为帮助企业洞察最新的Web安全威胁和办公安全威胁态势,并提供防护思路,近日,网宿科技旗下网宿安全正式发布《2023互联网安全报告:“体系化主动安全”建设指南》(以下简称《报告》)。
发布会上,网宿安全高级总监胡钢伟对《报告》进行了详细解读,并与北京网络行业协会副秘书长罗艺、国内资深的网络安全媒体安全牛分析师王剑桥围绕生成式AI的防范、WAAP与零信任的发展趋势以及安全出海等话题展开了深入交流。
同时,亿邦动力技术总监王永来分享了亿邦动力的网络安全建设经验,网宿科技售前及解决方案部大区经理王华强则分享了网宿安全体系化主动安全的实践。
Web安全多维度威胁持续升高
《报告》显示,2023年,网宿安全平台监测到的全球Web应用程序攻击数量达到7309亿次,同比增长30%。其中,2023年应用层DDoS攻击次数达4500亿次,同比增长26%,针对境外目标的DDoS攻击同比增长了近220%,或与企业出海趋势相关;同时,Web应用漏洞利用攻击为416亿次,同比增长8%。此外,电商、文旅行业所遭受到的恶意Bot攻击达到了462次,占全平台Bot请求数比例为22%,相比2022年的170亿、10%分别增长了172%、120%。
在攻击体量持续高涨的同时,新型攻击威胁也层出不穷,2023年,网宿安全发现了一个基于HTTP/2 Continuation Flood 的新型威胁攻击,其攻击峰值rps相比传统HTTP Flood可实现一个数量级突破,从千万级到亿级。
从攻击手法来看,据网宿安全平台数据,2023年针对API的攻击占比上升到了63%,《报告》推测该增长源于生成式AI在网络安全以及入侵攻击方面的应用得到了普及。
生成式AI正在助长威胁态势。胡钢伟在会上指出,生成式AI在提升效率的同时,也会成为攻击者武器库的一部分,让现有攻击更隐蔽、逃避检测,同时还能生成攻击代码,让自动化的攻击以及漏洞利用的效率变得更高。
勒索攻击与数据泄露成企业安全两大核心问题
伴随着网络技术的日新月异,企业办公网络所面临的安全威胁愈发复杂多变。在众多的网络安全威胁中,勒索软件攻击和数据泄露成为最受企业关注的两大核心问题。
2023年,网宿安全平台监测的勒索软件攻击事件增加了一倍以上。网宿安全演武实验室基于对勒索软件入侵事件的分析发现,通过漏洞利用、钓鱼邮件、弱口令占据入侵攻击手段的60%以上,成为企业面临的主要网络威胁。
同时,勒索软件对某些高危和超危等级的漏洞利用较为频繁,2023年有44个漏洞被全球勒索组织频繁利用,77%的常用漏洞类型主要为远程代码执行与权限提升漏洞。此外,2023年还出现了多种新型攻击手法,例如,深度学习和AI技术被用于生成更加精准的钓鱼邮件,提高了欺骗性。
数据泄露方面,2023年网宿安全平台监测的数据泄露事件的数量同比2022年显著增加了44%以上,这主要归因于网络攻击手段的不断升级和多样化。
网宿安全对企业用户访谈调研发现,受监管压力和发生潜在数据泄露的风险影响,目前80%的企业正在考虑或未来考虑实施数据安全管控措施,55%的企业正在或计划对数据防泄露技术厂商进行选型和调研。
行业亟需转向新一代的一体化安全防御架构
《报告》指出,传统安全建设思路已经难以应对不断变化升级的网络威胁,行业亟需向新一代的一体化安全防御架构——WAAP和SASE转型。
WAAP通过集成Web应用防火墙、DDoS防护、Bot管理、API安全、威胁情报和自动化响应等安全功能,可以为企业Web安全提供全面的威胁检测和防御体系。此次《报告》,网宿安全结合自身在WAAP方面的实践经验,从顶层设计、全业务渠道接入、统一管理平台和API、数据驱动和AI应用、核心防护能力等几方面提出了具体的建设落地方式建议。
在企业安全方面,SASE架构则成为企业新一代的办公网络安全防护体系的理想方案。SASE架构可以降低企业和组织的网络安全风险,提高企业和组织的网络效率和业务灵活性、降低企业和组织的IT成本,符合企业办公安全需求。此次《报告》中,网宿安全建议企业根据自己当前所处的阶段以及自己安全建设的目标,分阶段落地SASE架构。
值得注意的是,基于对网络安全攻防态势的分析,以及结合当前的降本增效背景,《报告》也对企业体系化主动安全能力建设进行了详细探讨。
2023年,尽管企业安全建设依然以合规为导向,但也呈现出诸多变化。一方面,随着企业对安全的接受程度逐渐增加,企业对安全的认知逐渐从“绝对安全”转变为“相对安全”。同时,随着企业出海以及一带一路的政策发展,跨境数据流动,给企业带来了巨大挑战。此外,生成式AI与大模型的落地,也给整个网络安全行业注入变量。
胡钢伟指出,在这些变革之下,企业在安全建设过程当中,仅以合规为驱动,会存在一些局限性,包括成本浪费、重复投入、实战能力跟不上等,难以匹配企业当前的安全现状。
