护航数字文明,ISC组委会携手光明网共探数字安全新风向******
伴随数字化转型进程的深化,各种新理念、新业态、新模式持续给政策制定、生产制造、社会治理等带来深刻影响,逐渐塑造形成了新的文明形态——数字文明。但与此同时,高度的数字化也衍生出了新的威胁,让安全风险不断加剧。
作为亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会,互联网安全大会(简称“ISC”)自2013年首届举办以来,见证了自计算机安全时代到网络安全时代高速发展的黄金十年。如今,进入数字安全时代,ISC 2022以“护航数字文明,开创数字安全新时代”为主题,聚焦数字安全建设所面临的诸多问题,致力擘画数字经济高质量发展新蓝图。
在大会即将迎来十周年之际,ISC组委会携手光明网网络安全频道,特邀9位安全领域权威专家,分别从战略、技术、行业、产业、生态、创新、市场、产品、定位等维度,提炼总结出针对数字安全建设的9大关键词,为数字安全的未来发展作出有力注解,进一步助力中国数字化发展之路行稳致远。
体系作战
数实融合的主战场上,整个社会的运转、政府的治理、工厂的运作都架构在软件之上,安全挑战前所未有,但传统的安全防护已经不足以应对持续变化的安全问题。所以,中国计算机学会计算机安全专业委员会荣誉主任,公安部第一、第三研究所原所长严明提出,安全亟待用数字化思维重塑,建设体系化、实战化、常态化的数字安全能力势在必行。
看见威胁
当过去我们讲安全的时候,往往总是把安全技术化、产品化。而在数字时代中,所有的攻击都是未知的,攻防双方的博弈已经从技术的攻防对抗,变成了看见与看不见的对抗。360政企安全集团高级副总裁高瀚昭对此表示,面对数字安全威胁的升级,如何及时“看见”威胁成为业界最大的挑战。
互联互通
面对越来越趋于专业化、规模化的黑客组织攻击,没有任何一家公司、一项颠覆性技术或一款产品可以单凭一己之力、一劳永逸地解决所有问题。因此,针对全行业的数字安全建设,中国农业银行科技与产品管理局信息安全与风险管理处处长何启翱提出,“拆墙”是大势所趋,只有打破各自为战,实现协同联防,才能共同应对时代挑战。
有法可依
近年来,我国陆续出台了《数据安全法》《个人信息保护法》《国家网络空间安全战略》以及《关键信息基础设施安全保护条例》等,为数字安全的发展指明了方向。国家信息中心国信卫士网络空间安全研究院副院长叶红表示,面对关键行业和新技术、新场景频发的安全威胁事件,持续深化安全举措,让数字安全有法可依,已经成为全球各国高度聚焦的共性课题。
扶助中小微
中小微企业作为国家经济的“毛细血管”,直接关系到国家数字化战略的成败。然而,中小微企业数字化却面临着掉队的危险。对此,中国网络安全产业联盟副秘书长许玉娜指出,扶助中小微企业构建数字安全能力的机制,建立起完善的数字产业支撑,才能为数字经济和数字中国建设保驾护航。
创新求变
创新是应对未来数字风险、保障数字经济高质量发展的关键。但在创新方向的选择上,数世咨询创始人李少鹏表达了自己的见解,数字安全的创新方向需要基于业务求变,考虑的源点应聚焦为究竟能够解决什么问题。哪怕只是专注于相对独立的局部战场,也可能挖掘出颠覆未来发展的机遇。
战场“炬目”
数字时代较为显著的特点是大量设备入网、业务和数据上云,终端作为数字化的基础节点,扮演的角色至关重要。360集团副总裁、政企安全集团首席科学家潘剑锋认为,为更好的应对网络攻击问题,终端安全必须具备看见威胁的“炬目”,第一时间“看见”威胁是打造数字安全屏障的首要条件。
千亿蓝海
《十四五数字经济发展规划》指明了数字化发展八大重点领域,其中一个领域就是着力强化数字经济安全体系。这为中国安全市场发展提供了坚实的政策基础,IDC中国副总裁兼首席分析师武连峰据研究预测,数字安全的未来市场也将因此开启千亿蓝海,成为激活数字经济的关键增量。
数字化基座
数字时代,网络安全已不再是以前的信息、网络、系统本身的安全,更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。因此,赛迪顾问高级业务总监高丹表示,网络安全需要完成向数字安全的演变,等同于数字化的“基石底座”。
数字安全的发展大潮中永远不缺风口与时机,ISC基于十年的积淀,不断为行业的发展点亮“灯塔”,助力更多企业抓住每个可以起飞的风口。 7月30日-8月2日,ISC 2022即将启幕,万人同频共话数字安全,为数字文明保驾护航。更多详情可关注N世界-ISC大陆(isc.n.cn),精彩不容错过!(文案:李政葳 制作:董志豪)
