安全419关注到，近日，国际IT咨询机构Gartner发布了《2024中国安全技术成熟度曲线》(Hype

安全运营作为链接安全工具、安全人员以及安全流程和安全场景的纽带，通过识别威胁、快速分析、精准响应、协同防御，让安全建设中的能力得以施展并提升，已成为现代安全体系中必不可少的环节。此前的系列文章中，我们通过介绍扩展和强化在感知识别、检测分析、决策响应方面的能力，来建立安全运营体系，获得更加高效、自动化和智能化的安全保障。对于用户来说，获取这些核心能力可以通过多种方式实现，本期，我们将从服务模式的角度来探讨安全运营的业态。成本与资源有限大部分企业自建安全运营受阻在一些风险严峻且监管严苛的头部企业，因具备较强的安全意识和充足的安全预算，较早开始搭建安全架构并逐渐体系化，无论是安全管理流程还是安全人员和技术都相对成熟，CSO携专业的安全运营团队保障企业的业务发展和资产安全，并为安全效果负责。但在目前的市场中，这样高度自建自筹的用户比例只占很小的一部分，更多的企业受制于组织体制、成本预算、技术能力和人员规模等因素，会优先采购安全产品来建立安全防护体系，必要时通过驻场运维服务或者以人力外包的方式补充安全运营人员，自身需要建立一定的安全管理流程以支撑运转。随着网络空间整体安全态势愈加严峻，不仅是有预算有能力的大型企业会遭遇网络攻击，中小微企业也会面临层出不穷的安全挑战，更重要的是，在网络威胁变得愈加频繁和复杂的现在，企业需要全天候不间断的监控和覆盖，快速且精准的分析和响应，安全运营走向常态化，对技术、流程、人员等成本和资源都是更大的考验。托管模式的安全运营服务开始受到大量关注，MSS（托管安全服务）、MDR（托管检测与响应）都是目前的热门方向。MSS、MDR快速增长市场趋于融合发展追溯起来，MSS的服务模式并不是新生事物，早在20世纪90年代后期，就开始有Internet服务提供商（ISP）为用户提供防火墙设备并代为管理，安全厂商也开始提供商业化的安全监控和管理服务，MSS的概念逐渐形成并付诸实践。2000年以后，安全信息和事件管理（SIEM）等技术体系兴起，安全运营逐渐发展，越来越多的企业采用MSS服务。Gartner对MSS的定义，是以共享服务模式提供IT安全功能的远程监测与管理，通过远程安全运营中心（SOC）提供7X24小时的安全服务，而非驻场人员的线下一对一服务，通过检测企业的安全工具及日志，发现威胁并做出告警。比较常见的服务包括托管防火墙、入侵检测、虚拟专用网络、漏洞扫描以及反病毒，包括了对整个安全基础设施的管理和监控，是较为传统而广泛的安全服务。显而易见，MSS可以帮助企业节省雇佣和培训专业安全人员的成本，同时让企业更轻松地获得稳定的安全技术能力与经验，以保证企业自身安全处在可接受范围之内。顺应威胁趋势发展，对许多企业而言，仅仅监控设备发出警报已经不够了，对高级、未知威胁的检测和响应成为重要的安全动力，以MDR为代表的新兴业务模式快速兴起，Gartner将其描述为通过7x24小时全天候不间断的监控和覆盖，建立起快速威胁检测与有效响应的服务。绝大多数MDR服务是通过主机层与网络层的技术，生成、收集安全事件以及上下文数据，支持威胁检测与事件分析。MDR充分利用部署在终端、边界、流量等防护设备，通过行为分析、流量分析、威胁情报以及与多级专家的组合，提供更加快速和全面的威胁监视、检测、狩猎和响应服务。其具有现代安全运营中心远程交付的能力，专注于精准检测、调查分析、积极遏制事件，旨在通过持续运营以减少威胁发现和威胁响应之间的时间。它还可以为不堪重负的安全团队提供主动防御情报和高级威胁洞察，其提供的有关各种法规和标准的完整报告和日志保留，也方便企业应对合规的监管挑战。因此，业界通常也将MDR看作进阶版的MSS，更加注重对威胁的深度分析和处理，更加强调对安全事件的主动响应。具体来说，在实现原理和部署方式上均有所区别，MSS服务通常需要企业提供自己的技术，从而识别关键事件来源，将日志转发到中央采集设备；对于MDR服务，企业现有安全设备生成的日志通常只是用作上下文分析时的辅助数据，提供服务的安全厂商会将自有技术堆栈工具部署在客户场所，如通过网络流量分析工具、终端活动监测与欺骗技术等实现威胁的监测与响应，因此具备更快、更有规模的交付效果。为了最大化利用现有安全能力，节约成本，如今的MDR服务也倾向于支持客户原有的技术，比如通过API接口，能够简化服务集成。随着托管安全服务的发展，MSS和MDR之间的界限已经越来越模糊，融合发展趋势明显，很多传统的MSS厂商也开始提供MDR服务。Gartner认为两者是交集的关系，尚不会完全彼此覆盖，MDR服务市场在中国处于扩张状态，预计到2026年，中国60%拥有安全运营中心的组织都将会使用MDR服务增强安全运营能力。《2023年中国网络安全运营市场研究报告》亦指出，从国内市场需求来看，由合规、实战和效果多驱动因素叠加，客户在选择MSS服务时，通常针对重要的IT资产和应用系统也会要求提供高级别MDR服务，而从供给侧来看，为了提升MSS服务价值，增强市场竞争力，MSS服务商也在不断细化和升级服务内容，推出配套的MDR服务。国内托管式安全运营服务实践观察企业选型需综合考虑企业在选择托管安全运营服务时，首先需要清楚定义这项服务在企业整体安全战略中的定位，比如是一个短期的临时项目还是长期的解决方案。其次服务供应商是否具备稳定、可靠的威胁检测和响应等安全能力，合作、协同等支持能力，以及行业服务经验都是硬核指标。再者网络安全防护是一个综合体系，如何保护现有的安全投资，如何将服务有效融合在成本评估中也十分重要。国内市场中，综合型安全厂商、以传统MSS起家的厂商、云安全厂商等等都有相关托管模式的安全运营服务提供，在此介绍一二供大家参考。安恒信息提出一种广泛适用于国内政企用户的安全运营服务框架模型-IPDRO模型，针对企业防护对象框架，构建安全组织体系、安全管理体系、安全技术体系，通过事前对互联网资产暴露面风险识别（Identify），事中不断验证和增强安全防御能力（Protect）和持续开展安全检测（Detect&MDR），事后积极组织开展安全响应（Response），日常有序开展安全运营管理（Operation&Management）有效控制安全风险，同步指导开展安全合规建设工作，从技术和管理层面快速提升、持续改进安全能力。基于该模型推出了三类安全运营服务包，轻量级的MSS服务侧重于基于远程方式强化安全边界防御能力，增强型的MDR服务侧重于基于产品安全的安全威胁的深度检测与响应处置，综合型的安全运营中心建设Cyber

8月1日，ISC.AI

8月1日，ISC.AI

“把大模型拉下神坛就要把免费贯彻到底，今天我在行业里第一个宣布安全大模型免费。”7月31日，ISC.AI2024第十二届互联网安全大会开幕，聚焦AI带来的安全新机遇，三六零（601360.SH，下称“360”）集团创始人周鸿祎表示，用AI重塑安全的本质是让安全做到“自动驾驶”，360首推安全大模型，对购买360标准产品的用户免费提供大模型标准能力，实现大模型普惠和安全行业新质生产力变革。2023年以来人工智能大模型掀起新一轮产业革命，作为国内兼具AI技术和安全能力双重优势的厂商，360基于深厚的全栈大模型底层技术、世界上规模最大的安全知识库、亚洲最大的高级安全专家团队和多领域全覆盖强实战的安全场景能力，打造了国内首个安全大模型“360安全大模型”，测评显示，其安全垂直能力已超过GPT-4。周鸿祎介绍，360通过100余个实践案例总结出一套专业化大模型方法论，强调不追求全能大模型，而是一个模型干一件事，“360安全大模型就是这套方法论的最佳实践。”

