【騰訊研究院】2023產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)

籌瞰需呼噤Itilf善I切!5鑒I。明￥I鑑暫理塑繋懸聽褶糟丨樹蟻囲2023產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)#I在日常數(shù)據(jù)安全運(yùn)營(yíng)層面圍繞核心數(shù)據(jù)資產(chǎn)，識(shí)別核心數(shù)據(jù)資產(chǎn)風(fēng)險(xiǎn)，按風(fēng)險(xiǎn)類型歸集并輸入風(fēng)險(xiǎn)差距分析矩陣，根據(jù)數(shù)據(jù)安全場(chǎng)景，進(jìn)行現(xiàn)狀差距分析，輸出風(fēng)險(xiǎn)消除緩解策略，以便采取對(duì)應(yīng)的保護(hù)措施，防止數(shù)據(jù)泄露。I在綜合數(shù)據(jù)安全治理層面基于數(shù)據(jù)安全中心，形成數(shù)據(jù)資產(chǎn)梳理、安全風(fēng)險(xiǎn)預(yù)警、安全運(yùn)營(yíng)、響應(yīng)處置、安全管控六大數(shù)據(jù)安全能力，支撐業(yè)務(wù)體系做好數(shù)據(jù)分級(jí)分類、訪問權(quán)限控制、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)備份等數(shù)據(jù)安全基礎(chǔ)能力建設(shè)，構(gòu)建管理、技術(shù)、流程閉環(huán)與持續(xù)運(yùn)營(yíng)監(jiān)測(cè)響應(yīng)數(shù)據(jù)安全治理能力。趨勢(shì)九ChatGPT大模型AI計(jì)算廣泛應(yīng)用安全領(lǐng)域，攻防進(jìn)入智能化對(duì)抗時(shí)代人工智能技術(shù)為各行各業(yè)的業(yè)務(wù)和人們的生活帶來了巨大的發(fā)展?jié)摿?，也為網(wǎng)絡(luò)安全形勢(shì)帶來前所未有的挑戰(zhàn)。人工智能是一把雙刃劍，一方面，人工智能可用于提高網(wǎng)絡(luò)安全的效率，包括自動(dòng)檢測(cè)和響應(yīng)威脅、智能識(shí)別漏洞；另一方面，黑客也可將人工智能技術(shù)用于網(wǎng)絡(luò)犯罪活動(dòng)，這將是對(duì)網(wǎng)絡(luò)安全的真正威脅。以ChatGPT為代表的人工智能技術(shù)掀起新一輪的人工智能革命，也會(huì)引發(fā)潛在新型攻擊和內(nèi)容合規(guī)等安全風(fēng)險(xiǎn)。ChatGPT基于強(qiáng)大的基礎(chǔ)模型、高質(zhì)量的樣本數(shù)據(jù)、基于人類反饋的強(qiáng)化學(xué)習(xí)三大能力，帶來了巨大的可能性。然而隨著生成式人工智能技術(shù)的進(jìn)步，網(wǎng)絡(luò)攻擊者可以輕松地進(jìn)行微調(diào)和針對(duì)性的攻擊，因此ChatGPT將對(duì)網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重的威脅。目前，網(wǎng)絡(luò)攻擊者已開始使用ChatGPT創(chuàng)建惡意軟件、暗網(wǎng)站點(diǎn)和其他實(shí)施網(wǎng)絡(luò)攻擊的工具。此外，使用ChatGPT編寫用于網(wǎng)絡(luò)攻擊的惡意軟件代碼，將會(huì)大大降低攻擊者的編程或技術(shù)能力門檻，將導(dǎo)致即使沒有技術(shù)基礎(chǔ)也能成為攻擊者。同時(shí)，人工智能賦能網(wǎng)絡(luò)攻擊與傳統(tǒng)網(wǎng)絡(luò)攻擊在技術(shù)與手法上相比，將使過去勞動(dòng)密集型、成本高昂的攻擊手法開始徹底轉(zhuǎn)型，朝著分布式、智能化、自動(dòng)化方向發(fā)展，從而形成更為精準(zhǔn)和快速的自動(dòng)化攻擊手法。