10月31日,工信部印发《工业和信息化领域数据安全事件应急预案(试行)》。其中提到,根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,将数据安全事件分为特别重大、重大、较大和一般四个级别。数据安全事件应急工作应当坚持统一领导、分级负责。坚持统一指挥、密切协同、快速反应、科学处置。坚持“谁管业务、谁管业务数据、谁管数据安全”,落实数据处理者的数据安全主体责任。坚持充分发挥各方面力量,共同做好数据安全事件应急处置工作。数据安全已经上升到国家安全的阶段,数据安全事件的处理也将进一步标准化,有力可循。
随着AI时代的到来,用户对于安全产品的需求也在发生着变化。一方面,用户想要借助AI的能力,在提高安全保障的同时,降低安全成本投入;另一方面,用户对单一产品、单一能力的安全产品的需求度越来越低,反之,针对垂直场景的体系化解决方案的需求激增。
从单一产品到全局统筹
随着数字技术在各个行业中应用的深入,企业对于安全的态度也有着很大的变化,一方面,企业由原先的被动式安全防护—出现问题解决问题,转变为主动式安全防护—希望能具备安全预警能力,将威胁扼杀在摇篮中;另一方面,企业内部的安全策略也在悄然发生着变化。
原先,企业更倾向于选择头部厂商的单一拳头安全产品,企业自己通过组合,自行搭建并管理安全体系。比如,在防火墙方面注重高性能的,可能会选择Fortinet或者华为的;注重易用性的可能会选择深信服的。在加密技术方面,可能会选择Ping32的。在漏洞扫描方面,可能会选择绿盟科技的.....等等,彼时的企业,基于自己对安全需求的理解,通过对不同厂商产品的选择,组合成自己认为“最好”的组合,用于安全防护体系的建设,“这个阶段的特点就是:安全体系完全由用户自己管理。”宫智告诉。
传统上,企业倾向于采购业内最好的单点产品,以应对具体安全问题,并期望通过不同供应商优秀产品的叠加组合,来覆盖安全需求的各个层面。
然而,随着云计算和人工智能的快速发展,网络安全威胁的复杂性和攻击面不断扩大,分散式的安全工具部署逐渐暴露出诸多问题,如数据孤岛、安全响应效率低下、管理复杂性增加、总拥有成本TCO居高不下等。企业逐渐意识到,“堆叠”式安全单品难以应对日益复杂的网络威胁,基于此,企业开始希望能够整合多种安全功能于统一的平台方案中,增强威胁检测与响应能力,降低管理复杂度,提升安全运营效率。
在技术发展,以及宏观层面合规性要求越来越严,标准制定愈发完善的大环境下,用户对于安全产品的需求也有着转变。在宫智看来,当下,用户需要更多的是,一整套针对特定业务场景的定制化解决方案,“用户已经逐渐摒弃了原先的自己管理的模式,而是将更多的事情交给专业的安全厂商去做,”宫智强调,“这样一方面用户可以将更多的精力、人力投入到本身业务之中,另一方面,经由安全专家打造的安全体系再应对安全事件时,处理效率更高,让企业的安全更有保障。”
“现阶段,安全行业内,单一产品很难满足用户需求,除了强化单体能力上的差异外,客户更希望能够提供满足具象化、场景化的解决方案。”绿盟科技集团副总裁宫智告诉。
无独有偶,奇安信集团产品总体部专家也对表示,随着业务云化发展以及混合办公成为常态,安全威胁的场景愈加复杂多样,企业需要管理的安全策略、安全数据的种类和数量呈爆炸式增长。传统安全防护体系大多是围绕数据中心构建的,难以执行跨越本地、云端的统一安全策略,管理全局数据也力不从心。与此同时,产品之间协同能力很弱,甚至完全无协同(无法共享安全威胁的上下文),也无法有效联动应对威胁,导致威胁检出的效率和响应处置的效果都差强人意。安全产品平台化建设是应对以上困境的有效方法,能有效提升产品协同联动能力,增强数据互操作性,支持功能弹性扩展,以及实现安全响应自动化等核心需求。