Batch、Blocked

在官方通报及媒体报道的各类网络犯罪和网络违法案件中，侵害公民个人信息、盗取企业数据资产的情况屡见不鲜，已逐渐成为影响网络空间安全的最大风险。安全419梳理了2024年第二季度公布或报道的重大数据安全及个人信息泄露相关事件，作出如下观察：数据泄露在网络安全风险链条上的普遍性数据泄露一方面可以看作是各类网络安全事件带来的“结果”，即多种多样的内外部攻击手段，如勒索攻击、社工钓鱼、供应链攻击、内鬼窃密、APT攻击等等，或者是承载业务或数据资源的系统、账户在配置和操作上存在失误，都可能导致数据资源被窃取。另一方面，数据泄露也是更多网络犯罪活动和网络安全风险的“起因”，比如数据泄露后不及时管控，将导致黑灰产大量交易、作恶，从而引发企业业务安全问题，面临高昂的恢复成本、声誉受损和监管部门的惩罚，以及公民个人信息被泄露后面临的精准化网络诈骗和源源不断的营销骚扰。数据泄露渠道多元企业自身安全短板导致内外夹击从数据泄露的原因来看，主要可以分为内部威胁和外部攻击。内部威胁导致泄密的情况已经越来越频繁，这在执法部门通报的典型案例中最为常见，安全意识的缺失导致企业应有的安全管控制度、安全保障措施落实情况差强人意，内部员工因利诱而盗取、贩卖、共享用户数据、企业核心资料变得易如反掌，而事后却难以被追溯和定责。更重要的是，因没有有效落实安全保护义务，信息系统弱口令、特权账户滥用、终端设备带毒运行、数据未分类分级、老旧系统存在漏洞等潜在的安全问题为外部攻击带来便利，抑或是第三方合作伙伴存在风险敞口，都会让黑灰产团伙无孔不入。在近期发布的《2024年上半年数据泄露风险态势报告》中，威胁猎人的统计数据展示了更详尽的分析，数据泄露的主要渠道包括：短信通道泄露，随着历年来短信收发业务的发展，短信通道商开始通过压低价格的方式来获取更高的订单，比如会以低于市场标准价格与短信下发方（甲方）达成交易，而其收益空间降低很多，因此内部会通过非法售卖短信信息数据的方式获取更多收益；运营商通道，黑产通过运营商内鬼或违规代理等渠道，获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息；内鬼泄露，企业内部员工在利益的驱使下，采用资料导出、人工拍摄等方式，获取客户敏感信息后进行售卖；黑客攻击，外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产，利用企业网络漏洞大规模窃取数据；第三方泄露，和企业存在合作关系的第三方，具有访问企业某些敏感数据的权限，但由于管理不规范等问题，导致这些敏感数据通过第三方泄露到黑产手中。无论是何种原因及渠道导致的数据泄露，从攻防对抗上讲，黑灰产团伙的手法、工具总是在不停升级，企业因自身存在薄弱环节才会给予攻击方乘虚而入的机会，因此只有贯彻落实自身的主体安全义务，加强防御和响应措施提升安全水位，才能更大程度地避免安全事故的发生。数据泄露分布广泛高价值的数据密集型行业尤为严重数据泄露事件可能发生在各行各业，相对而言，数字化程度高、数据密集体量大、数据资产价值高的领域更易成为重灾区。威胁猎人《2024年上半年互联网黑灰产研究报告》显示，2024年上半年数据泄露事件涉及85个行业，数据泄露事件数量前十的行业分别为银行、电商、消费金融、保险、快递、在线票务、证券、汽车品牌、支付和本地生活。排名靠前的数据泄露行业中以金融、电商行业为主，金融行业的数据泄露事件主要体现在银行、消费金融、保险等企业的客户信息倒卖，通常被下游黑产团伙用于精准营销及诈骗，因涉及大量高价值用户数据，且靠近交易环节，成为了个人信息泄露的重灾区。近年来线上购物发展更加火热，据今年的《中国互联网络发展状况统计报告》显示，截至2023年12月，我国网络购物用户规模达9.15亿人，占网民整体的83.8%。线上购物的持续稳定增长下，电商平台产生了海量购物订单及物流信息，这些购物订单及物流信息由于暴露面较大，成为了黑产团伙的重点目标，同样被用于营销或诈骗。同时，在公安部近期公布的“十大高发电信网络诈骗类型”中，刷单返利、虚假网络投资理财、虚假购物服务、冒充电商物流客服、虚假征信等10种常见的电信网络诈骗类型发案占比近88.4%。其中刷单返利类诈骗是发案量最大和造成损失最多的诈骗类型，虚假网络投资理财类诈骗的个案损失金额最大，虚假购物服务类诈骗发案量明显上升，已位居第三位，而金融、电商类用户群体正是此类诈骗案件的受害群体。附：2024年第二季度全国数据泄露代表事件（不完全统计）泄露上千户业主个人信息一物业公司被业主起诉索赔南充晚报6月28日消息，四川省南充市顺庆区一小区物业管家，将多个电子表格，发至小区商业微信群。这些电子表格中，有上千户业主姓名、身份证号、详细住址、家庭成员、产权面积、手机号码、工作单位等个人信息。随着电子表格被转发、传播，业主频繁接到“骚扰电话”，日常生活受影响。近日，天府华城小区8户业主将小区物业公司起诉至顺庆区人民法院。6月27日，法院对此案进行公开开庭审理。香港中文大学被黑客入侵泄露两万师生信息6月13日，香港中文大学（CUHK）发布关于电子学习平台资料安全事故的公告，其专业进修学院的“Moodle网上学习平台”遭到了黑客攻击，Moodle是一个广为流行的开源课程管理系统，允许教育工作者为学校、学院和工作场所的在线项目创建个性化学习环境。公告显示，泄露数据涉及20870个Moodle账户，数据类型包括教师、学生、校友、访客的姓名、电子邮件地址和学号。虽然公告中表示敏感数据未在任何公开平台上泄露，但这些信息疑似在暗网BreachForums上售卖。甘肃甘州公安查处6起酒店行业未履行数据安全保护义务案6月10日消息，甘肃省张掖市公安局甘州分局网安大队在“祁连2号”行动中，发现张掖市某酒店管理服务有限公司等6家酒店，网络数据管理系统均存在数据泄漏的风险，未履行数据安全保护义务，严重影响公民个人信息安全。甘州分局根据《数据安全法》相关规定，对6家酒店依法给予行政处罚，责令立即整改。骑一次被借贷推销骚扰一个月单车平台疑泄露用户信息福州新闻网5月23日报道，一福州市民4月3日在上海骑行了一次哈X共享单车，之后每周至少接到一次该单车公司旗下的贷款平台的推销电话和短信，称他贷款额度有20万元，有时候推销电话还会“伪装”成私人手机号码进行推销。用户怀疑个人信息可能被公司平移给旗下助贷平台，为其引流。记者联系该单车平台，客服表示，用户在注册App时，签署的使用协议中有约定同意公司可向其推送此类信息，其中包含旗下的助贷平台，若用户觉得造成困扰可以拨打客服电话退订。律师认为，根据《个人信息保护法》规定，用户不知情情况下过度使用用户信息，涉嫌侵犯用户个人信息权。两平台大规模出售企业家个人信息包括多名百亿富豪红星资本局5月14日消息，探X查、励X云两家平台大规模出售多位企业家个人信息，包括农夫山泉创始人钟某睒、荣盛集团董事长李某荣、蜜雪冰城实控人张某甫等百亿富豪。其中“探X查”号称“2亿+企业数据库”“10亿+线索联系方式”，980元包年，每月可查企业信息5000条。按最大查询量算，1条企业家信息售价0.016元。对于数据来源，两平台销售人员宣传是与电信运营商合作。对此，中国移动回应，不会售卖任何用户个人信息。中国移动一直以来高度重视客户个人信息保护工作，制定《中国移动数据安全管理办法》等系列制度，建立客户信息常态化保护体系。中国联通答复，肯定不存在对外泄露、出售企业家手机号的行为。从公司的管理制度来说，肯定不允许泄露个人信息。2B中国公民信息泄露国外安全团队发现完整数据集5月6日，Cybernews研究团队发现了一个专门针对中国公民的庞大数据集。其背后的实体可能无意中错误地配置了

2024年第二季度，全球发生多起骇人听闻的勒索软件攻击事件，涉及多个地区和行业，诸多维持民生的城市公共系统被迫停止服务，大量公民数据遭到外泄与非法贩卖。安全419根据第二季度的事件观察以及多份近期发布的勒索攻击报告，带来如下趋势分析：

各位网友大家好！欢迎收看新的一期《创业者说》。以往呢，我们的《创业者说》更多的是长篇幅的文字形式，从今天开始，《创业者说》栏目会邀请很多企业的CEO来跟我们聊创业，同时我们加入了视频这样一个形式。本期我们邀请到的嘉宾是来自于北京丈八网安的CEO王珩。本期嘉宾丈八网安CEO

在快速崛起的数字经济时代，数据作为企业的核心资产及重要战略资源，在高速增长的同时，其背后的数据风险也在不断攀升，日渐复杂的数据泄露形势，已成为企业数字化发展赛道的严重阻碍。威胁猎人《2024年上半年数据泄露风险态势报告》对2024年上半年数据资产泄露风险概况、黑产数据交易市场等进行具体分析，结合典型行业案例，多维度呈现2024年上半年国内数据泄露的态势全景：1、2024年上半年全网监测并分析验证有效的数据泄露事件16011起，较2023年下半年增长59.58%，共9539起；2、2024年上半年监测到3.4万个黑产团伙中，经分析验证涉及真实数据泄露事件的黑产团伙共计1973个，较2023年下半年增新增984个，增长近一倍；3、从行业分布来看，2024年上半年数据泄露事件涉及85个行业，数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递；4、从区域、年龄、性别等维度来看，2024年上半年数据泄露人群最多的区域分别是：浙江、四川、广东；35-54岁占比最高达62%；女性占比最高达64%。5、针对黑产数据交易市场研究发现，2024年上半年利用Facetime诈骗活动增多，2024年上半年泄露的数据中包含“IOS”字段的相关风险事件高达1237起，较2023年下半年增加8倍。相关名词定义1、DRRC：威胁猎人成立深圳、重庆两大DRRC数字风险应急响应中心，汇集30+安全运营专家，为企业提供7×24小时应急响应服务；2、真实性验证引擎：通过不同文件类型的个人要素提取和比对，以及对图片OCR结果中的要素进行提取及验证，有效识别该图片内容中是否含有伪造数据/历史泄露数据；3、数据泄露情报：威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用”

6月26日-28日，东半球规格高、规模大、奖金丰厚的网络安全顶级赛事——首届“矩阵杯”网络安全大赛在青岛吹响号角。从各个维度来看，这场比赛都称得上是近年来规格最高的一场行业盛事。此次赛事由360数字安全、华云安主办，ISC平台、SecOps平台承办，赛宁网安、永信至诚、红客社区协办，安全419受邀参与并见证本次大赛的全程，并作为支持媒体进行报道。围绕安全+AI“矩阵杯”创新开启多维赛事根据介绍，本次大赛致力于推动提升全民网络安全意识，发现顶尖安全人才，鼓励技术创新发展，推动安全行业共建共享。大赛裁判长、360首席安全研究员龚广表示：“矩阵杯”首次实现网络安全主流赛事类型全覆盖，设置了漏洞挖掘赛、人工智能（大模型）挑战赛、战队攻防对抗赛三大赛道，针对参赛选手在渗透挖掘、检测验证、人工智能以及攻防对抗等安全能力进行全方位考察与检验。“矩阵杯”网络安全大赛裁判长、360首席安全研究员

安全运营作为链接安全工具、安全人员以及安全流程和安全场景的纽带，通过识别威胁、快速分析、精准响应、协同防御，让安全建设中的能力得以施展并提升，已成为现代安全体系中必不可少的环节。此前的系列文章中，我们主要分享了通过提升感知识别能力，以及加强分析检测能力来建立安全运营体系。想要形成完整的闭环，还需要根据前期的运营分析结果，自动化且智能化地构建并执行最优决策，持续地改善组织的安全态势。这便是本期探讨的主题。安全响应和处置面临现实挑战安全运营的核心目标之一是效能与效率，主要体现在两点，一是平均检测时间（Mean

