• <fieldset id="82iqi"></fieldset>
    <tfoot id="82iqi"><input id="82iqi"></input></tfoot>
  • 
<abbr id="82iqi"></abbr><strike id="82iqi"></strike>
    • 

        
    
      
    
        
        
        
      
    
      
    
        
    
      
    
        
    
          
    
            
    
              您的位置:首頁 > 智能 >             
    
            
    
              
    
                
    專訪騰訊副總裁丁珂:安全行業正處于裂變的時間點,未來的企業數字化負責人首先要&quot;懂法&quot;
    
                
    
                  來源:36氪
                  ?
                  2021-11-22 13:28:17
                
    
              
    
              
    
			  
                
    直到周五晚間22點,騰訊公司副總裁、騰訊安全總裁丁珂依然在會議中。
    作為手機QQ、Qzone、瀏覽器、應用寶、騰訊安全等多個明星產品的奠基人之一,丁珂加入騰訊已有18年。早期,其曾擔任過騰訊九大業務部門的第一負責人。直至2018年930變革后,騰訊開始面向產業互聯網發力,丁珂負責的安全業務線作為產業互聯網的基礎模塊,重要性也日益凸顯。
    時至2021年,不難想象丁珂的忙碌只增不減。
    畢竟,今年對整個安全行業和所有處于數字化轉型期的政企單位而言都非常特殊——在《數據安全法》、《個人信息保護法》等法律法規的完善之下,整個社會的安全認知被提到一個制高點上。
    "早前國內的法律法規還比較模糊,但最近一年的發展非常迅猛。"談及自身體感,丁珂覺得今年行業內的法律法規進展"像是一個井噴式的時代"。
    理所當然,數據安全也是如今丁珂重點關注的方向。不過,與不少企業家因政策導向而生出的驚覺不同,作為國內安全行業的先行者之一,丁珂此時對數據安全的關注,更出于對各行業數字化進展的觀察。
    "早些年提信息化、智能化,安全在之前階段中的邊界性和補充性比較強。但到數字化階段,每年企業掌握的數據量至少以翻番的速度往上走。這時安全和數據結合在一起,完全是另外一個維度的事情。"丁珂認為,此時是一個安全和數據緊密結合,產生裂變的時間點。
    而從數據安全聯系到騰訊安全對外提供服務的特點,他覺得以騰訊為代表的互聯網安全品牌在數據安全方面具備天然理解力。
    這是因為,互聯網公司天然認為數據量是巨大的,不存在從信息化向數字化轉型的過程。再加上互聯網公司的產品迭代速度飛快,需要時刻跟隨監管方向進行調整,所以這類企業對數據安全重要性的認知一直存在。
    當前,業內也有一些大型互聯網公司擁有自己的安全品牌。在路徑上,這類安全品牌大多脫胎于企業內部的安全/運維部門,早期以安全能力自建為主,后期隨著業務需求而擴展成為具備人力、財力和技術能力的部門,再對外提供產品和服務。
    騰訊安全也是如此,其發展可分為三個階段:
    2006年-2015年,其從自身業務需求出發,延伸出專注個人安全的產品,比如電腦管家和手機管家。