ISC互联网安全大会组委会、光明网网络安全频道联合出品
展望2023:值得关注的十大网络安全趋势******
开栏的话:今年是全面贯彻落实党的二十大精神的开局之年。即日起,本版开设“前沿观点”专栏,翻译引介国际信息通信行业的前沿观点,聚焦信息通信领域的动态和发展,认真贯彻落实中央经济工作会议部署要求,为我国信息通信行业高质量发展作出应有的贡献。欢迎广大读者来信提出相关批评建议。
又是网络安全动荡的一年。复杂多变的国际局势加剧了国家间的数字冲突。加密货币市场崩溃,数十亿美元从投资者手中被盗。黑客入侵科技巨头,勒索软件继续肆虐众多行业。
信息安全传媒集团(Information Security Media Group)就2023年值得关注的事件咨询了一些行业领先的网络安全专家,内容涵盖了影响安全技术、领导力和监管等层面新出现的威胁与不断发展的趋势。这是对未来一年的展望。
网络犯罪分子将加大对API漏洞的攻击力度
随着组织越来越依赖开源软件和自定义接口来连接云系统,API(应用程序接口)经济正在增长。API攻击导致2022年发生了几起引人注目的违规事件,其中包括发生在澳大利亚电信公司Optus的违规事件。专家预计,新的一年网络犯罪分子会加大对API漏洞的攻击力度。
攻击者将瞄准电网、石油和天然气供应商以及其他关键基础设施
关键基础设施可能成为攻击者的主要目标。许多工业控制系统已有数十年历史,易受到攻击。事实上,此前IBM X-Force观察到针对TCP端口的对抗性侦察增加了2000%以上,这可能允许黑客控制物理设备并进行破坏操作。专家警告,准备好应对针对电网、石油和天然气供应商以及其他关键基础设施目标的攻击。
攻击者将增加多因素身份验证(MFA)漏洞利用
多因素身份验证(MFA)曾被认为是身份管理的黄金标准,为密码提供了重要的后盾。2022年发生了一系列非常成功的攻击,使用MFA旁路和MFA疲劳策略,结合久经考验的网络钓鱼和社会工程学,这一切都发生了变化。攻击者将会增加多因素身份验证漏洞利用。
勒索软件攻击将打击更大的目标并索取更多的赎金
勒索软件攻击在公共和私营机构激增,迫使受害者支付赎金的策略已扩大到双倍甚至三倍的勒索。由于许多受害者不愿报案,没有人真正知道事情是在好转还是在恶化。专家预计会有更多类似的情况发生,勒索软件攻击会击中更大的目标并索取更多的赎金。
攻击者将瞄准大型的云企业
数字化转型正在推动向公有云的大规模迁移。这种趋势始于企业部门,并扩展到大型政府机构,创造了复杂的混合和多云环境的大杂烩。应用程序的容器化加剧了恶意软件的感染,今年我们看到了针对AWS云的无服务器恶意软件的引入。随着越来越多的数据转移到云上,应高度关注攻击者是否会瞄准主要的云超大规模应用程序。
零信任将得到更广泛的采用
零信任的原则自2010年就已出现,但仅在过去几年中,网络安全组织和供应商社区才接受最小特权的概念并不断验证防御。此前,美国国防部宣布其零信任战略,这种方法得到了重大推动。随着黑客轻松地跨IT部门横向移动,组织希望实现防御现代化。专家预计零信任会得到更广泛的采用。
首席安全官将获得更好的个人保护谈判合同
2022年10月,优步前CSO乔·苏利文(Joe Sullivan)因掩盖2016年数据泄露事件被定罪,这在网络安全领域引发了不小的冲击波。刑事责任让高级安全领导者重新考虑他们在组织中的角色。首席安全官或将被提供更多人身保护的合同。
网络保险的式微将增加企业的财务风险
第一份网络保险政策是在20多年前制定的,但勒索软件攻击造成的恢复成本和业务损失呈指数级增长。事实上,大型医疗机构的损失通常超过1亿美元。因此,网络保险公司正在提高费率或完全退出该业务。网络保险的可用性将继续枯竭,增加企业的财务风险。
政府机构将对加密货币公司实施更严格的控制
一系列违规行为、市场价值的重大损失和FTX加密货币交易所丑闻使加密货币世界在2022年陷入混乱。寻求政府机构对加密货币公司实施更严格的控制,以保护投资者、打击洗钱和提高安全性。
组织将调整自身提供教育和认证计划的方式
多数大型公司多年来一直提供网络安全意识培训,但似乎并没有奏效。更糟糕的是,越来越难找到熟练的网络安全资源。未来,组织将积极寻找改变自身提供教育和认证计划的方式,着眼于更积极地学习、职业道路规划和提高信息安全人员的技能。
(作者:作者:安娜·德莱尼卡尔·哈里森 翻译:方正梁)