作为一种新兴的资产形态和价值来源，数据已逐渐成为企业的核心资产之一，随着《企业数据资源相关会计处理暂行规定》（以下简称《暂行规定》）于2024年1月1日正式施行，标志着企业数据资源被正式纳入会计核算范畴，也就是俗称的“数据资产入表”。数据要素重要政策时间节点与要点梳理图/上海数据交易所数据资产入表即是将企业的数据资源以资产的形式纳入财务报表中进行管理和计量，其法律基础主要来源于《民法典》《数据安全法》《个人信息保护法》以及“数据二十条”，这些法律法规为数据资产的确权、使用、保护和交易提供了法律框架。企业由此引入新的资产类型，可以量化数据的经济价值，提升企业资产总额，优化企业财务报表，增强企业融资能力，还可以进一步促进数据流通与交易，实现数据资产证券化。刚过去的上市公司一季报披露季，也成为了观察数据资产入表成果的一扇窗口。厚雪研究《上市公司“数据资产入表”全景图（2024Q1）》显示，共有23家A股上市公司开展了数据资产入表实践，涉及总金额14.77亿元，涉及行业较为分散。根据上海数据交易所及数据要素相关产业的多方意见，普遍认为，数据资产入表并不具有企业类型的锁定性，任何一家企业只要能够进行数字化转型，都有数据资产入表的可能，2024年的Q1才刚刚走了一小步，数据资产入表可能再创造百万亿元新增资产规模。数据资产入表中的数据合规那么，企业为实现数据资源作为资产入表，需要在哪些方面做好应对？基于上海数据交易所编制的《数据资产入表及估值实践与操作指南》，数据资产入表的框架可以分为三项大的步骤：首先是“合规”，主要解决数据权属的潜在风险，确保数据持有不受挑战；其次是“入表”，需要按照《暂行规定》及相关企业会计准则进行会计核算；最后是“增值”，利用入表的数据资产开展融资、并购、证券化等活动。由此可见，数据资产入表并非一项孤立的会计活动，应立于全局性视角服务于企业经营活动，完成数据资产入表是为了帮助企业获取数据要素价值，而数据合规已成为确保完成数据资产入表的前提和基础。数据资产入表为什么需要数据合规？根据金杜律师事务所的分析，法律上没有对数据进行确权，数据处理者对其数据不享有所有权意义的权利，无法建立绝对权基础来对抗不确定第三人，所以必须通过数据合规来确认潜在的风险，以防止或缓释其他人的权利（益）挑战，从而稳固数据持有权的基础。可以说，数据合规是数据资产化、数据入表的关键起点，确保数据合法性不受挑战，解决数据潜在风险。通过数据合规能够实现资产固定、保值增值，进而进一步完成数据资产证券化。数据资产入表的主要步骤图/金杜研究院数据合规可以从两方面看待，一是开展数据资源盘点，《暂行规定》确定了无形资产、存货以及其他未确认为资产的三类数据资源可以入表，企业需要摸清数据家底的结构、数量、类型等，确定可入表的数据资源有哪些。这是一个对存量和增量的数据资源进行梳理归纳的过程，还包括其存储方式和取用方式，归属部门和责任人，并根据业务情况实现进一步的划分，理解数据的构成和用途，识别哪些是重要数据资源，哪些是保护数据资源，关注数据资源的分类分级、数据资源等保与安全、共享条件和范围。二是履行《数据安全法》《个人信息保护法》《网络安全法》等法律框架下的合规义务，确保数据资源的合法获取、处理和使用。在数据资产入表的过程中，企业必须充分认识到这一操作所伴随的数据安全风险，由于数据资产的集中存储和管理，一旦发生安全事件，如数据泄露、篡改或非法访问，将导致数据资产价值急剧降低，进而对企业声誉和市场信任构成严重威胁。《数据安全法》下的合规重点在于对重要数据的识别和数据处理活动全流程的动态防护，《个人信息保护法》方面的重点是确定个人信息处理的合法性基础，而数据的载体是网络设施，因此《网络安全法》相关合规工作也十分必要。在数据资产入表的实务中，数据合规相关的实践路径涉及以下几个方面：数据分类分级数据资产涉及多种数据类型和标签属性，应对每类数据进行溯源并识别其来源于更多原始数据的聚合、转换、流通等方式。应根据监管要求，按识别的数据类型逐一进行该类数据合规设置与安全处理，确保数据资产已符合有序合规要求。数据风险评估在数据资产管理过程中，还应从数据合规与安全角度，按照数据生命周期的不同阶段开展数据风险评估，如数据采集、数据传输、数据跨境、数据存储、数据处理、数据分享和数据销毁。数据安全合规运营数据资产存在许多不同于传统固定资产、无形资产的特性，例如数据具有流动性、多样性、时效性特点，企业只有通过数据合规与安全治理、评估潜在风险、制定数据有序化管理策略、健全安全防护技术举措，以保证数据资产的业务运营合规。有序化管理数据资产企业应规范数据资产管理与运营的合规与安全制度、流程和人员等机制。数据合规与安全防护是一个动态优化过程，针对不同系统与环境的特点，应结合具体业务需求及系统特性，建立数据资产的数据应急预案，保证预案的全面性和可行性。健全安全防护举措当企业完成数据资产的风险评估，数据合规与安全差距分析后，还需制定未来合规安全防护举措以及安防技术系统或工具实施的路径计划，进而详细定义安全与合规涉及的技术整改任务清单。诚然，以上仅分析了数据资产入表在数据合规环节的必要性、价值和操作原则，后续进入会计核算环节，还涉及数据资源的成本与后续计量、收益判断、审计、披露等步骤，推荐参照上海数据交易所编制的《数据资产入表及估值实践与操作指南》，安恒信息、杭州数据交易所等联合参编的《2024企业数据资源入表实践白皮书》等文件提供的方法论和实践指引。（关注“安全419”，回复关键字“105”，可获取原文）我们还关注到，上述《白皮书》通过实践穿透，还针对安全行业展示了数据资源入表的实际应用案例，有进一步增强其实操性和行业落地性，安全行业同仁可以参考借鉴。数据资产入表整体流程图/安恒信息数据资产入表大幕已拉开，这不仅是一项会计活动，更是一种法律行为。企业在进行数据资产入表时，必须严格遵守相关法律法规，确保数据资产的合法性、安全性和价值性。随着数据资产入表实践的不断深入，企业将能够更真实地反映其经济活动和价值创造能力，促进数据要素市场的发展。参考资料：《数据资产入表及估值实践与操作指南》，上海数据交易所《2024企业数据资源入表实践白皮书》，安恒信息等《欲穷千里目，更上一层楼——数据资产入表中的数据合规》，金杜研究院《数据资源“入表”在即，企业更需守好数据合规与安全的闸门》，德勤DeloitteEND✦推荐阅读✦粉丝福利群开放啦加安全419好友进群红包/书籍/礼品等不定期派送

自以ChatGPT为代表的AI技术及应用迅速席卷人类的生产生活，网络安全也成为积极拥抱AI技术、挖掘AI应用价值的产业之一。如今，凡谈论网络安全未来的风险趋势、技术创新或发展方向，已经无法回避AI可能带来的双刃剑影响，在近日召开的2024北京网络安全大会，围绕“AI驱动安全”的主题，主峰会与多个分论坛都呈现了多方观点探讨和研究成果展示。据安全419观察，众多议题可归结为两大方向，一是辨析AI引发的安全风险的本质以及应对方案，二是探索AI在提升安全能力上应该如何实现工程化、企业级的落地和商用。在此，安全419将结合自身理解，总结在会议中观察到的部分前沿观点，帮助业界同仁多视角更全面地认知AI与安全的关系及影响。正视AI风险AI的发展其实已经经历了漫长的时间，但直到ChatGPT在相当程度上实现了对“语义”的把握，空前地拓展了AI的应用面，才将其推向了所有人。犹记得，这股出乎意料的强大力量伴随着伦理、公平、隐私等方面的威胁，让全球多位名人联名呼吁暂停相关技术的研发，以防止其失控或超越人类。但事实上，非但没有停止，反而是在加速发展，更智能的应用迭代出现，逐渐成为新一轮科技革命和产业变革的战略性技术。来自先进计算与关键软件

《9问CEO》安全419今年策划的一档全新的节目，每一期会邀请一位知名网络安全企业的CEO与我们对话。每期节目共设置9个问题，以快问快答的形式，不给对方思考的机会，用9个问题还原一家最真实的网络安全企业，增加大家对网络安全圈的了解。欢迎大家关注安全419——9问CEO系列。本期嘉宾安全玻璃盒创始人&CEO

在人工智能浪潮汹涌的当下，新型网络攻击方式层出不穷，其危害愈演愈烈，特别是针对AI的攻击与利用AI发起的攻击，已成为网络安全领域的棘手难题。如何有效应对这些新型威胁？如何利用AI技术强化网络防御？如何解决网络安全运营中的瓶颈？如何确保大模型内容安全合规？这些问题备受行业内外关注。在6月6日举行的知道创宇AI能力发布会上，知道创宇对上述一系列问题进行深入解答，并发布了覆盖网络安全领域和内容安全领域全新防护方案。针对AI带来的安全挑战，需要“用AI对抗AI”。知道创宇云与政企产品线负责人邓金城在发布会上表示，得益于在AI+大数据的超前投入和持续建设，公司成功推出创宇大安全AI能力引擎，并将其全面应用到网络安全和内容安全对抗的产品和服务中。创宇大安全AI能力引擎加持下，产品和服务的防护效率和安全能力得到显著提升。例如创宇AI+云防御体系较此前相比，面向重点攻击类型的未知漏洞预防能力获得了大幅提升，核心处理能力提升280%；将1小时内协同防御的更新频次进一步提升到准实时更新，更新频次提升60倍。再如，AI赋能下内容安全检测效率也较此前人机时代提升了400%。AI赋能全线产品

言当前，数据作为新型生产要素，促进着数字基础设施发展与产业迭代升级，推动着数字经济成为我国经济高质量发展的新引擎，与此同时，有力的数据安全保障和流动监管成为确保数据优势发挥的重要基础底座。

2024不仅是人工智能产业和学术届技术研究的展示，更是智慧的碰撞。这场大会为与会者带来了深刻的洞见，激发了对人工智能未来可能性的无限遐想。由衷地感谢中国开源软件推进联盟名誉主席陆首群，Linux

2024第九届安全创客汇决赛地点：北京主办单位：奇安信集团、北京网络安全大会（BCS）、新安盟、奇安投资、网络信息安全创业投资服务联盟时

安全419网安会议观察从行业举办的各项网安会议角度出发，阶段性总结各行业对安全建设的痛点需求，以及网安产业的最新趋势，以供需求企业挖掘借鉴。本期着眼于2024年开年至今召开的各类行业会议，厂商年度战略及年度新品发布成为主流，亦有多场连年举办的行业重磅会议拉开序幕，合作成为下行周期中谋求发展的主旋律，AI赋能安全在更多业务场景中落地技术成果。积极拓展生态合作经济周期带来的负面影响渗透进各行各业，但数字化进程并不会因此懈怠，在凛冬中积极发挥自身优势，挖掘新的场景和赛道，寻求同行甚至是异业合作，开拓产品品类和潜在市场，扩展有助于网安行业在更高维度提升整体竞争力。2024威努特生态合作伙伴大会召开，升级战略为“安全网络，数智未来”。公司十年发展、五年渠道化战略以来，通过产品为王、价格为先、渠道为主、销售为多、管理为公等关键核心举措，一路持续增长，产品品类已实现跨赛道发展，将以网络安全为根基，为客户提供安全、网络、计算相关的产品，成为一站式ICT基础设施供应商。其提出将紧密贴近客户需求、依靠全国合作伙伴、满足行业需求，聚焦安全主航道，扩展全领域ICT产品，通过5000人规模的前端团队，覆盖全国百万客户，实现万人队伍，年度营收一百亿的发展目标。山石网科接连举办港澳客户及合作伙伴峰会以及2024年山石网科生态合作伙伴大会，在国家信创战略下，提出以‘芯’与‘信’为引领，始终致力于推动国产安全产品的性能提升与功能强化，以确保在全球竞争中处于领先地位，加之自主研发的芯片技术和多年的技术积累，将在信创市场大有可为。公司将通过战略协同与整合，实现技术领先、运营卓越、生态繁荣，2024年重点聚焦政府、金融、电信运营商、教育和医疗等关键行业，与合作伙伴携手共建新生态。同样在信创领域积极开拓的还有酷德啄木鸟，其与中国移动在北京经开区国家信创园创立联合实验室，基于全自主可控软硬件环境，打造一站式解决方案，全面满足自主可控适配的建设需求，助力党政、金融、教育等行业构建自主安全的信息化环境。举行揭牌仪式的中国移动协同创新基地（北京中心）2024年计划发布会，还就自主可控适配、自主可控安全、网络安全攻防实训和自主可控软件供应链安全四方面发布相关成果和计划。盛邦安全战略收购卫星通讯加密厂商天御云安，双方共同开拓卫星互联网通信安全领域，在其年度新品暨卫星互联网安全战略升级发布会上，公司宣布全面进入以场景化安全、网络空间地图和卫星互联网安全三大核心能力驱动的战略2.0时代，业务板块正式升级为网络空间地图、身份安全、卫星互联网安全、密码安全、数据安全、云安全、安全服务六大版块，预计未来三年订单规模将达到10亿左右。熠数信息牵头成立GDS组织，取意为“Go

