《2023产业互联网安全十大趋势》发布(附报告全文)
3月21日,中国产业互联网发展联盟、《中国信息安全》杂志、南方日报、中国网络空间新兴技术创新论坛、腾讯安全、腾讯研究院联合推出《2023产业互联网安全十大趋势》。
报告汇聚了中国产业互联网发展联盟常务副秘书长陈胜喜、《中国信息安全》杂志社执行董事温哲、南方日报副社长王更辉、腾讯副总裁丁珂、腾讯研究院院长司晓等30余位行业专家、学者、智库对产业安全趋势的思考与研判,从宏观态势、产业实践、技术演进三个维度对产业安全的核心议题进行分析研判,给产业互联网健康可持续发展提供指引。
以下是报告全文。
趋势一:产业安全建设将成为企业数字化实践的“前置条件”
2023年是全面贯彻落实党的二十大精神的开局之年,高质量发展,是全面建设社会主义现代化国家的首要任务。高水平安全,是高质量发展的前提。高质量发展,同样是指导产业数字化转型升级、企业健康可持续经营的重要政策牵引。实现高质量发展,需要统筹发展和安全、坚持发展和安全并重,实现高质量发展和高水平安全的良性互动。对于参与其中的市场主体而言,需要树立正确的产业发展安全观念、建立企业安全免疫系统、重视安全管理和评估;随着数据生产要素的价值不断被发掘和被释放,需要全面建设防范风险的能力,为数据在安全前提下的融通流动及数字业务的创新发展构建基础,为企业长期可持续发展提供保障。
尤其随着人工智能、大数据、数字孪生等新技术的融合应用,中国数实经济发展正步入一个全新阶段,安全将为产业发展三个“新动能”提供关键支撑作用。
因此,在产业互联网时代,基于企业高质量发展的自身需求,安全建设将成为企业数字化实践的“前置条件”和“基础底座”;企业安全建设思路将更加前置,真正做到以安全为始、以安全为终。
趋势二:立法监管趋严,企业安全“巡检”常态化
在过去一个阶段,IT基础设施建设、网络安全以及信息安全的不断发展,催生了大量被动式安全解决方案;尤其在相关监管法规建设相对滞后阶段,企业在安全建设方面往往也是“鸵鸟心态”,认为安全投入是企业运营的成本项,追求“合规”而忽视“实效”。随着我国网络安全与产业安全相关立法顶层设计和主体框架日趋完善,这种情况已经发生彻底改变。
近年,国家密集出台了《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等法律法规及《关键信息基础设施安07全保护要求》、等级保护2.0等系列配套标准,对市场主体的安全边界、安全责任等作出了系统要求。尤其随着党的二十大进一步明确关于中国数字经济发展以及产业安全的总体框架,对应的产业安全治理制度、处罚条例均基于产业发展的新形势、新阶段不断细化修正。
目前,产业安全相关的监管部门对于违反网络安全、信息保护等相关法律法规的处罚主要采取后置处罚手段,改正、罚款、整顿、下架业务、吊销许可证或营业执照、导致企业忽视安全建设的风险成本被指数级放大。例如,“监管标准化数据”存在数据质量违法违规行为为由,对21家银行进行大规模处罚。
2023年,安全相关的立法、监管与执法,将会聚焦于产业高质量发展、数据合规和隐私保护等层面,对企业数字化实践和创新,给予更多的监管、约束和引导,常态化安全巡检将成为监管及企业自我健康诊断的重
要手段。短期内,合规会挤出产业中存在的一些痼疾与泡沫,通过数字经济的合规治理,尽可能降低数实融合趋势中的风险。从长期来看,合规能够实现“从合规要发展”及“以监管促发展”的目标。
趋势三:安全将成为企业治理水平的重要度量
过去,网络安全威胁风险程度较低、攻击相对不太复杂,同时,企业传统IT系统建设周期很长,安全建设通常按固定周期做风险评估、漏洞扫描、补丁管理,安全工作可以按部就班进行滚动周期的管理,网络安全部门长期作为企业IT部门的一个分支存在,并未被纳入企业经营管理的核心部分。
随着产业数字化进程提速,企业越来越多地将数字资产转移到云上,企业发展效率提升同时也导致攻击面加大,7*24小时业务“在线”也带来了7*24小时安全防护的需求。加之,DevSecOps、容器等云原生方法的引入,打破了传统网络安全边界,传统的安全建设方法和组织架构都亟需更新。
