0
在信息化時代,數字化轉型幾乎已經成為所有企業的必選項,但隨著數字化轉型的加速,產業互聯網安全問題日益突出。尤其,在后疫情時代,全社會、全行業、全產業鏈正面臨著新的發展機遇和風險挑戰。
在此背景下,3月21日,中國產業互聯網發展聯盟、《中國信息安全》雜志、南方日報、中國網絡空間新興技術創新論壇、騰訊安全、騰訊研究院聯合推出《2023產業互聯網安全十大趨勢》。報告從宏觀態勢、產業實踐、技術演進三個維度對產業安全的核心議題進行分析研判,給產業互聯網健康可持續發展提供指引。
騰訊副總裁丁珂表示:“在數字新時代,當前最重要的任務便是明確安全行業發展趨勢,讓安全以全新的視角構筑產業數字化底座。2023年,外部欺詐威脅、企業出海合規與安全風險、供應鏈風險、數據泄露、AIGC隱形危機、多重勒索攻擊等諸多安全挑戰依然存在,不同發展階段的企業安全水位也嚴重不均衡。產業應當以一體化的安全免疫力建設思路,盡快彌補安全短板,筑牢數字化底座。”
雷峰網(公眾號:雷峰網)與部分媒體就產業互聯網安全的相關發展現狀和趨勢與《趨勢》兩位編委會成員騰訊安全策略發展中心總經理呂一平、知其安創始人兼CEO聶君進行了深入的交流。他們就目前產業互聯網面臨的諸多安全挑戰,以及未來發展進行了分享。
AI帶來新風險,云原生安全為安全行業帶來革命性變化
人工智能是一把雙刃劍。報告中提出一個趨勢是:ChatGPT 大模型 AI 計算廣泛應用安全領域,攻防進入智能化對抗時代。
聶君認為:一方面,人工智能可用于提高網絡安全的效率,帶來積極作用,包括自動檢測和響應威脅、智能識別漏洞;另一方面,黑客也可將人工智能技術用于網絡犯罪活動,這將是對網絡安全的真正威脅。另外,ChatGPT也會帶來一些數據安全的隱患,它的服務器在國外,大家在使用過程中會把一些代碼以及敏感信息輸入進去從而帶來數據安全風險。再者,ChatGPT并不提供驗真或者驗偽的作用,如果直接讓ChatGPT來確認安全結果,則會帶來一些隱患問題。
呂一平補充說:“新技術帶來的風險還不止于此。”ChatGPT產生的一些內容,其實沒有驗真和驗偽這個概念,在詐騙、釣魚的場景下很容易被利用,例如“社工”,意思就是通過聊天誘使你去點擊惡意鏈接,從而達到攻擊或者偷竊數據的目的,而ChatGPT可以直接生產劇本,進行針對性的多樣化釣魚攻擊詐騙。
報告中提到,云原生安全“一體化”將大幅提升企業安全水位。對于此呂一平解釋說,由于上云是大趨勢,因為現在國家倡導一個概念叫“集約化建設”,上云能夠非常好的契合大趨勢,不管是業務需要的算力資源、存儲資源、網絡帶寬資源可以通過上云實現更集中的使用,其實在某種程度上也是一種節約,而云安全也是一個伴隨新技術產生的物種。
呂一平指出,現在做云原生安全,其實是把安全做成一種服務,當業務上到云以后,配套騰訊安全就會提供云原生安全的能力。
以前,許多企業都采購單一的云安全產品,來緩解特定場景下的安全問題。但隨著全球安全形勢日益嚴峻,攻擊和漏洞層出不窮,傳統異構設備堆疊式安全體系的弊端開始顯現,各安全產品孤島式分布,缺乏有效聯動,導致安全告警量大、威脅處置效率較低。“要想處理好異構問題,更高效做好防護,充分利用好算力、存儲和防護這些資源,提供安全保障,這些復雜任務都交給了云廠商,對于企業來講是簡化工作,降低成本一個方式。”呂一平如是說。
值得一提的是,對于大量中小企業來講,安全從業人員人力很貴,而安全能力建設其實也需要花比較大的成本,對于他們,投入這么高的成本滿足業務需求,其實不是一個很經濟的方式。而云原生安全“一體化”的這種服務形式,讓中小微企業也能以較低的成本建立起自適應的全視角安全免疫系統。因此對于中小企業來說,從整體上的安全防護上提升了一個水位,安全從“奢侈品”變成“日用品”。
在聶君看來。現在很多安全問題,做的深入之后都是底層架構的問題,因為安全從來不是獨立存在,其實是跟整個IT基礎設施、研發結構相關的,底層架構基本上限制和制約了問題的解決效率。云原生讓整個IT基礎結構發生了革命性的變化,在變化的過程當中把安全的能力嵌入到云的環境里面,這也為安全帶來革命性的變化。
當問及目前這種云化的、SAAS化的服務在國內的接受程度和發展如何?聶君告訴雷峰網出于服務的數據安全性和隱私保護,一些大B客戶還是有些顧慮。例如服務的質量和響應級別是否能夠達到原來本地化、私有化安全的響應級別和質量?
