展望2023:值得关注的十大网络安全趋势******
开栏的话:今年是全面贯彻落实党的二十大精神的开局之年。即日起,本版开设“前沿观点”专栏,翻译引介国际信息通信行业的前沿观点,聚焦信息通信领域的动态和发展,认真贯彻落实中央经济工作会议部署要求,为我国信息通信行业高质量发展作出应有的贡献。欢迎广大读者来信提出相关批评建议。
又是网络安全动荡的一年。复杂多变的国际局势加剧了国家间的数字冲突。加密货币市场崩溃,数十亿美元从投资者手中被盗。黑客入侵科技巨头,勒索软件继续肆虐众多行业。
信息安全传媒集团(Information Security Media Group)就2023年值得关注的事件咨询了一些行业领先的网络安全专家,内容涵盖了影响安全技术、领导力和监管等层面新出现的威胁与不断发展的趋势。这是对未来一年的展望。
网络犯罪分子将加大对API漏洞的攻击力度
随着组织越来越依赖开源软件和自定义接口来连接云系统,API(应用程序接口)经济正在增长。API攻击导致2022年发生了几起引人注目的违规事件,其中包括发生在澳大利亚电信公司Optus的违规事件。专家预计,新的一年网络犯罪分子会加大对API漏洞的攻击力度。
攻击者将瞄准电网、石油和天然气供应商以及其他关键基础设施
关键基础设施可能成为攻击者的主要目标。许多工业控制系统已有数十年历史,易受到攻击。事实上,此前IBM X-Force观察到针对TCP端口的对抗性侦察增加了2000%以上,这可能允许黑客控制物理设备并进行破坏操作。专家警告,准备好应对针对电网、石油和天然气供应商以及其他关键基础设施目标的攻击。
攻击者将增加多因素身份验证(MFA)漏洞利用
多因素身份验证(MFA)曾被认为是身份管理的黄金标准,为密码提供了重要的后盾。2022年发生了一系列非常成功的攻击,使用MFA旁路和MFA疲劳策略,结合久经考验的网络钓鱼和社会工程学,这一切都发生了变化。攻击者将会增加多因素身份验证漏洞利用。
勒索软件攻击将打击更大的目标并索取更多的赎金
勒索软件攻击在公共和私营机构激增,迫使受害者支付赎金的策略已扩大到双倍甚至三倍的勒索。由于许多受害者不愿报案,没有人真正知道事情是在好转还是在恶化。专家预计会有更多类似的情况发生,勒索软件攻击会击中更大的目标并索取更多的赎金。
攻击者将瞄准大型的云企业
数字化转型正在推动向公有云的大规模迁移。这种趋势始于企业部门,并扩展到大型政府机构,创造了复杂的混合和多云环境的大杂烩。应用程序的容器化加剧了恶意软件的感染,今年我们看到了针对AWS云的无服务器恶意软件的引入。随着越来越多的数据转移到云上,应高度关注攻击者是否会瞄准主要的云超大规模应用程序。
零信任将得到更广泛的采用
零信任的原则自2010年就已出现,但仅在过去几年中,网络安全组织和供应商社区才接受最小特权的概念并不断验证防御。此前,美国国防部宣布其零信任战略,这种方法得到了重大推动。随着黑客轻松地跨IT部门横向移动,组织希望实现防御现代化。专家预计零信任会得到更广泛的采用。
首席安全官将获得更好的个人保护谈判合同
2022年10月,优步前CSO乔·苏利文(Joe Sullivan)因掩盖2016年数据泄露事件被定罪,这在网络安全领域引发了不小的冲击波。刑事责任让高级安全领导者重新考虑他们在组织中的角色。首席安全官或将被提供更多人身保护的合同。
网络保险的式微将增加企业的财务风险
第一份网络保险政策是在20多年前制定的,但勒索软件攻击造成的恢复成本和业务损失呈指数级增长。事实上,大型医疗机构的损失通常超过1亿美元。因此,网络保险公司正在提高费率或完全退出该业务。网络保险的可用性将继续枯竭,增加企业的财务风险。
政府机构将对加密货币公司实施更严格的控制
一系列违规行为、市场价值的重大损失和FTX加密货币交易所丑闻使加密货币世界在2022年陷入混乱。寻求政府机构对加密货币公司实施更严格的控制,以保护投资者、打击洗钱和提高安全性。
组织将调整自身提供教育和认证计划的方式
多数大型公司多年来一直提供网络安全意识培训,但似乎并没有奏效。更糟糕的是,越来越难找到熟练的网络安全资源。未来,组织将积极寻找改变自身提供教育和认证计划的方式,着眼于更积极地学习、职业道路规划和提高信息安全人员的技能。
(作者:作者:安娜·德莱尼卡尔·哈里森 翻译:方正梁)
【光明论坛】激活数据潜能 建设数字中国******
【光明论坛】
作者:支振锋(中国社会科学院习近平新时代中国特色社会主义思想研究中心研究员、法学研究所研究员)