受经济周期的影响，房地产行业持续低迷，楼市销售疲软，闭店跑路的健身房、教培机构也屡见不鲜，在产业链庞大的受挫人群中，还出现了一种游走在灰色边缘地带的特殊角色——职业背债人。2023年底，上海警方披露一起涉案6000万元的房贷诈骗案。根据媒体报道，徐女士急于出售一套位置偏僻的大面积复式房，中介表示，他们公司要以员工的名义把房产收下来，因公司需要资金，不能把钱用到首付款上，需要她配合把房子的评估价做高，并表示徐女士只需配合签字即可。另一边，黄牛在外地找到李先生，承诺在他名下过户一套房产，房贷下来后可以拿走贷款的60%，面对巨额回报李先生欣然同意。按照中介要求，李先生与妻子从外地赶来上海新办了银行卡和电话卡，与徐女士双方配合签订了房屋买卖合同，并办理了申请房屋贷款的相关手续。警方查实，实际价值只有253万元的房子，被评估为550万元，最终从银行贷出了357万元，除了徐女士应得的房款及缴纳的各类税费外，中介仍获利85万元。这些钱，最终被房产中介、贷款中介、黄牛等人瓜分，而李先生只拿到了1万元。警方对当地房屋成交价明显虚高的交易进行梳理，发现有11套房产涉嫌贷款诈骗，涉案总金额超过6000万元。中介要求背债人手持征信报告操作贷款类似李先生这样的背债人，都是冲着黄牛许诺的“躺赚百万”而加入的。如今，社交平台上仍有不少黄牛，通过私信等方式以利诱揽，“1个月到手百万”“3到6个月，到手500万”的承诺随口就来。而在这看似短期可以获取暴利的背后，暗藏深坑，有人背负数百万贷款后被中介一脚踢开，有人被骗取身份证、银行卡等信息，进行违法犯罪活动。中介、黄牛揽客朋友圈而且不仅是房地产行业，黑产中介的触角已经延伸到更多领域。一些预付费模式的健身房、教培机构突然闭店引发纠纷，社交平台上，有消费者质疑闭店背后是由“职业闭店人”操盘。他们往往以第三方的身份出现在善后工作中，解散员工，重新组建客服团队，降低消费者预期，诱导接受不公平方案。如果消费者不接受方案，发起行政投诉或民事诉讼，这些“职业闭店人”还会出面善后。他们接手后，会在短时间内将公司的法定代表人更换为无偿还能力的背债人。第一步公司转让，老板与接盘团队签订合同，将公司股份、债务全数转让给对方。对方往往会表示自己有专业的律师和管理团队，可以承担风险。然后变更法人代表，接盘团队往往会提供那些居住在偏远地区的、身份信息遭到泄露的、即便是出事也很难找到其本人的对象作为“公司法人代表”，原老板即可全身而退。最后收尾跑路，接盘团队拿到新的营业执照，一边安抚职工和会员，一边准备跑路事宜。据悉，南京一家早教机构的第三方闭店人员对媒体表示，自己处理过超过500家教培机构的闭店。一早教机构关门，消费者质疑遭遇职业闭店人究竟是什么样的人在从事背债业务，为什么背债人可以绕过银行风控轻松贷款上百万，背后的黑产团伙是如何运作的？根据威胁猎人发布的《黑产大数据

自ChatGPT问世掀起大模型的发展热潮以来，国内外的相关应用悉数落地并且已经卷出天际，逐渐成为帮助各行各业生产效率提升的重要工具。此前的系列文章中，我们就重点围绕网络安全行业的各个细分方向，观察了大模型如何融入安全工具及服务，为现代安全体系加码赋能。大模型作为一把双刃剑，技术的突破也带来了新的风险挑战，本期，我们将调转视角，观察因大模型技术和应用而引发的种种安全问题，以及业界的应对策略。大模型渗透千行百业引发多重网络安全威胁在人类社会开启迈向通用人工智能新路径的进程中，“大模型泄露个人隐私”“AI生成钓鱼邮件以假乱真”“大模型引发人类伦理思考”等等新闻事件不绝于耳。大模型惊艳四座的表现总是伴随着关于“安全”的争议，想要了解其背面隐藏的风险，还要从理解其技术特性入手。大模型是依靠大算力和强算法对大数据进行训练的结果，其能力来自对大量无标注数据中抽象共现模式的深度学习，在本质上是大数据驱动的，其最明显的特性是参数规模大，通常在百万级以上，甚至超过万亿级别。基于从训练数据中学习的模式，大模型可以生成新的内容，并涌现新的能力，比如小样本提示学习能力、思维链推理能力等。这也使其得以通过微调等适配方式去处理各种不同的任务，甚至处理未见过的任务，通用性大大提高。正是这种新型的大数据利用方式，其数据训练和模型调用实现的自动化内容生成引发了新的安全风险。敏感数据、个人信息面临外泄大规模抓取的网络公开数据可能包含姓名、电话号码等个人信息，甚至可能包括生物识别、行踪轨迹等敏感个人信息和高风险数据。而且，很多大模型默认将用户输入的提示作为训练数据，其中同样可能包含个人隐私数据。研究发现，大模型可能会“记忆”并在特定输入诱导下泄露这些训练数据中的个人信息、敏感数据，包括受版权保护的材料。生成与事实相悖的幻觉内容在大模型不具备回答某种问题的能力时，其不会拒绝回答，而是会输出错误的答案。由于模型的训练过程采用自回归的训练方式，在给定当前文本内容的情况下预测下一个单词，其本质上是做文本数据的概率建模。在这一过程中，模型更多学习到单词之间的相对关系和句式句法，但对于事实缺乏基本的判断和推理，也没有对自己的能力边界进行建模，即大模型“不知道自己不知道”，因此可能“一本正经地胡说八道”。产生偏见歧视或不良信息由于大模型的训练语料库通常由互联网上的爬取数据组成，网络上的数据难以避免地包含恐怖主义、极端主义、色情、暴力等有害信息，也可能存在对少数群体或者弱势群体的偏见信息，大模型在训练后会“记忆”这些信息，输出的有害内容可能会对用户产生不良影响，或者会对具有不同宗教、种族、性别等特征的人群产生不一致的结果。被滥用于欺诈、攻击等网络犯罪大模型超强的生成能力，以及其基于大量人类数据训练而具有的“类人”输出和交互能力，使得犯罪分子能够以低成本方式大规模制造更加逼真、更具欺骗性的虚假信息，例如大量制作更具说服力的网络钓鱼电子邮件，在战争等重大事件通过深度伪造视频扰乱国家安全等等，此外还可以生成恶意软件代码实施勒索、APT等网络攻击。政府及监管机构成为确保大模型安全运行的重要力量如何防范规制风险，平衡好人工智能发展与安全的关系，引导大模型健康发展，已成为全社会面临的共同难题。政府与各类监管机构成为确保大模型安全运行的重要力量，通过制定和实施严格的数据隐私法规，为大模型的安全使用提供法律保障：国际上，2024年3月13日欧洲议会通过了《人工智能法案》（Artificial

安全运营作为链接安全工具、安全人员以及安全流程和安全场景的纽带，通过识别威胁、快速分析、精准响应、协同防御，让安全建设中的能力得以施展并提升，已成为现代安全体系中必不可少的环节。前期，我们已经探讨了如何通过提升对资产和威胁的感知识别能力，为安全运营工作的开展打下地基。本期，我们将聚焦于下一环节，通过加强检测及分析能力，把握对全局性安全风险和安全防御有效性的判断。威胁难定位、效果难判断安全运营瓶颈明显大多数场景下谈到安全运营的具体工作事项，都围绕在处理告警或安全事件上，这是其中最关键和重要的业务——通过技术和组织手段发现威胁，快速遏制和处置威胁，复盘优化检测分析策略，以期进一步更及时、全面、精准地发现威胁。事实上，前期安全建设中的大部分投入，都是在解决此类问题。试想一个典型的大型集团企业应该如何防范安全威胁，拥有多个分支机构，各地的数据中心、服务器和终端资产数以万计，通过在互联网出口与办公网、研发网边界等部署IPS、IDS、WAF类安全设备，搭建起边界防护体系。进一步，顺应威胁的加剧和IT基础设施的庞杂，在网络侧部署流量分析工具NTA，到终端部署检测和响应软件EDR，再到融合AI技术进行异常行为分析等，都已成为主流的防御手段。经年累月的建设之后，不同的安全产品缺乏联动，无法最大化利用每个安全产品的数据和能力，导致安全事件处置时间长、处置效率低，成本支出效果不明显。这时，企业通常会考虑能否有一个平台，通过汇总展示所有防护设备的安全告警和事件，以提升工作效率。SIEM技术和SOC类产品迎难而上，收集现网中所有WAF、IPS等各类安全设备和服务器、交换机等网络设备的日志，可以满足基础威胁管理与合规需求。在实际工作中，这些“二手数据”的采集通常只是数据的简单糅合而缺乏关联分析，平台无法理解下游各种厂商的检测设备告警，未能对海量的告警有效降噪，导致数据多而不准。安全人员的精力严重透支在处理海量误报的路上，安全运营压力巨大。近些年，局势演变得更为严峻。从外部环境观察，网络攻击的数量呈指数级增长，我们看到太多国际知名企业，乃至重大国际性活动都在钓鱼、勒索等事件中遭受重大损失。从内部体系观察，数字化转型步伐加快，业务流程升级，数据及资产全面上云，安全运营如何兼容混合多云架构，如何融入而不影响业务，成为企业亟须解决的困境。综上多年的威胁风险和安全防御的对抗暴露出的问题在于：难以应对不断升级的攻击手段未知威胁、高级威胁频发，企业往往是被入侵而不自知，事后检测成本增高。基于黑白名单、签名和规则特征的安全威胁发现手段，已不能应对不断发展的网络威胁和IT环境。难以定位威胁根因威胁无法被遏制进而导致安全事件的发生，常常是因为缺乏有效数据的关联分析运营，而无法定位到根因。高级的检测能力，并不意味着要提供更多数量的警报消息，而是要提供质量更高、可执行性更强的威胁研判。难以保障稳定的防护效果安全运营人员无法全天候值守，同时面对大量安全事件和告警分析工作，其精力难以招架。已部署的各类安全防护措施是否有效，是否确实在正确地按照规则策略执行防御和检测动作，实际防护或检测效力达到什么水准，有什么检测缺失点等问题难以回答。因此，当前的安全运营一来需要强化对威胁的主动全面检测，二来需要强化对安全防御的有效性检测。整合安全孤岛实现全面精准的威胁检测先来看对威胁检测的提升，核心在于从孤立走向统一。一方面，孤立的安全数据亟需深度聚合，打破数据孤岛，对防护环境的整体态势进行全局分析，以降低误报漏报提高告警质量。另一方面，孤立的原子安全能力亟需协同闭环，多数安全能力能够针对某一安全过程或者某一安全目标提供深度防御，然而面对日益复杂的攻击过程和攻击手段，需要打通安全的全过程，通过自动、弹性、智能的方式提供实战化防御能力。基于此，可扩展的威胁检测与响应XDR在近年来备受关注，其架构可分为前端感应器和后端分析响应，前端组件作为触角采集器包括但不限于EDR、防火墙、探针、NDR、蜜罐等，后端组件则是将吸收所有关键位置的网络流量、终端日志等这些数据进行关联、高级分析，从而完成威胁检测、分析、工具编排、多产品联动自动化响应等工作。围绕本篇的主题，我们着重探讨XDR如何实现主动威胁检测。“X”具备多维度的扩展属性，不再单纯依赖于端点、网络或其他安全设备进行告警发现和安全事件的标记，而是过渡到基于更多上下文数据的可见，重视底层的数据变化。首先对多个维度的安全数据进行实时监控，通过主动分析技术如基于ATT&CK技战术的异常行为检测，来识别出行为背后潜藏的风险点，它们可能是一个异常登录请求、不寻常的网络流量模式，或是系统配置的未授权更改。这样的风险发现机制意在捕捉到传统安全工具可能遗漏的细微风险信号。下一步对风险点进行分析，将它们与已知的威胁模式和情报库进行匹配，以判断是否存在实际的威胁，不仅关注单一事件，而是将相关事件串联起来，形成完整的攻击链。例如，一个不寻常的文件下载行为，本身可能不会引起警报，但如果与之前的异常登录尝试相关联，则可能表明一个更复杂的攻击正在进行中。XDR的核心优势在于其对安全事件上下文的深入理解。通过整合来自不同数据源的信息，能够提供详尽的上下文信息，帮助安全分析师快速准确地判断威胁的性质和严重性。这包括攻击者的可能目标、使用的攻击手法、受影响资产的重要性等。这种全面的视角能够在复杂的安全环境中实现精准的威胁检测。XDR的落地目前还处于市场发展早期，各厂商的实施路线不尽相同。以EDR单点厂商延展为代表的原生派，既提供生成数据的前端解决方案，也提供后端分析与工作流引擎，安全产品间的关联与集成更紧密丝滑，检测响应效果更直接有效，但面对用户前期可能已经部署了多家厂商的设备，重复投资有比较大的阻力。可以集成多家第三方厂商产品的开放派，主要提供后端能力，充当跨多产品的单一控制台，关联分析相关数据实现对自动化以及威胁检测、调查、取证与响应流程的优化，多见于以SIEM/SOC、SOAR起家的厂商，但是获取友商API接口很大程度上需要依靠用户的推动。当然也有不少提供XDR组件的同时也允许集成第三方工具的混合派，国内市场中长期来看安全行业内部的设备做到互联互通、数据格式等标准尚在逐步推动建设中。以未来智安为例，作为混合技术方向的玩家，其XDR系统通过部署在终端侧的EDR

