近年来,我国网信相关部门深入推进网络安全治理,网络安全政策法规体系更加健全,各项长效机制不断完善,治理效能持续提升,全社会网络安全意识和能力显著提高。2023 年,人工智能、量子计算、区块链等前沿技术加快迭代、集中涌现,应用领域呈现多方向、融合性、集群式发展,网络安全产业所蕴含的巨大的发展潜力进一步充分释放。
随着机器学习、深度学习、自然语言处理等人工智能技术深度应用正在颠覆网络安全底层逻辑和运营体系,一方面网络攻击通过应用人工智能技术实现“升维”,另一方面“人工智能+安全”技术将实现对网络攻击及威胁的“免疫性防御”,2024 年,“人工智能+安全”正在朝向更高性能、更强算力以及智能化运营的发展方向演进。
结合对国内外网络安全技术发展趋势的综合研判,从网络安全技术、服务、治理和行业应用四个维度,提出以下网络安全产业发展热点,分别是人工智能安全、移动目标防御、深度伪造检测、隐私增强、持续威胁暴露管理、安全访问服务边缘、数据安全态势管理以及智能网联汽车安全。
(一)人工智能安全技术
2022 年以来,随着通用大模型的广泛应用,人工智能技术进入发展爆发期,资本、技术涌入新赛道。特斯拉 Optimus 机器人、开源通用人形机器人“青龙”、百度萝卜快跑无人出租车等人工智能产品不断涌现,以全新形式进入人类生产、生活,人工智能发展潜力持续释放。
与此同时,生成式人工智能和大型语言模型技术越来越多的被运用到网络攻防两方,不仅在网络攻击、网络诈骗等应用愈多,同时也越来越深刻地成为网络安全守卫者手中的技术“利剑”。日常的网络安全维护中,生成式人工智能不仅被用于识别安全威胁,还被应用在网络风险评估和合规性分析等领域。
一方面,通过自动生成威胁报告和警报,生成式人工智能能够帮助安全团队更好地理解和应对各种安全威胁,有效提升了安全团队对风险的响应和处置效能。另一方面,生成式人工智能还可以辅助识别合规性风险,帮助企业确保遵循相应的法律、法规、政策、标准等规定。
此外,生成式人工智能还可以用于安全配置的优化,确保系统和应用始终遵循最佳的安全配置标准。虽然生成式人工智能技术仍在快速迭代演进的进程中,其可靠性、有效性和成本可控性仍有待检验,但其价值和潜力不容忽视。
今年 7 月,OpenAI 的技术负责人 Ilya 离职创立了 SSI 研究院,专门研究安全超级智能;在世界人工智能大会上,浦江实验室的新任掌门周伯文启动了 45 度 AI 计划,研究以 AI 安全优先,又能保证 AI 性能长期发展的技术体系。在可预见的未来,生成式人工智能将越来越多地被应用于网络安全领域,人工智能安全技术具有巨大的发展潜力和广阔前景。
(二)移动目标防御技术
移动目标防御(MTD)技术是一种以主动预防为主的网络防御技术,通过动态排列、变形、变换或混淆应用访问入口,不断转移攻击表面等方式对抗攻击,实现主动防御。MTD技术主要包括三类:
- 一是动态调整 IP 地址、网络端口以扰乱攻击目标;
- 二是随机化指令集、数据和地址空间,动态改变数据在内存中存储的位置、将指令集和数据异构后再存储等方式达到扰乱攻击者的目的;
- 三是提供数据、服务和节点等方面的多个副本,判断系统是否遭受攻击后能够适时将运行环境还原。
此外,MTD 能够设置陷阱捕捉威胁者的行为,以达到防范未来攻击的效果。MTD 技术可以有效阻止勒索软件和其他高级零日攻击,成为有效提升内存、网络、应用程序和操作系统安全的关键技术之一,是从静态、被动防御逐步向动态、主动防御理念转变的具体体现。通过动态改变设备的网络配置和属性,MTD 技术在面对未知、复杂的网络攻击方面较静态防御技术具备显著的优势,其在电子政务、军事、电子商务等领域具有广阔的应用前景。
(三)深度伪造检测技术
深度伪造技术(DT)是指应用人工智能技术篡改图像、音频和视频内容生成虚假信息的技术。近年来,大量深度伪造技术发展演进,在教育、娱乐、社交媒体等领域广泛应用,同时在政治舆论、司法刑侦等领域造成较大的负面影响。
图像视频的深度伪造检测技术主要分为针对伪造痕迹进行取证的检测方法和数据驱动的检测方法,前者主要检测图像处理取证、生物信息、融合痕迹、时序连贯和模型指纹等图像伪造痕迹,后者利用卷积神经网络检测常规的人脸伪造方法,得到相关特征向量后,利用神经网络根据特征向量判断输入图像是否经过伪造。
