0
3月21日,中國產業互聯網發展聯盟、《中國信息安全》雜志、南方日報、中國網絡空間新興技術創新論壇、騰訊安全、騰訊研究院聯合推出《2023產業互聯網安全十大趨勢》。
報告匯聚了網絡與信息安全專家、中國工程院院士方濱興、中國產業互聯網發展聯盟常務副秘書長陳勝喜、《中國信息安全》雜志社執行董事溫哲、南方日報副社長王更輝、騰訊副總裁丁珂、騰訊研究院院長司曉等30余位行業專家、學者、智庫對產業安全趨勢的思考與研判,從宏觀態勢、產業實踐、技術演進三個維度對產業安全的核心議題進行分析研判,給產業互聯網健康可持續發展提供指引。
中國工程院院士方濱興:
產業各界需攜手共識,建立產業發展安全觀,建設涵蓋企業人才、技術、管理、生產、服務等全鏈路數字化協同的安全防御能力,打造貫穿企業生命周期的安全免疫體系。
騰訊副總裁丁珂:
企業參與數字化時代的市場競爭、謀求新階段的高質量發展,企業家需要樹立正確的安全觀念,了解并研判產業安全發展趨勢,在戰略上以一把手工程的視角看待安全,統籌發展與安全,既要基于安全謀發展,又要以發展促安全。
《中國信息安全》雜志社執行董事溫哲:
產業安全建設將成為支撐國家“高質量發展”戰略的關鍵命題,產業安全相關立法與監管將成為國家法治進程的常態話題,產業安全工作也將成為企業組織架構調整和業務合規的重要方向。
騰訊研究院院長司曉:
伴隨數字化轉型進入“深水區”,企業對安全的投入目標也要進一步升級:從安全基礎能力的建設,轉變為向產業高質量發展提供系統化保障、提升產業抗風險能力。
南方日報副社長王更輝:
作為連通架構的產業互聯網,其安全脆弱性前所未有,需要網絡安全產業齊心協力,打破技術、行業之間的壁壘,共同構建產業互聯網安全生態。
企業應該如何在趨勢指引之下,建設攻防、事件、風險、合規一體驅動的安全免疫力?以下是報告全文。
趨勢一:產業安全建設將成為企業數字化實踐的“前置條件”
2023年是全面貫徹落實黨的二十大精神的開局之年,高質量發展,是全面建設社會主義現代化國家的首要任務。高水平安全,是高質量發展的前提。高質量發展,同樣是指導產業數字化轉型升級、企業健康可持續經營的重要政策牽引。實現高質量發展,需要統籌發展和安全、堅持發展和安全并重,實現高質量發展和高水平安全的良性互動。對于參與其中的市場主體而言,需要樹立正確的產業發展安全觀念、建立企業安全免疫系統、重視安全管理和評估;隨著數據生產要素的價值不斷被發掘和被釋放,需要全面建設防范風險的能力,為數據在安全前提下的融通流動及數字業務的創新發展構建基礎,為企業長期可持續發展提供保障。
尤其隨著人工智能、大數據、數字孿生等新技術的融合應用,中國數實經濟發展正步入一個全新階段,安全將為產業發展三個“新動能”提供關鍵支撐作用。
因此,在產業互聯網時代,基于企業高質量發展的自身需求,安全建設將成為企業數字化實踐的“前置條件”和“基礎底座”;企業安全建設思路將更加前置,真正做到以安全為始、以安全為終。
趨勢二:立法監管趨嚴,企業安全“巡檢”常態化
在過去一個階段,IT基礎設施建設、網絡安全以及信息安全的不斷發展,催生了大量被動式安全解決方案;尤其在相關監管法規建設相對滯后階段,企業在安全建設方面往往也是“鴕鳥心態”,認為安全投入是企業運營的成本項,追求“合規”而忽視“實效”。隨著我國網絡安全與產業安全相關立法頂層設計和主體框架日趨完善,這種情況已經發生徹底改變。
近年,國家密集出臺了《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》等法律法規及《關鍵信息基礎設施安07全保護要求》、等級保護2.0等系列配套標準,對市場主體的安全邊界、安全責任等作出了系統要求。尤其隨著黨的二十大進一步明確關于中國數字經濟發展以及產業安全的總體框架,對應的產業安全治理制度、處罰條例均基于產業發展的新形勢、新階段不斷細化修正。
