云原生技術(shù)蓬勃發(fā)展，已成為賦能企業(yè)業(yè)務(wù)創(chuàng )新的重要推動(dòng)力。Gartner報告指出，2022年將有75%的全球化企業(yè)會(huì )在生產(chǎn)中使用云原生的容器化應用。到2025年，超過(guò)95%的新云工作負載將部署在云原生平臺上。

但不可忽視的是，云原生在創(chuàng )造效益的同時(shí)，也在重塑整個(gè)應用生命周期，由此帶來(lái)了新的應用安全隱患。

云原生應用變革帶來(lái)三大安全風(fēng)險：傳統應用安全風(fēng)險，API安全風(fēng)險，業(yè)務(wù)安全風(fēng)險

云原生呼喚新型應用安全技術(shù)：

隨著(zhù)云原生技術(shù)應用的普及，在未來(lái)數年內，云原生架構帶來(lái)的風(fēng)險將成為攻擊者關(guān)注和利用的重點(diǎn)，傳統基于邊界的防護模型已不能完全滿(mǎn)足云原生的安全需求。

面對云原生架構帶來(lái)的三類(lèi)安全風(fēng)險，同時(shí)需要打造覆蓋Web、APP、云原生應用和API資產(chǎn)的主動(dòng)防護體系。

根據 IDC 發(fā)布的最新數據，2023 年，全球網(wǎng)絡(luò )安全解決方案和服務(wù)支出預計達到 2190 億美元，相比 2021 年增長(cháng)了 12.1%。未來(lái)幾年，在網(wǎng)絡(luò )攻擊持續威脅、企業(yè)對安全混合工作環(huán)境的需求，以及滿(mǎn)足數據隱私和治理需求的推動(dòng)下，預計到 2026 年，與網(wǎng)絡(luò )安全相關(guān)的硬件、軟件和服務(wù)的投資將達到近 3000 億美元。

安全軟件將成為實(shí)體組織最主要的網(wǎng)絡(luò )安全支出，占全年所有安全支出的近一半，其中最熱門(mén)的投資是端點(diǎn)安全，其次是身份和數字信任軟件、網(wǎng)絡(luò )安全分析、威脅情報、響應和編排軟件。

亞太地區將是 2023 年安全支出第二大的地區。值得一提的是，預計中國在 2021-2026 年的預測期內實(shí)現最快的支出增長(cháng)，五年復合年增長(cháng)率為 18.8%。

根據Cybernews的研究，娛樂(lè )業(yè)巨頭Lionsgate公司泄露了用戶(hù)的IP地址和他們在其電影流媒體平臺上觀(guān)看的內容的信息。

在調查過(guò)程中，研究人員發(fā)現，視頻流平臺Lionsgate Play通過(guò)一個(gè)開(kāi)放的ElasticSearch實(shí)例泄露了用戶(hù)數據。Cybernews研究團隊發(fā)現了一個(gè)未受保護的20GB的服務(wù)器日志，其中包含近3000萬(wàn)個(gè)條目，其中最早的是2022年5月。這些日志暴露了用戶(hù)的IP地址、操作系統和網(wǎng)絡(luò )瀏覽記錄等用戶(hù)數據。

研究人員還發(fā)現了記錄在案的HTTP GET請求的不明哈希值，這是客戶(hù)提出的請求的記錄，通常用于從網(wǎng)絡(luò )服務(wù)器獲取數據：當這些請求被提出時(shí)，它們被存儲在服務(wù)器的日志文件中。

人工智能開(kāi)發(fā)商O(píng)penAI公司最近發(fā)布的ChatGPT-4又震驚了世界，但它對數據安全領(lǐng)域意味著(zhù)什么，目前還沒(méi)有定論。一方面，生成惡意軟件和勒索軟件比以往任何時(shí)候都更容易。在另一方面，ChatGPT也可以提供一系列新的防御措施用例。

行業(yè)媒體最近采訪(fǎng)了一些世界頂級的網(wǎng)絡(luò )安全分析師，他們對2023年ChatGPT和生成式人工智能的發(fā)展進(jìn)行了以下預測：

ChatGPT將降低網(wǎng)絡(luò )犯罪的門(mén)檻。

制作令人信服的釣魚(yú)郵件將變得更容易。

企業(yè)將需要了解人工智能技術(shù)的安全專(zhuān)業(yè)人員。

企業(yè)將需要驗證生成式人工智能輸出的內容。

生成式人工智能將升級現有的威脅。

企業(yè)將定義對ChatGPT使用的期望。

人工智能將增強人類(lèi)的能力。

企業(yè)仍將面臨同樣的原有威脅。

目前，企業(yè)的零信任安全建設已從理論和技術(shù)探索階段，正式邁入了零信任的應用實(shí)踐和快速發(fā)展階段。而根據NIST的定義：零信任安全是一種覆蓋端到端安全性的網(wǎng)絡(luò )安全體系，包含身份、訪(fǎng)問(wèn)、操作、終端、與基礎設施環(huán)境。其中，端點(diǎn)安全將是企業(yè)零信任體系建設的重要部分。