    2015年-2018年,基于安全威脅逐漸從個人演變為團體和黑灰產的變化,騰訊逐步探索面向ToB提供安全技術能力,同時提出安全的生態理念。
    2018年騰訊"930"變革之后,其旗下安全業務進行全面整合。自此,To B和To C業務成為騰訊安全的兩條線。
    雖然在路徑上,互聯網背景的安全品牌存在一定相似處,但在丁珂眼中,騰訊安全和其他友商間最大的差別即藏在其內在使命——“一起捍衛美好”中。
    拆解其中含義,"捍衛"指的是騰訊從2004年建立安全運維組開始,在護航自身業務發展中不斷積累的安全服務能力、安全技術沉淀和安全人才儲備——這也是不少互聯網安全品牌的共性。
    而"一起",則是丁珂覺得騰訊安全與所有同行之間最大的差異。""一起"的范疇包括客戶以及行業生態。"他說。
    在具體表現上,其表示騰訊安全更多基于自身優勢,專注于云安全建設。而傳統的安全廠商,往往會采取“孤軍”方式,為客戶提供邊界型安全產品。因此,騰訊安全不會與之產生競爭,也在一開始就采取了差異化,做增量的思路,具備和傳統廠商“一起做安全”的基礎。另外從安全產業發展角度,丁珂也表示,當前很多數字化項目的規模越來越大,廠商們必須采取混合編隊的形式取長補短。
    這一風格源自對客戶需求的了解。丁珂介紹,騰訊安全希望為客戶提供整體性的產品方案,而非以零散的產品提供服務,避免給客戶整體的安全管理帶來困擾。
    最后,"美好"是騰訊安全的愿景——通過數字化實現更美好的未來。坦白而言,這一名詞聽似空泛,但在丁珂的解釋中,"美好"其實是安全的功能性意義所在。
    如果站在業務屬性拆解,安全既是手段也是目的——它首先是保護企業各類資產的方式,同時也是企業業務穩定發展過程中需要達成的效果。如今,當數字化轉型在不少行業中產生正向效果,安全與數字化的結合就是在"捍衛美好"。"這個使命也是倒推的。我們認同數字化會給大家帶來很多益處,認同未來的大格局是非常好的。"丁珂表示。
    "整體來說,數字化可以帶來收益。做好數字化安全就是長期收益,簡單來講就是這樣。"這是他認為,安全與數字化結合帶來的現實意義。
    以下是采訪部分(經36氪不改變原意的編輯):
    數據安全是未來趨勢,安全正處于裂變的時間點
    36氪:今年與安全相關的法律法規完善速度很快。在你看來,2021年對行業來說算一個特殊的時間點嗎?
    丁珂:坦率講這么多年,國內和國外在這個領域里差距很大。在國際市場里,安全產品現在一年大概有1250億美金的規模。對比國內,去年行業規模在600億人民幣左右,比小龍蝦的年銷售額稍微高一點兒。而行業里最頭部的公司市值在700、800億元,一年的銷售額50億左右,這是一個大的背景差距。
    造成差距的原因和主要和之前的國情有關。
    安全是一把手工程,國外的法律特別健全。打個比方,國外企業如果沒有做安全投入的話,就像去開餐館沒有食品安全經營許可一樣。國內之前在這方面比較模糊,但最近一年的發展非常迅猛,形成一種很強烈的反差,進入了一個井噴式的時代。
    36氪:尤其《數據安全法》頒布和實施之后,這種情況特別明顯。
    丁珂:從早年提信息化、智能化,安全在之前的階段邊界性和補充性比較強。但到現在的數字化階段,每年大家的數據量至少以翻番的速度往上走,這時安全和數據結合在一起,完全是另外一個維度的事情。我帶過那么多團隊,當下確實能感覺到現在是一個裂變的時間點。一個安全和數據結合裂變的時間點。
    36氪:能看到安全廠商們也都在數據安全上發力。同樣也比較好奇,騰訊安全在數據安全上具備哪些差異化能力?
    丁珂:這也是很多大客戶非常看重的話題。對我們來說,大概做了以下幾個方面的工作。第一是數據的識別和界定,這個特別重要。因為隨著客戶數據的不斷生成,一個特別大的問題是大客戶可能根本不知道這些數據在哪兒,也不知道哪些是敏感的。所以我們的第一部分工作是幫客戶識別這些數據。
