在信息化時(shí)代，數(shù)字化轉(zhuǎn)型幾乎已經(jīng)成為所有企業(yè)的必選項(xiàng)，但隨著數(shù)字化轉(zhuǎn)型的加速，產(chǎn)業(yè)互聯(lián)網(wǎng)安全問(wèn)題日益突出。尤其，在后疫情時(shí)代，全社會(huì)、全行業(yè)、全產(chǎn)業(yè)鏈正面臨著新的發(fā)展機(jī)遇和風(fēng)險(xiǎn)挑戰(zhàn)。

在此背景下，3月21日，中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟、《中國(guó)信息安全》雜志、南方日?qǐng)?bào)、中國(guó)網(wǎng)絡(luò)空間新興技術(shù)創(chuàng)新論壇、騰訊安全、騰訊研究院聯(lián)合推出《2023產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》。報(bào)告從宏觀態(tài)勢(shì)、產(chǎn)業(yè)實(shí)踐、技術(shù)演進(jìn)三個(gè)維度對(duì)產(chǎn)業(yè)安全的核心議題進(jìn)行分析研判，給產(chǎn)業(yè)互聯(lián)網(wǎng)健康可持續(xù)發(fā)展提供指引。

騰訊副總裁丁珂表示：“在數(shù)字新時(shí)代，當(dāng)前最重要的任務(wù)便是明確安全行業(yè)發(fā)展趨勢(shì)，讓安全以全新的視角構(gòu)筑產(chǎn)業(yè)數(shù)字化底座。2023年，外部欺詐威脅、企業(yè)出海合規(guī)與安全風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)、數(shù)據(jù)泄露、AIGC隱形危機(jī)、多重勒索攻擊等諸多安全挑戰(zhàn)依然存在，不同發(fā)展階段的企業(yè)安全水位也嚴(yán)重不均衡。產(chǎn)業(yè)應(yīng)當(dāng)以一體化的安全免疫力建設(shè)思路，盡快彌補(bǔ)安全短板，筑牢數(shù)字化底座?！?/p>

雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))與部分媒體就產(chǎn)業(yè)互聯(lián)網(wǎng)安全的相關(guān)發(fā)展現(xiàn)狀和趨勢(shì)與《趨勢(shì)》兩位編委會(huì)成員騰訊安全策略發(fā)展中心總經(jīng)理呂一平、知其安創(chuàng)始人兼CEO聶君進(jìn)行了深入的交流。他們就目前產(chǎn)業(yè)互聯(lián)網(wǎng)面臨的諸多安全挑戰(zhàn)，以及未來(lái)發(fā)展進(jìn)行了分享。 

AI帶來(lái)新風(fēng)險(xiǎn)，云原生安全為安全行業(yè)帶來(lái)革命性變化 

人工智能是一把雙刃劍。報(bào)告中提出一個(gè)趨勢(shì)是：ChatGPT 大模型 AI 計(jì)算廣泛應(yīng)用安全領(lǐng)域，攻防進(jìn)入智能化對(duì)抗時(shí)代。 

聶君認(rèn)為：一方面，人工智能可用于提高網(wǎng)絡(luò)安全的效率，帶來(lái)積極作用，包括自動(dòng)檢測(cè)和響應(yīng)威脅、智能識(shí)別漏洞；另一方面，黑客也可將人工智能技術(shù)用于網(wǎng)絡(luò)犯罪活動(dòng)，這將是對(duì)網(wǎng)絡(luò)安全的真正威脅。另外，ChatGPT也會(huì)帶來(lái)一些數(shù)據(jù)安全的隱患，它的服務(wù)器在國(guó)外，大家在使用過(guò)程中會(huì)把一些代碼以及敏感信息輸入進(jìn)去從而帶來(lái)數(shù)據(jù)安全風(fēng)險(xiǎn)。再者，ChatGPT并不提供驗(yàn)真或者驗(yàn)偽的作用，如果直接讓ChatGPT來(lái)確認(rèn)安全結(jié)果，則會(huì)帶來(lái)一些隱患問(wèn)題。

呂一平補(bǔ)充說(shuō)：“新技術(shù)帶來(lái)的風(fēng)險(xiǎn)還不止于此?！盋hatGPT產(chǎn)生的一些內(nèi)容，其實(shí)沒(méi)有驗(yàn)真和驗(yàn)偽這個(gè)概念，在詐騙、釣魚(yú)的場(chǎng)景下很容易被利用，例如“社工”，意思就是通過(guò)聊天誘使你去點(diǎn)擊惡意鏈接，從而達(dá)到攻擊或者偷竊數(shù)據(jù)的目的，而ChatGPT可以直接生產(chǎn)劇本，進(jìn)行針對(duì)性的多樣化釣魚(yú)攻擊詐騙。