目前,產業安全相關的監管部門對于違反網絡安全、信息保護等相關法律法規的處罰主要采取后置處罰手段,改正、罰款、整頓、下架業務、吊銷許可證或營業執照、導致企業忽視安全建設的風險成本被指數級放大。例如,“監管標準化數據”存在數據質量違法違規行為為由,對21家銀行進行大規模處罰。
2023年,安全相關的立法、監管與執法,將會聚焦于產業高質量發展、數據合規和隱私保護等層面,對企業數字化實踐和創新,給予更多的監管、約束和引導,常態化安全巡檢將成為監管及企業自我健康診斷的重
要手段。短期內,合規會擠出產業中存在的一些痼疾與泡沫,通過數字經濟的合規治理,盡可能降低數實融合趨勢中的風險。從長期來看,合規能夠實現“從合規要發展”及“以監管促發展”的目標。
趨勢三:安全將成為企業治理水平的重要度量
過去,網絡安全威脅風險程度較低、攻擊相對不太復雜,同時,企業傳統IT系統建設周期很長,安全建設通常按固定周期做風險評估、漏洞掃描、補丁管理,安全工作可以按部就班進行滾動周期的管理,網絡安全部門長期作為企業IT部門的一個分支存在,并未被納入企業經營管理的核心部分。
隨著產業數字化進程提速,企業越來越多地將數字資產轉移到云上,企業發展效率提升同時也導致攻擊面加大,7*24小時業務“在線”也帶來了 7*24小時安全防護的需求。加之,DevSecOps、容器等云原生方法的引入,打破了傳統網絡安全邊界,傳統的安全建設方法和組織架構都亟需更新。
數據泄露、勒索攻擊、供應鏈攻擊等安全事件持續高發,安全已經成為制約企業健康發展的生命線。在這一背景下,安全被企業提升到前所未有的重要程度;但受限于傳統企業管理理念和組織架構,“擔責無權”的安全部門既要當好企業健康發展的“守門人”,又因在企業內部組織架構中處于“小馬拉大車”位置,往往無法真正將安全工作貫徹到實處。
面對日益嚴峻的安全挑戰,企業在安全建設上不再寄期望于先發展后治理。“安全左移”成為行業共識,安全活動逐步進入企業生產環節,參與企業發展戰略、進入產品研發生命周期全流程。這種生產流程的改變, 也需要從組織架構上予以支撐。企業重視安全,除了增加人力和預算、技術投入外,安全管理工作將納入核心管理團隊,成為企業治理水平的重要度量。
趨勢四:從“奢侈品”到“日用品”,構建安全免疫力成為新共識
當前,企業安全建設普遍處于升級轉型的關鍵階段。從“十三五”期 間的企業數字化浪潮初至,到“十四五”的數字化建設逐步進入深水區, 企業對安全的思考和對安全技術、能力、人才、管理體系的儲備已經具備一定基礎。下一個階段,構建企業級的安全免疫體系將成為企業普遍的關注重點,著力建設涵蓋企業發展全生命周期、企業運行全流程以及產業鏈各環節的安全“穹頂”。
現階段,不同產業領域、不同規模企業的安全建設水平仍有較大差距
在金融、政務、傳媒等數字化進程較快的重點行業,由于安全建設需求旺盛、成本充足、合規導向明確,基本上已經建立起集團級的安全免疫力,包括安全技術和能力的貫通,也包括人才儲備、生態支持、彈性擴容 能力、災備能力等。但在更長尾的中部企業及小微企業隊列,被劃歸為 “成本中心”的安全投入往往被視為“奢侈品”,很難以較低的成本建立起自適應的安全免疫系統。
隨著云原生及SaaS化發展趨勢,以及技術與產品的創新改變現有的安全供給體系的環境中,中等以下規模的企業也能建立起全視角的安全免疫力,安全正在從“奢侈品”變為“日用品”。