    第二部分,在數據的流轉上,一些關鍵信息流的操作需要特殊的流程。之前我們沒發現大家普遍在這個方面有困惑,所以后面我們幫客戶抽象了一下。
    具體來說,這個流程需要三樣東西呼應。
    首先,企業需要把和內部員工相關的身份部分界定出來,就是身份認證體系。第二,需要把企業在生產、銷售方面的數據定義出來。第三,在數據流轉過程中產生的所有敏感操作都應該是可審計的,可被及時關注的。也就是說,在數據未來的發展上,我們需要保證它在存儲、流轉和使用整個動態過程中的安全性。
    能做這件事也是由于我們自身的經驗比較充足。現在各種法律法規更加完善,我們所有的產品都在根據相關規定去做前沿性的調整,互聯網企業需要不停地去做這件事。
    36氪:談到這個,在你看來互聯網安全品牌和其他安全廠商相比的差異化是什么?
    丁珂:最主要還是用戶基因和客戶基因的差別。因為從安全的角度來看,互聯網的數據是用戶的,但其他廠商做產品一般會分內網和外網,也就是邊界思路。如果是互聯網背景,大家基本沒有這種概念,天然就覺得整個數據量是巨大的,不覺得還有什么信息化、數字化的過程。
    在這種基礎上,一般互聯網的安全產品都和云原生強相關,以無邊界的解決方案為主,而非以區分內外網為主,具備高效連接的特點。另外,互聯網出身的CSO也特別注重用戶思維,比如會去關注怎樣識別身份等等。
    36氪:這是產品路線上的不同,在對外提供服務的思路上,我們會有哪些差別?
    丁珂:首先騰訊安全自己在技術棧的跨度上非常強,我們在給客戶提供解決方案之前,內部要自己先“吃狗糧”,就是說各種方案要先在自己的系統上經過充分的實踐和驗證,再推到行業里。
    像零信任,在疫情期的遠程辦公場景下,我們差不多有一個星期的時間在用傳統的VPN,但這種方式在當時產生了兩大痛點:首先,VPN很重。當90%的員工都接入VPN的時候,其實會帶來很大的效率壓力。如果真的是運維人員和運營人員7×24小時都在線的話,經常會不穩定。另外,用VPN,內部系統在判斷接入的顆粒度上不夠精準。而零信任就是在解決這類問題最好的技術路徑,所以我們自己就快速采用了這個系統。
    當騰訊自己吃完這個“狗糧”之后,發現行業普遍碰到了這個問題,自然會選擇把我們內部的最佳實踐分享到行業里,就是這個過程。
    行業客戶的安全意識仍存在差異,未來的企業決策層首先要"懂法"
    36氪:剛剛從對外服務的角度談了我們如今關注的方向。那么從客戶角度,你覺得法律法規逐漸完善,對他們產生了怎樣的影響?
    丁珂:之前行業的發展很不均衡,安全做的不錯的客戶主要在大頭部行業里。不過最近我參與了一些活動,也能看到一些有意思的變化。比如不少CIO現在都在關注自己企業的數據到底應該怎樣成長、發展,最后也會到安全的建設。
    36氪:不過有個老生常談的話題,身處不同行業和階段的客戶,對安全的關注程度和速度應該不太一樣。
    丁珂:是的,現在大家還有些認識程度的差異。比如有些企業還沒意識到,不少技術、產品的使用方式之前是處在模糊地帶的,現在再這么用就是違法的。
    尤其在這一瞬間,我覺得大家的反差特別強。
    互聯網公司的產品迭代速度很快,響應法律法規的執行力和效率也會相對更高。但當互聯網公司一直跑在前面的時候,很多行業還沒完全意識到,現在變化的速度有多快。在今年這個時點,雖然法律法規還有些模糊地帶,互聯網公司實際是起到了榜樣的作用,不但積極配合法律法規實施,也在通過實踐為法律法規的優化完善提供建議。但在不少行業里,除了被罰過大罰單,和被長期監管的企業,以及一些持續重視安全的頭部企業之外,其他企業對于數據安全的感受度還不是很高。
