騰訊云安全總經(jīng)理李濱：云原生時代，我們需要什么樣的安全托管服務？

10月22日，騰訊安全正式發(fā)布安全托管服務(MSS)，依托騰訊20多年攻防實戰(zhàn)經(jīng)驗和行業(yè)領先的情報感知能力，通過自研服務工作流編排系統(tǒng)，實現(xiàn)了服務過程的標準化、自動化和可視化，借助這些能力，可為用戶提供7*24小時全天候監(jiān)控分析服務和即時的應急響應能力。

會上，騰訊云安全總經(jīng)理李濱在主題為“云原生時代的安全托管服務”的演講里，重點分析了新時代安全運營的發(fā)展趨勢和面臨挑戰(zhàn)。

今天我們分享的主題是云原生時代的安全托管服務?，F(xiàn)在由于環(huán)境、技術、國際大的經(jīng)濟環(huán)境的變革，以及國際各個地區(qū)法律法規(guī)的逐步健全對企業(yè)發(fā)展做出了新的規(guī)定，這些都使得網(wǎng)絡空間安全面臨新的產(chǎn)業(yè)升級和變革。在這樣的經(jīng)濟時代下，我們面臨一個非常核心的問題——網(wǎng)絡空間安全成為了整個企業(yè)發(fā)展的關鍵命題。

企業(yè)安全運營管理的變革和挑戰(zhàn)

第一，計算技術和基礎架構的變革。傳統(tǒng)IT架構中硬件交付的生命周期是1—3個月，軟件交付是以“月”到“年”為單位的，而今天云上虛擬主機在5分鐘內就可以部署，最高可以達到3毫秒左右。這對我們所處的安全環(huán)境會帶來什么樣的威脅呢？傳統(tǒng)IT系統(tǒng)的服務器是3到5年的資產(chǎn)壽命周期，網(wǎng)絡設備是5到10年；今天在云上的計算資源，最短的周期是100毫秒。由于整個計算資源的粒度越來越細，周期越來越小，導致我們企業(yè)在整個管理、生產(chǎn)、運營的模型上產(chǎn)生非常大的變化。

對于傳統(tǒng)IT架構來說，成本模型是高CAPEX，低OPEX，這代表企業(yè)的試錯成本非常高。而在云計算架構中，我們有訂閱付費的模式，還有大量的試錯機會，也有比較平穩(wěn)的資金周期，這是一個新的運營的模式。

在建設方法上，傳統(tǒng)IT架構的模式更注重規(guī)劃、資產(chǎn)，因為它有非常高的失敗風險，而云計算架構是輕資產(chǎn)，可即開即用、按需付費、快速試錯。

在責任邊界劃分上，傳統(tǒng)IT架構的所有權、控制權、管理權和組織模型是一致的，而云計算架構下是閉環(huán)一致的，是責任共擔模型。

治理模型和權責邊界的變化，會帶來本身治理方式、安全管理方式的變化。系統(tǒng)生命周期的變化，可能會導致我們在新的環(huán)境下面，很多的傳統(tǒng)的安全方法、理論、模型和管理方式都是失效的。

第二，IT建設和運營模式的變革。傳統(tǒng)的IT架構其實是一個層次架構，它的物理架構和模型架構是相對比較一致的。云本質的核心技術包括計算的虛擬化和網(wǎng)絡的虛擬化，它具有多層次的結構、整個設計復雜得多，這導致基于傳統(tǒng)硬件的安全技術在云上面是失效的。

第三，企業(yè)研發(fā)模式變革。整個IT信息、IT建設的模式以及整個資源能力的技術變化，帶來研發(fā)模式的變革。

傳統(tǒng)研發(fā)模式的生命周期，從設計、開發(fā)、測試、交付到運營，每個階段是非常清晰和匹配的。今天由于整個基礎設施等資源的利用更加細致，可以采用新的服務和新的生產(chǎn)模式，如今越來越多的系統(tǒng)采用DevSecOps，基本上是2到4周為一個單位。

