普華永道和英國BAE Systems公司在2017年4月發(fā)布了一份名為《Operation Cloud Hopper》的報告。

報告指出，黑客組織APT10集團為實現(xiàn)某個目標(biāo)突襲了全球各大IT服務(wù)供應(yīng)商，并且其中包含一些直接針對托管基礎(chǔ)設(shè)施的更為具體的云攻擊。普華永道通過圖表的形式繪制出了這一黑客組織在各個時間的攻擊頻率。

這一黑客組織的攻擊路徑圖也是非常廣泛，包括美國、俄羅斯、瑞典等國家的網(wǎng)絡(luò)基礎(chǔ)設(shè)施都曾被這家組織頻繁攻擊。

普華永道在這份報告之中最后提醒，黑客攻擊的針對重點正在發(fā)生變化，過去小打小鬧針對個人的傳統(tǒng)攻擊正在逐漸體系化，甚至直走向云端，面向政府及企業(yè)。

云安全在這種“道高一尺魔高一丈”的互聯(lián)網(wǎng)安全環(huán)境下顯得日益重要。

可以說，如果說云是現(xiàn)在企業(yè)數(shù)字化轉(zhuǎn)型的“刀劍”，那么云安全就是企業(yè)數(shù)字化轉(zhuǎn)型的“盾牌”。

一

從To C到To B

過去黑客攻擊往往多是針對個人用戶的攻擊，這種攻擊甚至很大程度只是單純尋求破壞的快感，利益訴求相對較少。但是在今天，黑客正在組織化，以盈利為目的的黑灰產(chǎn)正在泛濫。

企業(yè)化運作已經(jīng)成了很多黑灰產(chǎn)組織的發(fā)展方向。

2018年1月，我在《老騰訊、老警察、白帽子：三個群體打擊黑產(chǎn)的殊途同歸》這篇文章中提到過這樣一個細(xì)節(jié)：

上游企業(yè)負(fù)責(zé)應(yīng)用開發(fā)，中游有專門的支付公司負(fù)責(zé)開發(fā)支付接口，下游還有企業(yè)負(fù)責(zé)在廣告聯(lián)盟等渠道購買流量負(fù)責(zé)應(yīng)用投放……一些黑灰產(chǎn)組織甚至直接用上了人工智能神經(jīng)網(wǎng)絡(luò)技術(shù)，或者是直接針對企業(yè)公共云環(huán)境的加密器進行攻擊。

在這種團隊化、專業(yè)化攻擊下，黑灰產(chǎn)組織可以針對電商、互金企業(yè)的優(yōu)惠活動“薅羊毛”，以此獲得巨額收益，更遑論針對個人的攻擊。

過去幾年在出行市場、電商市場的巨額補貼戰(zhàn)之中，武裝到牙齒的黑灰產(chǎn)組織若隱若現(xiàn)，制造了一系列重大事件。

今年1月，某電商平臺便被黑灰產(chǎn)組織抓住一個過期優(yōu)惠券bug薅了200余億羊毛——這類事件在消費互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全環(huán)境下幾乎是聞所未聞。

一句話總結(jié)，消費互聯(lián)網(wǎng)的安全是To C的安全，產(chǎn)業(yè)互聯(lián)網(wǎng)的安全是To B的安全。

To C的網(wǎng)絡(luò)安全帶來的問題可能是一部分To C用戶的個人損失，但是To B的網(wǎng)絡(luò)安全，往往是政企客戶的系統(tǒng)性安全問題，破壞力更大。

要知道，黑灰產(chǎn)的武器庫日趨成熟，其中不乏未公開披露的漏洞攻擊手段，傳統(tǒng)的漏洞情報已經(jīng)不能覆蓋云環(huán)境復(fù)雜的攻擊形態(tài)。

過去用戶對To C網(wǎng)絡(luò)安全的認(rèn)知往往只是殺毒軟件、安全助手，但是To B網(wǎng)絡(luò)安全是要求更高的“殺毒軟件”和“安全助手”