此外,企業安全免疫系統之間也非孤立的。企業與企業之間的安全投入、安全建設應保持高度的兼容與同頻,在安全產業底層實現技術、產 品、服務的充分流動,通過行業協同與行業競爭,促進“安全底座”的自我優化、自我迭代,為數字經濟提供動態穩定的底層支持。
趨勢五:反欺詐風控策略由“體驗優先'向“動態治理'轉變
伴隨企業數字化轉型的深入,安全風險從傳統網絡安全向各類業務安全快速轉移,企業面臨更多來自外部的欺詐和未知威脅,其手段和方式不斷翻新,如刷榜刷單、惡意騙貸、欺詐廣告、流量作弊、惡意占票、虛假申請等。有機構測算,網絡欺詐導致的損失占GDP比例達0.63%,約4000多億元規模之巨。
加強反欺詐體系建設成為企業大勢所趨,但在線業務方便、快捷、高效的特點,讓反欺詐策略的制定往往遵循“用戶體驗優先”,在不影響大部分用戶體驗的前提下以“無感式”“一刀切”“大顆粒”的反欺詐策略開展。
在高質量發展戰略牽引及個人隱私信息保護相關法律條例的施行下, 企業經營由跑馬圈地進入精耕細作階段,以極致體驗快速搶奪市場的競爭策略已經成為過去。企業需要以動態的視角平衡欺詐損失和客戶體驗,根 據業務峰值和黑灰產攻擊態勢,靈活在“安全優先”與“合規優先”的兩極之間不斷精細化反欺詐策略,護航業務健康發展。
從另一方面看,“無感式”的風控策略反而將引發用戶對隱私數據保護的擔憂。在數據隱私事件頻發的背景下,用戶隱私保護意識顯著提升,已普遍接受驗證碼、人臉識別等身份識別手段不再是影響產品使用體驗的掣肘,而是為了提升整體產品的安全水位。尤其在金融場景中,太過“順滑”的體驗反而將引發用戶對平臺及產品的安全性質疑。
黑灰產的攻擊態勢嚴峻,也讓過往單一的風控策略顯得滯后。欺詐風險由過往集中在金融行業向全行業滲透;由賬號開通到商業變現的線性流程變為業務與用戶及供應鏈關系網狀風險,任何一個業務環節的缺口都有可能被黑灰產利用。
趨勢六:安全合規成為企業出海的核心關注
中國企業出海正在迎來新一輪的浪潮。據《埃森哲2022中國企業國際化調研》報告顯示,多重因素正在推動中國企業加速出海步伐,95%受訪的中國“出海”企業認為自己未來3年海外業務的增長可以超過5%。
在云計算、大數據、AI等技術的支持下,企業出海的門檻大大降低,進一步催生了新一輪的企業出海熱潮。在頻發的出海企業被當地處罰事件以及全球趨嚴的數據安全相關出臺的背景下,中國出海企業在關注市場機遇的同時,開始將安全合規列入最高優先級事項中。
數據隱私保護首當其沖
全球范圍內圍繞數據安全的立法已臻完善。目前,全球約80%的國家已經完成數據安全和隱私立法或者已提出法律草案。尤其在過去兩年間,東南亞等地區加快修訂數據安全相關法規。更嚴格的監管體系和框架,意味著企業出海要針對性地了解當地法規,除了典型的“數據不出域”和“告知-同意”原則等,不同類型企業、不同用途的數據使用場景在不同國家和地區也有截然不同的監管政策。
業務邏輯層面的風險預判與應對是企業“本地化”的關鍵
以跨境電商、游戲、社交等業態為代表的出海企業,不僅要打磨產品,更要能結合當地文化風俗、商業習慣等特點凸顯“本地化”價值。但在這個過程中,出海企業會面臨更加復雜的業務邏輯層面的風險。內容安全風險、信用支付欺詐等風險都需要出海企業建立全新應對體系和經驗。
出海企業將面臨海外更嚴峻的網絡攻擊
以DDoS攻擊為例,全球企業均飽受此類攻擊困擾。騰訊安全發布的《2022年DDoS攻擊威脅報告》顯示,幾乎在所有月份,東南亞區域的 DDoS攻擊在海外區域的占比都高居第一;從行業來看,游戲行業作為DDoS攻擊的高發地,在2022年依舊被黑產威脅所困擾,攻擊占比在全行業中位居第一,相比2021年也有大幅提升。