未來，隨著大模型AI計(jì)算被廣泛應(yīng)用于網(wǎng)絡(luò)攻擊各個(gè)領(lǐng)域，網(wǎng)絡(luò)安全形勢(shì)將更加嚴(yán)峻，攻防真正進(jìn)入智能化對(duì)抗時(shí)代。趨勢(shì)十多重勒索成為常態(tài)勵(lì)索攻擊對(duì)產(chǎn)業(yè)安全威脅有增無減勒索軟件攻擊持續(xù)在發(fā)生，影響范圍從個(gè)人電腦到關(guān)鍵基礎(chǔ)設(shè)施，甚至連一些國(guó)家安全水平最高的部門也未能幸免。云計(jì)算開源產(chǎn)業(yè)聯(lián)盟《勒索軟件防護(hù)發(fā)展報(bào)告（2022年）》顯示，2022年1-6月，全球共記錄了2.361億次勒索軟件攻擊；世界經(jīng)濟(jì)論壇《2022年全球網(wǎng)絡(luò)安全展望報(bào)告》稱，勒索軟件損害預(yù)計(jì)將從2015年的3.25億美元增長(zhǎng)到2031年的2650億美元。雖然勒索攻擊已經(jīng)是老生常談，但由于并沒有防御“銀彈”，加之供應(yīng)鏈帶來的攻擊面的擴(kuò)大、勒索攻擊手法持續(xù)進(jìn)化等原因，企業(yè)遭受到的勒索攻擊威脅不減反增。01早期，勒索攻擊的形態(tài)是加密文件、要求支付贖金來解密文件，如果企業(yè)能保持?jǐn)?shù)據(jù)備份的習(xí)慣，能在一定程度上規(guī)避勒索病毒的影響，但近兩年攻擊者不斷升級(jí)攻擊手法，開始往雙重勒索或者多重勒索方面演進(jìn)。雙重勒索也被稱為“點(diǎn)名羞辱”，攻擊者在運(yùn)行勒索病毒之前先竊取重要數(shù)據(jù)，因此除了直接索取解密贖金之外，還可以通過威脅將數(shù)據(jù)披露到暗網(wǎng)或者公諸于眾等方式加大受害者的壓力；多重勒索則是以受害者的和客戶或供應(yīng)商為攻擊目標(biāo)。Venafi對(duì)全球范圍內(nèi)1000多位IT和安全決策者進(jìn)行了調(diào)查，結(jié)果顯示83%的成功勒索軟件攻擊涉及其他勒索方法，例如使用被盜數(shù)據(jù)勒索客戶（38%），將數(shù)據(jù)泄露到暗網(wǎng)（35%），以及告知客戶其數(shù)據(jù)已被泄露（32%）。022022年的《報(bào)告》指出，未來有可能出現(xiàn)“勒索病毒”+“供應(yīng)鏈漏洞”的結(jié)合，這一擔(dān)憂成為現(xiàn)實(shí)：勒索病毒利用Log4j\Springboots等幾個(gè)影響廣泛的供應(yīng)鏈漏洞大肆傳播，加之勒索軟件即服務(wù)(RaaS)等黑灰產(chǎn)工業(yè)化、專業(yè)化程度提升，勒索攻擊門檻進(jìn)一步降低、影響面指數(shù)級(jí)擴(kuò)大，或?qū)Σ煌袠I(yè)、不同體量的企業(yè)造成無差別攻擊。I企業(yè)在數(shù)字化進(jìn)程中還將持續(xù)面臨勒索病毒的威脅01—方面，安全廠商需要推動(dòng)更有效的勒索病毒防治相關(guān)產(chǎn)品的研發(fā);02另一方面，由于勒索攻擊實(shí)際上是對(duì)企業(yè)安全建設(shè)薄弱環(huán)節(jié)的利用，任何一個(gè)疏漏都有可能導(dǎo)致攻擊的發(fā)生，因此要想加強(qiáng)應(yīng)對(duì)能力，企業(yè)需要從源頭把安全縱深防御的基線筑牢、構(gòu)筑內(nèi)生免疫能力，并通過勒索病毒防治方案“加強(qiáng)針”實(shí)現(xiàn)對(duì)勒索攻擊的免疫。2424I編委會(huì)成員〔按姓氏筆畫數(shù)排序）于跡騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人萬彫普華永道中國(guó)區(qū)

