《2023产业互联网安全十大趋势》发布：新型网络攻击频现

　　在全面贯彻落实党的二十大精神的开局之年，高质量发展是指导产业数智化转型升级的重要政策牵引，而高水平安全又是高质量发展的前提。在此背景下，产业安全问题备受关注。

　　今日，中国产业互联网发展联盟、《中国信息安全》杂志、南方日报、中国网络空间新兴技术安全创新论坛、腾讯安全、腾讯研究院联合推出了《2023产业互联网安全十大趋势》(下称《报告》)。《报告》汇聚了30余位行业专家、学者、智库对产业安全趋势的思考与研判，涵盖ChatGPT、数据泄露、勒索攻击等安全热点问题。

　　立法监管趋严，企业安全“巡检”常态化

　　《报告》指出，在过去一个阶段，IT基础设施建设、以及信息安全的不断发展，催生了大量被动式安全解决方案；尤其在相关监管法规建设相对滞后阶段，企业在安全建设方面往往也是“鸵鸟心态”，认为安全投入是企业运营的成本项，追求“合规”而忽视“实效”。

　　但随着我国与产业安全相关立法顶层设计和主体框架日趋完善，这种情况已经发生彻底改变。

　　目前，产业安全相关的监管部门对于违反、、个人信息保护等相关法律法规的处罚主要采取后置处罚手段，例如约谈、责令改正、罚款、整顿、下架业务、吊销许可证或营业执照、处理责任人等，导致企业忽视安全建设的风险成本被指数级放大。例如，去年银保监会以“监管标准化数据”存在数据质量违法违规行为为由，对21家进行大规模处罚。

　　同时，《报告》指出，2023年，安全相关的立法、监管与执法，将聚焦于产业高质量发展、数据合规和隐私保护等层面，对企业数字化实践和创新，给与更多的监管、约束和引导，常态化安全巡检将成为监管及企业自我健康诊断的重要手段。

　　从“奢侈品”变成“日用品”，企业安全治理成为必选项

　　《报告》指出，数据泄露、勒索攻击、供应链攻击等安全事件持续高发，安全已经成为制约企业健康发展的生命线。在这一背景下，安全被企业提升到前所未有的重要程度。

　　当前，企业在安全建设上已不再寄期望于“先发展后治理”，安全活动开始参与到企业产品研发的全生命周期，“从头到尾”地渗透到了企业运行的全流程及产业链各个环节，安全管理工作将纳入核心管理团队，成为企业治理水平的重要度量。

　　专家认为，虽不同产业领域、不同规模企业的安全建设水平仍有较大差距，但技术与产品的创新，尤其是云原生安全一体化解决方案正在改变现有的安全供给体系，中小微企业也能以较低的成本建立起自适应的全视角安全免疫系统。安全已经从“奢侈品”变成“日用品”，构建安全免疫力逐渐成为业界新共识，安全进入了“寻常百姓家”，且彼此间相互兼容，共筑了免疫屏障。

　　值得一提的是，在个人隐私信息保护等相关法律条例的施行背景下，企业一改“体验优先”的单一反欺诈风控策略，开始向“动态治理”转变，同时，由于出海企业被当地处罚事件频发，且等相关法规条例全球趋严，企业在出海时也将愈发重视安全合规。

　　AI或将带来新型网络攻击，多重勒索成为常态

　　以ChatGPT为代表的技术掀起新一轮的革命，也会引发潜在新型攻击和内容合规等安全风险。专家学者们普遍认为，赋能网络攻击将使过去劳动密集型、成本高昂的攻击手法彻底转型，形成更为精准和快速的自动化攻击手法，网络安全攻防真正进入智能化对抗时代。

　　《报告》指出，目前，网络攻击者已开始使用ChatGPT创建恶意软件、暗网站点和其他实施网络攻击的工具。此外，使用ChatGPT编写用于网络攻击的恶意软件代码，将会大大降低攻击者的编程或技术能力门槛，将导致即使没有技术基础也能成为攻击者。

　　同时，勒索软件攻击对产业安全的威胁有增无减，双重、多重勒索使企业数据资产遭受到致命威胁。

　　双重勒索也被称为“点名羞辱”，攻击者在运行勒索病毒之前先窃取重要数据，因此除了直接索取解密赎金之外，还可以通过威胁将数据披露到暗网或者公诸于众等方式加大受害者的压力；多重勒索则是以受害者的和客户或供应商为攻击目标。

　　《报告》强调，企业在数字化进程中还将持续面临勒索病毒的威胁。

　　企业要如何应对这一局面？《报告》指出，一方面，安全厂商需要推动更有效的勒索相关产品的研发；另一方面，企业需要从源头把安全纵深防御的基线筑牢、构筑内生免疫能力，并通过勒索方案“加强针”实现对勒索攻击的免疫。

　　采写：奥一新闻林思思