報(bào)告中提到，云原生安全“一體化”將大幅提升企業(yè)安全水位。對(duì)于此呂一平解釋說(shuō)，由于上云是大趨勢(shì)，因?yàn)楝F(xiàn)在國(guó)家倡導(dǎo)一個(gè)概念叫“集約化建設(shè)”，上云能夠非常好的契合大趨勢(shì)，不管是業(yè)務(wù)需要的算力資源、存儲(chǔ)資源、網(wǎng)絡(luò)帶寬資源可以通過(guò)上云實(shí)現(xiàn)更集中的使用，其實(shí)在某種程度上也是一種節(jié)約，而云安全也是一個(gè)伴隨新技術(shù)產(chǎn)生的物種。

呂一平指出，現(xiàn)在做云原生安全，其實(shí)是把安全做成一種服務(wù)，當(dāng)業(yè)務(wù)上到云以后，配套騰訊安全就會(huì)提供云原生安全的能力。

以前，許多企業(yè)都采購(gòu)單一的云安全產(chǎn)品，來(lái)緩解特定場(chǎng)景下的安全問(wèn)題。但隨著全球安全形勢(shì)日益嚴(yán)峻，攻擊和漏洞層出不窮，傳統(tǒng)異構(gòu)設(shè)備堆疊式安全體系的弊端開(kāi)始顯現(xiàn)，各安全產(chǎn)品孤島式分布，缺乏有效聯(lián)動(dòng)，導(dǎo)致安全告警量大、威脅處置效率較低。“要想處理好異構(gòu)問(wèn)題，更高效做好防護(hù)，充分利用好算力、存儲(chǔ)和防護(hù)這些資源，提供安全保障，這些復(fù)雜任務(wù)都交給了云廠商，對(duì)于企業(yè)來(lái)講是簡(jiǎn)化工作，降低成本一個(gè)方式?！眳我黄饺缡钦f(shuō)。 

值得一提的是，對(duì)于大量中小企業(yè)來(lái)講，安全從業(yè)人員人力很貴，而安全能力建設(shè)其實(shí)也需要花比較大的成本，對(duì)于他們，投入這么高的成本滿足業(yè)務(wù)需求，其實(shí)不是一個(gè)很經(jīng)濟(jì)的方式。而云原生安全“一體化”的這種服務(wù)形式，讓中小微企業(yè)也能以較低的成本建立起自適應(yīng)的全視角安全免疫系統(tǒng)。因此對(duì)于中小企業(yè)來(lái)說(shuō)，從整體上的安全防護(hù)上提升了一個(gè)水位，安全從“奢侈品”變成“日用品”。

在聶君看來(lái)。現(xiàn)在很多安全問(wèn)題，做的深入之后都是底層架構(gòu)的問(wèn)題，因?yàn)榘踩珡膩?lái)不是獨(dú)立存在，其實(shí)是跟整個(gè)IT基礎(chǔ)設(shè)施、研發(fā)結(jié)構(gòu)相關(guān)的，底層架構(gòu)基本上限制和制約了問(wèn)題的解決效率。云原生讓整個(gè)IT基礎(chǔ)結(jié)構(gòu)發(fā)生了革命性的變化，在變化的過(guò)程當(dāng)中把安全的能力嵌入到云的環(huán)境里面，這也為安全帶來(lái)革命性的變化。

當(dāng)問(wèn)及目前這種云化的、SAAS化的服務(wù)在國(guó)內(nèi)的接受程度和發(fā)展如何？聶君告訴雷峰網(wǎng)出于服務(wù)的數(shù)據(jù)安全性和隱私保護(hù)，一些大B客戶還是有些顧慮。例如服務(wù)的質(zhì)量和響應(yīng)級(jí)別是否能夠達(dá)到原來(lái)本地化、私有化安全的響應(yīng)級(jí)別和質(zhì)量？

面對(duì)這些問(wèn)題，一方面需要甲方客戶打開(kāi)自己；另一方面需要乙方安全廠商提升自我數(shù)據(jù)安全保護(hù)、服務(wù)能力連續(xù)性、服務(wù)能力的水準(zhǔn)、本身自我安全的證明。

產(chǎn)業(yè)互聯(lián)網(wǎng)安全建設(shè)正在加速演進(jìn)變化

數(shù)據(jù)泄露、勒索攻擊、供應(yīng)鏈攻擊等安全事件持續(xù)高發(fā)，安全已經(jīng)成為制約企業(yè)健康發(fā)展的生命線。

隨著“互聯(lián)網(wǎng)+”的推進(jìn)，眾多傳統(tǒng)行業(yè)逐步數(shù)據(jù)化、在線化、移動(dòng)化、遠(yuǎn)程化，同時(shí)更多消費(fèi)者卷入互聯(lián)網(wǎng)，產(chǎn)生的數(shù)據(jù)和信息也呈爆炸式增長(zhǎng)。如何保障并提升信息安全，為社會(huì)經(jīng)濟(jì)健康發(fā)展保駕護(hù)航，這為信息安全領(lǐng)域提出了新的課題和使命。

