云原生技術(shù)蓬勃發(fā)展，已成為賦能企業(yè)業(yè)務(wù)創(chuàng)新的重要推動(dòng)力。Gartner報(bào)告指出，2022年將有75%的全球化企業(yè)會(huì)在生產(chǎn)中使用云原生的容器化應(yīng)用。到2025年，超過(guò)95%的新云工作負(fù)載將部署在云原生平臺(tái)上。

但不可忽視的是，云原生在創(chuàng)造效益的同時(shí)，也在重塑整個(gè)應(yīng)用生命周期，由此帶來(lái)了新的應(yīng)用安全隱患。

云原生應(yīng)用變革帶來(lái)三大安全風(fēng)險(xiǎn)：傳統(tǒng)應(yīng)用安全風(fēng)險(xiǎn)，API安全風(fēng)險(xiǎn)，業(yè)務(wù)安全風(fēng)險(xiǎn)

云原生呼喚新型應(yīng)用安全技術(shù)：

隨著云原生技術(shù)應(yīng)用的普及，在未來(lái)數(shù)年內(nèi)，云原生架構(gòu)帶來(lái)的風(fēng)險(xiǎn)將成為攻擊者關(guān)注和利用的重點(diǎn)，傳統(tǒng)基于邊界的防護(hù)模型已不能完全滿足云原生的安全需求。

面對(duì)云原生架構(gòu)帶來(lái)的三類安全風(fēng)險(xiǎn)，同時(shí)需要打造覆蓋Web、APP、云原生應(yīng)用和API資產(chǎn)的主動(dòng)防護(hù)體系。

根據(jù) IDC 發(fā)布的最新數(shù)據(jù)，2023 年，全球網(wǎng)絡(luò)安全解決方案和服務(wù)支出預(yù)計(jì)達(dá)到 2190 億美元，相比 2021 年增長(zhǎng)了 12.1%。未來(lái)幾年，在網(wǎng)絡(luò)攻擊持續(xù)威脅、企業(yè)對(duì)安全混合工作環(huán)境的需求，以及滿足數(shù)據(jù)隱私和治理需求的推動(dòng)下，預(yù)計(jì)到 2026 年，與網(wǎng)絡(luò)安全相關(guān)的硬件、軟件和服務(wù)的投資將達(dá)到近 3000 億美元。

安全軟件將成為實(shí)體組織最主要的網(wǎng)絡(luò)安全支出，占全年所有安全支出的近一半，其中最熱門的投資是端點(diǎn)安全，其次是身份和數(shù)字信任軟件、網(wǎng)絡(luò)安全分析、威脅情報(bào)、響應(yīng)和編排軟件。

亞太地區(qū)將是 2023 年安全支出第二大的地區(qū)。值得一提的是，預(yù)計(jì)中國(guó)在 2021-2026 年的預(yù)測(cè)期內(nèi)實(shí)現(xiàn)最快的支出增長(zhǎng)，五年復(fù)合年增長(zhǎng)率為 18.8%。

根據(jù)Cybernews的研究，娛樂(lè)業(yè)巨頭Lionsgate公司泄露了用戶的IP地址和他們?cè)谄潆娪傲髅襟w平臺(tái)上觀看的內(nèi)容的信息。

在調(diào)查過(guò)程中，研究人員發(fā)現(xiàn)，視頻流平臺(tái)Lionsgate Play通過(guò)一個(gè)開放的ElasticSearch實(shí)例泄露了用戶數(shù)據(jù)。Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)未受保護(hù)的20GB的服務(wù)器日志，其中包含近3000萬(wàn)個(gè)條目，其中最早的是2022年5月。這些日志暴露了用戶的IP地址、操作系統(tǒng)和網(wǎng)絡(luò)瀏覽記錄等用戶數(shù)據(jù)。

研究人員還發(fā)現(xiàn)了記錄在案的HTTP GET請(qǐng)求的不明哈希值，這是客戶提出的請(qǐng)求的記錄，通常用于從網(wǎng)絡(luò)服務(wù)器獲取數(shù)據(jù)：當(dāng)這些請(qǐng)求被提出時(shí)，它們被存儲(chǔ)在服務(wù)器的日志文件中。

人工智能開發(fā)商OpenAI公司最近發(fā)布的ChatGPT-4又震驚了世界，但它對(duì)數(shù)據(jù)安全領(lǐng)域意味著什么，目前還沒(méi)有定論。一方面，生成惡意軟件和勒索軟件比以往任何時(shí)候都更容易。在另一方面，ChatGPT也可以提供一系列新的防御措施用例。

行業(yè)媒體最近采訪了一些世界頂級(jí)的網(wǎng)絡(luò)安全分析師，他們對(duì)2023年ChatGPT和生成式人工智能的發(fā)展進(jìn)行了以下預(yù)測(cè)：

ChatGPT將降低網(wǎng)絡(luò)犯罪的門檻。

制作令人信服的釣魚郵件將變得更容易。

企業(yè)將需要了解人工智能技術(shù)的安全專業(yè)人員。

企業(yè)將需要驗(yàn)證生成式人工智能輸出的內(nèi)容。

生成式人工智能將升級(jí)現(xiàn)有的威脅。

企業(yè)將定義對(duì)ChatGPT使用的期望。

人工智能將增強(qiáng)人類的能力。

企業(yè)仍將面臨同樣的原有威脅。

目前，企業(yè)的零信任安全建設(shè)已從理論和技術(shù)探索階段，正式邁入了零信任的應(yīng)用實(shí)踐和快速發(fā)展階段。而根據(jù)NIST的定義：零信任安全是一種覆蓋端到端安全性的網(wǎng)絡(luò)安全體系，包含身份、訪問(wèn)、操作、終端、與基礎(chǔ)設(shè)施環(huán)境。其中，端點(diǎn)安全將是企業(yè)零信任體系建設(shè)的重要部分。

