南方新華小編——Judy編輯

引言：

在國家“高質(zhì)量發(fā)展”的首要任務(wù)指引下，中國經(jīng)濟發(fā)展將步入一個新階段，數(shù)字化將成為各行各業(yè)轉(zhuǎn)型升級的必然手段。同時，數(shù)據(jù)生產(chǎn)要素的加速流通，也將對企業(yè)系統(tǒng)性安全建設(shè)提出更高要求。安全業(yè)界有一句諺語叫做“未知攻、焉知守”，講的是做好安全防御的前提是需要研究和了解攻擊路徑。這句話同樣適用于遨游在數(shù)字化時代的企業(yè)家和決策者。企業(yè)經(jīng)營如大海泛舟，需要前置預(yù)判風(fēng)浪并做出積極準(zhǔn)備，才能行穩(wěn)致遠。

一、宏觀態(tài)勢篇

（1）產(chǎn)業(yè)安全建設(shè)將成為企業(yè)數(shù)字化實踐的“前置條件”

2023年是全面貫徹落實黨的二十大精神的開局之年，高質(zhì)量發(fā)展，是全面建設(shè)社會主義現(xiàn)代化國家的首要任務(wù)。高水平安全，是高質(zhì)量發(fā)展的前提。高質(zhì)量發(fā)展，同樣是指導(dǎo)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型升級、企業(yè)健康可持續(xù)經(jīng)營的重要政策牽引。實現(xiàn)高質(zhì)量發(fā)展，需要統(tǒng)籌發(fā)展和安全、堅持發(fā)展和安全并重，實現(xiàn)高質(zhì)量發(fā)展和高水平安全的良性互動。

對于參與其中的市場主體而言，需要樹立正確的產(chǎn)業(yè)發(fā)展安全觀念、建立企業(yè)安全免疫系統(tǒng)、重視安全管理和評估；隨著數(shù)據(jù)生產(chǎn)要素的價值不斷被發(fā)掘和被釋放，需要全面建設(shè)防范風(fēng)險的能力，為數(shù)據(jù)在安全前提下的融通流動及數(shù)字業(yè)務(wù)的創(chuàng)新發(fā)展構(gòu)建基礎(chǔ)，為企業(yè)長期可持續(xù)發(fā)展提供保障。

尤其隨著人工智能、大數(shù)據(jù)、數(shù)字孿生等新技術(shù)的融合應(yīng)用，中國數(shù)實經(jīng)濟發(fā)展正步入一個全新階段，安全將為產(chǎn)業(yè)發(fā)展三個“新動能”提供關(guān)鍵支撐作用。

因此，在產(chǎn)業(yè)互聯(lián)網(wǎng)時代，基于企業(yè)高質(zhì)量發(fā)展的自身需求，安全建設(shè)將成為企業(yè)數(shù)字化實踐的“前置條件”和“基礎(chǔ)底座”。企業(yè)安全建設(shè)思路將更加前置，真正做到以安全為始、以安全為終。

（2）、立法監(jiān)管趨嚴(yán)，企業(yè)安全“巡檢”常態(tài)化

在過去一個階段，IT基礎(chǔ)設(shè)施建設(shè)、網(wǎng)絡(luò)安全以及信息安全的不斷發(fā)展，催生了大量被動式安全解決方案；尤其在相關(guān)監(jiān)管法規(guī)建設(shè)相對滯后階段，企業(yè)在安全建設(shè)方面往往也是“鴕鳥心態(tài)”，認為安全投入是企業(yè)運營的成本項，追求“合規(guī)”而忽視“實效”。

隨著我國網(wǎng)絡(luò)安全與產(chǎn)業(yè)安全相關(guān)立法頂層設(shè)計和主體框架日趨完善，這種情況已經(jīng)發(fā)生徹底改變。近年，國家密集出臺了《中華人民共和國密碼法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī)及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》、等級保護 2.0 等系列配套標(biāo)準(zhǔn)，對市場主體的安全邊界、安全責(zé)任等作出了系統(tǒng)要求。

尤其隨著黨的二十大進一步明確關(guān)于中國數(shù)字經(jīng)濟發(fā)展以及產(chǎn)業(yè)安全的總體框架，對應(yīng)的產(chǎn)業(yè)安全治理制度、處罰條例均基于產(chǎn)業(yè)發(fā)展的新形勢、新階段不斷細化修正。

目前，產(chǎn)業(yè)安全相關(guān)的監(jiān)管部門對于違反網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護等相關(guān)法律法規(guī)的處罰主要采取后置處罰手段，例如約談、責(zé)令改正、罰款、整頓、下架業(yè)務(wù)、吊銷許可證或營業(yè)執(zhí)照、處理責(zé)任人等，導(dǎo)致企業(yè)忽視安全建設(shè)的風(fēng)險成本被指數(shù)級放大。

例如，去年銀保監(jiān)會以“監(jiān)管標(biāo)準(zhǔn)化數(shù)據(jù)”存在數(shù)據(jù)質(zhì)量違法違規(guī)行為為由，對21家銀行進行大規(guī)模處罰。