安全运营作为链接安全工具、安全人员以及安全流程和安全场景的纽带，通过识别威胁、快速分析、精准响应、协同防御，让安全建设中的能力得以施展并提升，已成为现代安全体系中必不可少的环节。在安全419安全运营系列选题的开篇，我们分析到，建立安全运营核心能力，首先在于提升感知识别能力。本期，我们将聚焦这一维度展开探讨，观察业界的实践方式、运用的技术工具和落地成果。全面感知能力的建设是安全运营的基础安全运营是全局、长周期地保证价值资产处于安全状态的过程。“你无法保护你看不见的东西”，这句网络安全领域的经典之谈一语道出了安全运营目标的起点。安全团队首先必须了解需要保护的对象，如果资产不清晰，横亘在网络安全建设与运营之间的鸿沟就难以弥合，安全工作的瓶颈就无法突破。一个组织在网络空间所拥有的一切设备、应用、数据等等都可能被潜在攻击者利用，资产识别及梳理不仅是帮助安全团队“知己”，同时也将通过资产管理来有效发现组织的脆弱性，包括漏洞、弱密码、配置错误等等，加固修复以降低安全事件发生的概率。立足安全运营的全局视野，其实不仅是孤立的弱点导致独立的安全事件，从攻击者的视角发现组织面临的安全风险并评估其影响和优先级，这一系列“知彼”的活动，将有效支撑互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全响应与处置等等日常安全运营与攻防对抗中的关键活动。综上所述，全面的感知基础能力的建设对应的是安全运营的“事前”工作，将对“敌我态势”形成清晰认知和勾勒，为后续的防御体系打下根基。资产管理、风险评估正面临严峻挑战随着企业数字化进程的加速，物理资产、虚拟资产和云上资产等快速增加，攻击资源越来越丰富，作案手法越来越隐蔽，导致安全团队对资产的识别和管理，以及对脆弱性和风险的评估变得十分困难。资产边界与量级正无限扩大对于网络空间资产来说，涵盖了硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、小程序、App、API、源代码等等类型，同时还包括极易被忽略的供应链、影子IT等未知资产。概括来说，只要是可操作的对象，不管是资产还是其属性，都需要做好全生命周期的管理。缺乏动态且细粒度的攻击者视角传统的资产管理偏向于运维、防御的视角，管理力度较为粗放，攻击者视角所关注的目标对象是互联网域名、IP、URL、互联网暴露端口、对外接口地址、后台管理入口等关键信息，而这部分资产安全属性在过去鲜少涉及。同时没有建立自动化的资产更新机制，变化中的资产很容易被攻击的对象和被利用的短板。技术及管理手段需要与时俱进对资产识别分析能力仍以主动干扰式的扫描探测为主，存在一定的局限性，比如可能漏掉处于静默状态的资产、主动扫描容易被安全措施阻断、对实时控制系统造成干扰导致生产过程异常甚至停止等问题。不仅如此，由于隐蔽传输、未知开放端口、错误配置等原因，庞大的暴露面无法有效收敛。而网络的复杂性又导致攻击发生后难以还原入侵路径，监测存在滞后性。所有这些因素都会影响对风险的评估结果和资产管理。安全目标的实现不拘泥于单一技术针对这种对象多、分布广、变化快的资产管理现状，近年来涌现出诸多安全体系和技术工具，帮助企业提供呈现具备全景化、动态化、关联性的资产画像和风险态势。比如攻击面管理，一方面关注企业数字化资产，通过内部攻击面管理（CAASM）手段，通过与现有工具的API集成来工作，依赖于其他已部署的技术作为上下文，并富化从这些技术中提取的数据，以提供组织资产库存的整体视图。另一方面关注外部资产，通过外部攻击面管理（EASM）手段，使用一系列来源和方法扫描全球的互联网，寻找其面向外部的资产暴露面，包括服务器、登录凭证、公共云服务、错误配置可被攻击者利用的第三方合作伙伴软件代码漏洞等，并且对这种资产暴露面进行可视化管理。对攻击面管理提供支撑的技术或工具集还包括漏洞评估（VA）、弱点优先级技术（VPT）、威胁情报（TI）等等。值得关注的是，根据Gartner在2023年底发布的《漏洞评估市场指南》报告，VA解决方案可对漏洞进行识别、分类和优先排序，并对漏洞的修复或缓解工作进行组织协调，通常支持安全运营、网络资产和系统可视化能力。如今，VPT工具极大地改变了VA市场，主要解决了VA工作中的痛点问题，即如何针对VA的检测结果采取恰当的响应动作。大多数VPT工具一开始都专注于优先级，但现在正在发展为漏洞情报工具，通过VPT落地基于风险的漏洞管理。聚焦到更具体的资产识别方式，主流技术包括主动探测、被动探测、指纹特征匹配识别等等。比如主动探测是主动向目标资产发送构造数据包，并从返回数据包的相关信息（如各层协议内容、

根据Gartner此前的预测，到2025年，60%的组织将采用零信任。Gartner前不久发布了2024年及未来中国网络安全的重要趋势预测，其中“零信任采用”更是成为并列的七大趋势之一。这也显示了调研机构眼中对于零信任的态度，其技术逐渐成熟，且在大范围的场景化落地当中。在一场讨论实战攻防的网络安全会议上，安全419发现如今越来越多的甲方企业对于“合规框架只是安全起点”有了更明确的认知，对于新技术上的采用，引入零信任技术正成为当下和未来的重要工作之一。在另外一场会议上，有甲方企业分享指出，实现零信任技术落地，重点需要解决的是如何将零信任融入到当前的整体安全架构当中，以至于没有企业敢一步到位，但阶段性部署案例已十分常见。“零信任正在展现新价值，成为企业参与数字化竞争的核心能力之一。”“零信任已步入落地时代。”有零信任实践厂商也告诉安全419，随着零信任技术成熟度的进步，如系统化的解决了框架性的融合问题，同时作为新型安全基础设施，其技术用例也越来越完善，且能够以场景化的分阶段加以实践部署，将完全打消客户对于业务影响上的担忧。总结而言，零信任已经成为企业强有力的安全运营新范式，大多数甲方用户正从早期的技术关注，到技术了解，已经开始大范围尝试落地零信任。鉴于不同甲方用户存在不同的应用场景，安全419也从各家零信任厂商处征集了一些具有代表性的零信任实践案例，仅供实践需求企业借鉴参考。零信任技术体系在超大型互联网企业应用实践需求企业：国内某超大型互联网科技企业承建企业：北京持安科技有限公司01案例概述持安科技向我们讲述的是零信任在超大型互联网科技企业下的应用实践，该案例需求客户是一家服务于全球10亿以上互联网用户的，在领域内具有领先地位的大型集团性互联网科技企业。与同类型企业相比，面对网络安全风险不断加剧的现实考量，该企业希望通过引入零信任技术以作为现有安全框架的有力补充，以实现对网络安全和数据的更好管控。持安科技指出，当前大型企业在面对网络安全和数据安全问题时具有以下几大共同痛点，如面对已知和未知的攻击面，如何有效收敛；内网高度开放，内部策略与规则过多，安全部门难以高效管控；对管理访问权限如何做到精细化管理，以避免越权访问等等。由于该企业体量极为庞大，业务需求多样化，持安科技为其搭建零信任技术体系时也进行了量身设计和分阶段落地。其中核心指标主要以满足对海量员工同时访问应用时，零信任产品需要保障其在多种情况下的高稳定性和低延迟。此外，其企业内部体量大需求复杂，存在大量历史业务系统，不同业务部门的沟通与适配难度不同，这也需要帮助其建立业务部门与安全部门之间的信任感，持安科技零信任对于普通员工而言无需任何学习成本，因此不会给安全部门增加额外的工作与沟通负担。02整体方案持安科技分享指出，零信任建设规划在设计项目目标时候需要兼顾安全目标（比如业务覆盖率）、业务体验（比如稳定性）和用户侧的体验（比如访问是否卡顿）。从对象企业现状出发，项目组将办公网零信任最终目标制定为：1、业务功能：提供便捷的、稳定的使用体验，允许在公网使用零信任系统；2、稳定性：办公类业务系统全部发布到零信任网关，能够支撑全员同时在线办公，全年无重大线上安全事故；3、安全能力：已接入的业务系统完成加固，包括HTTPS、最小化访问权限、WAF防护、风控能力等等。针对上述目标，项目组将整体计划分为3个阶段进行落地：该超大型互联网科技企业选择与持安科技合作，共建7层零信任架构，方案基于Google