由于端點(diǎn)設(shè)備承載著企業(yè)組織大量業(yè)務(wù)數(shù)據(jù)的產(chǎn)生、使用和流轉(zhuǎn)，隨著其應(yīng)用的多樣化和復(fù)雜化，特別是云上端點(diǎn)應(yīng)用的大量增加，導(dǎo)致了企業(yè)端點(diǎn)安全威脅態(tài)勢(shì)不斷惡化，企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)面臨著比預(yù)期中更大的安全挑戰(zhàn)。

2023年，企業(yè)在零信任安全建設(shè)中，只有進(jìn)一步提升端點(diǎn)安全的防護(hù)能力，才能確保整體建設(shè)目標(biāo)的實(shí)現(xiàn)。

1.確定身份優(yōu)先的安全原則

2.實(shí)現(xiàn)持續(xù)的監(jiān)控和驗(yàn)證

3.自動(dòng)化的漏洞管理與端點(diǎn)彈性

4.端點(diǎn)隔離與攻擊面管理

5.向一體化安全能力演進(jìn)

如今，現(xiàn)代的業(yè)務(wù)運(yùn)營(yíng)只有通過(guò)頻繁的文件傳輸才能實(shí)現(xiàn)。隨著人們?cè)跀?shù)字領(lǐng)域的不斷擴(kuò)展和工作習(xí)慣的改變，這種做法變得更加普遍。數(shù)據(jù)傳輸雖然高效，但也會(huì)給安全性和可信度帶來(lái)風(fēng)險(xiǎn)。

識(shí)別和分類最敏感的數(shù)據(jù)：

在企業(yè)的服務(wù)器傳輸任何數(shù)據(jù)之前，應(yīng)該評(píng)估它對(duì)業(yè)務(wù)的影響。

始終進(jìn)行備份：

企業(yè)應(yīng)該將關(guān)鍵數(shù)據(jù)以多種形式存儲(chǔ)在多個(gè)位置，其物理存儲(chǔ)介質(zhì)包括固態(tài)硬盤、SD卡和U盤，企業(yè)需要采取措施加密數(shù)據(jù)并保持硬盤的物理安全。

建立文件訪問(wèn)層次結(jié)構(gòu)：

企業(yè)的數(shù)據(jù)具有分層結(jié)構(gòu)，使用類似的方法進(jìn)行數(shù)據(jù)訪問(wèn)同樣有效。建立定義每個(gè)用戶的許可級(jí)別和相關(guān)特權(quán)的協(xié)議非常重要。

部署密碼管理系統(tǒng)：

如果企業(yè)的密碼容易受到攻擊和竊取，那么采用的安全措施就毫無(wú)價(jià)值。

對(duì)員工進(jìn)行安全培訓(xùn)：

企業(yè)需要建立一個(gè)安全培訓(xùn)制度，向員工傳授有關(guān)文件傳輸實(shí)踐的知識(shí)。

GPT-4的發(fā)布，在全球范圍再一次掀起AI技術(shù)應(yīng)用的熱潮。與此同時(shí)，一些知名計(jì)算機(jī)科學(xué)家和科技業(yè)界人士也對(duì)人工智能技術(shù)的快速發(fā)展表示了擔(dān)憂，因?yàn)檫@對(duì)人類社會(huì)存在著不可預(yù)知的潛在風(fēng)險(xiǎn)。

北京時(shí)間3月29日，由特斯拉公司CEO 埃隆·馬斯克，圖靈獎(jiǎng)得主約書亞·本吉奧（Yoshua Bengio），蘋果聯(lián)合創(chuàng)始人瓦茲尼亞克（Steve Wozniak），以及《人類簡(jiǎn)史》作者尤瓦爾·赫拉利等人聯(lián)名簽署了一封公開信，呼吁全球所有AI實(shí)驗(yàn)室立即暫停訓(xùn)練比GPT-4更強(qiáng)大的AI系統(tǒng)，為期至少6個(gè)月，以確保人類能夠有效管理其風(fēng)險(xiǎn)。如果商業(yè)型的AI研究組織不能快速暫停其研發(fā)進(jìn)程，各國(guó)政府應(yīng)該采取有效監(jiān)管措施實(shí)行暫停令。

在這封公開信中，詳細(xì)表述了暫停AI模型訓(xùn)練的理由：AI技術(shù)已經(jīng)強(qiáng)大到能和人類進(jìn)行某些方面的競(jìng)爭(zhēng)，將給人類社會(huì)帶來(lái)深刻的變革。因此，所有人都必須思考AI的潛在風(fēng)險(xiǎn)：假新聞和宣傳充斥信息渠道、大量工作被自動(dòng)化取代、人工智能甚至有一天會(huì)比人類更聰明、更強(qiáng)大，讓我們失去對(duì)人類文明的掌控。只有當(dāng)我們確信強(qiáng)大的人工智能系統(tǒng)的影響將是積極的，其風(fēng)險(xiǎn)將是可控的時(shí)候，才應(yīng)該繼續(xù)開發(fā)和訓(xùn)練它們。

截至今天中午11點(diǎn)，這份公開信已經(jīng)征集到1344份簽名。