8月9日消息,當前,生成式AI加速賦能,數(shù)字化浪潮加速而來,在此背景下,通用安全漏洞數(shù)量再創(chuàng)新高,各類攻擊趨勢有增無減,網(wǎng)絡(luò)安全風(fēng)險越來越高。
為幫助企業(yè)洞察最新的Web安全威脅和辦公安全威脅態(tài)勢,并提供防護思路,近日,網(wǎng)宿科技旗下網(wǎng)宿安全正式發(fā)布《2023互聯(lián)網(wǎng)安全報告:“體系化主動安全”建設(shè)指南》(以下簡稱《報告》)。
網(wǎng)宿安全高級總監(jiān)胡鋼偉解讀《報告》
Web安全多維度威脅持續(xù)升高
《報告》顯示,2023年,網(wǎng)宿安全平臺監(jiān)測到的全球Web應(yīng)用程序攻擊數(shù)量達到7309億次,同比增長30%。其中,2023年應(yīng)用層DDoS攻擊次數(shù)達4500億次,同比增長26%,針對境外目標的DDoS攻擊同比增長了近220%,或與企業(yè)出海趨勢相關(guān);同時,Web應(yīng)用漏洞利用攻擊為416億次,同比增長8%。此外,電商、文旅行業(yè)所遭受到的惡意Bot攻擊達到了462次,占全平臺Bot請求數(shù)比例為22%,相比2022年的170億、10%分別增長了172%、120%。
在攻擊體量持續(xù)高漲的同時,新型攻擊威脅也層出不窮,2023年,網(wǎng)宿安全發(fā)現(xiàn)了一個基于HTTP/2 Continuation Flood 的新型威脅攻擊,其攻擊峰值rps相比傳統(tǒng)HTTP Flood可實現(xiàn)一個數(shù)量級突破,從千萬級到億級。
從攻擊手法來看,據(jù)網(wǎng)宿安全平臺數(shù)據(jù),2023年針對API的攻擊占比上升到了63%,《報告》推測該增長源于生成式AI在網(wǎng)絡(luò)安全以及入侵攻擊方面的應(yīng)用得到了普及。
生成式AI正在助長威脅態(tài)勢。胡鋼偉在會上指出,生成式AI在提升效率的同時,也會成為攻擊者武器庫的一部分,讓現(xiàn)有攻擊更隱蔽、逃避檢測,同時還能生成攻擊代碼,讓自動化的攻擊以及漏洞利用的效率變得更高。
行業(yè)亟需轉(zhuǎn)向新一代的一體化安全防御架構(gòu)
《報告》指出,傳統(tǒng)安全建設(shè)思路已經(jīng)難以應(yīng)對不斷變化升級的網(wǎng)絡(luò)威脅,行業(yè)亟需向新一代的一體化安全防御架構(gòu)——WAAP和SASE轉(zhuǎn)型。
WAAP通過集成Web應(yīng)用防火墻、DDoS防護、Bot管理、API安全、威脅情報和自動化響應(yīng)等安全功能,可以為企業(yè)Web安全提供全面的威脅檢測和防御體系。此次《報告》,網(wǎng)宿安全結(jié)合自身在WAAP方面的實踐經(jīng)驗,從頂層設(shè)計、全業(yè)務(wù)渠道接入、統(tǒng)一管理平臺和API、數(shù)據(jù)驅(qū)動和AI應(yīng)用、核心防護能力等幾方面提出了具體的建設(shè)落地方式建議。
在企業(yè)安全方面,SASE架構(gòu)則成為企業(yè)新一代的辦公網(wǎng)絡(luò)安全防護體系的理想方案。SASE架構(gòu)可以降低企業(yè)和組織的網(wǎng)絡(luò)安全風(fēng)險,提高企業(yè)和組織的網(wǎng)絡(luò)效率和業(yè)務(wù)靈活性、降低企業(yè)和組織的IT成本,符合企業(yè)辦公安全需求。此次《報告》中,網(wǎng)宿安全建議企業(yè)根據(jù)自己當前所處的階段以及自己安全建設(shè)的目標,分階段落地SASE架構(gòu)。
值得注意的是,基于對網(wǎng)絡(luò)安全攻防態(tài)勢的分析,以及結(jié)合當前的降本增效背景,《報告》也對企業(yè)體系化主動安全能力建設(shè)進行了詳細探討。
2023年,盡管企業(yè)安全建設(shè)依然以合規(guī)為導(dǎo)向,但也呈現(xiàn)出諸多變化。一方面,隨著企業(yè)對安全的接受程度逐漸增加,企業(yè)對安全的認知逐漸從“絕對安全”轉(zhuǎn)變?yōu)椤跋鄬Π踩?。同時,隨著企業(yè)出海以及一帶一路的政策發(fā)展,跨境數(shù)據(jù)流動,給企業(yè)帶來了巨大挑戰(zhàn)。此外,生成式AI與大模型的落地,也給整個網(wǎng)絡(luò)安全行業(yè)注入變量。
胡鋼偉指出,在這些變革之下,企業(yè)在安全建設(shè)過程當中,僅以合規(guī)為驅(qū)動,會存在一些局限性,包括成本浪費、重復(fù)投入、實戰(zhàn)能力跟不上等,難以匹配企業(yè)當前的安全現(xiàn)狀。