因為產(chǎn)業(yè)互聯(lián)網(wǎng)是一個貫穿研發(fā)、生產(chǎn)、組裝、流通、服務(wù)全周期的概念。

以數(shù)字化升級全周期為例，它的前期咨詢、規(guī)劃，中期建設(shè)，后期運維，全都離不開安全。在安全的前提下，才有可能完成各個環(huán)節(jié)的數(shù)字化改造，打通價值鏈，才能從根本上提升效率、實現(xiàn)產(chǎn)業(yè)進化。

越來越多政企客戶的IT基礎(chǔ)設(shè)施正在遷移上云，在云基礎(chǔ)設(shè)施的建設(shè)過程之中，戰(zhàn)略性質(zhì)的安全引擎必須重新規(guī)劃建設(shè)。

從市場規(guī)模的角度看，云服務(wù)應(yīng)用的擴大，將催生安全需求的龐大市場。網(wǎng)絡(luò)安全法等法規(guī)政策安全合規(guī)性要求，也讓客戶對云安全的認(rèn)知與需求更明晰。

云安全產(chǎn)品生態(tài)不斷豐富。一方面，云計算廠商在強化自身安全能力的同時，紛紛將自身安全能力產(chǎn)品化輸出。另一方面，安全廠商也在積極布局云計算安全解決方案，將積累的豐富安全經(jīng)驗適配于云環(huán)境。

二

深入To B“腹地”

在我看來，安全問題是整個To B領(lǐng)域的腹地，它是整個To B產(chǎn)業(yè)的軟肋。

就像我在前文之中所說的，云是政企數(shù)字化轉(zhuǎn)型的“刀劍”，它能夠幫助政企客戶提高效率，但是為了保護軟肋，必須要有“盾牌”。

用騰訊云與智慧產(chǎn)業(yè)總裁湯道生對“盾牌”的有著非常明確的認(rèn)識：

要解決數(shù)字化時代的安全問題，需要企業(yè)從經(jīng)營戰(zhàn)略視角進行統(tǒng)一規(guī)劃，建立系統(tǒng)性的安全防御機制。安全不再只是CTO、CIO們的工作范疇，也需要CEO的戰(zhàn)略關(guān)注，產(chǎn)業(yè)互聯(lián)網(wǎng)時代，安全正成為CEO的一把手工程。

實際上，在去年下半年，騰訊安全就正在深入To B產(chǎn)業(yè)的腹地。

去年9月30日，騰訊完成了組織架構(gòu)調(diào)整。

云與智慧產(chǎn)業(yè)事業(yè)群（CSIG）作為騰訊組織架構(gòu)下的新部門，其中整合了包括騰訊云、智慧零售、騰訊地圖、安全產(chǎn)品等核心業(yè)務(wù)線。業(yè)務(wù)方向在于幫助醫(yī)療、教育、交通、制造業(yè)等行業(yè)向智能化、數(shù)字化轉(zhuǎn)型。

仔細(xì)解讀當(dāng)時組織架構(gòu)調(diào)整的一些細(xì)節(jié)會發(fā)現(xiàn)，安全這一塊原本面向To C的業(yè)務(wù)，被納入了面向To B的組織架構(gòu)之中。

9月30日之前，騰訊安全主要面向消費互聯(lián)網(wǎng)提供To C的安全產(chǎn)品。930之后，網(wǎng)絡(luò)安全再不僅僅只是消費互聯(lián)網(wǎng)的問題，更要將C端的安全服務(wù)經(jīng)驗，形成“可模塊化”和“可迭代”的產(chǎn)品，給數(shù)字化升級的企業(yè)，給產(chǎn)業(yè)互聯(lián)網(wǎng)服務(wù)。

