數據安全,從「形式合規」轉向「實質合規」,已經成為行業趨勢。
自2020年4月數據要素成為新型生產要素,到2022年3月國家數據局的組建批准,在政策上,數據成為了基礎性資源和重要生產力被逐步重視。這一過程中,與數據天然伴隨的數據安全問題也進入公眾視野。
近年來,我國陸續推出了多項網絡安全、數據安全相關法律法規,對網絡和數據安全建設工作提出了諸多標準和要求。與此同時,勒索病毒、特種攻擊等網絡安全威脅層出不窮:根據IBM Security《2022年數據泄露成本報告》顯示,全球數據泄露的平均成本創下435萬美元的歷史新高,83%的受訪組織已經不是第一次發生數據泄露事件。
市場需要與大環境挑戰夾擊,用戶對數據安全的需求逐漸變被動為主動。
需求被激發,但已有系統是不是能夠保證數據安全,對很多企業來說依然是個未解題。
數據安全,不僅要證「有」,還要證「無」
「證明有問題」,這是網絡安全發展二十多年,諸多網絡安全產品一直想要做好的事情。比如,證明人有失誤、有脆弱,系統有漏洞、有風險、有病毒,數據有泄露、有越權、有殘留等等。但是,用戶需要的不僅僅是「證明有問題」,在「形式合規」轉向「實質合規」的大背景下,企業還希望通過反覆對人、系統、數據等進行持續測試評估,督促和幫助系統不斷迭代優化,最終無限接近安全,「證明沒有問題」。
「證無」理念最早體現在一百多年前萊特兄弟第一架飛機試飛。彼時,萊特兄弟三年間進行了1000多次的風洞實驗,不斷對機翼進行反覆測試評估後飛上藍天;世界第五代戰機的代表產品F-22,在圖紙定稿之前,也花費了近10年時間,並在15座高低速風洞進行了約4.4萬小時的試驗,才最終確定結構和外形。他們依靠風洞測試評估,最終實現了安全「證無」,確保航天器的安全穩定可靠。
「證無」理念和「風洞測試」同樣試用於網絡安全領域,「在每次測試之前,系統都可以優先測試並驗證上一次『風洞時光』封存下來的風險載荷,以確保上一次出現的風險得到及時消除,使系統實現了迭代進化的目標。」永信至誠CTO張凱表示,「隨着『測試-發現風險-迭代優化-再測試-再迭代優化』過程的不斷反覆,逐漸收斂並消除數據安全風險,進而幫助用戶實現安全『證無』的目標。」
近期網絡安全企業永信至誠科技股份有限公司(以下簡稱「永信至誠」)推出了面向數據安全領域的測試評估產品「數字風洞」,張凱補充,公司在數據安全「數字風洞」產品中構建了自主研發的風洞載荷時光機子系統,將測試環境以及配套的測試風險載荷以「風洞時光」的形態封存在「數字風洞」之中,成為持續測試和反覆驗證的節點。與以往傳統的數據安全產品側重於數據本身的單點防護不同,其「數字風洞」產品強調測試評估的持續性與標準化。
永信至誠董事長蔡晶晶在解讀時表示,「數字風洞」產品的特色在於,提倡儘早測試、頻繁測試、全面測試,通過對人、系統、數據、方案、流程等進行量化評估,貫穿規劃建設、運營和處置等全生命周期的各個階段,從而形成持續的驗證,不斷發現安全並消除隱患,直到證明沒有問題。
與此同時,隨着系統的反覆迭代,「數字風洞」內的諸多風險載荷也在不斷積累,當企業需要分析風險成因或基於某些特定場景進行推演分析時,可以一鍵提取出封存的風險載荷,實現測試評估場景化、立體式分析,並對安全防禦能力建設形成價值參考和有效指導。
不過,據鈦媒體App了解,永信至誠當前的主營業務之一為網絡靶場,「數字風洞」可以理解為是該項核心業務的技術更迭品,也或是永信至誠對未來網絡安全趨勢判斷的押注點之一。而作為一項戰略產品,「數字風洞」的設計也集成了時下最熱門的「AI」技術。
「數字風洞」後,安全是否會邁上AI技術新台階?
隨着ChatGPT概念爆火,近期人工智能風暴席捲各行各業,網絡安全也成為其中一個受影響行業之一。截至目前,國內一些數據安全廠商也提出了AI賦能數據安全的嘗試。微軟更是發布GPT-4驅動的網絡安全工具Microsoft Security Copilot,這個由AI提供支持的安全分析工具,可以使分析師能夠快速響應威脅,並在幾分鐘內評估風險暴露。
那麼ChatGPT或者類ChatGPT,是否會在網絡安全行業掀起新浪潮,「數字風洞」能否搭上人工智能的快車,也是業內備受關注的話題。
張凱向鈦媒體App表示,ChatGPT確實已經到了有可能改變一些業界生態的機會,AI的發展和安全的結合是必不可少的,這個也是一個必然的趨勢。
不過人工智能在網絡安全領域的應用並非是從ChatGPT開始的。張凱表示,就永信至誠來說,自2017年,公司就開始組織人工智能網絡攻防對抗領域的測試驗證活動,並通過一系列行業賽事不斷吸引更多研究者通過公司RHG靶場平台對其研究成果進行測試和驗證。
「我們自己公司的技術研究團隊也在嘗試如何利用AI來進行安全突破研究工作,這些工具也都集成到了『數字風洞』裡面,成為自動化測試評估安全檢測的手段。未來,它有可能會成為我們這個平台裡面很重要的智能設施,代替一些人員操作。」張凱向鈦媒體App介紹。
對於未來,AI與數據安全的互動或許會產生更多想象。張凱表示:「或許會有一定的可能性,讓我們的平台能力基於AI的發展上升一個台階,並把AI能力體現到下一階段的戰略產品中。」
今日國家網信辦就《生成式人工智能服務管理辦法(徵求意見稿)》公開徵求意見發布,其中提到,提供生成式人工智能產品或服務禁止非法獲取、披露、利用個人信息和隱私、商業秘密。人工智能市場的波瀾影響至數據安全領域,網絡安全概念股隨後集體拉升。截至今日發稿,永信至誠於13時22分觸及漲停板,大漲20%,股價升至110.35元創上市以來新高。
不過股市的漲跌最終要回歸價值,未來,「數字風洞」能否繼續網絡靶場業務的增量,成為業績收入的第二增長曲線,一切都還是未知數。新興業務數字風洞與AI數據安全能否拓展出新的營收領域,還有待時間驗證。-(鈦媒體/作者:賈雨微*編輯:秦聰慧)