產(chǎn)業(yè)數(shù)字化在升級，基礎設施、IT治理以及企業(yè)的開發(fā)模式等整個流程都在升級，這意味著我們的安全能力必須要與時俱進。

根據(jù)前面幾年一些重要的安全趨勢，我總結了當下所有企業(yè)在安全運營管理變革中面臨的核心挑戰(zhàn)。

第一個挑戰(zhàn)，大概從2017、2018年以來，數(shù)據(jù)泄露事件大概在整個安全事件里占比22%，個人信息和商業(yè)數(shù)據(jù)泄露已成為非常重要安全風險。另外是商業(yè)間諜和有組織攻擊的犯罪，同時一些傳統(tǒng)的攻擊威脅并沒有減少，所以整體的網(wǎng)絡空間局勢是非常的嚴峻的。

第二個挑戰(zhàn)，云計算、邊緣計算以及IoT新技術在快速的發(fā)展和應用，今天整個網(wǎng)絡攻擊存在矩陣化、網(wǎng)格化的發(fā)展趨勢。這意味著如今的網(wǎng)絡空間技術和行為需要足夠深入和專業(yè)的安全服務才能應對。

第三個挑戰(zhàn)，由于安全事件數(shù)量劇增，企業(yè)安全管理及運營變得復雜。企業(yè)每天基本會面臨至少千萬級以上的安全事件，有效應對海量的安全事件、設計處置方案需要足夠的專業(yè)深度和大量的資源投入。

最后一個也是最大的挑戰(zhàn)，就是企業(yè)安全能力在需求側和供給側存在一個巨大的差異。在需求側來說，攻擊越來越多意味著需要更專業(yè)的人和大量的投入，但是企業(yè)沒有這種資源；從供給側來說，我們觀察到，到今天為止國內在服務人力資源和能力模型上存在雙重缺口。國內規(guī)模億以上的大型私有云會在1000朵以上，而一朵這樣規(guī)模的云，僅僅在安全運營方面，至少需要儲備30人以上的團隊，這就存在3萬人以上的安全運營缺口。另外，整個研發(fā)隊伍中30%的人需具備安全技能，這意味著安全研發(fā)人才也面臨巨大的缺口。

所以，我們面臨的核心問題是，企業(yè)要上云、要用好云，但是又缺乏懂云的安全助手。

騰訊安全托管服務核心理念及價值主張

騰訊云和騰訊安全在今天正式推出騰訊云安全托管服務，具有以下核心理念：

第一：攻防驅動。攻防對抗是安全的核心，持續(xù)性的攻防已成為非常關鍵的命題。當下企業(yè)面臨的實時存在的安全攻擊，對安全防護提出一個準實時、持續(xù)對抗和防護的要求。

第二，情報驅動。我們今天面臨海量的資產(chǎn)、海量的設備，如果僅僅依賴于被動的監(jiān)控和發(fā)現(xiàn)是不夠的。MSS能夠有效地消解海量的雜亂事件來提取有效的信息，反過來通過數(shù)據(jù)和情報來增強整個響應有效性和及時性。

最后，數(shù)據(jù)驅動。我們把多年資深的安全運營管理經(jīng)驗歸納成具體的流程，以指標化的方式呈現(xiàn)給客戶，幫助用戶建立一個云原生的安全運營能力。

接下來，我講一下騰訊云安全托管服務的價值主張——知攻更懂防，服務看得見。

過去，國外更多的托管服務是依托于人來交付的，對于留存、自動化以及大數(shù)據(jù)技術的應用相對比較少。如今，根據(jù)云的場景，我們把所有的服務歸納為八個主要的核心工作流程，同時成為工作流，透明開放。用戶通過我們安全服務的門戶網(wǎng)站，可以看到自身的安全狀況、安全的結果、總體的風險態(tài)勢。

這是MSS的整個服務框架，最上層給用戶交付的主要是兩個方面，一是基于用戶KPI視角——服務結果可視化，另一個是基于專家經(jīng)驗沉淀——服務過程可視化。中間是我們在實踐中積累和梳理的自動化的工作流平臺。專門的運營中心通過對實踐以及事件情報持續(xù)的分析，積累新的實踐策略。下一層是數(shù)字化運營的一系列工具和能力的集合，包括日常安全運營的管理，運營風險評估和應急響應。