由于端點(diǎn)設備承載著(zhù)企業(yè)組織大量業(yè)務(wù)數據的產(chǎn)生、使用和流轉，隨著(zhù)其應用的多樣化和復雜化，特別是云上端點(diǎn)應用的大量增加，導致了企業(yè)端點(diǎn)安全威脅態(tài)勢不斷惡化，企業(yè)安全運營(yíng)團隊面臨著(zhù)比預期中更大的安全挑戰。

2023年，企業(yè)在零信任安全建設中，只有進(jìn)一步提升端點(diǎn)安全的防護能力，才能確保整體建設目標的實(shí)現。

1.確定身份優(yōu)先的安全原則

2.實(shí)現持續的監控和驗證

3.自動(dòng)化的漏洞管理與端點(diǎn)彈性

4.端點(diǎn)隔離與攻擊面管理

5.向一體化安全能力演進(jìn)

如今，現代的業(yè)務(wù)運營(yíng)只有通過(guò)頻繁的文件傳輸才能實(shí)現。隨著(zhù)人們在數字領(lǐng)域的不斷擴展和工作習慣的改變，這種做法變得更加普遍。數據傳輸雖然高效，但也會(huì )給安全性和可信度帶來(lái)風(fēng)險。

識別和分類(lèi)最敏感的數據：

在企業(yè)的服務(wù)器傳輸任何數據之前，應該評估它對業(yè)務(wù)的影響。

始終進(jìn)行備份：

企業(yè)應該將關(guān)鍵數據以多種形式存儲在多個(gè)位置，其物理存儲介質(zhì)包括固態(tài)硬盤(pán)、SD卡和U盤(pán)，企業(yè)需要采取措施加密數據并保持硬盤(pán)的物理安全。

建立文件訪(fǎng)問(wèn)層次結構：

企業(yè)的數據具有分層結構，使用類(lèi)似的方法進(jìn)行數據訪(fǎng)問(wèn)同樣有效。建立定義每個(gè)用戶(hù)的許可級別和相關(guān)特權的協(xié)議非常重要。

部署密碼管理系統：

如果企業(yè)的密碼容易受到攻擊和竊取，那么采用的安全措施就毫無(wú)價(jià)值。

對員工進(jìn)行安全培訓：

企業(yè)需要建立一個(gè)安全培訓制度，向員工傳授有關(guān)文件傳輸實(shí)踐的知識。

GPT-4的發(fā)布，在全球范圍再一次掀起AI技術(shù)應用的熱潮。與此同時(shí)，一些知名計算機科學(xué)家和科技業(yè)界人士也對人工智能技術(shù)的快速發(fā)展表示了擔憂(yōu)，因為這對人類(lèi)社會(huì )存在著(zhù)不可預知的潛在風(fēng)險。

北京時(shí)間3月29日，由特斯拉公司CEO 埃隆·馬斯克，圖靈獎得主約書(shū)亞·本吉奧（Yoshua Bengio），蘋(píng)果聯(lián)合創(chuàng )始人瓦茲尼亞克（Steve Wozniak），以及《人類(lèi)簡(jiǎn)史》作者尤瓦爾·赫拉利等人聯(lián)名簽署了一封公開(kāi)信，呼吁全球所有AI實(shí)驗室立即暫停訓練比GPT-4更強大的AI系統，為期至少6個(gè)月，以確保人類(lèi)能夠有效管理其風(fēng)險。如果商業(yè)型的AI研究組織不能快速暫停其研發(fā)進(jìn)程，各國政府應該采取有效監管措施實(shí)行暫停令。

在這封公開(kāi)信中，詳細表述了暫停AI模型訓練的理由：AI技術(shù)已經(jīng)強大到能和人類(lèi)進(jìn)行某些方面的競爭，將給人類(lèi)社會(huì )帶來(lái)深刻的變革。因此，所有人都必須思考AI的潛在風(fēng)險：假新聞和宣傳充斥信息渠道、大量工作被自動(dòng)化取代、人工智能甚至有一天會(huì )比人類(lèi)更聰明、更強大，讓我們失去對人類(lèi)文明的掌控。只有當我們確信強大的人工智能系統的影響將是積極的，其風(fēng)險將是可控的時(shí)候，才應該繼續開(kāi)發(fā)和訓練它們。

截至今天中午11點(diǎn)，這份公開(kāi)信已經(jīng)征集到1344份簽名。