面對這些問題,一方面需要甲方客戶打開自己;另一方面需要乙方安全廠商提升自我數據安全保護、服務能力連續性、服務能力的水準、本身自我安全的證明。
產業互聯網安全建設正在加速演進變化
數據泄露、勒索攻擊、供應鏈攻擊等安全事件持續高發,安全已經成為制約企業健康發展的生命線。
隨著“互聯網+”的推進,眾多傳統行業逐步數據化、在線化、移動化、遠程化,同時更多消費者卷入互聯網,產生的數據和信息也呈爆炸式增長。如何保障并提升信息安全,為社會經濟健康發展保駕護航,這為信息安全領域提出了新的課題和使命。
但受限于傳統企業管理理念和組織架構,“擔責無權”的安全部門既要當好企業健康發展的“守門人”,又因在企業內部組織架構中處于“小馬拉大車”位置,往往無法真正將安全工作貫徹到實處。
就拿金融行業舉例來說,對安全要求是最高的。聶君指出近些年,金融行業在網絡安全建設理念上也發生了以下三個變化:
第一:過去幾年,包括銀行、證券、券商,網絡安全組織結構發生的變化最大。以前一個銀行可能也就3—5個安全人員,現在都升級為一個安全運營中心,動輒就達到上百人。解決了原來小馬拉大車問題。
第二:在安全建設思路,已經從過去買設備的階段過度到了安全運營的階段,也就是安全從合規驅動變成了由實戰驅動。原來大家做安全的思路都是由事中檢測,事后處置,這個方面投入大量的預算。現在大家發現,其實把這方面的安全預算放在事前的時候,可能取得的經濟效果會更好一些。
第三:行業內聯防聯動、行業內的漏洞情報共享等機制多了起來,從單打獨斗變化為聚合能量形成對抗攻擊者的能力。
呂一平補充說,以前做安全更多是處于應急響應的事件驅動,現在安全變成了常態化,作為安全從業人員就要思考怎么安全怎么和業務結合。安全技術的能力跟業務進行緊密結合以后,對客戶的成本和利潤都是有正向的幫助。這是更顯性地體現安全價值。騰訊安全目前在金融反欺詐也已經給出了一個很好的方案。
面對加速演進變化的產業互聯網,我們不僅要從過往的安全事件中吸取教訓,更要對產業互聯網可能遇到的安全威脅進行預判。《產業互聯網安全十大趨勢》已連續三年發布,以騰訊安全、騰訊研究院等為代表的各類機構持續聚焦產業安全,創新驅動了行業不斷探索使用新技術、新思路、新方法和新路徑,一起為產業互聯網的安全發展貢獻了力量。
以下是報告中提到的產業互聯網安全十大趨勢:
趨勢一:產業安全建設將成為企業數字化實踐的“前置條件”
趨勢二:立法監管趨嚴,企業安全“巡檢”常態化
趨勢三:安全將成為企業治理水平的重要度量
趨勢四:從“奢侈品”到“日用品”,構建安全免疫力成為新共識
趨勢五:反欺詐風控策略由“體驗優先”向“動態治理”轉變
趨勢六:安全合規成為企業出海的核心關注
趨勢七:云原生安全“一體化”將大幅提升企業安全水位
趨勢八:數據風險挑戰供應鏈安全,數據安全中心持續推進安全治理
趨勢九:ChatGPT大模型AI計算廣泛應用安全領域,攻防進入智能化對抗時代
趨勢十:多重勒索成為常態,勒索攻擊對產業安全威脅有增無減
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