对此,网宿安全建议企业在安全建设时首先应转变理念,从被动合规向主动建设体系化安全转变,同时企业应积极拥抱云安全技术,借助云安全服务的成本效益、可扩展性、安全能力高度整合、专业服务支持等优势,通过基于“网络安全能力成熟度”的方法论,构建云端+本地协同的安全防御和安全运营双体系,实现真正可用于实战的主动安全防御体系。
胡钢伟表示,通过体系化主动安全的核心理念分享,网宿安全希望能够全面赋能企业的安全架构升级,帮助精进技术运营效率,共筑数字未来的安全。
生成式AI的防范建议
此次圆桌环节,北京网络行业协会副秘书长罗艺从行业角度,谈到了如何维护和保证互联网环境的健康有序。罗艺指出,网络安全、数据安全管理是一个体系化、全方位的工作,离不开政府监管、行业自律和网络监督。在行业自律方面,企业要依法依规地经营发展,同时要在网络安全、数据安全方向建立有效的管理制度。
对于企业出海对国内网络安全行业的影响,安全牛分析师王剑桥与网宿安全高级总监胡钢伟均认为,企业出海将带动安全刚需,为国内安全厂商提供发展新动力,但与此同时也将对国内网安厂商的技术能力提出更高要求,“打铁还需自身硬”将愈发关键。罗艺则表示,这或将驱动国内安全企业创新发展,破除同质化内卷,推动国内网安行业壮大。
此外,围绕热议的生成式AI威胁话题,王剑桥与胡钢伟也在会上分享了防范建议。
王剑桥表示,生成式AI的攻击链条核心还是按照“网络杀伤链”模型的六个步骤来进行,包括侦察跟踪、工具构建、载荷投递、漏洞利用、安装植入、命令与控制等,生成式AI更多的是提高效率和提高效果。作为防守方,要做到以不变应万变,防护好风险点,一是主动做好安全意识培训,提升内部员工的防范意识,二是及时查漏补缺,减少风险暴露点,三是变单点防护为全面防护,联动更多安全组件,全面识别风险。
胡钢伟认为,防范生成式AI带来的威胁应回归安全的本质,单点防护已经失灵,企业应该构建体系化主动安全。体系化主动安全包含几个核心,首先风险管理是基础,要收敛暴露面、管理漏洞,以及加强人员意识管理等,其次企业要完善自身体系化安全的建设,最后所谓的用魔法打败魔法,企业可以将AI赋能到防守以及安全运营方面,提升防护效率。
据悉,网宿安全已经将AI能力赋能到整体防护能力上,其中较为典型的应用场景是Bot智能识别,基于AI的智能识别已经贡献了超40%的Bot识别率,而且这一比例还在上升。
TL;DR — Tens of millions of credentials obtained from info stealer logs populated by malware were posted to Telegram channels last month and used to shake down companies for bug bounties under the misrepresentation the data originated from their service.
How many attempted scams do you get each day?
8月1日,以“打造安全大模型 引领安全行业革命”为主题的ISC.AI 2024第十二届互联网安全大会——人工智能峰会在北京国家会议中心举行。中国互联网协会副理事长黄澄清出席并致辞。
黄澄清表示,近年来,随着通用人工智能取得突破性进展,人工智能正在从原始创新为特征的研发带动阶段进入应用创新为特征的赋能实体经济阶段,正从科技前沿加速向现实生产力转化,有望推动超大规模定制化、柔性制造等新型生产方式变革。
中国互联网协会副理事长黄澄清
关于如何应对人工智能风险、把握发展战略主动、有效维护和保障发展安全,黄澄清提出三点思考:
一是加快安全技术的创新,提升整体防护能力。互联网行业作为技术创新的前沿阵地,应持续加大在人工智能与数字安全领域的研发投入。同时,促进产学研用深度融合,加速技术成果向产业转化。要明确不发展是最大的不安全,约束是为了发展,没有约束的发展是不可持续发展的思路。
二是推动智能赋能安全,助力加快产业升级。人工智能与网络安全的深度融合将为互联网行业的产业升级提供强大动力。鼓励互联网企业利用AI技术提升安全防御的智能化水平,为业务发展保驾护航。
三是注重人才培养,激发数字创新活力。本届大会在人才培养方面亮点纷呈,通过ISC学院打造的SaaS化模式、多元化课程及产教融合,为行业输送实战型人才。期待与各位嘉宾共同见证这些教育成果的展示,以及未来更多优秀人才的涌现。
最后,黄澄清希望各界同仁通过本届大会和本次论坛加强交流分享,携手绘制出互联网安全与AI融合发展的宏伟蓝图,共创行业新篇章。