网络安全的趋势发展是从一个阶段不断迈向另一个阶段的动态变化过程,当前,国家发展进入数字经济冲刺时期,全面的资产数字化对企业的数字化转型任务提出了更高的安全要求,企业在技术迭代及创新应用时,如何同步建设好安全工作,成为全行业共同关注话题。安全419网安会议观察从行业举办的各项网安会议角度出发,阶段性总结各行业对安全建设的痛点需求,以及网安产业的最新趋势,以供需求企业挖掘借鉴。
01.关注高校网络安全
此前有高校信息化建设负责人在某次公开演讲时就曾指出:“早期的信息化建设就是将业务系统简单地从线下迁移至线上的过程,现在数字时代的教育信息化重要程度已处于国家战略级地位,正推动整个教育系统的变革飞跃。”当前,网络安全和信息化已成教育现代化的重要内容,是支撑引领教育现代化的关键动力。教育行业规范性指导意见指出,各级各类学校要不断推动教育网络建设提质增效,全面提升教育网络安全和信息化水平。
进入2023年年底,安全419关注到国内各行业安全会议不断,在教育行业,我们以11月中旬召开的“2023高校网络安全研讨会”及12月初召开的“2023年华东地区高校网络安全专题交流活动”为缩影,来观察教育行业当前都重点关注哪些安全问题。
我们看到的是,比如在淄博召开的这场由中国高等教育学会教育信息化分会、山东理工大学共同主办的“2023高校网络安全研讨会”,就明确以“数字化转型中的网络安全挑战与应对”为主题进行集中讨论;由教育部教育管理信息中心主办,江苏省教育厅、南京大学承办的“2023年华东地区高校网络安全专题交流活动”同样明确以围绕高校数字化转型过程中的网络安全建设工作进行深入探讨。
可见,高校信息化建设阶段性发展在智慧校园建设之路上,全面的数字化转型将是个持续的过程,这一过程中,处于领先水平的高校需要分享经验,安全厂商更需要分享最新趋势和安全实践。
以“2023高校网络安全研讨会”为例,从会议议程上我们可以看到如下方向性议题,包括体系化安全建设、安全管理体系建设、数字化自主可控体系建设等等内容;从技术上,可以看到高校关注点主要为:数据安全、零信任、供应链安全、内容安全、安全托管服务、应用访问安全、实战防护等。
从安全厂商侧来看,此次会议上我们就看到了腾讯安全与易安联联合发布了适配高校业务场景的“统一业务安全访问解决方案”,双方通过优势能力汇聚,其将作为行业客户侧的信息化建设的安全基础设施,为处于数字化转型场景下的全数字业务安全访问、数据安全管控,以及系统化日常安全运营提供了有力抓手。
02、关注身份安全
12月6日,由无胁科技主办的“2023数字身份安全技术大会”在北京成功举行。活动上,由国内20家领先的基础设施、运维、网络安全厂商共同发起并成立了“新身份安全威胁检测联盟”,联盟未来将以身份威胁检测为核心,打造新生态圈模式,开放合作,共同推进下一代身份安全技术的应用,为数字身份安全构建更广泛的合作网络。
在身份安全维度,最近几年调研机构总攻防趋势,以及安全厂商实践两侧观察并指出其将作为未来的重要网安新趋势,其技术用例发展既呈现独立性,同时技术融合应用价值也在无限放大。
在国际上,领先的网络巨头型厂商们正在以平台整合趋势进行着疯狂的技术收购,其中身份安全正在成为平台型产品的必备能力之一,其强调的是攻击者经常利用钓鱼攻击取得的合法身份,或直接获取的泄露凭据作为初始攻击向量,当攻击者并非非法闯入,安全产品侧需要提供相应的检测和阻止能力。
在“2023数字身份安全技术大会”上,就有演讲嘉宾在分享如何进行身份安全治理时就指出,当用户访问后端资源时,安全产品不仅需要做身份鉴别工作,还要对其行为进行鉴别,对更细粒度的权限进行鉴别,最终实现细粒度的访问控制。
身份安全的重要性更是在于其已经成为了新的安全边界,“2023数字身份安全技术大会”的主办方就指出,随着现代企业的数字化和智能化的万物互联、混合云部署的基础设施和应用、混合办公的常态化等都在推动着身份的复杂化,不同地方和应用存在着多种身份场景和数据,编织成一张庞大的身份网络。在技术不断发展、IT环境巨变之下,身份已成为全新的安全边界和基础设施。
在10月末由网星安全主办的第二届ADconf安全大会上,身份安全同样成为热议话题。从攻防实战角度切入该会议分享强调,在企业的安全防线里面,如何有效识别正常身份的异常访问行为是一个巨大挑战。会议由此还引出无漏洞攻击话题,并进一步强调称其防护重点在于身份及身份基础设施的安全防护。
03、关注AI安全
如今,人工智能技术是全行业共同关注的新兴技术之一,在网络安全产业一侧,如今任何一场安全会议,几乎都能看到关于人工智能技术方面的议题分享,网络安全产业当前尤为关注的是人工智能技术如何赋能传统和创新的安全产品,以提供更加智能化的安全解决方案,实现安全产业升级。
在“2023北京市科学技术协会院士专家圆桌会议”上,安全产业人士就分享指出,人工智能技术将为网络安全行业带来全新挑战与机遇,目前国内头部网安厂商都在积极地推动着人工智能技术下的安全新实践,其主要用例集中于安全辅助和智能化检测两大主要方向,另外生成式人工智能用例本身也将带来全新的安全市场,主要体现在内容安全和认知安全领域。
在FCIS 2023大会上我们看到,AI安全相关议题已贯穿大会始终,在其专场会议上,我们看到的是企业、安全厂商、科研机构纷纷表达了人工智能技术应用于安全场景上的实践看法。而根据应用场景上的不同,对技术本身的掌握程度上的不同,结合业务的阶段性调优,利用新技术让大模型能有更好的理解能力等是其主要分享点。也就是说,大家都关注到了技术落地的潜在价值,但距离完全成熟利用尚有时日。
在2023中国(深圳)金融科技大会金融科技伦理及治理分论坛上,安全厂商海云安则分享了人工智能技术在助力开发安全上的最新实践,其已将AI大语言模型技术应用于一款全新的“开发者安全助手”当中,融合了AI技术之后,在开发安全环节,其产品提供的代码检测准确率和整体效率均得到大幅提高。比如此前需要1小时才能完全的工作,在AI加持之下,仅需7分钟就能完成。
在10月末召开的“2023天府国际网络安全论坛”上,我们还看到头部安全厂商正积极地将人工智能技术应用于安全托管服务当中。对于重点企业用户而言,连年的防护任务,以及持续提升的行业安全合规要求,都在强调企业需要持续储备相应能力,也因此对于安全厂商提供的安全托管服务需求越来越强烈。当AI融入MSS之后,其带来的安全运营效率正在大幅提升。
在12月17日召开的2023智用大会上,中国质量认证中心发布了人工智能评测体系,该体系由能力验证评测、适配度评测组成,该测评体系的发布将会为人工智能技术研发企业提供技术创新能力的可量化,以及交付能力的可视化。据了解,当前已有包括奇虎360在内的30余家企业的大模型实践通过了评测,成为全国首批获证企业。从通用大模型到行业垂直大模型,技术应用发展在不断加速,在接受安全419采访时其相关负责人也强调了大模型的安全应用,与应用安全逐渐成为人工智能产业实践上的普遍关注。