角进行足够系统且足够前沿的安全建设思考。

而在具体的产品选择上，尽管在每个安全场景和环节背后对应的都有腾讯基于自身产品给出的解决方案，但企业依旧可以自行选择。“包括在评测之后，如果需要我们帮助企业做安全侧的轻量级咨询，我们也会把客观的建议告诉企业，比如腾讯这块产品能力不具备，企业可以自己去市场上采购等等。”

如今，这些正在成为腾讯安全团队对外服务的常态。甚至更近一步来看，这也更将成为整个中国安全市场的新常态。

野蛮对应无序，秩序带来增长。即在这把新安全标尺的助力下，不论中小企业，还是大型企业，对于安全都会有一个成体系化的认知和重视，而在此之上则会逐渐形成越发稳固、越发有规则的中国网络安全体系。

在这个新的建立在度量标尺之上的安全体系里，既会有针对具体问题的产品和解决方案，也会有诸如企业如何构建安全组织架构，以及如何界定安全职责的企业安全体系范式，更会有一个足够有边界、有开放和兼容的安全服务生态。

如今，这把标尺仍在进化。

“后面估计还会出一些比如行业的平均分标尺，有标尺的话，大家在这里面也可以去跟专家和一些主管部门做好衔接；另外，接下来也会和一些研究院合作，在各行各业里面，真的能把安全咨询这个东西做起来。”丁珂说道。

可以理解为，这也更是腾讯安全的特殊价值。

即在技术、产品和服务方案之外，它也更在成为中国安全产业的基建角色，这种基于安全的基建不是过往人们对底层技术、PaaS等开发侧开放兼容的理解，而更是基于整个行业的新产品和需求框架的重塑，化无序为有序，真正建立其安全产业里足够有形的需求和标准化的环节，进而推动整个市场增长。