在信息化时代,数字化转型几乎已经成为所有企业的必选项,但随着数字化转型的加速,产业互联网安全问题日益突出。尤其,在后疫情时代,全社会、全行业、全产业链正面临着新的发展机遇和风险挑战。
在此背景下,3月21日,中国产业互联网发展联盟、《中国信息安全》杂志、南方日报、中国网络空间新兴技术创新论坛、腾讯安全、腾讯研究院联合推出《2023产业互联网安全十大趋势》。报告从宏观态势、产业实践、技术演进三个维度对产业安全的核心议题进行分析研判,给产业互联网健康可持续发展提供指引。
腾讯副总裁丁珂表示:“在数字新时代,当前最重要的任务便是明确安全行业发展趋势,让安全以全新的视角构筑产业数字化底座。2023年,外部欺诈威胁、企业出海合规与安全风险、供应链风险、数据泄露、AIGC隐形危机、多重勒索攻击等诸多安全挑战依然存在,不同发展阶段的企业安全水位也严重不均衡。产业应当以一体化的安全免疫力建设思路,尽快弥补安全短板,筑牢数字化底座。”
雷峰网与部分媒体就产业互联网安全的相关发展现状和趋势与《趋势》两位编委会成员腾讯安全策略发展中心总经理吕一平、知其安创始人兼CEO聂君进行了深入的交流。他们就目前产业互联网面临的诸多安全挑战,以及未来发展进行了分享。
AI带来新风险,云原生安全为安全行业带来革命性变化
人工智能是一把双刃剑。报告中提出一个趋势是:ChatGPT 大模型 AI 计算广泛应用安全领域,攻防进入智能化对抗时代。
聂君认为:一方面,人工智能可用于提高网络安全的效率,带来积极作用,包括自动检测和响应威胁、智能识别漏洞;另一方面,黑客也可将人工智能技术用于网络犯罪活动,这将是对网络安全的真正威胁。另外,ChatGPT也会带来一些数据安全的隐患,它的服务器在国外,大家在使用过程中会把一些代码以及敏感信息输入进去从而带来数据安全风险。再者,ChatGPT并不提供验真或者验伪的作用,如果直接让ChatGPT来确认安全结果,则会带来一些隐患问题。
吕一平补充说:“新技术带来的风险还不止于此。”ChatGPT产生的一些内容,其实没有验真和验伪这个概念,在诈骗、钓鱼的场景下很容易被利用,例如“社工”,意思就是通过聊天诱使你去点击恶意链接,从而达到攻击或者偷窃数据的目的,而ChatGPT可以直接生产剧本,进行针对性的多样化钓鱼攻击诈骗。
报告中提到,云原生安全“一体化”将大幅提升企业安全水位。对于此吕一平解释说,由于上云是大趋势,因为现在国家倡导一个概念叫“集约化建设”,上云能够非常好的契合大趋势,不管是业务需要的算力资源、存储资源、网络带宽资源可以通过上云实现更集中的使用,其实在某种程度上也是一种节约,而云安全也是一个伴随新技术产生的物种。
吕一平指出,现在做云原生安全,其实是把安全做成一种服务,当业务上到云以后,配套腾讯安全就会提供云原生安全的能力。
以前,许多企业都采购单一的云安全产品,来缓解特定场景下的安全问题。但随着全球安全形势日益严峻,攻击和漏洞层出不穷,传统异构设备堆叠式安全体系的弊端开始显现,各安全产品孤岛式分布,缺乏有效联动,导致安全告警量大、威胁处置效率较低。“要想处理好异构问题,更高效做好防护,充分利用好算力、存储和防护这些资源,提供安全保障,这些复杂任务都交给了云厂商,对于企业来讲是简化工作,降低成本一个方式。”吕一平如是说。
值得一提的是,对于大量中小企业来讲,安全从业人员人力很贵,而安全能力建设其实也需要花比较大的成本,对于他们,投入这么高的成本满足业务需求,其实不是一个很经济的方式。而云原生安全“一体化”的这种服务形式,让中小微企业也能以较低的成本建立起自适应的全视角安全免疫系统。因此对于中小企业来说,从整体上的安全防护上提升了一个水位,安全从“奢侈品”变成“日用品”。
在聂军看来。现在很多安全问题,做的深入之后都是底层架构的问题,因为安全从来不是独立存在,其实是跟整个IT基础设施、研发结构相关的,底层架构基本上限制和制约了问题的解决效率。云原生让整个IT基础结构发生了革命性的变化,在变化的过程当中把安全的能力嵌入到云的环境里面,这也为安全带来革命性的变化。
当问及目前这种云化的、SAAS化的服务在国内的接受程度和发展如何?聂军告诉雷峰网出于服务的数据安全性和隐私保护,一些大B客户还是有些顾虑。例如服务的质量和响应级别是否能够达到原来本地化、私有化安全的响应级别和质量?