2016年4月19日，网络安全和信息化工作座谈会在京召开。会议讲话主张推进网络强国建设，推动我国网信事业发展，让互联网更好造福国家和人民。在“4·19”讲话精神及总体国家安全观的指引下，我国网络安全产业快速发展，顶层设计、技术创新等相关工作扎实推进，取得显著进步和成绩。值此重要讲话发表八周年之际，我们围绕部分论述，一同回顾践行网络强国的切实行动，以及面临新风险形势的应对举措。关于加快构建关基安全保障体系金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵，电力调配指令可被恶意篡改，金融交易信息可被窃取，这些都是重大风险隐患。不出问题则已，一出就可能导致交通中断、金融紊乱、电力瘫痪等问题，具有很大的破坏性和杀伤力。我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。——“4.19”讲话国际战略格局演变不停，围绕关基设施的攻防较量已成为网络空间高烈度对抗的主战场。绿盟科技在接受安全419采访时表示，随着技术应用的日新月异发展和安全风险的日益严峻，关基安全建设面临的痛点也与日俱增，可主要归纳为以下三个方面：技术的可信任问题在数字化环境中强化关键信息基础设施保护，需要紧密依靠技术手段，而关键信息基础设施对国家网络安全乃至国家安全的重要性，则直接决定了技术必须具备可信任的属性。这种信任不仅包括能力可信任、访问可信任，也包括供应链可信任。产品的覆盖度问题重要领域关键信息基础设施覆盖范围广泛，其运行状态各异、防护需求更是千差万别。这就要求关基安全产品和方案需要越来越体现全领域、全要素、全类型的特征。安全服务的有效性问题服务比重逐步提升是网络安全产业发展的趋势和规律，而信息技术与关键信息基础设施行业应用的深度融合则决定了网络安全服务的最终衡量指标必然是实战化。即，关键信息基础设施网络安全服务应当满足以战领建、按需调度、高效攻防等基本特征。美创科技高级总监丁斐对此认为，关基运营者面临如何搭建网络安全体系、安全运营体系、安全人员能力建设、管理制度体系等维度的建设难点，同时面临威胁多样化和升级、安全投入不足、技术更新和升级困难、人才短缺和培训不足、合规压力增加等建设痛点。具体表现在：威胁多样化和升级关键信息基础设施常年面临来自内部和外部的各种威胁，包括勒索软件、供应链攻击、APT等，这些威胁不断演变和升级，增加了安全建设的难度。安全投入不足一些关键信息基础设施运营者在安全方面的投入可能不足，导致安全设施和人员配备不足，无法有效应对复杂的安全威胁。技术更新和升级困难一些关键信息基础设施存在技术更新和升级困难的问题，可能是由于系统复杂性、历史遗留问题或者对业务连续性的担忧。人才短缺和培训不足安全领域的专业人才相对稀缺，且安全技术更新迅速，运营者可能面临人才招聘和培训不足的问题。合规压力增加随着法规和标准对关键信息基础设施安全的要求不断提高，运营者可能面临来自监管机构和行业标准的合规压力。谈及合规及监管趋势，2021年9月，《关键信息基础设施安全保护条例》（以下简称《关保条例》）实施，明确了关键信息基础设施安全保护的具体要求和措施。随后，我国首个关键信息基础设施安全保护标准《信息安全技术

网络犯罪专业化发展是调研机构认为的网络安全主要趋势之一，其中又以勒索软件攻击商业模式系统化发展最具代表性，这种趋势带来的威胁也是代言网络安全的一种长期威胁。安全419长期关注安全产业发展与趋势变化，现观察并总结2024年Q1期间勒索软件攻击相关事件发现如下趋势：趋势不减赎金创纪录之下迎来新的一年中国计算机学会计算机安全专委会每年都会发布十大网络安全发展趋势，“勒索软件攻击依然是最普遍的网络威胁形式”即为今年的十大趋势之一，其指出，展望2024年，网络安全将面临着严峻的挑战，随着黑客组织不断更新和改进攻击策略和技术，如智能化、多重勒索常态化等，新一代的勒索软件攻击会变得更加难以预防和处置。区块链数据追踪平台Chainalysis在一季度发布的报告显示，2023年的勒索软件赎金支付飙升到了11亿美元以上，已经创下了新的纪录。此前2021年的9.83亿美元已是最高赎金，数字对比之下可以更为直观地了解到勒索软件的破坏力和影响力。这也能理解为什么世界经济论坛会在今年展望全球网络安全风险时会提出“网络安全经济”概念一词。网络安全厂商Arctic

在2024年发生或通报的各类网络犯罪和网络违法案件中，侵害公民个人信息、盗取泄露数据资产的情况一骑绝尘，成为影响网络空间安全的最大风险。一方面，黑客团伙因觊觎数据资产的高价值而采用攻击手段破坏计算机系统，盗取敏感数据变现；另一方面，大量掌握个人信息和关键数据的企业未落实应有的数据安全保护措施，风险敞口巨大，内部威胁激增。以下为本年第一季度公布的重大数据安全及个人信息泄露相关事件，供大家参考。因涉及信息安全风险中国银行、中信银行被处以罚款1月5日，国家金融监管总局对中国银行、中信银行分别处以430万元、400万元罚款。中国银行存在以下违规违法事实：（一）部分重要信息系统识别不全面，灾备建设和灾难恢复能力不符合监管要求；（二）重要信息系统投产及变更未向监管部门报告，且投产及变更长期不规范引发重要信息系统较大及以上突发事件；（三）信息系统运行风险识别不到位、处置不及时，引发重要信息系统重大突发事件；（四）监管意见整改落实不到位，引发重要信息系统重大突发事件；（五）信息科技外包管理不审慎；（六）网络安全域未开展安全评估，网络架构重大变更未开展风险评估且未向监管部门报告；（七）信息系统突发事件定级不准确，导致未按监管要求上报；（八）迟报重要信息系统重大突发事件；（九）错报漏报监管标准化（EAST）数据。中信银行存在以下违规违法事实：（一）部分重要信息系统应认定未认定，相关系统未建灾备或灾难恢复能力不符合监管要求；（二）同城数据中心长期存在基础设施风险隐患未得到整改；（三）对外包数据中心的准入前尽职调查和日常管理不符合监管要求，部分数据中心存在风险隐患；（四）数据中心机房演练流于形式，部分演练为虚假演练，实际未开展；（五）数据中心重大变更事项未向监管部门报告；（六）运营中断事件报告不符合监管要求。因不履行网络安全保护北京市公安局对多家公司作出处罚1月8日，公安部网安局公布三起不履行网络安全保护义务被处罚案例。01某生物技术公司数据泄漏案2023年6月，昌平网安部门发现某生物技术有限公司存在数据泄漏情况，其委托的另一软件公司研发的“基因外显子数据分析系统”，包含公民信息、技术等信息，涉及泄露数据总量达19.1GB。经检查，该公司在开发系统互联网测试阶段，未对相关数据进行加密，未落实安全保护措施，依法给予警告并处罚款五万元的行政处罚。02某教育公司大量公民个人信息被盗2023年7月，朝阳网安部门发现某教育公司数据被泄漏到境外非法网站上，其客户关系管理系统内存储的该公司员工账号以及对应客户姓名、手机、下单时间、成交金额等12余万条信息被泄露。因该公司技术人员在对系统测试过程中，将有权限的测试账号设为弱口令，且系统正式使用后未删除测试账号。该公司未建立数据安全管理制度和操作规程，系统未进行安全评估，同时被黑客破解造成大量公民个人信息被盗取，依法给予该公司罚款五万元的行政处罚。03某教务排课系统账号密码被爆破2023年8月，一境外论坛发布题为“某教育站点70多万订单信息”的帖文，经查，该公司教务排课系统在账号密码传输前未进行加密传输，存在账号密码爆破的可能。黑客可通过爆破手段获取账号密码，通过访问导出大批量后台数据，造成数据泄漏。该公司未建立全流程数据安全管理制度、未落实网络安全等级保护制度、未履行数据安全保护义务，依法对该公司给予罚款五万元的行政处罚，给予直接负责的主管人员罚款一万元的行政处罚。浙江省公安厅发布典型网络犯罪案例1月11日，浙江省公安厅公布“净网2023”专项行动成绩单，同步公布全省网安部门侦破的典型案例，其中包含三起侵犯公民个人信息案。01某电商公司核心经营数据外泄2023年11月以来，杭州某电商公司核心经营数据频繁外泄，并被用于实施电信诈骗。经侦查，拱墅警方发现以王某为首的犯罪团伙，以应聘名义进入电商企业，通过在电脑植入木马病毒、远程控制的方式窃取数据，向境外电诈集团贩卖。11月9日，拱墅警方在浙江杭州、山东济南等8省7市抓获王某等犯罪嫌疑人11名，扣押涉案电子设备62台，查获公民个人信息150余万条，已查证涉及杭州本地受害企业13家。02某法律服务公司违规查询公民个人信息2023年5月，龙湾群众举报当地某法律服务公司违规查询公民个人信息。龙湾警方立即开展深入侦查，发现以叶某为首的犯罪团伙，以金三角为据点，专事招揽境内律师、私人侦探等类型人员，违法开展人员信息查档服务，严重威胁公民个人信息安全。8月，龙湾警方组织警力分赴福建福州、四川成都等地开展统一收网行动，抓获犯罪嫌疑人8名，现场扣押手机100余部、电脑2台，收缴现金和虚拟币总价值150余万元，查明非法获利达1000余万元。03刘某等人侵犯公民个人信息案2023年3月，网上有人大量购买公民个人身份信息，用于实名注册手机卡后出售。松阳警方深入研判，深挖源头，成功锁定一条侵犯公民个人信息的重大黑灰产业链。同年4月，松阳警方在重庆、湖北黄石、贵州毕节等十省市开展集中收网行动，打掉4个接码团伙、2个雇佣他人实名注册虚商手机卡团伙，摧毁1个“猫池”设备制造工厂，查获“猫池”服务器50台，缴获实名注册虚拟运营商手机卡2万余张。最高检发布助力网络空间综合治理典型案例2月23日，最高检召开“依法惩治网络犯罪