在最底層建立了兩個核心平臺，一個是安全服務的管理平臺MSP，另一個是云安全運營分析的大數(shù)據(jù)平臺。通過分析整個騰訊云自身分布在全球的處理中心采集到的安全威脅，形成相應的事件和策略，再把這些作為情報輸出給用戶，最終由MSP平臺來協(xié)調整個服務的資源、人力和自動化工作流，進行處置和響應。

這是我們更詳細的防護體系，防護內容涵蓋用戶從風險的識別、風險的檢測與防護到響應恢復等所有環(huán)節(jié)。根據(jù)不同的服務級別，打包成兩個核心的服務品類。一個是日常運營的服務品類，主要是針對企業(yè)常態(tài)化的安全運營和管理，為企業(yè)減負。另一個是基于攻防實戰(zhàn)能力構建的重保護航品類，可以給企業(yè)提供7×24小時的全方位最高級別的安全保護。

此外，我們還有特色的云原生的能力，包括資產(chǎn)管理和漏洞管理等。如果使用騰訊云的公有云平臺，我們會直接將這些能力集成到云本身的能力中，最高效快速的發(fā)現(xiàn)資產(chǎn)。

從實際案例來看，云上面大概有22%的安全事件是數(shù)據(jù)泄露的事件，我們2019年底曾建立了一項小的、免費提供的服務，就是監(jiān)測云上的開發(fā)人員由于意識疏忽導致密鑰等敏感信息泄露的服務。僅這一項能力，我們在過去兩年以內，每年大概檢測出4700以上的相關泄露事件，并進行及時預警和止損，為用戶挽回的損失累計超過10億元。

除了云原生的威脅和漏洞管理以外，在事件管理方面，我們通過兩個機制來持續(xù)實現(xiàn)事件管理的優(yōu)化以及快速響應。一是通過本身的大數(shù)據(jù)能力實現(xiàn)事件的快速識別、有效消解。二是通過大數(shù)據(jù)分析的方式，聯(lián)動整個云的智能化響應機制，每天幫整個云的用戶消除了30%的攻擊威脅。最后是服務過程用戶可見，可知，服務結果指標化。

對于托管服務來說，人始終是服務中一個非常重要的核心，所以我們做的服務是一個人、工具和新的智能技術的有機結合，策略是通過大數(shù)據(jù)來提取最有效的防護策略，通過自動化的工作流提高響應機制，通過多級分工，減低安全服務投入成本的同時，提升安全服務效率，并針對客戶需求提供個性化服務和定制服務。

整體來講，我們整個MSS托管服務采用的是多級服務專家結構，支持現(xiàn)場交付、遠程交付，另外還有服務咨詢團隊以及線上的專屬專家進行一對一的定制化策略指導。

托管服務的響應時間、效率、成本以及高可用性，是非常關鍵的命題，尤其是受當前疫情的影響，一個服務型企業(yè)或者公司來的服務可用性非常重要。MSS在國內建立了三大安全運營中心以及N家T2合作伙伴，擁有全國最高效的服務能力。該服務的能力分為三級，核心是騰訊安全能力中心，包括全國的安全能力、應急專家能力和大數(shù)據(jù)分析和中心，提供遠程的情報信息和炮火及響應。

MSS在國內建立了三大安全運營中心以及N家T2合作伙伴，擁有全國最高效的服務能力。該服務的能力分為三級，核心是騰訊安全能力中心，包括全國的安全能力、應急專家能力和大數(shù)據(jù)分析和中心，提供遠程的情報信息和炮火及響應。

對比傳統(tǒng)的服務模式，安全托管服務對于需要多少成本、多少人力、多少時間資源是可以看到的，我們最終希望實現(xiàn)安全廠商和客戶雙方的資源和成本優(yōu)化，給企業(yè)的安全建設‘減負’，讓企業(yè)把重心和思考放在業(yè)務上。