AI大模型席卷全球,為各行業(yè)帶來(lái)顛覆式創(chuàng)新機(jī)遇的同時(shí),也打開(kāi)了網(wǎng)絡(luò)攻擊的潘多拉魔盒。近日,一份報(bào)告指出,利用生成式AI制作的惡意軟件增長(zhǎng)了約700%,網(wǎng)絡(luò)釣魚郵件增長(zhǎng)了約135%。
“AI技術(shù)的飛速發(fā)展進(jìn)一步提升了黑客攻擊的效率,因?yàn)榇竽P途邆涓咝?nèi)容生成的特點(diǎn),會(huì)讓黑客以更低的門檻和成本,發(fā)動(dòng)更密集的攻擊。”騰訊集團(tuán)副總裁、騰訊安全總裁丁珂在2023騰訊全球數(shù)字生態(tài)大會(huì)上表示。
在丁珂看來(lái),面對(duì)AI大模型引發(fā)的全新安全挑戰(zhàn),傳統(tǒng)的安全工具、經(jīng)驗(yàn)、策略將失去效力,企業(yè)亟需重建適應(yīng)智能化時(shí)代的安全體系,打造更靈活、彈性、可擴(kuò)展的數(shù)字安全免疫能力。
AI大模型時(shí)代安全攻防戰(zhàn)升級(jí)
一直以來(lái),在安全領(lǐng)域,攻擊方和防守方就存在天然的不對(duì)等關(guān)系。而AI大模型的廣泛應(yīng)用,更是開(kāi)啟了新一輪的攻防戰(zhàn)。
從攻擊角度來(lái)看,攻擊方利用AI技術(shù)大幅降低攻擊成本和門檻之后,會(huì)大幅提升攻擊的頻次和密度。“在大模型加持下,黑客會(huì)讓攻防變成‘即時(shí)戰(zhàn)略’的對(duì)抗,企業(yè)的反應(yīng)時(shí)間窗口將被迫縮短至小時(shí)級(jí)或者分鐘級(jí)。”丁珂表示。
不容樂(lè)觀的是,大部分企業(yè)的安全建設(shè)仍停留在“頭疼醫(yī)頭、腳疼醫(yī)腳”的傳統(tǒng)搭煙囪階段。《2023企業(yè)安全建設(shè)水平抽樣調(diào)研報(bào)告》顯示,在安全預(yù)算投入上,超過(guò)70%的企業(yè)低于基準(zhǔn)線,甚至還有超過(guò)10%的企業(yè),安全投入低于1%,對(duì)攻擊事件“不設(shè)防”。
而這一現(xiàn)象的根本原因在于,大部分企業(yè)對(duì)安全價(jià)值認(rèn)知的長(zhǎng)期錯(cuò)位,他們認(rèn)為安全投入就是成本,而且難以量化價(jià)值。
對(duì)此,經(jīng)濟(jì)學(xué)者薛兆豐在會(huì)上從經(jīng)濟(jì)學(xué)角度出發(fā),給數(shù)字安全投入算了一筆賬。他表示,過(guò)往企業(yè)家關(guān)注的是安全本身,但是智能化時(shí)代,企業(yè)數(shù)字化加深變廣,主動(dòng)從數(shù)字化進(jìn)入數(shù)智化,如果不建立完善的安全免疫力,那所有數(shù)字化投入都會(huì)失去原有的經(jīng)濟(jì)性。因此,安全愈發(fā)成為最高決策的關(guān)鍵點(diǎn)和投入點(diǎn),也應(yīng)該作為企業(yè)進(jìn)行戰(zhàn)略投入的關(guān)鍵方向。
“度量安全”是重建安全體系的首要前提
面對(duì)AI大模型時(shí)代快速擴(kuò)大的安全風(fēng)險(xiǎn),企業(yè)傳統(tǒng)的安全范式亟待重建。“企業(yè)需要跳出‘防黑防鬼’的被動(dòng)防御窠臼,聚焦業(yè)務(wù)和數(shù)據(jù)兩個(gè)核心價(jià)值,構(gòu)建內(nèi)生數(shù)字免疫力。”騰訊安全策略發(fā)展中心總經(jīng)理呂一平表示,“就像是對(duì)抗多種病毒,最優(yōu)選擇永遠(yuǎn)不是打抗生素,而是建立強(qiáng)壯的體魄和免疫力。”
今年上半年,騰訊安全聯(lián)合IDC發(fā)布的“數(shù)字安全免疫力”模型也提出,企業(yè)需要重建安全價(jià)值原點(diǎn),將企業(yè)核心業(yè)務(wù)與企業(yè)數(shù)據(jù)資產(chǎn)作為所有安全的防御目標(biāo),設(shè)置防御縱深。
明確安全的目標(biāo)之后,如何圍繞核心資產(chǎn)建立完善有效的安全體系呢?在丁珂看來(lái),不同行業(yè)和不同體量規(guī)模的企業(yè)在安全建設(shè)上千企千面,需要有一個(gè)可度量的安全體系,幫助企業(yè)評(píng)估安全建設(shè)水平和關(guān)鍵風(fēng)險(xiǎn)。
論壇上,騰訊安全配合免疫力模型發(fā)布了“數(shù)字安全免疫力模型評(píng)估工具”。呂一平介紹稱,這款評(píng)估工具是基于業(yè)務(wù)識(shí)別關(guān)鍵風(fēng)險(xiǎn),并參考同業(yè)建立標(biāo)尺,每個(gè)企業(yè)在參與測(cè)試后將得到一個(gè)基準(zhǔn)分,通過(guò)對(duì)比可以得知自身在行業(yè)內(nèi)的水平位置,與行業(yè)頭部、中位數(shù)的差距是多少,在清晰理解風(fēng)險(xiǎn)和差距的基礎(chǔ)上,幫助企業(yè)建立可落地安全建設(shè)路徑。
據(jù)了解,目前已經(jīng)有金融、能源、工業(yè)等60家企業(yè)參與了評(píng)估工具的測(cè)試。評(píng)估報(bào)告顯示,金融行業(yè)總體得分第一,但是在細(xì)分的業(yè)務(wù)風(fēng)控場(chǎng)景有不足;能源和工業(yè)安全工具部署非常充分,但是圍繞關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的模塊有待提升。
企業(yè)如何打造自適應(yīng)的“安全免疫力”?