尽管行业公认网安产业增长趋势的基础逻辑未变，该产业负责保护政府、企业的网络和数据不受非法侵害，其重要性日益凸显，但经济与地缘政治交织下的大环境方面的不确定性，以及其他如AI产业井喷发展不断吸引大批资金流入等因素，国内网安产业在投融资方面已经来到了近年来的最低水平。主要发现：2024年第一季度只有11家网络安全企业获得融资，为近年来最低水平；只有少数企业宣布获得近亿元融资，无一起过亿元融资；开发安全/软件供应链安全方面有3家企业获得融资，对应着数字时代下企业对软件开发安全的刚性需求的持续增长；2家工控安全企业获得融资，这一赛道是关键基础设施保护的核心领域，市场保持增长态势；数据安全的重要性日益凸显，特别是在金融监管领域，也导致数据安全赛道投资热度不减；车联网安全是新兴赛道，政策和市场需求推动行业发展。整体融资数量与融资金额均大幅减少据安全419所统计的数据显示，2024年一季度国内共有11家网络安全企业官宣获得了新一轮融资，相比2023年一季度的22起，整体融资数量大幅减少了一半。从过往数据来看，2022年一季度网安产业投融资共有36起，2021年一季度共有24起，可见2024新年伊始，网安产业在吸引投资方面已经来到了近年来的最低水平。从融资金额来看，11家企业当中只有雪诺科技、知其安官宣获得近亿元人民币，无一家企业融资金额超亿元，与2024年一季度的3起超亿元融资规模相比，今年一季度整体的投融资数量减少的同时，网安厂商因估值降低能够拿到的融资金额也在大幅减少。有分析师在评价2023年全年网安产业创业公司在投资交易方面的遇冷表现认为，该领域的投资热度已经回到了多年前的“合适水平”，从2024年一季度最新的数据表现来看，初创企业必须做好面临资金挑战的长期准备。集中于开发安全、工控安全、数据安全从网安细分赛道上看，一季度共有3家开发安全/软件供应链安全厂商获得新一轮融资，这是一条大的网安赛道，也是近年来初创厂商最为集中的网安细分赛道之一。其对应着各行业企业在数字时代下数字化服务需要频繁迭代更新的基本诉求，即安全左移概念对应的应把安全问题解决于软件开发阶段。该市场是一块基础刚需市场，我们也会看到像云起无垠这种利用AI技术来创新赋能的厂商，软件安全问题也会在这些厂商的不断创新之下解决得越来越好。一季度也有2家工控安全厂商获得了新一轮融资，该赛道可以视为国家网络安全的根基，是关键基础设施保护的核心应用领域，特别是在当前国际地缘政治动荡不安的大环境下，以及大范围的工业数字化改造，整个市场也是保持增长态势。但一季度两家工控厂商神州慧安和网藤科技都未具体披露融资金额，这与前几年该行业厂商动辄数亿规模融资相比，也是有着较为明显的投资金额方面的差距。数据安全方面云集至、航天启星均获得了新的战略投资，另外雪诺科技打造的零信任平台的主要应用方向也能够保护企业的数据安全。数字时代数据成为新的生产要素，也进一步地凸显了数据的重要性。最近，我们也看到国家金融监督管理总局发布了一份《银行保险机构数据安全管理办法（征求意见稿）》，未来，国家各级金融机构需将数据安全风险纳入全面风险管理体系当中，数据安全的合规落地诉求也是在不断丰富，这也是数据安全赛道未来的市场空间保障。车联网安全厂商为辰信安在一季度宣布完成B轮融资，该厂商的安全产品和解决方案已实现了200W+的整车量产应用。车联网安全是网安产业的新兴赛道，也可能是未来一个现象级市场，当前政策上要求从生产到销售的各级生态都需要做好网联车的数据安全工作，比如去年年底网信办就要求各级相关企业上报2023年度汽车数据安全管理情况，而这一部分工作都离不开车联网安全厂商的专业支撑。附：2024年Q1我国网络安全行业投融资事件清单（不完全统计）世界经济论坛发布的《2024年全球网络安全展望》报告在强调网络安全的重要性时提出了“网络安全经济”概念，以此来形容过去两年来网络安全与全球经济之间的逻辑关系。报告给出的观点是2022年到2023年，全球网络安全经济的增长均高于全球经济增长。即从全球视角来看，网络安全事件频发，而现状是企业的网络安全投入存在严重的不平衡问题。这种不平衡问题可以从以下数据直接体现。根据工信部最新披露的1-2月份我国软件业务收入数据来看，其中信息安全产品和服务收入达到352亿元，数据上虽有超过10%的增长水平，但不可忽视的其只占到了软件业总体收入的2%。这也是当下一种尴尬供需关系的体现，即企业一侧在科技创新之余，对于安全投入上的占比仍然不高。所以真正能让网安产业增长的不是安全趋势有多严重，不是一年有多少家企业遭受了勒索软件攻击，也不是他们为此支付了多少的安全建设费用，更不是他们因数据泄露遭到了多少罚款，而是真正地要有企业客户愿意为安全买单，也只有全面的安全投入上的提升，才能让网络安全产业健康发展。当然企业自身的创新发展也同样重要。还有一组数据比较有趣，Crunchbase在三月初曾统计了2024年2月份全球风险投资情况，其指出仅在该月就至少有超过五分之一的风险投资（47亿美元规模）流向了人工智能公司。也就是说，投资机构手中并不缺钱，只是他们有着自己的倾向选择。END✦推荐阅读✦粉丝福利群开放啦加安全419好友进群红包/书籍/礼品等不定期派送

北京天地和兴科技有限公司（以下简称“天地和兴”）近日宣布完成E轮融资，共计约8亿元人民币。由北京国管控股下属京国瑞、联通集团下属联通中金、长城集团产业投资平台蜂云资本联合领投，北京信息产业发展投资基金、中关村科学城公司、中核新兴产业基金、网宿科技等跟投，老股东松禾资本继续追投。本轮融资后，天地和兴的股东包括北京市政府产业基金、国电投集团、国家电网、中电科集团、中信科集团、联通集团、中核集团、上汽集团、南钢集团等地方政府产业基金和央国企产业基金；本轮国资占比进一步增加，充分证明了政府和央国企产业资本对工控安全产业发展的高度重视。根据国家信息安全漏洞库CNNVD信息安全漏洞报告数据统计：2023年全年新增漏洞达到历史新高，保持连续增长态势，超高危级漏洞占比持续上升。近年来，工业企业敏感数据泄露、被勒索病毒攻击等安全事件频发，给企业造成了巨大的经济损失和社会声誉损失。随着工业企业数字化转型进程的加快，使得工业系统所面临的安全风险也日益加剧，同时数字化转型过程中AI、量子计算、5G通讯等新技术的应用，也触发了新的攻击手段，为企业数字化转型造成了新的困扰。企业面对复杂严峻的网络安全整体形势，工业网络安全需求也在爆发性增长。天地和兴成立于2007年，是国内专业从事工业网络安全的领军企业、国家级高新技术企业、国家级专精特新“小巨人”企业。公司总部位于北京，在全国31个省级行政区域设立了分公司或办事机构，用户覆盖电力、石油石化、轨道交通、智能制造和钢铁冶金等多个国家关键信息基础设施行业。2022年，天地和兴顺利通过IEC62443国际工业安全标准认证，成为全球首家获得该项国际认证的工业网络安全企业。公司收入和利润规模在工控安全企业中均位居前列，并且人均创收排名业内领先。天地和兴更加注重对工业企业业务安全需求的挖掘，形成了深厚的技术沉淀，同时对工业企业生产业务安全稳定持续提供服务保障。京国瑞管理公司总经理梁望南表示：工控安全市场规模近几年快速增长，产品渗透率提升。天地和兴具备深度行业认知，其工控安全产品有较好的跨行业复制能力，业务安全类新产品符合行业发展趋势。我们作为市属国资基金长期助力首都产业发展，相信天地和兴能继续保持领先地位。北京京国瑞股权投资基金管理有限公司是北京国有资本运营管理有限公司（“北京国管”）控股的私募股权基金管理平台，管理基金规模超过500亿。北京国管是由北京市政府出资设立的以国有资本运营和股权管理为重点，以国有资本证券化和价值最大化为目标的国有资本运营公司。联通中金总经理张保英表示：工业互联网安全建设对我国关键基础设施防护具有重要战略意义，是国家安全保障、

在中国的合作伙伴和用户齐聚一堂，解读网络安全领域趋势和创新技术，抢先获知Check

言当前，数据作为新型生产要素，促进着数字基础设施发展与产业迭代升级，推动着数字经济成为我国经济高质量发展的新引擎，与此同时，有力的数据安全保障和流动监管成为确保数据优势发挥的重要基础底座。

网络安全运营实战大会·北京站，微步在线技术合伙人黄雅芳将为大家带来《供应链、0day、黑产带来的办公网安全挑战》主题分享，深入剖析攻击手法及后果，给出基于办公网安全的创新解法。●

前不久，日本电报电话公司因临时员工盗取公司重要数据并售卖的新闻被曝光，该起事件发生之后因受到上级单位监管处罚，该公司总裁森林正彰也因事件宣布将于3月底引咎辞职，但有一点他们是积极的，那就是宣布接下来将启动一项6000余万美元的网络安全投资计划，以全面加强内外部的网络安全防御和管理。进入数字时代，企业正在产生比以往更多的并极具价值的数据，这些数据有的是企业客户服务的用户隐私数据，有的是企业核心的生产数据，安全的最大推动力合规安全（个人信息保护法、数据安全法）要求，这些数据需要通过丰富的安全实践予以保护，这些保护措施不仅包含外部风险，也需兼顾并不被广泛关注到的内部风险之上。数据的重要性有多高，相应地就需要付出多大的力度予以保护。那么在技术层面如何保护企业敏感数据的内部威胁？带着这一问题，安全419最近走进数据安全初创厂商薮猫科技，与薮猫科技技术总监孙超进行了深入交流，为大家全面了解了他们的数据安全内部威胁的解决之道。解决数据安全内部威胁

从个人计算机的兴起到互联网的普及，再到移动互联和云计算大数据技术推动人类社会进入数字时代，其中AI技术随着信息技术的每一步重大进步，其自身也在不断迭代升级。最近两年，AI技术从机器学习演进到深度学习的大语言模型时代，在数字时代强大算力支持下，推动该技术成为当下最具潜力的前沿热门技术之一。如今，人工智能技术的实践与应用也被认为是全产业释放新质生产力的关键，在网络安全产业，该项技术也被认为是推动创新与发展的核心技术之一。3月20日，国内头部数字安全厂商360集团在京正式发布了360安全大模型3.0版本，从其通用大模型的推出，到垂直安全大模型的持续迭代升级，其在国内大规模的AI安全实战走到了产业前列。安全419受邀参会，以下将带来360安全大模型在重塑安全业务方面的详细观察报道。360安全大模型不断迭代升级3.0版本已提出全新战法在人工智能大模型领域，360于去年3月发布自研认知型通用大模型“360智脑”的1.0版本，短短三个月之后，“360智脑”迅速迭代至4.0版本，并宣布将全面接入“360全家桶”，如浏览器、搜索、安全卫士等360全端产品，实现了全面的智能化重塑。因“360智脑”的细分功能与应用场景覆盖上的全面性，其整体能力水平在多个第三方评测中均位居国产大模型第一梯队。在垂类的安全行业大模型方面，360于去年8月份举办的ISC

世界经济论坛发布的《2024年全球网络安全展望》报告指出，组织全面的技术转型，新兴技术的使用率比以往更广泛更快速，这种对技术的快速吸收，已经超过了社会、监管机构乃至企业自身实施的安全保障能力。过去人们常说一项网络安全标准从起草到决议通过往往需要数年，而攻击只需要数秒钟时间，这强调了组织积极地利用最新技术以填补安全防御能力空缺的重要性。这也正是网络安全产业需要不断创新的核心动力之一，一大批初创安全厂商希望能够在巨头林立的赛道上脱颖而出，创新也是他们的核心竞争力，从而确定自己的市场生存空间。短期观察网安国际市场初创厂商们的赛道选择

《9问CEO》是安全419今年策划的一档全新的节目，每一期会邀请一位知名网络安全企业的CEO与我们对话。每一档节目我们共设置九个问题，以快问快答的形式，不给对方思考的机会，用九个问题还原一家最真实的网络安全企业，增加大家对网络安全圈的了解。欢迎大家关注安全419——9问CEO系列。本期嘉宾：北京云起无垠科技有限公司创始人兼CEO沈凯文；采