趨勢七:云原生安全“一體化”將大幅副企業安全水位
在云原生技術框架下,軟件的架構方式、生產方式和運行方式都發生了深刻的變革,整個安全的邊界變得更模糊、更細粒度。
以前,許多企業都采購單一的云安全產品,來緩解特定場景下的安全問題。但隨著全球安全形勢日益嚴峻,攻擊和漏洞層出不窮,傳統異構設備堆疊式安全體系的弊端開始顯現,各安全產品孤島式分布,缺乏有效聯動,導致安全告警量大、威脅處置效率較低。企業安全人才儲備存在嚴重供需不匹配,許多企業都未配備專業的安全運營團隊,疊加產業安全相對較高的建設門檻,大量企業還處于較低的安全水位。
因此,云原生安全產品在提高防護能力的同時,將更加聚焦降低使用門檻,通過云上“一體化”思路快速提升中小廠商的安全水位。
一體化的綜合解決方案,可以解決企業安全設備多、安全運營難等問題,幫助企業構建高效的云上原生安全防御體系。所謂“一體化”,并不是簡單地把一些云原生安全產品串聯起來,而是從產品、技術架構、安全能力和運維體系等多維度進行整合打通,通過可視化平臺實現各道安全防線的協同聯動,打破信息孤島,做到安全不漏防,防御工事更加堅固。
此外,如今云原生安全所涉及的范圍也越來越廣,架構也越來越復雜,包括從云原生基礎設施到云原生應用、再到Devops運營管理的全方位的安全防御體系。面對如此龐雜的安全鏈條,如果僅僅憑借某一家安全廠商的技術能力和產品,是不可能保障云原生環境安全與穩定的。未來,云服務提供商可以深度綁定不同領域的安全廠商,結合廠商的產品能力、研發能力等經驗和優勢,基于云原生的技術架構,建設一個開放且較為有效的云原生安全環境。
趨勢八:數據風險挑戰供應鏈安全,數據安全中心持續推進安全治理
隨著全球發展進入戰略機遇和風險挑戰并存、不確定因素增多的時期,新冠肺炎疫情、局部戰爭等風險因素對全球供應鏈的連鎖反應已在網絡安全層面有所顯現。全球化合作與軟件開源協作使得攻擊者正處于一個非常有利的位置,更易于尋找到供應鏈中最薄弱的環節。
《網絡安全法》《數據安全法》《個人信息保護法》三部法律的頒布,以及《信息安全技術個人信息安全規范》等行業標準的實施,將數據安全治理工作提升至安全體系建設的重中之重,也成為企業供應鏈風險管控的核心目標之一。
統籌來看,數據安全產品不僅包括數據庫安全防御、數據防泄露、數據容災備份及數據脫敏等,也涵蓋關注云存儲全、數據風險動態評估、跨平臺數據安全、數據安全虛擬防護等前瞻領域,因此在企業視角圍繞數據安全建設整體安全中心、在供應鏈視角推動數據安全一致性保障,將會是應對企業供應鏈安全風險的有效思路。
在數據安全合規應對層面
快速發現資產內是否涉及敏感信息,自動生成數據資產、敏感資產盤點、合規差距、綜合數據安全治理多維度報告,并提供相應的技術控制能力,為數據安全法律及行業合規標準的管理要求、安全保護策略落地,提供有力的技術基礎。
在日常數據安全運營層面
圍繞核心數據資產,識別核心數據資產風險,按風險類型歸集并輸入風險差距分析矩陣,根據數據安全場景,進行現狀差距分析,輸出風險消除緩解策略,以便采取對應的保護措施,防止數據泄露。
在綜合數據安全治理層面
基于數據安全中心,形成數據資產梳理、安全風險預警、安全運營、響應處置、安全管控六大數據安全能力,支撐業務體系做好數據分級分類、訪問權限控制、數據加密、數據脫敏、數據備份等數據安全基礎能力建設,構建管理、技術、流程閉環與持續運營監測響應數據安全治理能力。
趨勢九:ChatGPT大模型AI計算廣泛應用安全領域,攻防進入智能化對抗時代
