云原生技術(shù)蓬勃發(fā)展，已成為賦能企業(yè)業(yè)務(wù)創(chuàng)新的重要推動力。Gartner報告指出，2022年將有75%的全球化企業(yè)會在生產(chǎn)中使用云原生的容器化應(yīng)用。到2025年，超過95%的新云工作負(fù)載將部署在云原生平臺上。

但不可忽視的是，云原生在創(chuàng)造效益的同時，也在重塑整個應(yīng)用生命周期，由此帶來了新的應(yīng)用安全隱患。

云原生應(yīng)用變革帶來三大安全風(fēng)險：傳統(tǒng)應(yīng)用安全風(fēng)險，API安全風(fēng)險，業(yè)務(wù)安全風(fēng)險

云原生呼喚新型應(yīng)用安全技術(shù)：

隨著云原生技術(shù)應(yīng)用的普及，在未來數(shù)年內(nèi)，云原生架構(gòu)帶來的風(fēng)險將成為攻擊者關(guān)注和利用的重點，傳統(tǒng)基于邊界的防護(hù)模型已不能完全滿足云原生的安全需求。

面對云原生架構(gòu)帶來的三類安全風(fēng)險，同時需要打造覆蓋Web、APP、云原生應(yīng)用和API資產(chǎn)的主動防護(hù)體系。

根據(jù) IDC 發(fā)布的最新數(shù)據(jù)，2023 年，全球網(wǎng)絡(luò)安全解決方案和服務(wù)支出預(yù)計達(dá)到 2190 億美元，相比 2021 年增長了 12.1%。未來幾年，在網(wǎng)絡(luò)攻擊持續(xù)威脅、企業(yè)對安全混合工作環(huán)境的需求，以及滿足數(shù)據(jù)隱私和治理需求的推動下，預(yù)計到 2026 年，與網(wǎng)絡(luò)安全相關(guān)的硬件、軟件和服務(wù)的投資將達(dá)到近 3000 億美元。

安全軟件將成為實體組織最主要的網(wǎng)絡(luò)安全支出，占全年所有安全支出的近一半，其中最熱門的投資是端點安全，其次是身份和數(shù)字信任軟件、網(wǎng)絡(luò)安全分析、威脅情報、響應(yīng)和編排軟件。

亞太地區(qū)將是 2023 年安全支出第二大的地區(qū)。值得一提的是，預(yù)計中國在 2021-2026 年的預(yù)測期內(nèi)實現(xiàn)最快的支出增長，五年復(fù)合年增長率為 18.8%。

根據(jù)Cybernews的研究，娛樂業(yè)巨頭Lionsgate公司泄露了用戶的IP地址和他們在其電影流媒體平臺上觀看的內(nèi)容的信息。

在調(diào)查過程中，研究人員發(fā)現(xiàn)，視頻流平臺Lionsgate Play通過一個開放的ElasticSearch實例泄露了用戶數(shù)據(jù)。Cybernews研究團(tuán)隊發(fā)現(xiàn)了一個未受保護(hù)的20GB的服務(wù)器日志，其中包含近3000萬個條目，其中最早的是2022年5月。這些日志暴露了用戶的IP地址、操作系統(tǒng)和網(wǎng)絡(luò)瀏覽記錄等用戶數(shù)據(jù)。

研究人員還發(fā)現(xiàn)了記錄在案的HTTP GET請求的不明哈希值，這是客戶提出的請求的記錄，通常用于從網(wǎng)絡(luò)服務(wù)器獲取數(shù)據(jù)：當(dāng)這些請求被提出時，它們被存儲在服務(wù)器的日志文件中。

人工智能開發(fā)商OpenAI公司最近發(fā)布的ChatGPT-4又震驚了世界，但它對數(shù)據(jù)安全領(lǐng)域意味著什么，目前還沒有定論。一方面，生成惡意軟件和勒索軟件比以往任何時候都更容易。在另一方面，ChatGPT也可以提供一系列新的防御措施用例。

行業(yè)媒體最近采訪了一些世界頂級的網(wǎng)絡(luò)安全分析師，他們對2023年ChatGPT和生成式人工智能的發(fā)展進(jìn)行了以下預(yù)測：

ChatGPT將降低網(wǎng)絡(luò)犯罪的門檻。

制作令人信服的釣魚郵件將變得更容易。

企業(yè)將需要了解人工智能技術(shù)的安全專業(yè)人員。

企業(yè)將需要驗證生成式人工智能輸出的內(nèi)容。

生成式人工智能將升級現(xiàn)有的威脅。

企業(yè)將定義對ChatGPT使用的期望。

人工智能將增強(qiáng)人類的能力。

企業(yè)仍將面臨同樣的原有威脅。

目前，企業(yè)的零信任安全建設(shè)已從理論和技術(shù)探索階段，正式邁入了零信任的應(yīng)用實踐和快速發(fā)展階段。而根據(jù)NIST的定義：零信任安全是一種覆蓋端到端安全性的網(wǎng)絡(luò)安全體系，包含身份、訪問、操作、終端、與基礎(chǔ)設(shè)施環(huán)境。其中，端點安全將是企業(yè)零信任體系建設(shè)的重要部分。