但受限于傳統(tǒng)企業(yè)管理理念和組織架構(gòu)，“擔(dān)責(zé)無(wú)權(quán)”的安全部門(mén)既要當(dāng)好企業(yè)健康發(fā)展的“守門(mén)人”，又因在企業(yè)內(nèi)部組織架構(gòu)中處于“小馬拉大車(chē)”位置，往往無(wú)法真正將安全工作貫徹到實(shí)處。

就拿金融行業(yè)舉例來(lái)說(shuō)，對(duì)安全要求是最高的。聶君指出近些年，金融行業(yè)在網(wǎng)絡(luò)安全建設(shè)理念上也發(fā)生了以下三個(gè)變化：

第一：過(guò)去幾年，包括銀行、證券、券商，網(wǎng)絡(luò)安全組織結(jié)構(gòu)發(fā)生的變化最大。以前一個(gè)銀行可能也就3—5個(gè)安全人員，現(xiàn)在都升級(jí)為一個(gè)安全運(yùn)營(yíng)中心，動(dòng)輒就達(dá)到上百人。解決了原來(lái)小馬拉大車(chē)問(wèn)題。

第二：在安全建設(shè)思路，已經(jīng)從過(guò)去買(mǎi)設(shè)備的階段過(guò)度到了安全運(yùn)營(yíng)的階段，也就是安全從合規(guī)驅(qū)動(dòng)變成了由實(shí)戰(zhàn)驅(qū)動(dòng)。原來(lái)大家做安全的思路都是由事中檢測(cè)，事后處置，這個(gè)方面投入大量的預(yù)算?，F(xiàn)在大家發(fā)現(xiàn)，其實(shí)把這方面的安全預(yù)算放在事前的時(shí)候，可能取得的經(jīng)濟(jì)效果會(huì)更好一些。

第三：行業(yè)內(nèi)聯(lián)防聯(lián)動(dòng)、行業(yè)內(nèi)的漏洞情報(bào)共享等機(jī)制多了起來(lái)，從單打獨(dú)斗變化為聚合能量形成對(duì)抗攻擊者的能力。

呂一平補(bǔ)充說(shuō)，以前做安全更多是處于應(yīng)急響應(yīng)的事件驅(qū)動(dòng)，現(xiàn)在安全變成了常態(tài)化，作為安全從業(yè)人員就要思考怎么安全怎么和業(yè)務(wù)結(jié)合。安全技術(shù)的能力跟業(yè)務(wù)進(jìn)行緊密結(jié)合以后，對(duì)客戶的成本和利潤(rùn)都是有正向的幫助。這是更顯性地體現(xiàn)安全價(jià)值。騰訊安全目前在金融反欺詐也已經(jīng)給出了一個(gè)很好的方案。

面對(duì)加速演進(jìn)變化的產(chǎn)業(yè)互聯(lián)網(wǎng)，我們不僅要從過(guò)往的安全事件中吸取教訓(xùn)，更要對(duì)產(chǎn)業(yè)互聯(lián)網(wǎng)可能遇到的安全威脅進(jìn)行預(yù)判?！懂a(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》已連續(xù)三年發(fā)布，以騰訊安全、騰訊研究院等為代表的各類(lèi)機(jī)構(gòu)持續(xù)聚焦產(chǎn)業(yè)安全，創(chuàng)新驅(qū)動(dòng)了行業(yè)不斷探索使用新技術(shù)、新思路、新方法和新路徑，一起為產(chǎn)業(yè)互聯(lián)網(wǎng)的安全發(fā)展貢獻(xiàn)了力量。

以下是報(bào)告中提到的產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)：

趨勢(shì)一：產(chǎn)業(yè)安全建設(shè)將成為企業(yè)數(shù)字化實(shí)踐的“前置條件”

趨勢(shì)二：立法監(jiān)管趨嚴(yán)，企業(yè)安全“巡檢”常態(tài)化

趨勢(shì)三：安全將成為企業(yè)治理水平的重要度量

趨勢(shì)四：從“奢侈品”到“日用品”，構(gòu)建安全免疫力成為新共識(shí)

趨勢(shì)五：反欺詐風(fēng)控策略由“體驗(yàn)優(yōu)先”向“動(dòng)態(tài)治理”轉(zhuǎn)變

趨勢(shì)六：安全合規(guī)成為企業(yè)出海的核心關(guān)注

趨勢(shì)七：云原生安全“一體化”將大幅提升企業(yè)安全水位

趨勢(shì)八：數(shù)據(jù)風(fēng)險(xiǎn)挑戰(zhàn)供應(yīng)鏈安全，數(shù)據(jù)安全中心持續(xù)推進(jìn)安全治理

趨勢(shì)九：ChatGPT大模型AI計(jì)算廣泛應(yīng)用安全領(lǐng)域，攻防進(jìn)入智能化對(duì)抗時(shí)代

趨勢(shì)十：多重勒索成為常態(tài)，勒索攻擊對(duì)產(chǎn)業(yè)安全威脅有增無(wú)減

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。