    36氪:這也讓不少企業內的安全負責人困擾,你覺得改變這種情況的契機現在出現了嗎?
    丁珂:現在法律法規都完善到這個程度了,我覺得CSO要和老板講,做生意,最重要的就是要合法。
    這個問題特別好。我有時候想,這個是我們的問題,還是行業的問題?可能是騰訊在安全意識和安全建設上是超前的。因為我們是和政策、和監管共同成長的。基于法律不斷完善的監管制度,一定是代表未來的,所有的市場主體都要積極配合法律法規,一起探索看業務的尺度拉到這兒合不合適。
    再之后,我覺得企業的CSO首先要懂法,在這個基礎上去和老板談。如果CSO和企業一把手討論的問題,不是企業長期可持續發展的方向,那為什么要追隨這個老板呢?當然在路徑里聊一聊可以,如果長期聊,可能根源就錯了。
    我自己做安全,也是逆向思維。就是反過來,以終為始地看未來兩年、三年應該是怎么樣的。我相信未來一定是這樣的,如果不能做到守法合規,有些企業自然會消亡,有些行業做著做著也就沒有了。
    像騰訊安全內部的使命特別簡單,就是“一起捍衛美好”。這個使命也是倒推的,就是我們認同數字化會給大家帶來很多益處,認同未來的大格局是非常好的。安全負責人、CSO也要在有前途的行業里面,前瞻性地和客戶長期共贏、共同發展。
    36氪:這是一個長期的意識問題。
    丁珂:其實現在已經出現,做信息化、技術化的技術人員一路做到企業決策層的例子。我不覺得安全負責人在狹義層面會怎么樣,但將來在數字化的過程中,會有一批在可持續成長上有眼光、懂安全的人才出現。
    因為,未來企業的決策層肯定不能連法律都不懂,不能出現做營銷被客戶隨便舉報,最后他和他的董事長或者法人一起承擔法律責任的情況。大家懂得業務的合規性,在將來必然是一個大趨勢,只不過在今天聊的瞬間,很多人還沒意識到這個問題。
    總結看,未來一到兩年之內,凡是做數字化的人都應該懂法律。因為凡是在數字化方面搭技術產品架構的話,安全一定是融合性的。未來,一定是懂法律、懂安全,對數據負責的人會進入最核心的決策層。
    定位騰訊安全:首先是責任,然后與生態一起成長
    36氪:剛提到騰訊安全的使命,"一起捍衛美好"具體怎么理解?首先什么是"一起捍衛"?
    丁珂:首先,為什么要用"捍衛"這個特別鋼鐵直男的詞,因為我們相信自己的能力很強,也知道自己在做什么事情。但是,這些一定是圍繞"美好"這個目標做的,而不是撇開了"美好"去秀肌肉。
    也有好多人說,騰訊做安全跟其他所有人的最大差別是什么?最大的差別是“一起”。我們和客戶是一起的,和生態是一起的。我們幾乎從一開始就是把產品技術棧、安全理念打開來做安全這件事。
    36氪:我們談的這個“一起”,包括了多少角色?
    丁珂:客戶和行業生態。像很多傳統安全廠商,我們第一天做產品的時候,幾乎從不做和它們競爭的產品,比如傳統防火墻,騰訊從來沒有做過,我們做的都是云原生的。再比如零信任,我們重在接入,在終端方面特別強。但在這個過程中,我們也會用其他廠商的云桌面等產品。從客戶角度看,這整體是一個零信任方案,但里面有一部分會是我們的強項,也會有其他廠商的產品,這就是合作。
    我覺得頭部公司,在服務客戶過程中最主要的職責就是發現和創造環境、給出空間。騰訊安全在這個階段的主要職責就是在生態建設上,優先去做技術的銜接,幫客戶把技術成熟周期、使用門檻降低,主要是做這些職責。
    36氪:這樣做的出發點是什么?
    丁珂:像我這個角色看行業、看傳統的安全廠商、看客戶、看生態,越來越強烈地感覺到應該幫大家把場景打通,把產品技術棧打通,把整個交付周期縮短。其實安全在客戶側的落地和交付方面特別難,而很多廠商都提供自己的產品,這些產品往往只解決一個痛點,這讓客戶很難受。