数据泄露、勒索攻击、供应链攻击等安全事件持续高发,安全已经成为制约企业健康发展的生命线。在这一背景下,安全被企业提升到前所未有的重要程度;但受限于传统企业管理理念和组织架构,“担责无权”的安全部门既要当好企业健康发展的“守门人”,又因在企业内部组织架构中处于“小马拉大车”位置,往往无法真正将安全工作贯彻到实处。
面对日益严峻的安全挑战,企业在安全建设上不再寄期望于先发展后治理。“安全左移”成为行业共识,安全活动逐步进入企业生产环节,参与企业发展战略、进入产品研发生命周期全流程。这种生产流程的改变,也需要从组织架构上予以支撑。企业重视安全,除了增加人力和预算、技术投入外,安全管理工作将纳入核心管理团队,成为企业治理水平的重要度量。
趋势四:从“奢侈品”到“日用品”,构建安全免疫力成为新共识
当前,企业安全建设普遍处于升级转型的关键阶段。从“十三五”期间的企业数字化浪潮初至,到“十四五”的数字化建设逐步进入深水区,企业对安全的思考和对安全技术、能力、人才、管理体系的储备已经具备一定基础。下一个阶段,构建企业级的安全免疫体系将成为企业普遍的关注重点,着力建设涵盖企业发展全生命周期、企业运行全流程以及产业链各环节的安全“穹顶”。
现阶段,不同产业领域、不同规模企业的安全建设水平仍有较大差距
在金融、政务、传媒等数字化进程较快的重点行业,由于安全建设需求旺盛、成本充足、合规导向明确,基本上已经建立起集团级的安全免疫力,包括安全技术和能力的贯通,也包括人才储备、生态支持、弹性扩容能力、灾备能力等。但在更长尾的中部企业及小微企业队列,被划归为“成本中心”的安全投入往往被视为“奢侈品”,很难以较低的成本建立起自适应的安全免疫系统。
随着云原生及SaaS化发展趋势,以及技术与产品的创新改变现有的安全供给体系的环境中,中等以下规模的企业也能建立起全视角的安全免疫力,安全正在从“奢侈品”变为“日用品”。
此外,企业安全免疫系统之间也非孤立的。企业与企业之间的安全投入、安全建设应保持高度的兼容与同频,在安全产业底层实现技术、产品、服务的充分流动,通过行业协同与行业竞争,促进“安全底座”的自我优化、自我迭代,为数字经济提供动态稳定的底层支持。
趋势五:反欺诈风控策略由“体验优先'向“动态治理'转变
伴随企业数字化转型的深入,安全风险从传统网络安全向各类业务安全快速转移,企业面临更多来自外部的欺诈和未知威胁,其手段和方式不断翻新,如刷榜刷单、恶意骗贷、欺诈广告、流量作弊、恶意占票、虚假申请等。有机构测算,网络欺诈导致的损失占GDP比例达0.63%,约4000多亿元规模之巨。
加强反欺诈体系建设成为企业大势所趋,但在线业务方便、快捷、高效的特点,让反欺诈策略的制定往往遵循“用户体验优先”,在不影响大部分用户体验的前提下以“无感式”“一刀切”“大颗粒”的反欺诈策略开展。
在高质量发展战略牵引及个人隐私信息保护相关法律条例的施行下,企业经营由跑马圈地进入精耕细作阶段,以极致体验快速抢夺市场的竞争策略已经成为过去。企业需要以动态的视角平衡欺诈损失和客户体验,根据业务峰值和黑灰产攻击态势,灵活在“安全优先”与“合规优先”的两极之间不断精细化反欺诈策略,护航业务健康发展。
从另一方面看,“无感式”的风控策略反而将引发用户对隐私数据保护的担忧。在数据隐私事件频发的背景下,用户隐私保护意识显著提升,已普遍接受验证码、人脸识别等身份识别手段不再是影响产品使用体验的掣肘,而是为了提升整体产品的安全水位。尤其在金融场景中,太过“顺滑”的体验反而将引发用户对平台及产品的安全性质疑。
黑灰产的攻击态势严峻,也让过往单一的风控策略显得滞后。欺诈风险由过往集中在金融行业向全行业渗透;由账号开通到商业变现的线性流程变为业务与用户及供应链关系网状风险,任何一个业务环节的缺口都有可能被黑灰产利用。
趋势六:安全合规成为企业出海的核心关注
中国企业出海正在迎来新一轮的浪潮。据《埃森哲2022中国企业国际化调研》报告显示,多重因素正在推动中国企业加速出海步伐,95%受访的中国“出海”企业认为自己未来3年海外业务的增长可以超过5%。
在云计算、大数据、AI等技术的支持下,企业出海的门槛大大降低,进一步催生了新一轮的企业出海热潮。在频发的出海企业被当地处罚事件以及全球趋严的数据安全相关出台的背景下,中国出海企业在关注市场机遇的同时,开始将安全合规列入最高优先级事项中。