数据作为新型生产要素和资源形态,日益成为驱动经济社会发展的基础。近日,中共中央、国务院出台《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),围绕如何建立和健全关于数据要素基础制度体系提出了全面系统的意见,为做好数据权益配置和风险防控提供了明确的政策指引,也为激活数据潜能和促进数字经济发展作出了有力的制度安排。
数据是映射大千世界的符码,数据中自有大千世界。宇宙星空、山川河流、鸟兽虫鱼、人类行为、国家治理、社会百态……万物皆产生数据,万物皆可被数据化。自人类社会产生起,数据就承载着人类对自然万物、生产生活的记录和表达。从传统数据到网络数据,从“小数据”到“大数据”,数据日益成为理解万事万物最微观、最奇妙的元素。在信息化发展新阶段,数据爆发增长、海量集聚,量的累积逐渐引发质的飞跃。万物互联、人机交互、天地一体的网络空间内,大数据技术使数量巨大、来源分散的图像、声音、文件等非结构化数据得以被广泛搜集、存储、利用,使分析、预测、捕捉隐藏在自然万物和人类社会的深层逻辑成为可能,人类认知的敏锐性和洞察力得到极大提升。
数据基础制度建设事关国家发展和安全大局。数据原是伴随自然与人类而产生的寻常事物,但数字技术为其赋予了无尽潜能。作为新型生产要素,数据已成为数字化、网络化、智能化的基础性资源,并快速融入生产、分配、流通、消费和社会服务管理等各环节。通过数据,可以更好地理解自然和社会的运行规律,推动生产力发展,优化生产关系,丰富人类生活,促进国家和社会治理。但数据并非自在之物,而是人类协作与互动的结果。数据不仅承载着个人、市场主体与国家的大量信息,关系到公民个体人格权益、市场主体财产权益以及国家安全和社会公共利益;还呈现出不同于传统知识产权的全新特点。如何既鼓励数据的充分流通利用,又通过制度设计进行科学合理的权益配置和风险防控,就成为信息时代制度创新的重大课题。
数据相关权益配置,是数据基础制度的基础。作为世界第二数据大国,我国深刻认识到大数据作为推动经济转型发展的新动力、重塑国家竞争优势的新机遇、提升政府治理能力的新途径所具有的战略意义。2021年公布实施的《数据安全法》明确提出“保障数据安全,促进数据开发利用”。但数据流通利用除供需双方外,还涉及协助数据产品开发的第三方服务商,情形复杂、链条悠长、风险突出。为推进数据合法合规交易,我国多年来一直在探索数据交易所建设。在此背景下,此次意见提出探索数据资源持有权、数据加工使用权、数据产品经营权等结构性分置的产权运行机制,推进实施公共数据确权授权机制,推动建立企业数据确权授权机制,是对数据相关权益合理配置这个世界性难题的创新性开拓。
促进数据流通和交易是数据基础制度的核心。数据交易是新业态,也带来新问题。由于数据的无形性和可复制性,除了不易计量、难于定价且合规评估复杂外,交易一旦达成,无论是买方发现“货不对版”,还是卖方认为数据已被使用,都“无法退货”。如何确保数据需求方接收到的数据来源合法合规,数据提供方交易后的权利得到充分保障,决定着数据制度体系的成败。此次意见尝试构建促进使用和流通、场内场外相结合的交易制度体系,规范引导场外交易,培育壮大场内交易,试图建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系,必将推动鼓励数据流通利用的制度创新。
数据要素收益分配制度是数据基础制度的重点。作为新型生产要素和资源形态,数据要素不断创造新的价值,也不断产生利益纷争。针对数据收益分配问题,此次意见既坚持充分发挥市场在资源配置中的决定性作用,按照“谁投入、谁贡献、谁受益”原则,健全数据要素由市场评价贡献、按贡献决定报酬机制,强化基于数据价值创造和价值实现的激励导向,平衡兼顾数据内容采集、加工、流通、应用等不同环节相关主体之间的利益分配;也努力做到有为政府和有效市场相结合,强调完善数据要素收益的再分配调节机制,让全体人民更好共享数字经济发展成果。
党的二十大报告提出加快建设网络强国、数字中国,加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。“数据二十条”的出台和落地实施,有利于从历史和全局维度深刻认识数据要素的战略价值,充分发挥我国海量数据规模和丰富应用场景优势,推进数字产业化和产业数字化,推动实体经济和数字经济融合发展,增强经济发展新动能,塑造人类文明新形态。
《光明日报》( 2023年01月04日 02版)
(文图:赵筱尘 巫邓炎)