纵观全局,当前国内网络安全无论是在攻击侧,还是企业需求侧都在发生新变化,网络安全模式和产业出现相应新特征,网络安全建设和运营也逐步从基础建设和合规导向,向着效果导向转变,而网络安全技术、产品和解决方案注定要走向自动化、云化、实战化等方向。
在这个趋势下,企业更需要一个一体化的安全防护体系,确保自身安全无死角。而在宫智看来,这个过程中,合规是安全保障的基石,企业需要优先建设合规体系,并以此为基础,从云、网、端、数等各个层面构筑纵深防御的内生安全体系。而这些专业的事,自然要交给专业的人完成,这就牵扯出了当下安全热议的安全运营的话题。
AI辅助安全运营,从L1向L2迈进
安全运营是指利用安全产品或安全服务等提升企业信息安全能力的一系列管理过程,包括对安全产品或安全服务的需求、设计、运行、监控、改进等。这一过程通过运营已经部署的安全产品,让各类安全措施充分发挥其应有的防护效力。它不仅仅关注单个安全产品的性能,而是从系统化的角度,对企业整体安全进行运营管理。
安全防护措施是安全运营的基础,安全运营能确保这些措施得到有效执行和持续改进。安全运营的出现,就很好的满足当下企业对于安全解决方案的诉求——安全运营强调将不同厂商、不同类型的安全产品进行统一管理运营,将点状分散的安全管理转变为更全面、更可靠的安全防护屏障。
另一方面,通过安全运营,企业可以随着业务的变化而动态调整安全策略,以适应不断变化的网络安全环境,在宫智看来,这点对于当下这个需求动态防护,实时化防护,以及常态化演练的安全趋势而言,是必不可少的。
随着AI的发展,人工智能的能力能为企业带来辅助安全运营的能力,IBM 发布的《2024年数据泄露成本报告》中指出,应用人工智能和自动化可将数据泄露成本降低188万美元,绿盟科技集团首席创新官刘文懋告诉,绿盟科技现在也如同国内外众多安全厂商一样,非常重视AI辅助安全运营这个赛道,“我们也看到了国内对于AI辅助安全运营的需求不断增加,”刘文懋强调,“因为在客户侧我们也有很多的驻场的安全专家,这部分成本对于用户而言是很高的。”
刘文懋进一步表示,大部分安全运营都是通过云的方式进行交付,但即便如此,企业还是需要投入大量的人力,以及财力成本,“所以企业需要借助AI的能力,帮助或者替代一部分安全专家,在提升效率的同时,也能有效降低他们安全运营的成本。”
目前来看,AI辅助安全运营可以分为三个等级,L1L2L3。在L1层面,只是解决简单的辅助性的安全运营;L2层面则可以替代一些初级,甚至中级的安全运营辅助人员;L3层面则可以扮演安全专家的角色,成为企业安全运营的“顶梁柱”,不过在宫智看来,目前AI辅助安全运营的水平离L3还很远,“当下的AI还不够安全专家的级别,更多的还是偏辅助的场景,但是未来发展的潜力很大。”
据了解,目前AI辅助安全运营做的比较好的企业达到L2级别的安全运营,用户可以通过开放的接口,使用该产品对接任何一家安全厂商的安全产品和安全平台,结合安全厂商擅长的安全运营的知识和服务经验,通过AI提升安全运营效率,从而达到辅助安全运营的目标,“现在大多数厂商推出的AI辅助安全运营的产品还是集中在L1向L2过渡的阶段。”宫智指出。
以绿盟科技为例,绿盟科技尝试用自主研发的风云卫大模型帮助云上安全运营团队,以及用户提升安全事件研判,“特别是在告警降噪方面。”宫智如是说。通过告警降噪,企业可以快速处理安全运营过程中上百万条的告警,筛选出更为严重的,系统自动化处理不了的告警,进行人工干预,而其他简单的告警可以交由安全运营平台自动化处理,大幅提升了安全运营的效率。
不仅于此,结合了知识图谱、RAG等技术的风云卫大模型,帮助安全运营人员理解和研判当前的安全事件,并结合大模型的能力,提供辅助决策、处置建议等操作。