由于端點設(shè)備承載著企業(yè)組織大量業(yè)務(wù)數(shù)據(jù)的產(chǎn)生、使用和流轉(zhuǎn)，隨著其應(yīng)用的多樣化和復(fù)雜化，特別是云上端點應(yīng)用的大量增加，導(dǎo)致了企業(yè)端點安全威脅態(tài)勢不斷惡化，企業(yè)安全運(yùn)營團(tuán)隊面臨著比預(yù)期中更大的安全挑戰(zhàn)。

2023年，企業(yè)在零信任安全建設(shè)中，只有進(jìn)一步提升端點安全的防護(hù)能力，才能確保整體建設(shè)目標(biāo)的實現(xiàn)。

1.確定身份優(yōu)先的安全原則

2.實現(xiàn)持續(xù)的監(jiān)控和驗證

3.自動化的漏洞管理與端點彈性

4.端點隔離與攻擊面管理

5.向一體化安全能力演進(jìn)

如今，現(xiàn)代的業(yè)務(wù)運(yùn)營只有通過頻繁的文件傳輸才能實現(xiàn)。隨著人們在數(shù)字領(lǐng)域的不斷擴(kuò)展和工作習(xí)慣的改變，這種做法變得更加普遍。數(shù)據(jù)傳輸雖然高效，但也會給安全性和可信度帶來風(fēng)險。

識別和分類最敏感的數(shù)據(jù)：

在企業(yè)的服務(wù)器傳輸任何數(shù)據(jù)之前，應(yīng)該評估它對業(yè)務(wù)的影響。

始終進(jìn)行備份：

企業(yè)應(yīng)該將關(guān)鍵數(shù)據(jù)以多種形式存儲在多個位置，其物理存儲介質(zhì)包括固態(tài)硬盤、SD卡和U盤，企業(yè)需要采取措施加密數(shù)據(jù)并保持硬盤的物理安全。

建立文件訪問層次結(jié)構(gòu)：

企業(yè)的數(shù)據(jù)具有分層結(jié)構(gòu)，使用類似的方法進(jìn)行數(shù)據(jù)訪問同樣有效。建立定義每個用戶的許可級別和相關(guān)特權(quán)的協(xié)議非常重要。

部署密碼管理系統(tǒng)：

如果企業(yè)的密碼容易受到攻擊和竊取，那么采用的安全措施就毫無價值。

對員工進(jìn)行安全培訓(xùn)：

企業(yè)需要建立一個安全培訓(xùn)制度，向員工傳授有關(guān)文件傳輸實踐的知識。

GPT-4的發(fā)布，在全球范圍再一次掀起AI技術(shù)應(yīng)用的熱潮。與此同時，一些知名計算機(jī)科學(xué)家和科技業(yè)界人士也對人工智能技術(shù)的快速發(fā)展表示了擔(dān)憂，因為這對人類社會存在著不可預(yù)知的潛在風(fēng)險。

北京時間3月29日，由特斯拉公司CEO 埃隆·馬斯克，圖靈獎得主約書亞·本吉奧（Yoshua Bengio），蘋果聯(lián)合創(chuàng)始人瓦茲尼亞克（Steve Wozniak），以及《人類簡史》作者尤瓦爾·赫拉利等人聯(lián)名簽署了一封公開信，呼吁全球所有AI實驗室立即暫停訓(xùn)練比GPT-4更強(qiáng)大的AI系統(tǒng)，為期至少6個月，以確保人類能夠有效管理其風(fēng)險。如果商業(yè)型的AI研究組織不能快速暫停其研發(fā)進(jìn)程，各國政府應(yīng)該采取有效監(jiān)管措施實行暫停令。

在這封公開信中，詳細(xì)表述了暫停AI模型訓(xùn)練的理由：AI技術(shù)已經(jīng)強(qiáng)大到能和人類進(jìn)行某些方面的競爭，將給人類社會帶來深刻的變革。因此，所有人都必須思考AI的潛在風(fēng)險：假新聞和宣傳充斥信息渠道、大量工作被自動化取代、人工智能甚至有一天會比人類更聰明、更強(qiáng)大，讓我們失去對人類文明的掌控。只有當(dāng)我們確信強(qiáng)大的人工智能系統(tǒng)的影響將是積極的，其風(fēng)險將是可控的時候，才應(yīng)該繼續(xù)開發(fā)和訓(xùn)練它們。

截至今天中午11點，這份公開信已經(jīng)征集到1344份簽名。