云原生技術(shù)蓬勃發(fā)展，已成為賦能企業(yè)業(yè)務創(chuàng)新的重要推動力。Gartner報告指出，2022年將有75%的全球化企業(yè)會在生產(chǎn)中使用云原生的容器化應用。到2025年，超過95%的新云工作負載將部署在云原生平臺上。

但不可忽視的是，云原生在創(chuàng)造效益的同時，也在重塑整個應用生命周期，由此帶來了新的應用安全隱患。

云原生應用變革帶來三大安全風險：傳統(tǒng)應用安全風險，API安全風險，業(yè)務安全風險

云原生呼喚新型應用安全技術(shù)：

隨著云原生技術(shù)應用的普及，在未來數(shù)年內(nèi)，云原生架構(gòu)帶來的風險將成為攻擊者關(guān)注和利用的重點，傳統(tǒng)基于邊界的防護模型已不能完全滿足云原生的安全需求。

面對云原生架構(gòu)帶來的三類安全風險，同時需要打造覆蓋Web、APP、云原生應用和API資產(chǎn)的主動防護體系。

根據(jù) IDC 發(fā)布的最新數(shù)據(jù)，2023 年，全球網(wǎng)絡安全解決方案和服務支出預計達到 2190 億美元，相比 2021 年增長了 12.1%。未來幾年，在網(wǎng)絡攻擊持續(xù)威脅、企業(yè)對安全混合工作環(huán)境的需求，以及滿足數(shù)據(jù)隱私和治理需求的推動下，預計到 2026 年，與網(wǎng)絡安全相關(guān)的硬件、軟件和服務的投資將達到近 3000 億美元。

安全軟件將成為實體組織最主要的網(wǎng)絡安全支出，占全年所有安全支出的近一半，其中最熱門的投資是端點安全，其次是身份和數(shù)字信任軟件、網(wǎng)絡安全分析、威脅情報、響應和編排軟件。

亞太地區(qū)將是 2023 年安全支出第二大的地區(qū)。值得一提的是，預計中國在 2021-2026 年的預測期內(nèi)實現(xiàn)最快的支出增長，五年復合年增長率為 18.8%。

根據(jù)Cybernews的研究，娛樂業(yè)巨頭Lionsgate公司泄露了用戶的IP地址和他們在其電影流媒體平臺上觀看的內(nèi)容的信息。

在調(diào)查過程中，研究人員發(fā)現(xiàn)，視頻流平臺Lionsgate Play通過一個開放的ElasticSearch實例泄露了用戶數(shù)據(jù)。Cybernews研究團隊發(fā)現(xiàn)了一個未受保護的20GB的服務器日志，其中包含近3000萬個條目，其中最早的是2022年5月。這些日志暴露了用戶的IP地址、操作系統(tǒng)和網(wǎng)絡瀏覽記錄等用戶數(shù)據(jù)。

研究人員還發(fā)現(xiàn)了記錄在案的HTTP GET請求的不明哈希值，這是客戶提出的請求的記錄，通常用于從網(wǎng)絡服務器獲取數(shù)據(jù)：當這些請求被提出時，它們被存儲在服務器的日志文件中。

人工智能開發(fā)商OpenAI公司最近發(fā)布的ChatGPT-4又震驚了世界，但它對數(shù)據(jù)安全領域意味著什么，目前還沒有定論。一方面，生成惡意軟件和勒索軟件比以往任何時候都更容易。在另一方面，ChatGPT也可以提供一系列新的防御措施用例。

行業(yè)媒體最近采訪了一些世界頂級的網(wǎng)絡安全分析師，他們對2023年ChatGPT和生成式人工智能的發(fā)展進行了以下預測：

ChatGPT將降低網(wǎng)絡犯罪的門檻。

制作令人信服的釣魚郵件將變得更容易。

企業(yè)將需要了解人工智能技術(shù)的安全專業(yè)人員。

企業(yè)將需要驗證生成式人工智能輸出的內(nèi)容。

生成式人工智能將升級現(xiàn)有的威脅。

企業(yè)將定義對ChatGPT使用的期望。

人工智能將增強人類的能力。

企業(yè)仍將面臨同樣的原有威脅。

目前，企業(yè)的零信任安全建設已從理論和技術(shù)探索階段，正式邁入了零信任的應用實踐和快速發(fā)展階段。而根據(jù)NIST的定義：零信任安全是一種覆蓋端到端安全性的網(wǎng)絡安全體系，包含身份、訪問、操作、終端、與基礎設施環(huán)境。其中，端點安全將是企業(yè)零信任體系建設的重要部分。