虽然AI辅助安全运营已经有不少安全厂商在尝试,但在刘文懋看来,企业能将安全运营完全交给AI大模型还需要解决幻觉、模型性能、模型使用成本等诸多问题。针对此,行业内普遍的做法是:尝试用安全知识形成知识图谱,再加上RAG技术,使大模型在通用语料的基础上,具备安全行业的专业语料,从而提升模型的专业水平、可信度和可解释度。
为了进一步提升AI与安全行业的融合,在11月1日举办的TechWorld2024智慧安全大会上,绿盟科技发布了4项大模型创成果新解决方案,分别是AI赋能安全运营、AI赋能攻防、AI赋能数据安全治理及大模型自身安全(合规检测、风险评估)。
数据安全愈发重要
当然,企业建立安全体系,应用安全运营平台,使用AI抵抗AI带来的安全威胁.....种种安全措施最终的目标都是—确保企业数据安全。
安全产品对于企业来说是开销、是投入、是成本,并不会直接给企业业务带来增长,但是为什么即便在所有行业都在降本增效的时代背景下,企业在安全方面的投入却越来越多呢?答案就是:数据已经成为企业核心资产,需要尽可能地确保这份资产“万无一失”。
不仅是企业,研究机构也对数据安全成本持有逐步上升的研判。IBM 发布的《2024年数据泄露成本报告》中指出,全球数据泄露事件的平均成本在今年达到 488万美元,而随着其破坏性越来越大,组织对网络安全团队的要求也进一步提高。与上一年相比,数据泄露带来的成本增加了 10%,是自 2020年来增幅最大的一年;70% 的受访企业表示,数据泄露造成了重大或非常重大的损失。而Gartner则预测,到2025年,生成式AI的采用将导致企业机构所需的网络安全资源激增,使应用和数据安全支出增加15%以上;IDC发布报告显示,2024年上半年中国IT安全软件市场厂商整体收入达到约112.5亿人民币(约合15.6亿美元),同比实现了4.1%的增长,市场表现强劲。其中,数据安全市场在2024年上半年同比增长了8.4%,终端安全软件市场同比增长3.0%。这一增长数据不仅反映了市场需求的旺盛,也凸显了网络安全行业在数字化转型时代的重要地位......
显然,数据安全已经越来越被企业所重视,在绿盟科技集团数据安全BG总经理刘进看来,数据安全的发展可以分为三个阶段。第一阶段,企业发生数据泄露事件后,才想到进行“补救”,进而采用数据加密等相应安全产品解决问题;第二个阶段,企业开始构建安全系统,通过系统化的手段去确保数据安全。这个阶段就涉及建立整个体系数据的访问认证、数据审计等系列工作,“这时候,数据的流动主要还是在以公司为单位的体系内部,还没有太多的外部数据的流通。”刘进如是说。
而当下已经进入到了第三个阶段:企业从业务角度出发,需要在满足数据流动的同时,确保数据安全。在这个阶段,伴随着数据要素化的进行,数据安全并没有中心节点,同时也无法控制数据边界,因为数据在不断的流动、交换,数据路径的复杂度不断提高,同时在AI的影响下,智能化的要求也越来越高,刘进指出,“现在我们进入了数据大规模流动的阶段,在大规模数据交易、交换的背景下,如何确保数据安全,对于安全行业而言,不是卷成本的时候,而是卷技术深度的时候。也就是能不能确保数据安全万无一失的时候。”
而在众多核心技术之中,隐私计算被业内视为保障数据交易过程中数据安全的必不可少的技术,也是实现数据“可用不可见”的技术保障。中国信通院牵头编写的《隐私计算白皮书(2022年)》中指出,近几年来,隐私计算在技术、应用和行业层面上都得到了快速发展,下一步应在性能提升、安全分级、互联互通等方面重点突破。未来,隐私计算将有助于构建数据流通的基础设施,在保证安全的前提下有效持续释放数据要素价值,促进数字经济高质量发展。(本文首发于,作者 | 张申宇,编辑 | 盖虹达)