面对这些问题,一方面需要甲方客户打开自己;另一方面需要乙方安全厂商提升自我数据安全保护、服务能力连续性、服务能力的水准、本身自我安全的证明。
产业互联网安全建设正在加速演进变化
数据泄露、勒索攻击、供应链攻击等安全事件持续高发,安全已经成为制约企业健康发展的生命线。
随着“互联网+”的推进,众多传统行业逐步数据化、在线化、移动化、远程化,同时更多消费者卷入互联网,产生的数据和信息也呈爆炸式增长。如何保障并提升信息安全,为社会经济健康发展保驾护航,这为信息安全领域提出了新的课题和使命。
但受限于传统企业管理理念和组织架构,“担责无权”的安全部门既要当好企业健康发展的“守门人”,又因在企业内部组织架构中处于“小马拉大车”位置,往往无法真正将安全工作贯彻到实处。
就拿金融行业举例来说,对安全要求是最高的。聂军指出近些年,金融行业在网络安全建设理念上也发生了以下三个变化:
第一:过去几年,包括银行、证券、券商,网络安全组织结构发生的变化最大。以前一个银行可能也就3—5个安全人员,现在都升级为一个安全运营中心,动辄就达到上百人。解决了原来小马拉大车问题。
第二:在安全建设思路,已经从过去买设备的阶段过度到了安全运营的阶段,也就是安全从合规驱动变成了由实战驱动。原来大家做安全的思路都是由事中检测,事后处置,这个方面投入大量的预算。现在大家发现,其实把这方面的安全预算放在事前的时候,可能取得的经济效果会更好一些。
第三:行业内联防联动、行业内的漏洞情报共享等机制多了起来,从单打独斗变化为聚合能量形成对抗攻击者的能力。
吕一平补充说,以前做安全更多是处于应急响应的事件驱动,现在安全变成了常态化,作为安全从业人员就要思考怎么安全怎么和业务结合。安全技术的能力跟业务进行紧密结合以后,对客户的成本和利润都是有正向的帮助。这是更显性地体现安全价值。腾讯安全目前在金融反欺诈也已经给出了一个很好的方案。
面对加速演进变化的产业互联网,我们不仅要从过往的安全事件中吸取教训,更要对产业互联网可能遇到的安全威胁进行预判。《产业互联网安全十大趋势》已连续三年发布,以腾讯安全、腾讯研究院等为代表的各类机构持续聚焦产业安全,创新驱动了行业不断探索使用新技术、新思路、新方法和新路径,一起为产业互联网的安全发展贡献了力量。
以下是报告中提到的产业互联网安全十大趋势:
趋势一:产业安全建设将成为企业数字化实践的“前置条件”
趋势二:立法监管趋严,企业安全“巡检”常态化
趋势三:安全将成为企业治理水平的重要度量
趋势四:从“奢侈品”到“日用品”,构建安全免疫力成为新共识
趋势五:反欺诈风控策略由“体验优先”向“动态治理”转变
趋势六:安全合规成为企业出海的核心关注
趋势七:云原生安全“一体化”将大幅提升企业安全水位
趋势八:数据风险挑战供应链安全,数据安全中心持续推进安全治理
趋势九:ChatGPT大模型AI计算广泛应用安全领域,攻防进入智能化对抗时代
趋势十:多重勒索成为常态,勒索攻击对产业安全威胁有增无减