语音深度伪造检测技术主要从音频中提取声学特征,并利用高斯混合模型、神经网络等分类模型,根据声学特征对目标音频进行分类,从而判断语音是否经过伪造。目前针对单个数据集或伪造方式的深度伪造检测技术已较为成熟,但现有的深度鉴伪模型仍存在较多问题,其泛化性能较差,检测模型的鲁棒性有待提升,且难以应对现实世界中不同压缩率、噪声等复杂条件。
近年来,英特尔、微软、OpenAI 等公司相继推出深度伪造检测工具产品,深度伪造检测技术在人工智能、机器学习等技术加持下快速发展,检测深度伪造内容的准确率大大提升,误报率大幅度降低。深度伪造检测技术将更多应用于社交媒体、政府机构、国防军事等领域,以预防关键信息的恶意操纵和虚假宣传。
(四)隐私增强技术
隐私增强技术(Privacy-enhancing Technologies,PETs)是一系列收集、处理、分析和共享信息同时保护个人数据隐私的数字技术和方法的集合。PETs 主要包括三类技术:
- 一是为敏感数据处理分析提供可信环境,具体通过利用硬件或软件的可信执行环境(TEE),在隔离空间内执行加密的数据和代码,防止外部攻击或窥探,如 Intel SGX、ARM Trust Zone、AMD SEV 等均是硬件可信执行环境的具体应用。
- 二是在不泄露数据的情况下对数据进行本地处理分析,通过本地节点进行分布式数据计算,并通过安全协议汇总结果,避免数据直接传输或集中存储,如安全多方计算、差分隐私等均应用了此类技术。
- 三是在处理数据前对数据和算法进行转换,利用数学方法对数据和算法进行加密或扰动,从而在计算过程中不会泄露原始信息,同时保持计算结果的正确性,如同态加密、零知识证明等。
当前,隐私增强计算技术已广泛应用于政务、金融、教育、医疗、能源、工业等领域,实现跨机构数据协作、云端数据服务等应用,促进跨行业、跨部门数据共享和分析,有效提升隐私数据泄露风险防控能力。可以预见,隐私增强计算技术将与量子计算、物联网、5G、区块链等前沿技术融合应用,实现更快速、更安全、更复杂、更智能的数据处理。
(五)持续威胁暴露管理
攻击面管理(ASM)、外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)和资产风险管理技术一直以来是重要的技术热点。随着政府、企业、个人的资产更多接入网络,“云大物移智”等多种技术深度融入企业等各类组织运营各环节中,企业等组织对于安全风险的暴露面和攻击面范围更大、影响更广,而网络攻防天然的不对等使攻击者在攻击时机、资源等方面占据主动,因此,亟需采取技术创新,以综合性、体系性考虑如何管控数据资产的网络安全风险。
因此,暴露面智能运营的理念在过去几年被提出,并引起广泛重视。持续威胁暴露管理技术(Continuous Threat Exposure Management,CTEM)便是在这一背景下产生发展的。Gartner 将其列入 2024 年十大网络安全战略技术趋势。CTEM 并不是单一的一项技术,而是一整套用于减轻组织数字环境中风险的流程和能力。通过采用这一策略,各种规模的组织都可以通过持续监控和管理其面临的潜在攻击,从而增强其整体安全防御能力。
Gartner 将其分为 5 个阶段: Scoping(资产范围界定)、Discovery(风险发现)、Prioritization(风险优先级排序)、Validation(风险验证)和 Mobilization(修复动员)。通过这五个阶段的工作,CTEM 以一种动态的主动防御的思路,利用多个自动化技术组合去解决安全问题,以实现企业业务的持续性、稳定性和安全性。
目前,我国的持续威胁暴露管理主要通过动态且持续的开展实网攻防演习,在演习过程中,政企机构综合运用渗透测试、威胁情报管理和漏洞扫描、资配漏补管理等多种工具和服务,了解潜在风险全景,并对潜在的关键风险和威胁进行管控。在未来数年,持续威胁暴露管理技术一直是企业安全管理能力的建设重点。
(六)安全访问服务边缘
伴随边缘计算、云服务和混合网络的逐渐兴起,传统网络安全架构已无法适用,常常产生延迟、联网盲点、管理开销较大等问题,安全访问服务边缘(SASE)架构能够帮助解决以上问题,可以为企业提供全网流量的可见性,并对流量进行安全检测和路由转发,实现企业全流量的网络威胁检测与控制,同时能够根据应用优先级进行路由分类,确保用户访问体验和安全合规得到保障。