人工智能技術為各行各業的業務和人們的生活帶來了巨大的發展潛力,也為網絡安全形勢帶來前所未有的挑戰。人工智能是一把雙刃劍,一方面,人工智能可用于提高網絡安全的效率,包括自動檢測和響應威脅、智能識別漏洞;另一方面,黑客也可將人工智能技術用于網絡犯罪活動, 這將是對網絡安全的真正威脅。以ChatGPT為代表的人工智能技術掀起新一輪的人工智能革命,也會引發潛在新型攻擊和內容合規等安全風險。
ChatGPT基于強大的基礎模型、高質量的樣本數據、基于人類反饋的強化學習三大能力,帶來了巨大的可能性。然而隨著生成式人工智能技術的進步,網絡攻擊者可以輕松地進行微調和針對性的攻擊,因此ChatGPT將對網絡安全構成嚴重的威脅。目前,網絡攻擊者已開始使用ChatGPT創建惡意軟件、暗網站點和其他實施網絡攻擊的工具。
此外,使用ChatGPT編寫用于網絡攻擊的惡意軟件代碼,將會大大降低攻擊者的編程或技術能力門檻,將導致即使沒有技術基礎也能成為攻擊者。
同時,人工智能賦能網絡攻擊與傳統網絡攻擊在技術與手法上相比,將使過去勞動密集型、成本高昂的攻擊手法開始徹底轉型,朝著分布式、智能化、自動化方向發展,從而形成更為精準和快速的自動化攻擊手法。未來,隨著大模型AI計算被廣泛應用于網絡攻擊各個領域,網絡安全形勢將更加嚴峻,攻防真正進入智能化對抗時代。
趨勢十:多重勒索成為常態勒索攻擊對產業安全威脅有增無減
勒索軟件攻擊持續在發生,影響范圍從個人電腦到關鍵基礎設施,甚至連一些國家安全水平最高的部門也未能幸免。云計算開源產業聯盟《勒索軟件防護發展報告(2022年)》顯示,2022年1-6月,全球共記錄了2.361億次勒索軟件攻擊;世界經濟論壇《2022年全球網絡安全展望報告》稱,勒索軟件損害預計將從2015年的3.25億美元增長到2031年的2650億美元。
雖然勒索攻擊已經是老生常談,但由于并沒有防御“銀彈”,加之供應鏈帶來的攻擊面的擴大、勒索攻擊手法持續進化等原因,企業遭受到的勒索攻擊威脅不減反增。
早期,勒索攻擊的形態是加密文件、要求支付贖金來解密文件,如果企業能保持數據備份的習慣,能在一定程度上規避勒索病毒的影響,但近兩年攻擊者不斷升級攻擊手法,開始往雙重勒索或者多重勒索方面演進。雙重勒索也被稱為“點名羞辱”,攻擊者在運行勒索病毒之前先竊取重要數據,因此除了直接索取解密贖金之外,還可以通過威脅將數據披露到暗網或者公諸于眾等方式加大受害者的壓力;多重勒索則是以受害者的和客戶或供應商為攻擊目標。
Venafi對全球范圍內1000多位IT和安全決策者進行了調查,結果顯示83%的成功勒索軟件攻擊涉及其他勒索方法,例如使用被盜數據勒索客戶(38%),將數據泄露到暗網(35%),以及告知客戶其數據已被泄露(32%)。
2022年的《報告》指出,未來有可能出現“勒索病毒”+“供應鏈漏洞”的結合,這一擔憂成為現實:勒索病毒利用Log4j\ Springboots等幾個影響廣泛的供應鏈漏洞大肆傳播,加之勒索軟件即服務(RaaS)等 黑灰產工業化、專業化程度提升,勒索攻擊門檻進一步降低、影響面指數級擴大,或對不同行業、不同體量的企業造成無差別攻擊。
企業在數字化進程中還將持續面臨勒索病毒的威脅。一方面,安全廠商需要推動更有效的勒索病毒防治相關產品的研發;
另一方面,由于勒索攻擊實際上是對企業安全建設薄弱環節的利用,任何一個疏漏都有可能導致攻擊的發生,因此要想加強應對能力,企業需要從源頭把安全縱深防御的基線筑牢、構筑內生免疫能力,并通過勒索病毒防治方案“加強針”實現對勒索攻擊的免疫。
雷峰網(公眾號:雷峰網)雷峰網
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
