对话腾讯副总裁丁珂:“共建”是腾讯安全的核心,产业需要更多扶持

记者 | 崔鹏

“我们腾讯安全会挑战那些最难的,需要长期投入、长期建设的事情,通过共建去推动整个网络安全产业的提升”,腾讯副总裁、腾讯安全总裁丁珂对界面新闻表示。

今年国家在网络安全方面出台大量法规,包括《数据安全法》、《个人信息保护法》等法规被连续颁布实施,它体现了国家从上而下的整体意志,也给企业的安全合法合规经营“划出红线”。

丁珂对界面新闻表示,在新规之下,行业中掌握数据的企业应该做好充分的合规准备,链条主要有三个:产品做用户采集和存储的时候,需要明确告知用户意图;能反向溯源到个人的数据,需要加密、抽象或者统计化处理;广告、推荐、AI算法之类的使用,要获得用户的授权和同意。

目前丁珂领导着腾讯的安全团队,作为安全领域的头部厂商,腾讯安全在过去一年将内部大量优秀实践和方案,进行可视化、智能化和联动化处理,然后将它们推向用户市场。

他对国内安全产业的发展有清醒认知,“国内现在很多的技术栈跟组合能力,离真正国际化的威胁强度相比,攻击方还处于优势地位”。

“安全这个产业确实很痛苦,门槛太高了,人人都说做安全,但其实真正懂安全的人不多,切身做过攻防有几个?”丁珂呼吁各方对产业加以扶持。

他认为部分被资本热捧的安全厂商有些过度炒作,要达到国际顶尖水平,国内厂商还要在用户体验和聚合性上给客户提供更多便利。

腾讯倡导安全共建。丁珂表示,腾讯安全的主要产品都是云原生,与国内很多厂商选择的路径互不冲突。在部分重大项目比如智慧城市中,腾讯都在大规模使用合作伙伴的产品。

丁珂将安全共建的思路纳入腾讯安全新的愿景“一起捍卫美好”中,在腾讯内部,腾讯安全跟云、微信和IEG等业务一起;在外部,腾讯安全跟生态伙伴持续合作。

2021年,腾讯与上汽集团、华润集团等企业客户共建联合安全实验室,并参与了多个大型数字城市项目建设,同时在行业标准的制定颁布上贡献力量。

“这个愿景中最不起眼的‘一起‘,反而是我们跟其它安全厂商最大的区别”,丁珂告诉界面新闻。

对话腾讯副总裁丁珂的部分内容摘录如下:

Q:11月开始正式实行《个人信息保护法》,企业应该如何应对?

丁珂:最近确实关于安全的法律法规立法实施特别多,是一个“大年”。如《数据安全法》(9月1日实施)、《个保法》(11月1日实施),还有一些金融安全的管理办法,工业安全的管理办法等等,在这中间这么短的时间里面开始实施,体现了国家在网络安全上系统的顶层设计。

对于掌握了大量数据的企业来说,合规的准备链条主要有三个:

第一,相关的产品在做用户采集和存储的时候,用户是不是准确的被告知意图,中间的环节处理用户信息的时候,是不是会把它针对性的做告知。

第二,针对能够反向溯源到个人的该加密就加密,该抽象就抽象,该统计化就统计化。这个工作一定要做好,避免内部的产品,或者跟第三方的合作不小心把数据泄漏出去

第三,使用的场景。《个保法》主要针对广告、推荐、AI算法、数据算法之类的一些用法要获得用户的授权和同意。

类似这样工作量非常大,相关的产品前台后台全部要做。《个保法》之后,执行层面还有一些地方不太好拿捏,这个阶段大家共同建设、共同做到科技向善是一个必经的过程。

Q:今年是一个网络安全保护的大年,我们腾讯安全的B端业务,有哪些针对性调整么?

丁珂:我们也会长期把内部的优秀实践,做到可视化、智能化、联动化推到用户市场。因为有些客户也经常给我们提建议,很多生态伙伴都说腾讯内部的安全做的那么好,在客户那边能不能用起来?我觉得在这个过程中,客户用户不能一键用起来的产品,其实都不是好产品。

但在很多领域里面,比如新零售和工业领域里,他们所谓相关的数据都是自己货物流转和工业传感器数据,这些数据量可能每年都翻番,但其实它们属于生产资料数据。

如果企业的数据跟用户行为数据发生联动,比如像一些酒店业、文旅业、汽车、新零售、快消品的线上销售,那一块就涉及到《个保法》定义的范畴。

实际上在行业里关于数据的安全处理也有很多流派,有一个流派认为可以把用户的数据全部存储,但其实是绝对不可能的。以我们的经验,企业要有所为有所不为,不应该触碰用户的内容数据。

Q:“一起捍卫美好”这个愿景是怎么得出的?

丁珂:我们为了这个愿景,讨论了很多轮,真正打动人心的使命是走心的,而不是走脑的。

你把什么数字生活、智慧、高科技等等的名词堆在一起,很难让大家达成共识,因为你要用脑子思考,只要第一感觉用脑子,那必然不是走心的。

第一个共识我们一定找一个走心的方式讲自己的使命,那会把词减得特别少,反而会走心。

第二,删完了之后哪一个不能删?大家不约而同一起选了这几个词。

首先是“共建”。在腾讯内部,腾讯安全跟云、微信、IEG、游戏一起;在外部,延展出去跟生态持续合作,腾讯和其他公司的差异在这里:“共建”。

“捍卫”有点小任性,觉得用其他词不能显示我们的实力之强,表达了一些理工钢铁直男的性格。

团队共识了6个字,但跟其他安全厂商最大的差别是“一起”,反而是最不起眼的两个字。

Q:那些领域在你们看来是比较典型的?