01 数据隐私保护首当其冲
全球范围内围绕数据安全的立法已臻完善。目前,全球约80%的国家已经完成数据安全和隐私立法或者已提出法律草案。尤其在过去两年间,东南亚等地区加快修订数据安全相关法规。更严格的监管体系和框架,意味着企业出海要针对性地了解当地法规,除了典型的“数据不出域”和“告知-同意”原则等,不同类型企业、不同用途的数据使用场景在不同国家和地区也有截然不同的监管政策。
02 业务逻辑层面的风险预判与应对是企业“本地化”的关键
以跨境电商、游戏、社交等业态为代表的出海企业,不仅要打磨产品,更要能结合当地文化风俗、商业习惯等特点凸显“本地化”价值。但在这个过程中,出海企业会面临更加复杂的业务逻辑层面的风险。内容安全风险、信用支付欺诈等风险都需要出海企业建立全新应对体系和经验。
03 出海企业将面临海外更严峻的网络攻击
以DDoS攻击为例,全球企业均饱受此类攻击困扰。腾讯安全发布的《2022年DDoS攻击威胁报告》显示,几乎在所有月份,东南亚区域的DDoS攻击在海外区域的占比都高居第一;从行业来看,游戏行业作为DDoS攻击的高发地,在2022年依旧被黑产威胁所困扰,攻击占比在全行业中位居第一,相比2021年也有大幅提升。
趋势七:云原生安全“一体化”将大幅度企业安全水位
在云原生技术框架下,软件的架构方式、生产方式和运行方式都发生了深刻的变革,整个安全的边界变得更模糊、更细粒度。
以前,许多企业都采购单一的云安全产品,来缓解特定场景下的安全问题。但随着全球安全形势日益严峻,攻击和漏洞层出不穷,传统异构设备堆叠式安全体系的弊端开始显现,各安全产品孤岛式分布,缺乏有效联动,导致安全告警量大、威胁处置效率较低。企业安全人才储备存在严重供需不匹配,许多企业都未配备专业的安全运营团队,叠加产业安全相对较高的建设门槛,大量企业还处于较低的安全水位。
因此,云原生安全产品在提高防护能力的同时,将更加聚焦降低使用门槛,通过云上“一体化”思路快速提升中小厂商的安全水位。
一体化的综合解决方案,可以解决企业安全设备多、安全运营难等问题,帮助企业构建高效的云上原生安全防御体系。所谓“一体化”,并不是简单地把一些云原生安全产品串联起来,而是从产品、技术架构、安全能力和运维体系等多维度进行整合打通,通过可视化平台实现各道安全防线的协同联动,打破信息孤岛,做到安全不漏防,防御工事更加坚固。
此外,如今云原生安全所涉及的范围也越来越广,架构也越来越复杂,包括从云原生基础设施到云原生应用、再到Devops运营管理的全方位的安全防御体系。面对如此庞杂的安全链条,如果仅仅凭借某一家安全厂商的技术能力和产品,是不可能保障云原生环境安全与稳定的。未来,云服务提供商可以深度绑定不同领域的安全厂商,结合厂商的产品能力、研发能力等经验和优势,基于云原生的技术架构,建设一个开放且较为有效的云原生安全环境。
趋势八:数据风险挑战供应链安全,数据安全中心持续推进安全治理
随着全球发展进入战略机遇和风险挑战并存、不确定因素增多的时期,新冠肺炎疫情、局部战争等风险因素对全球供应链的连锁反应已在网络安全层面有所显现。全球化合作与软件开源协作使得攻击者正处于一个非常有利的位置,更易于寻找到供应链中最薄弱的环节。
《网络安全法》《数据安全法》《个人信息保护法》三部法律的颁布,以及《信息安全技术个人信息安全规范》等行业标准的实施,将数据安全治理工作提升至安全体系建设的重中之重,也成为企业供应链风险管控的核心目标之一。
统筹来看,数据安全产品不仅包括数据库安全防御、数据防泄露、数据容灾备份及数据脱敏等,也涵盖关注云存储全、数据风险动态评估、跨平台数据安全、数据安全虚拟防护等前瞻领域,因此在企业视角围绕数据安全建设整体安全中心、在供应链视角推动数据安全一致性保障,将会是应对企业供应链安全风险的有效思路。
01 在数据安全合规应对层面
快速发现资产内是否涉及敏感信息,自动生成数据资产、敏感资产盘点、合规差距、综合数据安全治理多维度报告,并提供相应的技术控制能力,为数据安全法律及行业合规标准的管理要求、安全保护策略落地,提供有力的技术基础。
