1月17日,《数字安全免疫力建设指南》(下简称“指南”)发布暨行业实践研讨会在海南三亚举行。本次发布的指南围绕“发展驱动”的安全范式,从理念认知、范式重建、量化评估、关键模块以及实践案例等方面,为企业构建数字安全免疫力提供指引和参考。
数字安全免疫力作为企业针对各种数字安全威胁式的防御机制,通过建立前瞻性的安全理念,从“治已病”发展为“治未病”,并在面临多维威胁时,可以更加及时地启动体系化的抵抗和防御机制,有效应对基础设施、网络、数据、业务以及管理领域的组合攻击行为。
(《数字安全免疫力建设指南》在海南三亚正式发布)
FreeBuf系列访谈预告片发布
PS:在研讨会上,FreeBuf独家采访网安行业八位大佬,畅谈企业安全体系建设实践,2024年未来展望与趋势,系列视频正在整理中,敬请期待。
近两年,随着全新的科技革命和产业变革的到来,不断催生出许多有助于人类更好服务的网络产品。在2023年,安全圈也涌现出了不少新概念、新技术和新趋势,其中人工智能无疑是最火热的概念之一。以ChatGPT为代表的生成式AI让行业看到了新的发展趋势,并且正在尝试重新塑造网络安全产业技术方向。而企业云安全、物联网安全、隐私计算等领域也诞生了许多新的解决方案,体现了各赛道为应对新形势、新风险的适应性与创新性。
种种迹象表明,安全行业似乎正在面临一个新的变革周期。基于这些变化,业内专家、企业安全负责人分别提出了各自的见解。
乐信集团信息安全中心总监刘志诚表示,早期大家提到的网络安全仅仅是network security,但如今谈论的已经是cyberspace。Security作为网络空间的一个概念已经在网络空间上又向前进了一步。而当环境发生变化以后,想要安全解决问题,仅仅靠沿用传统那一套老方法是无解的,网络安全理念、认知以及方法论必须相应做出变化。
脑动极光首席信息安全官张坤表示,现在每年出现很多新概念已经成为行业共识,但是细看其实真正称得上“新鲜”的并不多。如果用传统的思维来看,像数字免疫力这类的东西确实可以称为造概念。确实,现在不可否认有些概念确实是为了造概念而造概念,但是也不乏有一些概念是迎合着发展而产生的。这些概念开始聚焦到了某一个点,这是技术发展所面临的一个必然情况。任何概念都有它的适用范围和适用场景,所以这些应运而生的概念是有一定价值的,能够为行业带来一定的的推动力。
观安信息总经理王文君
对此,观安信息总经理王文君也发表了自己的看法,他认为,新概念是一个很有趣的话题。但作为乙方企业的代表,他觉得企业应将思考重心放在进入哪些赛道,承接哪些技术上。可能有些人认为把这些新潮的概念、名词等等挂在嘴边,就代表他很专业。但对于乙方安全企业来说,他认为更应该着眼于脚踏实地做好“功课”。从安全规范来讲,可分为四个层级:第一个层级是法律法规,类似国标。第二个是企业规范。第三层级就是类似腾讯做的《指南》,告诉你该怎么做。第四层级就是实践,并输出相关的报告。他认为,只有把这些内功修炼好,才能更好地应对各种新变化,从而适应应运而生的各类新概念。
正视安全新概念,不盲目跟风,契合自身步调发展,是安全企业当下的“必修课”。通过几位专家的探讨可以看得出,每个人对于新概念都有着不同程度的认知和见解。就比如本次研讨会的关键词“数字免疫力”,有人认为数字安全免疫力是一个企业针对各种数字安全威胁式的防御机制,也有人认为数字免疫力已经在数智化时代显现出了符合产业和企业发展的价值。当然了,对这些新概念的看法无关对错,只不过是仁者见仁,智者见智罢了。
总而言之,企业目前正面临着一个复杂多变的时代,宏观环境不可预测,业务模式不断创新,技术发展日新月异。无论是数字免疫力还是其他企业现有的安全防护措施和手段,都需要全方位提升,安全企业只有注重自身的硬实力,才能在遭受威胁后从容应对不可预知的突发威胁,并以更快的速度恢复健康运行状态,更好地保障数字化转型。
回顾2023年,AIGC(生成式人工智能)、大模型、AGI(人工通用智能)、MaaS(模型即服务)等无数科技领域的热门技术“问世”。在打开人类认知世界新路径的同时,也成为黑客开展网络攻击的“利器”。
数字化在为企业提质、降本增效的同时,也进一步放大了企业面临的网络风险,使企业网络安全面临“内忧外患”。因此,今年各企业在面对“危机四伏”的网络世界时,如何探索出一条能够适应数字化转型需求的网络安全路径,对企业实现可持续发展十分重要。
在本次腾讯研讨会上,与会嘉宾就2024年的网安行业新方向、新趋势做出了研判。