2023年，安全相關(guān)的立法、監(jiān)管與執(zhí)法，將會聚焦于產(chǎn)業(yè)高質(zhì)量發(fā)展、數(shù)據(jù)合規(guī)和隱私保護等層面，對企業(yè)數(shù)字化實踐和創(chuàng)新，給予更多的監(jiān)管、約束和引導(dǎo)，常態(tài)化安全巡檢將成為監(jiān)管及企業(yè)自我健康診斷的宏觀態(tài)勢篇要手段。

短期內(nèi)，合規(guī)會擠出產(chǎn)業(yè)中存在的一些痼疾與泡沫，通過數(shù)字經(jīng)濟的合規(guī)治理，盡可能降低數(shù)實融合趨勢中的風(fēng)險。從長期來看，合規(guī)能夠?qū)崿F(xiàn)“從合規(guī)要發(fā)展”及“以監(jiān)管促發(fā)展”的目標(biāo)。

二、產(chǎn)業(yè)實踐篇

（1）、安全將成為企業(yè)治理水平的重要度量

過去，網(wǎng)絡(luò)安全威脅風(fēng)險程度較低、攻擊相對不太復(fù)雜，同時，企業(yè)傳統(tǒng)IT系統(tǒng)建設(shè)周期很長，安全建設(shè)通常按固定周期做風(fēng)險評估、漏洞掃描、補丁管理，安全工作可以按部就班進行滾動周期的管理，網(wǎng)絡(luò)安全部門長期作為企業(yè)IT部門的一個分支存在，并未被納入企業(yè)經(jīng)營管理的核心部分。

隨著產(chǎn)業(yè)數(shù)字化進程提速，企業(yè)越來越多地將數(shù)字資產(chǎn)轉(zhuǎn)移到云上，企業(yè)發(fā)展效率提升同時也導(dǎo)致攻擊面加大，7*24小時業(yè)務(wù)“在線”也帶來了7*24小時安全防護的需求。

加之，DevSecOps、容器等云原生方法的引入，打破了傳統(tǒng)網(wǎng)絡(luò)安全邊界，傳統(tǒng)的安全建設(shè)方法和組織架構(gòu)都亟需更新。

數(shù)據(jù)泄露、勒索攻擊、供應(yīng)鏈攻擊等安全事件持續(xù)高發(fā)，安全已經(jīng)成為制約企業(yè)健康發(fā)展的生命線。在這一背景下，安全被企業(yè)提升到前所未有的重要程度；但受限于傳統(tǒng)企業(yè)管理理念和組織架構(gòu)，“擔(dān)責(zé)無權(quán)”的安全部門既要當(dāng)好企業(yè)健康發(fā)展的“守門人”，又因在企業(yè)內(nèi)部組織架構(gòu)中處于“小馬拉大車”位置，往往無法真正將安全工作貫徹到實處。

面對日益嚴(yán)峻的安全挑戰(zhàn)，企業(yè)在安全建設(shè)上不再寄期望于先發(fā)展后治理。“安全左移”成為行業(yè)共識，安全活動逐步進入企業(yè)生產(chǎn)環(huán)節(jié)，參與企業(yè)發(fā)展戰(zhàn)略、進入產(chǎn)品研發(fā)生命周期全流程。這種生產(chǎn)流程的改變，也需要從組織架構(gòu)上予以支撐。企業(yè)重視安全，除了增加人力和預(yù)算、技術(shù)投入外，安全管理工作將納入核心管理團隊，成為企業(yè)治理水平的重要度量。

（2）、從“奢侈品”到“日用品”，構(gòu)建安全免疫力成為新共識

現(xiàn)階段，不同產(chǎn)業(yè)領(lǐng)域、不同規(guī)模企業(yè)的安全建設(shè)水平仍有較大差距。

在金融、政務(wù)、傳媒等數(shù)字化進程較快的重點行業(yè)，由于安全建設(shè)需求旺盛、成本充足、合規(guī)導(dǎo)向明確，基本上已經(jīng)建立起集團級的安全免疫力，包括安全技術(shù)和能力的貫通，包括人才儲備、生態(tài)支持、彈性擴容能力、災(zāi)備能力等。

但在更長尾的中部企業(yè)及小微企業(yè)隊列，被劃歸為“成本中心”的安全投入往往被視為“奢侈品”，難以較低的成本建立起自適應(yīng)的安全免疫系統(tǒng)。隨著云原生及SaaS化發(fā)展趨勢，以及技術(shù)與產(chǎn)品的創(chuàng)新改變現(xiàn)有的安全供給體系的環(huán)境中，中等以下規(guī)模的企業(yè)也能建立起全視角的安全免疫力，安全正在從“奢侈品”變?yōu)椤叭沼闷贰薄?/span>

此外，企業(yè)安全免疫系統(tǒng)之間也非孤立的。企業(yè)與企業(yè)之間的安全投入、安全建設(shè)應(yīng)保持高度的兼容與同頻，在安全產(chǎn)業(yè)底層實現(xiàn)技術(shù)、產(chǎn)品、服務(wù)的充分流動，通過行業(yè)協(xié)同與行業(yè)競爭，促進“安全底座”的自我優(yōu)化、自我迭代，為數(shù)字經(jīng)濟提供動態(tài)穩(wěn)定的底層支持。