    但作為騰訊這樣的公司,現在有很大空間幫客戶把這些產品合在一起。比如,當那么多設備在一起,碰到了真正的動態攻擊時,客戶的資產盤點怎么做?這些路徑你能不能發現?一旦發現之后,策略的下發,以及一大堆各種產品的聯動是什么?這些都需要動態地以人為本地去處理。我們需要站在客戶的角度,幫助大家解決這樣的問題。
    36氪:最后談到目標,每個人對"美好"的拆解也不一樣。這該怎么理解?
    丁珂:在這個行業里,很多頂級黑客和大老板的組合最后都不歡而散。之前互聯網公司有很多流派,也有一些公司把安全拿來當核武器,可最后沒做起來,回過頭看都是價值觀有差異。
    36氪:價值觀是很底層的差別,拆分在行為上會有哪些表現?
    丁珂:直接表現就是用戶受到騷擾,生態不認同,因為企業用了極強的能力去對抗大家。比如手機廠商有自己的權限,但或許有企業為了拿用戶的關鍵數據,跟手機廠家的操作系統不停地(對抗)。但是對抗的目的和意義在哪里?一定是要為了美好而對抗,而不是為了錢去對抗。
    我很難把美好再怎么去分解,但一定不是錢,不是短期利益,不是為了證明你比誰更強。反而,我們一定要關注行業和客戶的想法,因為能力越大,越不能把安全的技術用在不恰當的地方。這個行業里太多的頂級人才,1/3在監管部門,1/3在行業,1/3真的是在黑產。
    我在做客戶、看行業的時候,基本不會去求別人做安全。我都在做逆向篩選哪些企業,能夠意識到安全這件事情對未來的成長非常重要。反正騰訊自身是很清楚,安全從來都是生命線,從來以構建美好為目標去做。
    騰訊有非常強的技術能力,但我們一定要知道自己在做些什么,在怎樣做。當我們不知道怎樣用這個能力之前,一定是克制的。比如騰訊會發現一大堆漏洞,但我們不會莫名其妙去講這些。騰訊發布這些內容,一定是控制到一定范圍內才去發布。
    36氪:價值觀的差異會導致業務形式的不同。整體來看,對騰訊而言安全的定位是什么?
    丁珂:其實我骨子里面還是一個技術人員,我覺得技術是有正向建設性的,因為破壞性的威力是可以讓一個企業被一票否決的。
    騰訊安全在騰訊內部一定沒有游戲業務能做營收,但如果我們出了問題,破壞能力絕對比很多業務要大。基于這一點,騰訊安全在未來長期發展上一定堅守“定海神針”的原則。先別說騰訊將來到底能有多少市值,但我們做的事對騰訊將來的基業長青非常重要。你看周圍出現過多少(因為做不好安全)接近一票否決的企業?但我很慶幸騰訊沒出現過這些事。
    總結來看,騰訊現在對安全的定義,首先是責任,再就是利他性。企業也可以不要安全,讓業務去成長,但這注定不能持續。
    36氪:長遠來看,騰訊安全在理想中需要長成什么樣子?是剛才說的“一起捍衛美好”嗎?
    丁珂:這是我們的使命,剩下的我們也在慢慢討論。
    為什么講“一起捍衛美好”?其實和生意沒有任何關系。首先,我自己很相信未來數字化的潛力,也看到了騰訊在幫各行各業做提升數字化能力的助手。我覺得可能未來的希望就在這種帶有數字技術含量的經濟模式上,因為勞動密集型的模式很顯然有瓶頸,大家已經或多或少意識到,更有數字化含量的經濟模式是非常重要的。
    談到數字化,其實各行各業的數字化就是在加大技術含量、提升效率,從中發現新的機會。我們相信數字化的未來是美好的,尤其疫情階段的反差也讓我們看到了,不是沒有機會。以前大家覺得不可逾越的鄰國友邦的數字化水平,現在也有機會去超越,這個就是美好的。
    整體來說,數字化是可以帶來收益的,做好數字化安全就是長期收益,簡單來講就是這樣。安全的未來,一定是和數據結合得越強,越代表未來。
                  
    
			  
              
    
                                
    
              
    
                
    相關推薦