做云誰都會，但是把云做安全，卻沒那么容易。

對政府來說，云安全出了問題，這意味著政治責(zé)任，因為這可能直接導(dǎo)致社會民生問題，這種責(zé)任是無限責(zé)任。

對企業(yè)來說，云安全出了問題，小則帶來經(jīng)濟損失，重則引發(fā)數(shù)據(jù)泄露事故，造成社會影響，企業(yè)的信譽甚至都會因此收到影響。

但是騰訊在過去20年的發(fā)展，服務(wù)10億級To C用戶的業(yè)務(wù)運營中，積累了大量安全經(jīng)驗。

從技術(shù)維度上看，騰訊安全具有一體化智慧安全管理體系，擁有豐富的安全大數(shù)據(jù)庫，可以放騰訊安全中臺能力，為企業(yè)數(shù)字化轉(zhuǎn)型提供專業(yè)安全服務(wù)。

以最簡單的數(shù)據(jù)安全為例，騰訊安全可以為企業(yè)提供數(shù)據(jù)安全治理、數(shù)據(jù)安全審計、敏感數(shù)據(jù)保護等一系列服務(wù)。企業(yè)數(shù)據(jù)安全形成了相對完整的閉環(huán)。

從人才維度上看，騰訊建設(shè)了全球最頂尖的安全聯(lián)合實驗室團隊，安全團隊已經(jīng)有近3500人的規(guī)模，這些安全人才在不斷攻克全球頂級安全問題的難關(guān)。

騰訊安全安玄武實驗室，安全研究主領(lǐng)域便包括微信、移動支付那種新零售大行業(yè)，而科恩實驗室的研究的方向則包括車聯(lián)網(wǎng)、人工智能、IoT的方向。

騰訊自身積累多年的安全實戰(zhàn)技術(shù)再加上實驗室中不斷研發(fā)的新技術(shù)，形成了合力，讓相關(guān)安全能力和方案不斷迭代更新，在服務(wù)To B客戶的過程之中得到升級。

實際上，這些技術(shù)在互聯(lián)網(wǎng)、金融、數(shù)字政府、工業(yè)互聯(lián)網(wǎng)以及醫(yī)療教育民生相關(guān)領(lǐng)域都得到了良好應(yīng)用。

三

刀劍向前盾牌在后

套用一句網(wǎng)絡(luò)流行的歌詞來說，沒有安全的云就像一盤散沙，不用風(fēng)吹，走兩步就散了。

云和安全在騰訊云未來面向To B市場的過程中將是一體兩面，企業(yè)在實施數(shù)字化升級的時候，既要用云這把“利劍”，也要“安全”升級。

這就像是在給客戶提供“刀劍”的時候還提供“盾牌”。

對數(shù)字化轉(zhuǎn)型過程中的客戶而言，獲得云的能力，企業(yè)可以手持刀劍，在前線廝殺，讓業(yè)務(wù)獲得增長。獲得安全的能力，則是可以手持盾牌，在業(yè)務(wù)增長的過程中之中，防止踩雷。

騰訊云市場規(guī)模的增長，將會促進安全業(yè)務(wù)市場規(guī)模的提升，安全能力的提升又會進一步強化騰訊云的核心競爭力。

中商產(chǎn)業(yè)研究院在今年4月發(fā)布的報告顯示，2018年中國云安全市場規(guī)模達37．76億元，增長45％。

隨著信息安全越來越受到重視，云安全市場將進一步擴大。預(yù)計2019年，中國云安全市場規(guī)模將達56．1億元，增長近五成。到2021年，預(yù)計我國云安全市場規(guī)模將超100億元。

一個非常關(guān)鍵的信息是，從營收數(shù)據(jù)來看，轉(zhuǎn)型僅僅10個月，騰訊安全便有了較大幅度的增長。

過去騰訊安全的盈利模式靠To C。但是在今年6月份，To B的收入已經(jīng)接近To C的收入的60％－70％。

對云來說，“盾牌”的銷售前景廣闊，而且“盾牌”的銷售還將帶動“刀劍”的銷售。

云要有“刀劍”更要有“盾牌”。