（3）、反欺詐風(fēng)控策略由“體驗優(yōu)先”向“動態(tài)治理”轉(zhuǎn)變

獵頭公司大數(shù)據(jù)分析伴隨企業(yè)數(shù)字化轉(zhuǎn)型的深入,安全風(fēng)險從傳統(tǒng)網(wǎng)絡(luò)安全向各類業(yè)務(wù)安全快速轉(zhuǎn)移，企業(yè)面臨更多來自外部的欺詐和未知威脅。

其手段和方式不斷翻新，如刷榜刷單、惡意騙貸、欺詐廣告、流量作弊、惡意占票、虛假申請等。有機構(gòu)測算，網(wǎng)絡(luò)欺詐導(dǎo)致的損失占GDP比例達0.63%,約4000多億元規(guī)模之巨。

加強反欺詐體系建設(shè)成為企業(yè)大勢所趨，但在線業(yè)務(wù)方便、快捷、高效的特點，讓反欺詐策略的制定往往遵循“用戶體驗優(yōu)先”，在不影響大部分用戶體驗的前提下以“無感式”“一刀切”“大顆?！钡姆雌墼p策略開展。

在高質(zhì)量發(fā)展戰(zhàn)略牽引及個人隱私信息保護相關(guān)法律條例的施行下，企業(yè)經(jīng)營由跑馬圈地進入精耕細作階段，以極致體驗快速搶奪市場的競爭策略已經(jīng)成為過去。企業(yè)需要以動態(tài)的視角平衡欺詐損失和客戶體驗，根據(jù)業(yè)務(wù)峰值和黑灰產(chǎn)攻擊態(tài)勢，靈活在“安全優(yōu)先”與“合規(guī)優(yōu)先”的兩極之間不斷精細化反欺詐策略，護航業(yè)務(wù)健康發(fā)展。

（4）、ChatGPT 大模型 AI 計算廣泛應(yīng)用安全領(lǐng)域，攻防進入智能化對抗時代

人工智能技術(shù)為各行各業(yè)的業(yè)務(wù)和人們的生活帶來了巨大的發(fā)展?jié)摿Γ矠榫W(wǎng)絡(luò)安全形勢帶來前所未有的挑戰(zhàn)。

人工智能是一把雙刃劍，一方面，人工智能可用于提高網(wǎng)絡(luò)安全的效率，包括自動檢測和響應(yīng)威脅、智能識別漏洞；另一方面，黑客也可將人工智能技術(shù)用于網(wǎng)絡(luò)犯罪活動，這將是對網(wǎng)絡(luò)安全的真正威脅。

以ChatGPT為代表的人工智能技術(shù)掀起新一輪的人工智能革命，也會引發(fā)潛在新型攻擊和內(nèi)容合規(guī)等安全風(fēng)險。

ChatGPT基于強大的基礎(chǔ)模型、高質(zhì)量的樣本數(shù)據(jù)、基于人類反饋的強化學(xué)習(xí)三大能力，帶來了巨大的可能性。

然而隨著生成式人工智能技術(shù)的進步，網(wǎng)絡(luò)攻擊者可以輕松地進行微調(diào)和針對性的攻擊，因此ChatGPT將對網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重的威脅。

目前，網(wǎng)絡(luò)攻擊者已開始使用ChatGPT創(chuàng)建惡意軟件、暗網(wǎng)站點和其他實施網(wǎng)絡(luò)攻擊的工具。此外，使用ChatGPT編寫用于網(wǎng)絡(luò)攻擊的惡意軟件代碼，會大大降低攻擊者的編程或技術(shù)能力門檻，將導(dǎo)致即使沒有技術(shù)基礎(chǔ)也能成為攻擊者。

同時，人工智能賦能網(wǎng)絡(luò)攻擊與傳統(tǒng)網(wǎng)絡(luò)攻擊在技術(shù)與手法上相比，將使過去勞動密集型、成本高昂的攻擊手法開始徹底轉(zhuǎn)型，朝著分布式、智能化、自動化方向發(fā)展，從而形成更為精準(zhǔn)和快速的自動化攻擊手法。

南方新華獵頭公司總結(jié)：未來，隨著大模型AI計算被廣泛應(yīng)用于網(wǎng)絡(luò)攻擊各個領(lǐng)域，網(wǎng)絡(luò)安全形勢將更加嚴(yán)峻，攻防真正進入智能化對抗時代。

如需報告原文PDF可添加下方電話微信聯(lián)系方式 （來源：南方新華微信公眾號）

以上就是「南方新華——24小時極速獵頭」帶來的南方新華 | 第9期《2023年產(chǎn)業(yè)互聯(lián)網(wǎng)安全趨勢報告》發(fā)布的全部內(nèi)容！

南方新華獵頭在線客服：137-1876-7011 歡迎咨詢