02 在日常数据安全运营层面
围绕核心数据资产,识别核心数据资产风险,按风险类型归集并输入风险差距分析矩阵,根据数据安全场景,进行现状差距分析,输出风险消除缓解策略,以便采取对应的保护措施,防止数据泄露。
03 在综合数据安全治理层面
基于数据安全中心,形成数据资产梳理、安全风险预警、安全运营、响应处置、安全管控六大数据安全能力,支撑业务体系做好数据分级分类、访问权限控制、数据加密、数据脱敏、数据备份等数据安全基础能力建设,构建管理、技术、流程闭环与持续运营监测响应数据安全治理能力。
趋势九:ChatGPT大模型AI计算广泛应用安全领域,攻防进入智能化对抗时代
人工智能技术为各行各业的业务和人们的生活带来了巨大的发展潜力,也为网络安全形势带来前所未有的挑战。人工智能是一把双刃剑,一方面,人工智能可用于提高网络安全的效率,包括自动检测和响应威胁、智能识别漏洞;另一方面,黑客也可将人工智能技术用于网络犯罪活动,这将是对网络安全的真正威胁。以ChatGPT为代表的人工智能技术掀起新一轮的人工智能革命,也会引发潜在新型攻击和内容合规等安全风险。
ChatGPT基于强大的基础模型、高质量的样本数据、基于人类反馈的强化学习三大能力,带来了巨大的可能性。然而随着生成式人工智能技术的进步,网络攻击者可以轻松地进行微调和针对性的攻击,因此ChatGPT将对网络安全构成严重的威胁。目前,网络攻击者已开始使用ChatGPT创建恶意软件、暗网站点和其他实施网络攻击的工具。
此外,使用ChatGPT编写用于网络攻击的恶意软件代码,将会大大降低攻击者的编程或技术能力门槛,将导致即使没有技术基础也能成为攻击者。
同时,人工智能赋能网络攻击与传统网络攻击在技术与手法上相比,将使过去劳动密集型、成本高昂的攻击手法开始彻底转型,朝着分布式、智能化、自动化方向发展,从而形成更为精准和快速的自动化攻击手法。未来,随着大模型AI计算被广泛应用于网络攻击各个领域,网络安全形势将更加严峻,攻防真正进入智能化对抗时代。
趋势十:多重勒索成为常态勒索攻击对产业安全威胁有增无减
勒索软件攻击持续在发生,影响范围从个人电脑到关键基础设施,甚至连一些国家安全水平最高的部门也未能幸免。云计算开源产业联盟《勒索软件防护发展报告(2022年)》显示,2022年1-6月,全球共记录了2.361亿次勒索软件攻击;世界经济论坛《2022年全球网络安全展望报告》称,勒索软件损害预计将从2015年的3.25亿美元增长到2031年的2650亿美元。
虽然勒索攻击已经是老生常谈,但由于并没有防御“银弹”,加之供应链带来的攻击面的扩大、勒索攻击手法持续进化等原因,企业遭受到的勒索攻击威胁不减反增。
早期,勒索攻击的形态是加密文件、要求支付赎金来解密文件,如果企业能保持数据备份的习惯,能在一定程度上规避勒索病毒的影响,但近两年攻击者不断升级攻击手法,开始往双重勒索或者多重勒索方面演进。双重勒索也被称为“点名羞辱”,攻击者在运行勒索病毒之前先窃取重要数据,因此除了直接索取解密赎金之外,还可以通过威胁将数据披露到暗网或者公诸于众等方式加大受害者的压力;多重勒索则是以受害者的和客户或供应商为攻击目标。
Venafi对全球范围内1000多位IT和安全决策者进行了调查,结果显示83%的成功勒索软件攻击涉及其他勒索方法,例如使用被盗数据勒索客户(38%),将数据泄露到暗网(35%),以及告知客户其数据已被泄露(32%)。
2022年的《报告》指出,未来有可能出现“勒索病毒”+“供应链漏洞”的结合,这一担忧成为现实:勒索病毒利用Log4jSpringboots等几个影响广泛的供应链漏洞大肆传播,加之勒索软件即服务(RaaS)等黑灰产工业化、专业化程度提升,勒索攻击门槛进一步降低、影响面指数级扩大,或对不同行业、不同体量的企业造成无差别攻击。
企业在数字化进程中还将持续面临勒索病毒的威胁。一方面,安全厂商需要推动更有效的勒索病毒防治相关产品的研发;
另一方面,由于勒索攻击实际上是对企业安全建设薄弱环节的利用,任何一个疏漏都有可能导致攻击的发生,因此要想加强应对能力,企业需要从源头把安全纵深防御的基线筑牢、构筑内生免疫能力,并通过勒索病毒防治方案“加强针”实现对勒索攻击的免疫。