由于端點設備承載著企業(yè)組織大量業(yè)務數(shù)據(jù)的產(chǎn)生、使用和流轉(zhuǎn)，隨著其應用的多樣化和復雜化，特別是云上端點應用的大量增加，導致了企業(yè)端點安全威脅態(tài)勢不斷惡化，企業(yè)安全運營團隊面臨著比預期中更大的安全挑戰(zhàn)。

2023年，企業(yè)在零信任安全建設中，只有進一步提升端點安全的防護能力，才能確保整體建設目標的實現(xiàn)。

1.確定身份優(yōu)先的安全原則

2.實現(xiàn)持續(xù)的監(jiān)控和驗證

3.自動化的漏洞管理與端點彈性

4.端點隔離與攻擊面管理

5.向一體化安全能力演進

如今，現(xiàn)代的業(yè)務運營只有通過頻繁的文件傳輸才能實現(xiàn)。隨著人們在數(shù)字領域的不斷擴展和工作習慣的改變，這種做法變得更加普遍。數(shù)據(jù)傳輸雖然高效，但也會給安全性和可信度帶來風險。

識別和分類最敏感的數(shù)據(jù)：

在企業(yè)的服務器傳輸任何數(shù)據(jù)之前，應該評估它對業(yè)務的影響。

始終進行備份：

企業(yè)應該將關(guān)鍵數(shù)據(jù)以多種形式存儲在多個位置，其物理存儲介質(zhì)包括固態(tài)硬盤、SD卡和U盤，企業(yè)需要采取措施加密數(shù)據(jù)并保持硬盤的物理安全。

建立文件訪問層次結(jié)構(gòu)：

企業(yè)的數(shù)據(jù)具有分層結(jié)構(gòu)，使用類似的方法進行數(shù)據(jù)訪問同樣有效。建立定義每個用戶的許可級別和相關(guān)特權(quán)的協(xié)議非常重要。

部署密碼管理系統(tǒng)：

如果企業(yè)的密碼容易受到攻擊和竊取，那么采用的安全措施就毫無價值。

對員工進行安全培訓：

企業(yè)需要建立一個安全培訓制度，向員工傳授有關(guān)文件傳輸實踐的知識。

GPT-4的發(fā)布，在全球范圍再一次掀起AI技術(shù)應用的熱潮。與此同時，一些知名計算機科學家和科技業(yè)界人士也對人工智能技術(shù)的快速發(fā)展表示了擔憂，因為這對人類社會存在著不可預知的潛在風險。

北京時間3月29日，由特斯拉公司CEO 埃隆·馬斯克，圖靈獎得主約書亞·本吉奧（Yoshua Bengio），蘋果聯(lián)合創(chuàng)始人瓦茲尼亞克（Steve Wozniak），以及《人類簡史》作者尤瓦爾·赫拉利等人聯(lián)名簽署了一封公開信，呼吁全球所有AI實驗室立即暫停訓練比GPT-4更強大的AI系統(tǒng)，為期至少6個月，以確保人類能夠有效管理其風險。如果商業(yè)型的AI研究組織不能快速暫停其研發(fā)進程，各國政府應該采取有效監(jiān)管措施實行暫停令。

在這封公開信中，詳細表述了暫停AI模型訓練的理由：AI技術(shù)已經(jīng)強大到能和人類進行某些方面的競爭，將給人類社會帶來深刻的變革。因此，所有人都必須思考AI的潛在風險：假新聞和宣傳充斥信息渠道、大量工作被自動化取代、人工智能甚至有一天會比人類更聰明、更強大，讓我們失去對人類文明的掌控。只有當我們確信強大的人工智能系統(tǒng)的影響將是積極的，其風險將是可控的時候，才應該繼續(xù)開發(fā)和訓練它們。

截至今天中午11點，這份公開信已經(jīng)征集到1344份簽名。