對此,網(wǎng)宿安全建議企業(yè)在安全建設(shè)時首先應(yīng)轉(zhuǎn)變理念,從被動合規(guī)向主動建設(shè)體系化安全轉(zhuǎn)變,同時企業(yè)應(yīng)積極擁抱云安全技術(shù),借助云安全服務(wù)的成本效益、可擴展性、安全能力高度整合、專業(yè)服務(wù)支持等優(yōu)勢,通過基于“網(wǎng)絡(luò)安全能力成熟度”的方法論,構(gòu)建云端+本地協(xié)同的安全防御和安全運營雙體系,實現(xiàn)真正可用于實戰(zhàn)的主動安全防御體系。
胡鋼偉表示,通過體系化主動安全的核心理念分享,網(wǎng)宿安全希望能夠全面賦能企業(yè)的安全架構(gòu)升級,幫助精進技術(shù)運營效率,共筑數(shù)字未來的安全。
生成式AI的防范建議
此次圓桌環(huán)節(jié),北京網(wǎng)絡(luò)行業(yè)協(xié)會副秘書長羅藝從行業(yè)角度,談到了如何維護和保證互聯(lián)網(wǎng)環(huán)境的健康有序。羅藝指出,網(wǎng)絡(luò)安全、數(shù)據(jù)安全管理是一個體系化、全方位的工作,離不開政府監(jiān)管、行業(yè)自律和網(wǎng)絡(luò)監(jiān)督。在行業(yè)自律方面,企業(yè)要依法依規(guī)地經(jīng)營發(fā)展,同時要在網(wǎng)絡(luò)安全、數(shù)據(jù)安全方向建立有效的管理制度。
對于企業(yè)出海對國內(nèi)網(wǎng)絡(luò)安全行業(yè)的影響,安全牛分析師王劍橋與網(wǎng)宿安全高級總監(jiān)胡鋼偉均認為,企業(yè)出海將帶動安全剛需,為國內(nèi)安全廠商提供發(fā)展新動力,但與此同時也將對國內(nèi)網(wǎng)安廠商的技術(shù)能力提出更高要求,“打鐵還需自身硬”將愈發(fā)關(guān)鍵。羅藝則表示,這或?qū)Ⅱ?qū)動國內(nèi)安全企業(yè)創(chuàng)新發(fā)展,破除同質(zhì)化內(nèi)卷,推動國內(nèi)網(wǎng)安行業(yè)壯大。
此外,圍繞熱議的生成式AI威脅話題,王劍橋與胡鋼偉也在會上分享了防范建議。
王劍橋表示,生成式AI的攻擊鏈條核心還是按照“網(wǎng)絡(luò)殺傷鏈”模型的六個步驟來進行,包括偵察跟蹤、工具構(gòu)建、載荷投遞、漏洞利用、安裝植入、命令與控制等,生成式AI更多的是提高效率和提高效果。作為防守方,要做到以不變應(yīng)萬變,防護好風(fēng)險點,一是主動做好安全意識培訓(xùn),提升內(nèi)部員工的防范意識,二是及時查漏補缺,減少風(fēng)險暴露點,三是變單點防護為全面防護,聯(lián)動更多安全組件,全面識別風(fēng)險。
胡鋼偉認為,防范生成式AI帶來的威脅應(yīng)回歸安全的本質(zhì),單點防護已經(jīng)失靈,企業(yè)應(yīng)該構(gòu)建體系化主動安全。體系化主動安全包含幾個核心,首先風(fēng)險管理是基礎(chǔ),要收斂暴露面、管理漏洞,以及加強人員意識管理等,其次企業(yè)要完善自身體系化安全的建設(shè),最后所謂的用魔法打敗魔法,企業(yè)可以將AI賦能到防守以及安全運營方面,提升防護效率。
據(jù)悉,網(wǎng)宿安全已經(jīng)將AI能力賦能到整體防護能力上,其中較為典型的應(yīng)用場景是Bot智能識別,基于AI的智能識別已經(jīng)貢獻了超40%的Bot識別率,而且這一比例還在上升。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 一汽大眾宣布高層調(diào)整:潘占福不再擔(dān)任黨委書記、總經(jīng)理
- 2024年新能源汽車行業(yè)發(fā)展迅猛,關(guān)鍵技術(shù)加速落地
- 周鴻祎談o3大模型:關(guān)于AGI 的定義,可能得改改了
- 小米汽車與蔚來達成充電補能網(wǎng)絡(luò)合作
- 辛巴淚撒直播間自曝患病
- 美團:定制“擦邊騎手服”惡意博流量,將依法追究責(zé)任
- 王化辟謠“小米年底大規(guī)模裁員”:造謠者缺乏起碼的常識
- 螞蟻集團進行全面架構(gòu)升級,CTO線大規(guī)模調(diào)整
- 蔚來智能駕駛重大調(diào)整:組織架構(gòu)重組,力推端到端解決方案
- 三星將向國內(nèi)手機廠商提供多樣化高端屏幕,本土廠商競爭加劇
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。