丁珂:特别典型的像供应链安全,现在跟产品线对应的叫零信任,它其实是4个环节,目前我们提供给央国企或者大产业比较多。

第一个讲的是“接”,比如疫情之后传统的企业VPN管理效率实在太低了,那么多终端在各种网络环境下接入,有大量远程办公需要,很多客户还要面对分布式的办公需要。我们在零信任范畴里面结合身份安全,做技术上的一个刷新,最近顺丰、华润都有应用腾讯零信任的技术。

第二,防。员工接入进来之后到底怎么样授权,到底怎么样判断它的正常行为和异常行为。

第三,管。很多企业终端,比如富士康,动不动一个厂就几百万终端接入。接入之后传统的IT安全防护思路,就不太能够满足要求。如果有一个漏洞,怎么样快速的把系统升级?

第四,控。因为安全永远是动态的,对抗时刻发生,真的碰到新兴的问题,实际上要下发策略,所以我的安全策略就是控。

现在黑产也非常勤奋,有的时候一个新的法律实施的时候,坏人有各种办法逃避,但是企业为了去适应法律要求,在不明确具体规则的时候,反而有一段时间会束手束脚。所以零信任是很好的一个应对思路。

接下来数据安全必然也是未来爆发的领域,但它会是一个阶段性的爆发过程。我们的理解跟判断的话,会从数据中台类的产品,数据合规、数据隐私保护、关键数据识别,数据的审计等等方向先爆发起来,慢慢才会到数据化的产品安全怎么做。

Q:大家认为现在上云是供应链安全最好的解决途径。

丁珂:上云可以相当大一部分的解决,比如像云上的基础设施,会碰到攻防跟渗透的问题,比如像勒索病毒,我们应急响应一定更优秀。

即使发生渗透发生,我们的应急响应是世界顶级的,所以我们的经验也不是一般的行业所能追上的。

第二方面,我们在线下有很多专业工具,帮助企业上云,上云其实它不仅仅是一个设备上云或者服务上云,现在我们最头部的客户是做得研发上云。

在自研上云里面,从代码的生成到业务的上线,在整个业务的流程天然就是面向云的。

传统的甲方招标下单给乙方,系统建完以后请安全厂商来帮助看看哪有问题。一般这么看的话,也就只是看一看,有问题又能怎么样?

坦率的讲我打交道很多制造业的中长尾企业,问题挺严重的,特别严重。

Q:您说的零信任,包括威胁情报这两年都比较火,反映出来这个行业的哪些趋势?

丁珂:中国的市场行业非常特殊,首先国家快速实施的法律法规给了红线,这个大前提要特别强调。

第二,我也经常给安全圈的厂家讲,大家还是要冷静看,我们现在很多的技术栈跟组合能力,离真正国际上的威胁强度相比,攻击方确实还是占优。

有两个地方的差距,借这个机会跟行业呼吁一下:

第一,技术栈特别长,有的时候甚至觉得真正做安全的厂商还是太少,而且市面上冒出来的投资热点,在我看来过于互联网化,不是做真正技术的,做安全的。反而真正沉下心来做安全的人远远不够。

第二,大家做安全一定是开放合作的,因为安全那么长的技术栈,分工在里面很多,每一个都需要做得很深。

我们呼吁各方在产业上加以扶持,接下来我们也有一个创新沙盒扶持安全产业。这个产业确实很痛苦,门槛太高了,人人都说做安全,但其实真正懂安全的人不多,切身做过攻防有几个?

反而这一批被资本热捧的这一批,我觉得还是有点过度炒作。我认为必要达到国际顶尖的水平,还要在在用户体验,聚合性上给客户一键安全的便利,真正解决问题上面还有相当大的差距。

Q:您刚刚提到安全共建,腾讯安全在和其他的安全厂商,也会有合作吗?

丁珂:我们合作非常多。

第一,腾讯安全的产品化路径的选择,从一开始就做了差异化。我们最主要的产品是云原生产品,很多安全生态的厂商,不管做防火墙、端产品还是流量深度分析产品。它是基于边界做的。

因为腾讯是云厂家,所以我们最初是服务公有云的安全,从其实就没有太跟行业竞争,他们跟我们一起看到了增量,所以合作基础非常好。

实际上我们在很多项目里面,比如说智慧城市,大规模在用合作伙伴的产品。因为他们建设规模很大,项目时间紧、任务重,要以共建的思路一起做。

第二,在有些传统的产品里面,既然有人做了,腾讯觉得也没有再去做,我们会在技术战那些挑最难的,需要长期投入、长期建设的事情。

Q:因为最近很多人聊隐私计算的话题,您觉得隐私计算在国内的普及可能会面临什么样的问题?

丁珂:这个阶段大规模使用主要是成本效益上,因为现在技术还处在实验室模型阶段,个别的高端模型在落地应用上完全没问题,但如果想让普通行业,甚至行业的头部要用上,还是有漫长的过程,还是要在成本收益上达到动态平衡。

而且达到动态平衡,而且技术流派非常多,迁移学习、多方计算各种各样的,腾讯内部也在普视性的看。

但真的云上大规模开一个区做产品化让客户来买,首先价钱会非常高,其次即使真的有人买,我也很怀疑,它现在离商业化有点过早。

归根到底还是要看行业需求,看甲方买不买得起的问题,我们现在初步做的几个联合性的项目,主要还是头部金融客户,其他的行业都不敢碰这个领域。

Q:它是未来大家都会走的趋势吗?还是仅为可选方案。

丁珂:如果从法律的要求是必经路径,法律法规的要求没得退。

如果在11月1日《个保法》执行之前,可能是一个可选项。但现在没得选,必经路径。但实际执行的时候是不是会选隐私计算的技术流派,还是要取决于实际需要。