SASE 架构集成了多种网络安全功能,主要包括软件定义广域网(SD-WAN)、云原生安全服务、零信任网络访问(ZTNA)、边缘计算、全球就近接入点(PoPs)以及集中化策略管理等,对云服务进行了架构简化,降低企业对于硬件采购、维护和管理等成本,同时提供了包括加密、多因素身份验证、威胁保护和数据泄露防护等功能于一体的全面的集中化的安全防护措施。
根据 Markets and Markets 公司测算,2023 年全球 SASE 市场规模约 19 亿美元,并将以 25%的复合增长率快速发展。随着数字化转型加速,移动设备和远程工作的普及使得边缘安全性和远程访问管理成为关键问题,促进了 SASE 在国内的应用和发展。预计未来 SASE 将进一步发展壮大,越来越多的企业网络架构将转向 SASE 技术。
(七)数据安全态势管理
数据安全态势管理(DSPM)是一种保护云数据的方法,最早由 Gartner 在 2022 年提出,指的是通过对本地和云上数据资产进行全面评估、分级分类以及漏洞修复,识别多个云环境和服务中的敏感数据并评估数据风险,是一种规范性的数据优先方法。
随着数据量在云上激增,大量中间数据的位置和内容未知,数据安全风险大大增加。根据 IBM 发布的 2023 年数据泄露成本报告显示,82% 的数据泄露涉及云环境中的存储数据。这些数据风险大多涉及“影子”数据,即备份、复制数据或复制到数据存储的数据。
DSPM 通过创建和分析数据图和数据流以识别数据的具体位置以及用户访问情况,跟踪发现“影子”数据,并将这些数据纳入整体数据安全治理策略中。DSPM 的主要功能包括:数据安全策略实施、数据风险评估、数据分类、数据泄漏保护、数据访问监控、数据发现、数据风险补救、数据风险排序、数据所有者标识、数据合规性报告、数据流映射以及数据沿袭识别等。
目前国内 DSPM 产品落地实践仍有一段距离,随着未来云计算加速向各行各业渗透,云上数据交互使用将越来越频繁,越来越多云安全企业相继涌现,DSPM 及类似 DSPM 产品的落地应用将进一步提速。
(八)智能网联汽车安全
据公安部统计,截至 2023 年底,全国机动车保有量达 4.35 亿辆,其中汽车 3.36 亿辆;机动车驾驶人达 5.23 亿人,其中汽车驾驶人 4.86 亿人,车辆已经成为最重要的交通工具之一。随着数字技术的快速迭代和互联网的全面覆盖,汽车智能网联功能逐渐成为当前新车的标配。
据中国汽车工业协会、共研产业咨询预测,智能电动汽车的销售量将从 2023 年的 583.9 万辆增长至 2027 年的 2896.9 万辆。百度旗下的“萝卜快跑”无人驾驶网约车服务在武汉实现落地,投放车辆突破 400 辆,订单量快速增长。
智能网联汽车的快速发展和正式商用使得汽车信息安全将成为继主动安全、被动安全、功能安全之后的第四大安全问题。云端业务系统漏洞、数据泄露事件频发,车端复杂的功能形成更多的网络攻击面,严重的远程控车漏洞和近场通信漏洞时时出现。对相关网络安全服务的需求加速爆发。根据虎符智库的分析数据,在过去一年中进入车联网安全领域的网络安全厂商数量同比上升 18%,并且在近三年呈现了持续增长的趋势。
车联网安全的核心能力涉及汽车专业领域的威胁分析与风险评估、渗透测试、漏洞管理、车辆安全运营中心、供应链安全及数据安全等,其中,车联网漏洞挖掘技术和车联网数据安全技术在近年来引起越发广泛的关注。漏洞挖掘技术可谓“双刃剑”,既可被黑客用于盗取敏感信息、攻击联网车辆等,也可被车联网安全“守门人”用于网络风险的预先检测修复。
与传统的互联网云端服务基本类似,车联网的漏洞挖掘大多数也是对 WEB、数据库、认证登录、邮件收发、文件传输、MQTT 等多类服务进行漏洞挖掘,进而获取管理员权限或关键业务系统数据。
车联网数据安全是在对相关数据进行科学的分类分级的基础上,综合运用隐私保护、数据脱敏、数据溯源、隐私计算等技术对数据的安全运营和合规使用进行保护。随着智能网联企业的更多商用落地,对相关网络和数据安全技术、产品和服务的要求将更高更广泛,进而带动技术、产品和服务供给的全面提升。
来源:中国网络安全产业分析报告(2024年),中国网络安全产业联盟。下载文档请在数治网微信公众号对话框发送“241101”获取链接。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
欢迎领取数字人才中国方案,一起产研内训、知识平台共建!请在我们的微信公众号“idtzed”对话框内,发送“入”添加老邪企业微信获取。