乐信集团信息安全中心总监刘志诚
乐信集团信息安全中心总监刘志诚率先发言,他认为2024年安全行业可能存在的新变化在于业务环境,因为随之而来的可能是对安全更高的挑战和要求。比如大模型语料、大模型应用等等问题都亟待解决。
2023年,以ChatGPT为代表的生成式的人工智能大模型爆火。但大家对于大模型底层的投入远远不够的,特别是语料、数据从何而来是个大问题。之前有企业用开源的语料库去做大模型,但是开源的语料库里面覆盖了十年的Web的样本,里面不仅有木马、蠕虫病毒,还有被APT控制的。如果用这类语料训练大模型,必然会带来一定的麻烦。同时,大模型的伦理问题,涉政、涉恐、涉暴等问题都需要解决。换句话说,大模型的语料决定了大模型的表现。虽然我们的三层模式通过人工的反馈、提示词工程、人工机器学习的方式尝试去校正微调大模型,但终究只能解决一部分问题。它的核心语料问题不解决,相应的大模型表现也堪忧。
其次,人们对大模型的应用关注度也不够,应用到具体领域、应用到具体行业的核心在于微调。基于行业特征基于向量数据去构成的知识库,如何去结合大模型进行应用,围绕这些内容的研究还太少。通过使用大模型能给安全行业带来什么,我们能否建立我们的Separate Complete这样的一些智能辅助驾驶舱来提升我们的运营能力和运营质量。这一点,无论是安全企业还是安全的应用方今年都需重点关注。
脑动极光首席信息安全官张坤则认为目前的新型风险方向往往是在应用场景的变革上面,并不在它本身。比如国内OWASP去年发布了大模型的十大风险,仔细研究就会发现这十大风险全部都来源其本身。真正难的是外部应用,如何将大模型与业务应用场景相结合,这才是最核心的难点。技术是把双刃剑,但只有在使用它的时候才能看到它是偏袒哪一方。今年我们要把目光聚焦在最末端,这样才有可能比别人抢先一步。
观安信息总经理王文君
作为一名专门从事战略方向的研究人员,观安信息总经理王文君认为2024年的重点方向有两个,一个是AI安全,另外一个就是供应链安全。
首先,站在乙方企业来看AI安全,其主要作用是帮助低级别的安全人员去高效完成一些中级甚至高级别的安全人员的工作任务。目前,AI安全人们谈论最多的就是安全大模型,从符号推理到弱人工智能再到大规模深度学习模型,人工智能已经进入大模型时代的新阶段。百模大战、千模大战也将会是2024年的一个热点。
其次,供应链安全也将是今年一个关注重点。此前,通过调查行业大客户时我们就发现,企业在这方面的需求已经逐渐累积起来了,无论从行业大客户还是从监管单位以及法律法规来看,供应链都可能成为2024年的另一个爆发点。
北京赛博英杰创始人谭晓生
北京赛博英杰创始人谭晓生表示,网络安全的新趋势是循序渐进的,很少会出现某年突然冒出一个全新的概念,这种情况确实存在,但是不多。他认为今年的新方向除了自2023年行业一直跟进的AIGC安全应用、Copilot之外,还有一个就是用AIGC大模型做威胁检测。
同时,作为网络安全领域的资深专家,谭晓生也对于2024年大模型进一步发展的安全性方面提出了担忧。
他认为这些在训练大模型的厂商需要在大模型自身的安全投入更多精力。
另外,他还提到了安全托管服务,认为这也会是2024年一个热点。这种模式在过去的两三年时间里面已经有不少厂商有所动作,比如2023年360集团就做了“上山下海助小微”的项目。伴随着世界数字化深入,网络安全压力与日俱增,为了提升安全风险防御能力,未来或将有更多企业选择安全托管服务,利用安全厂商的产品、技术以及专业团队为企业安全提供支持,实现更精准、更安全的防护。
数世咨询创始人李少鹏
数世咨询创始人李少鹏为2024年的发展趋势提出了一个关键词——“希望”。他认为2024年的下半年,很可能出现一些经济向好的转折点。这个转折点将会给网络安全产业会带来相应的利好。因为整体经济的基本面“金融”秩序一旦稳定,网安行业的众多企业就有并购或者是IPO的可能,这对于广大网安创业来说将是个机会点。可以感受到目前国家的一系列政策已经开始慢慢地撬动,出现了“冰雪熔化”的局面,资本冻结的状况开始有了复苏的迹象,期望在2024年能够迎来新的拐点。
2023年是国际形势格外动荡的一年,诸多因素反映在网络空间,引入了不确定因素。这些因素对网安行业的影响叠加对冲,行业总体保持平稳发展。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...