企業(yè)摸清安全建設(shè)水平,就能做好安全嗎?答案并不肯定。在丁珂看來(lái),AI大模型時(shí)代,外部技術(shù)和攻擊瞬息萬(wàn)變,如果外部因素一有變化,就要重新構(gòu)建一整個(gè)模塊的安全體系來(lái)匹配,從成本和效果考量這都是不合格的,企業(yè)需要打造一套具有彈性、自適應(yīng)、可擴(kuò)展的數(shù)字安全免疫系統(tǒng)。
騰訊安全“數(shù)字安全免疫力”模型框架,把復(fù)雜的安全體系抽象成了一個(gè)洋蔥模型,圍繞企業(yè)的數(shù)據(jù)和業(yè)務(wù)從內(nèi)到外建立3個(gè)層次6大模塊的安全體系。企業(yè)可以通過(guò)自評(píng)工具,摸清自身安全建設(shè)水平及不足,并參考同行業(yè)建立標(biāo)尺快速構(gòu)建安全免疫力。目前,騰訊安全已經(jīng)幫助眾多行業(yè)頭部企業(yè)注入安全免疫力。
以中遠(yuǎn)海運(yùn)為例,其依托騰訊安全產(chǎn)品和專家服務(wù)構(gòu)建起技防+人防的數(shù)字安全免疫力,有效保障了公司的數(shù)據(jù)、系統(tǒng)和業(yè)務(wù)安全。中遠(yuǎn)海運(yùn)科技股份有限公司副總經(jīng)理林亦雯在演講中提到,“在最近的一次槍林彈雨中,騰訊安全與中遠(yuǎn)海運(yùn)一起做到了毫發(fā)無(wú)傷,再一次證明免疫力才是我們最好的鎧甲。”
中國(guó)領(lǐng)先的商業(yè)運(yùn)營(yíng)服務(wù)供應(yīng)商寶龍商業(yè)也依托騰訊安全自研金融級(jí)AI——天御決策操作系統(tǒng),構(gòu)建了智能化的大數(shù)據(jù)風(fēng)控模型,讓數(shù)據(jù)分析與AI在各運(yùn)營(yíng)場(chǎng)景更輕松、智慧地驅(qū)動(dòng)決策的制定與應(yīng)用。
為了幫助千行百業(yè)的企業(yè)高效構(gòu)建內(nèi)在自適應(yīng)的“安全免疫力”,騰訊安全也不斷升級(jí)產(chǎn)品能力。據(jù)騰訊安全副總裁楊光夫介紹,騰訊安全將發(fā)布安全數(shù)據(jù)湖,幫助企業(yè)解決數(shù)據(jù)存儲(chǔ)和使用成本問(wèn)題,提高數(shù)據(jù)查詢速度,具備180天以上對(duì)原始數(shù)據(jù)的事件調(diào)查和威脅狩獵,助力企業(yè)實(shí)現(xiàn)安全智能化轉(zhuǎn)型。
正如騰訊集團(tuán)高級(jí)執(zhí)行副總裁、云與智慧產(chǎn)業(yè)事業(yè)群CEO湯道生所說(shuō),“在數(shù)據(jù)爆炸的時(shí)代,安全已經(jīng)成為企業(yè)與開(kāi)發(fā)者必須要翻越的山峰。”而產(chǎn)業(yè)的發(fā)展,需要各界攜手,一起打造更加主動(dòng)和可持續(xù)的數(shù)字安全免疫力生態(tài),從容應(yīng)對(duì)新時(shí)代的安全挑戰(zhàn)。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )