安全攻防进入智能化对抗时代

　　随着大模型AI计算被广泛应用于网络攻击各个领域，网络安全形势将更加严峻，攻防真正进入智能化对抗时代。资料图片
　　＂以ChatGPT为代表的人工智能技术掀起新一轮的人工智能革命，也会引发潜在新型攻击和内容合规等安全风险。＂在近日由南方日报、《中国信息安全》杂志、腾讯安全、腾讯研究院等联合发布的《2023产业互联网安全十大趋势》（下文简称＂报告＂）中，对新技术新应用带来的安全威胁提出了警示，也引发了行业内广泛的讨论。
　　此份报告汇聚了30余位行业专家、学者、智库对产业安全趋势的思考与研判，从宏观态势、产业实践、技术演进三个维度对产业安全的核心议题进行分析研判，给产业互联网健康可持续发展提供指引。
　　腾讯副总裁丁珂表示，希望通过这份产业安全发展趋势的研判，给产业互联网健康可持续发展以及投身数字化、数智化建设中的企业家和决策者提供指引和帮助，助力企业建立基于事件、攻防、风险一体驱动的企业安全免疫力，为企业发展及参与数字化时代市场竞争注入新动能。
　　●南方日报记者 叶丹
　　新技术应用带来安全新问题
　　＂全面贯彻总体国家安全观，建设更高水平的平安中国。＂2023《政府工作报告》为网络安全行业维护国家安全和社会稳定指明了努力方向、提供了根本遵循。在如今＂数实融合＂的行业大趋势下，网络安全行业在保障人民群众的网络与数据安全的同时，也要将产业互联网的安全以及数字经济的安全底座建设，放在一个重要的位置。
　　一方面是千行百业纷纷推进数字化建设，另一方面是互联网应用场景更加复杂多样：大到城市的公共服务，小到每一辆行驶中的汽车，都可能会受到网络安全的威胁。从一座城市到一个企业再到一个工厂，其运转已经开始架构在网络、软件和数据之上。作为连通架构的产业互联网，其安全脆弱性前所未有，需要网络安全产业齐心协力，打破技术、行业之间的壁垒，共同推进产业互联网的安全建设。
　　面对不断变化的产业互联网环境，不仅要从此前屡次爆发的安全事件中吸取教训，更要对产业互联网可能遇到的安全威胁进行预判。
　　一直以来，技术都是数字产业的内核，而新技术的出现，除了给产业带来发展的新机遇外，同样也为安全带来了新问题。
　　报告指出，人工智能技术为各行各业的业务和人们的生活带来了巨大的发展潜力，也为网络安全形势带来前所未有的挑战。人工智能是一把双刃剑，一方面，人工智能可用于提高网络安全的效率，包括自动检测和响应威胁、智能识别漏洞；另一方面，黑客也可将人工智能技术用于网络犯罪活动，这将是对网络安全的真正威胁。
　　＂在诈骗场景下怎么做角色扮演，怎么做钓鱼剧本，原来这些都是通过人工方式在做设计，现在有ChatGPT，我们已经观察到有一些犯罪分子在用ChatGPT做剧本设计。＂腾讯安全策略发展中心总经理吕一平表示，按照经验，如果人工做剧本设计要花很长时间，因为要深入理解对方的工作，＂你要扮演HR、保险公司业务员，就要对HR和保险业务有比较清晰的了解，但是现在通过ChatGPT可以大幅度提升这个效率。＂此外，在专家看来，使用ChatGPT编写用于网络攻击的恶意软件代码，将会大大降低攻击者的编程或技术能力门槛，将导致即使没有技术基础也能成为攻击者。而报告更是指出，目前，网络攻击者已开始使用ChatGPT创建恶意软件、暗网站点和其他实施网络攻击的工具。未来，随着大模型AI计算被广泛应用于网络攻击各个领域，网络安全形势将更加严峻，攻防真正进入智能化对抗时代。
　　安全从事件驱动变为常态化
　　近年国家密集出台了包括《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规及系列配套标准，对市场主体的安全边界、安全责任等作出了系统要求。在业内专家看来，常态化安全巡检将成为监管及企业自我健康诊断的重要手段，而企业在迈向合规的过程中，也正改变着自己的安全思路。
　　＂原来做安全思路都是事中检测，事后处置。特别是在事后处置方面投入大量的预算。现在大家发现其实把安全的投入放在事前，取得效果会更好。＂知其安创始人聂君表示，安全思路另一个变化是，＂以前做安全可能每一个环节都是孤立的，但是现在通过漏洞情报共享等实现联防联控这种机制，把大家的能力聚合起来，形成对抗攻击者的整合能力＂。吕一平也指出，之前企业做安全是出于事件驱动，但是现在企业做安全建设已经向＂常态化风险驱动＂转变。
　　报告指出，如今，数据泄露、勒索攻击、供应链攻击等安全事件持续高发，安全合规的要求也不断加强。企业在安全建设上不再寄期望于＂先发展后治理＂，安全活动开始参与到企业产品研发的全生命周期，＂从头到尾＂渗透到企业运行的全流程及产业链各个环节，安全管理工作被纳入核心管理团队甚至董事会的职责范围，安全建设水平，正在成为企业数字化治理水平的重要度量。
　　专家还认为，虽然不同产业领域、不同规模企业的安全建设水平仍有较大差距，但技术与产品的创新，尤其是云原生安全一体化解决方案正在改变现有的安全供给体系，中小微企业也能以较低的成本建立起自适应的全视角安全免疫系统。安全已经从＂奢侈品＂变成＂日用品＂，构建安全免疫力逐渐成为业界新共识，安全进入了＂寻常百姓家＂。
　　值得一提的是，在个人隐私信息保护等相关法律条例的施行背景下，企业一改＂体验优先＂的单一反欺诈风控策略，开始向＂动态治理＂转变。同时，由于出海企业因合规、文化、安全等问题遭到处罚的事件频发，且数据安全等相关法规条例全球趋严，企业在出海时也越来越多将安全与合规视为核心关注点。
　　报告中指出，面向数字新征程，企业既要基于安全谋发展，又要以发展促安全，且随着数据生产要素的加速流通，对企业系统性安全建设提出了更高要求。丁珂表示，在数字新时代，当前最重要的任务便是明确安全行业发展趋势，让安全以全新的视角构筑产业数字化底座。
　　2023年，外部欺诈威胁、企业出海合规与安全风险、供应链风险、数据泄露、AIGC隐形危机、多重勒索攻击等诸多安全挑战依然存在，不同发展阶段的企业安全水位也严重不均衡。产业应当以一体化的安全免疫力建设思路，尽快弥补安全短板，筑牢数字化底座。
　　参与报告的专家们也表示，全社会、全行业、全产业链正面临着新的发展机遇和风险挑战，数字经济能否在合规与安全的前提下与现实世界充分融合，为＂高质量发展＂的目标提供持续动能，将是至关重要的命题。