首席數(shù)據(jù)官信息安全及隱私

保護(hù)臺(tái)伙人王丹娜《中國(guó)信息安全》

雜志副編審方斌騰訊安全副總裁葉丹南方日?qǐng)?bào)記者

南方日?qǐng)?bào)南方產(chǎn)業(yè)

智庫(kù)研究員呂一平騰訊安全策略

發(fā)展中心總經(jīng)理劉博中核集團(tuán)北京中核華輝科技發(fā)展有限公司副總經(jīng)理信息安全總師杜明燈騰訊安全副總經(jīng)理,李濱騰訊云安全總經(jīng)理尹振濤中國(guó)社會(huì)科學(xué)院金融研究所金融科技研究室主任楊勇騰訊安全副總栽楊光夫騰訊安全副總于跡騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人萬彫普華永道中國(guó)區(qū)

首席數(shù)據(jù)官信息安全及隱私

保護(hù)臺(tái)伙人王丹娜《中國(guó)信息安全》

雜志副編審方斌騰訊安全副總裁葉丹南方日?qǐng)?bào)記者

南方日?qǐng)?bào)南方產(chǎn)業(yè)

智庫(kù)研究員呂一平騰訊安全策略

發(fā)展中心總經(jīng)理劉博中核集團(tuán)北京中核華輝科技發(fā)展有限公司副總經(jīng)理信息安全總師杜明燈騰訊安全副總經(jīng)理,李濱騰訊云安全總經(jīng)理尹振濤中國(guó)社會(huì)科學(xué)院金融研究所金融科技研究室主任楊勇騰訊安全副總栽楊光夫騰訊安全副總裁楊卿

騰訊安全天馬

實(shí)驗(yàn)室負(fù)責(zé)人吳石騰訊安全科恩

實(shí)驗(yàn)室負(fù)責(zé)人何晶晶中國(guó)社會(huì)科學(xué)院國(guó)

際法所國(guó)際經(jīng)濟(jì)法

研究室副研究員張格陳勝喜陳韓暉國(guó)家工業(yè)信息中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)南方日?qǐng)?bào)南方產(chǎn)業(yè)安全發(fā)展研究中心發(fā)展聯(lián)盟常務(wù)副秘書長(zhǎng)智庫(kù)負(fù)責(zé)人首席專家全國(guó)信標(biāo)委產(chǎn)業(yè)位華《中國(guó)信息安全》雜志社社長(zhǎng)檢查評(píng)估所所長(zhǎng)互聯(lián)網(wǎng)工作組秘書長(zhǎng)林濤騰訊云與智慧產(chǎn)業(yè)公關(guān)部副總栽周賦鄭威前少華徐櫻丹聶君柴思躍騰訊安全副總栽中國(guó)信通院安全所公安部騰訊云與智慧北京知其安科技工業(yè)和信息化部數(shù)字產(chǎn)業(yè)部主任第三研究所產(chǎn)業(yè)事業(yè)群有限公司創(chuàng)始人電子第五研究所市場(chǎng)副總栽高級(jí)工程師徐翔中央財(cái)經(jīng)大學(xué)經(jīng)濟(jì)學(xué)院副教授中國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)研究院研究員局丹郭浩哲魯輝董志強(qiáng)譚林賽迪顧問業(yè)務(wù)總監(jiān)東華云計(jì)算廣州大學(xué)教授騰訊安全云鼎順豐科技網(wǎng)絡(luò)有限公司中國(guó)網(wǎng)絡(luò)空間新興實(shí)驗(yàn)室負(fù)責(zé)人安