3月20日，以“安全即服务进阶

2021年218亿美元、2022年163亿美元、2023年82亿美元，以上为Crunchbase统计的近年来全球网安产业投融资趋势，有分析师给出经典总结认为，该领域的投资已回到了多年前的“合适水平”。但分析师们也明确指出，这并不是说网安产业对于投资机构而言不再具备吸引力，该行业负责保护网络、数据不受非法侵害，网络安全仍然是几乎每家公司和政府最为关心的问题。什么样的企业仍然能够获得投资，通过我们对2024年前两个月国内国际整体投融资事件简单分析来看，其必须满足两大标准，其中作为初创厂商而言，技术的独特性以及产品是否拥有足够的市场空间比较重要。对于成长型企业而言，其标准可能只有一个，那就是阶段性亮眼的业绩。以二月份美国网安厂商Clumio拿到7500万美元D轮融资为例，因为数家关键客户在业务上的支持，这家公司在2023年的年度经常性收入（ARR）增长了4倍。Clumio成立于2017年，其主要业务为向企业客户提供基于SaaS化的数据备份与恢复服务，其A轮和B轮融资在公司成立前两年完成，总计获得5100万美元资金，2019年完成了C轮的1.35亿美元融资。数据安全赛道备受青睐备份与恢复已成业务标配无论是国际还是国内，网络安全市场上的数据安全细分赛道在最近几年一直最受资本青睐。过去三年以来，数据安全赛道一直是融资细分领域的明星赛道，就算以2023年中国网络安全行业投融资事件来看，国内也至少有10家数据安全厂商获得了新的投资，投资企业数量仍然处于领先地位。中国计算机学会（CCF）计算机安全专委会预测2023年网络安全发展趋势时就指出，随着我国数字化转型步伐加速，数据规模持续扩大，金融、医疗、交通等重要市场以及智能汽车、智能家居等新兴领域数据安全投入持续增加，稳定增长的市场需求将吸引越来越多的传统安全企业以及新兴安全企业推出数据安全相关产品和服务。数据的重要性有多高，数据安全的重要性就有多高。此前发布的《“数据要素×”三年行动计划》就指出，随着新一轮科技革命和产业变革深入发展，数据作为关键生产要素的价值日益凸显。我们也会看到，作为数字经济提振行动，该计划就明确将“加强数据安全保障”作为行动的强化保障支撑的一部分。另外数据安全已经连续四年写入政府工作报告当中，2024全国两会政府工作报告就提出，要以高质量发展促进高水平安全，以高水平安全保障高质量发展。其中深入推进数字经济创新发展方面，需要“健全数据基础制度，大力推动数据开发开放和流通使用”，更需要同步“提高网络、数据等安全保障能力”。数据备份与恢复则是数据安全赛道下的一个细枝分类，无论从安全合规角度，还是现实威胁来看，该项安全服务都逐渐成为业务标配，以实现对业务连续性计划，并在不可控风险情况下挽回企业重要数据。在安全合规角度，我国的《网络安全法》就明确将“采取数据分类、重要数据备份和加密等措施”列为数据处理者需要履行的安全保护义务条款之一。对于关键信息基础设施的运营者对应的安全保护义务则为“对重要系统和数据库进行容灾备份”。各级行业性数据安全管理办法则大多进一步规定，数据处理者应加强信息系统数据冗余备份管理，实施数据容灾备份和存储介质安全管理，并定期开展数据恢复测试。在现实威胁方面，当绝大多数企业以业务为优先时，他们慢慢地会发现，如今网络安全问题已经从IT问题变为业务问题。众多的企业因网络攻击造成业务中断案例数不胜数，尤其是金融、制造业，以及IT服务行业，过去几年经常因勒索软件攻击造成业务中断。这也是为什么勒索软件特别小组（RTF）在发布“勒索软件防御蓝图”时将数据恢复列为与风险识别、保护、响应同等重要地位。对于任何行业而言安全永远是个绕不开的话题，作为事后恢复的底层支撑，数据的容灾备份正在被广泛的行业认知为综合安全解决方案的“守关”能力，相较事前、事中的太多不确定性，由该技术把守的事后安全从而建立业务连续性已经不可或缺。数据备份与恢复市场国产品牌崛起技术应用渐有下沉趋势数据备份与恢复源于灾备技术的技术市场化演变，数据备份与恢复更容易让客户理解其准确价值。灾备技术在具体应用下具有三大分支应用，分别是容灾、备份和归档。回首过往，历史级灾难事件让容灾技术迅速下沉，人们认识到该技术应用不应只是数据中心的标配。另外云时代的到来，也加速了灾备技术从金字塔顶尖技术走向了惠民化阶段。当前，无论是容灾还是备份，其技术一直不断演变，在企业业务层、应用层应用上，主要以容灾为主，其是业务连续性的关键保障。而备份技术也在不断地云化演变，主要体现是兼容性和实时性已突飞猛进，从而保障企业数据可以从任何想要的位置快速恢复。如今，专业的数据备份与恢复厂商的自身产品和解决方案越来越丰富，从而覆盖到了各种场景上的容灾、备份，以及数据迁移需求。另外，过去国内的灾备市场一直被国外厂商所占领，市场份额一直占据半数以上。2020年左右则是个重要的分水岭，调研机构的统计显示国内厂商市场份额开始大幅提升，而随着软硬件全面国产化替代进程的加快，如今该领域国内厂商开始更多地掌握话语权。在本土该领域企业方面，主要玩家为华为、爱数、鼎甲科技、航天壹进制、英方软件、数腾软件、云祺科技等。另外一个重要的趋势就是备份与恢复技术也在不断下沉，正在逐渐成为安全厂商的平台类、终端类产品和解决方案的亮点技术。以华为为例，其不仅拥有全场景容灾备份解决方案，其备份与恢复技术也同样应用到各级解决方案和安全产品当中。以华为存储防勒索解决方案为例，就是要解决除了防御网的安全防护外，强调存储层的主动防御能力，以及备份到隔离区的安全能力，起到了综合的防篡改与数据安全恢复能力。另外其整体防勒索软件攻击解决方案同样将备份与恢复视为整体功能的核心能力之一。工控安全厂商威努特推出的主机防勒索产品，同样将备份与恢复作为产品的主要核心功能，产品本身通过监测各种攻击行为，诱捕攻击行为，对系统和数据进行核心防护之余，备份与恢复将作为该安全产品的守关能力，防止在任何意外时都都够能将核心业务系统和数据进行快速恢复。我们也能看到，该产品的基于智能化的备份能力也在不断增强，除了基于熵值备份、加密备份提升备份数据的有效性和安全性，当前进一步提升的备份效率，可以支持无感知的方式快速完成各项备份工作。动态安全技术和Bots自动化攻击防护领域专业厂商瑞数信息的数据安全产品系列中，数据管理系统通过数据副本管理（CDM）技术实现数据的快速备份与恢复数据，数据备份与恢复系统则主要为分布式数据库提供分钟级恢复能力。这家公司最新推出的数据安全检测与应急响应（DDR）系统，则以事前+事中+事后三大方向性技术全面保护企业业务系统免受恶意软件破坏。其中智能损害评估与自动化恢复引擎提供的快速恢复能力，同样将数据备份与恢复能力下沉到了终端安全产品当中。据了解，在2024全国两会期间，北京信息灾备技术产业联盟联合会员单位通过全国人大代表吴兰，于会议期间提交了有关“强化我国数据灾备安全与韧性”的议案，其接受媒体采访时除了阐述进一步发展该产业的重要性外，其还额外建议应提升灾备方案应对勒索病毒的恢复能力。而从以上厂商的动作来看，也正是从这种趋势级威胁出发的提前行动。END✦推荐阅读✦粉丝福利群开放啦加安全419好友进群红包/书籍/礼品等不定期派送

在企业安全建设的早期，主要以等级保护等合规政策驱动，通过部署相关安全设备形成边界安全防护体系。伴随从信息化到数字化建设进程的迈进，一方面，IT架构和业务系统迅速扩展，安全设备层层加码逐渐形成了“防御孤岛”，安全的成本明显上升，而保障的效率却在迅速下降；另一方面，新兴技术的落地应用使得传统网络安全边界消失，并带来新的安全风险，快速地发现威胁、响应和恢复成为安全团队的普遍诉求。因此，面向最终的安全目的，一系列的安全建设更多是作为偏向于技术层面的前奏动作，闭环的安全价值还需要持续的安全运营，作为链接安全工具、安全人员以及安全流程和安全场景的纽带，识别威胁、快速分析、精准响应、协同防御，让安全建设中的能力得以施展并提升。这种统筹资源、一体把控的管理手段，已成为现代安全体系中必不可少的环节。安全运营伴随网络安全需求而持续演进回顾网络安全行业三十多年的发展历程，安全运营的思想及实践一直贯穿其中。早期出现的安全管理系统，通过对网络环境中多点分散的防火墙、VPN等设备进行集中监控和策略下发，协同构建起一个较为完整的边界安全统一防护体系。随着对网络安全认识的不断深入，安全管理体系化的思想渐成主流，出现了以信息系统资产为核心的全面安全监控、分析、响应系统，以SIEM为代表的技术大放异彩，聚合来自本地或云端各单点工具产生的安全日志与数据，进行标准化处理和关联分析，实现了较为全面的事件管理与处理流程，以及风险管理与运维流程。对于用户而言，真正的安全不是简单的设备安全，而是指业务系统安全，顺应上述的统一管理思想，以业务为核心的管理运营体系诞生，通过SOC作为基于人员、流程和技术安全原则的集中协调单位，采集组织中构成业务系统的各种IT资源的安全信息，从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。进入2010年之后，新兴技术迅猛发展，网络应用日新月异，0day漏洞、APT攻击、勒索病毒等新型攻击手段层出不穷，安全团队每日在海量低价值警告以及误报带来的噪音中疲于奔命，安全事件却愈演愈烈却得不到有效缓解。任何基于“规则”、单纯强调“防护”的安全体系亟需主动转变到注重预警、检测、响应的格局，安全能力强调“快速检测和响应能力”的构建。近年来，数字化转型成为新时期的主线任务，数据量级激增，数据资产价值被提升到前所未有的高度，既是威胁和风险的敞口也是安全运营的基础。而从市场层面观察，密集出台的政策对各行业的安全建设及运营进行持续宣贯和落地，国家级攻防演练等行动更是极大地推动了安全运营市场的发展。全面感知威胁、常态化进行风险管理与响应是如今安全运营的重心。一体化思维奠定安全运营体系的地基诚然，如今安全运营在安全厂商和用户侧都是比较受关注的话题，相关的产品工具及解决方案不断推出并积极投入市场，也因此，安全运营的内涵和范围在不断地延展并模糊，被纳入的核心能力越来越丰富，以及应该如何实施、如何评价，并没有形成统一的认知。首先不可否认的是，无论采用什么样的实施方案，运用什么样的技术工具，一体化的安全思维始终一脉相承，这对于安全运营体系的建立、运行和价值发挥都非常重要。安全数据的统一安全运营本质上是数据在安全领域的运营，安全运营体系实际上是构建了一个安全领域的数据应用要素体系，定义出数据以及数据源，依靠工具和专家共同实现基于数据的分析体系。对多源异构的安全数据进行统一采集和标准化处理，将为后续的威胁感知和分析打下优质且易用的良好基础。安全能力的统一单点跨域的安全工具造成了明显的安全瓶颈，运营管理体系及运营流程的引入，正是要打破孤岛，实现对遍布网络、终端、云端的各类安全设备、平台的集中调度和管理，以有逻辑的作业流程打造安全服务的工程化能力，提供覆盖预警、监测、分析、响应一体化、全方位的安全能力。安全管理的统一所谓的一体化、全方位安全能力的实现，需要安全运营融入安全体系架构的各个环节，通过松耦合的机制，实现统一的安全运营管理，形成快速协同体系，提供包括指挥调度、流程管理、能效管理等能力，形成决策科学、指挥响应及时的一体化指挥链条，建立贯穿事前事中事后的全域安全过程管理。围绕识别、检测和响应建立安全运营核心能力在一体化的指导思想之下，我们可以从安全的目标，来探讨面向未来的安全运营应该具备的核心能力。为了让资产得到更加周全的保护，让业务保持稳定运行状态，同时还要关注效率、成本与体验，安全运营旨在从全局上提高对安全威胁的感知、理解和处理能力，同时根据运营反馈结果，自动化且智能化地构建并执行最优决策，持续地改善组织的安全态势。首先在于提升感知识别能力。一方面是识别梳理组织的数据、资产、资源及其运用的状况，掌握潜在的缺陷和弱点，另一方面是能够实时、全面地发现威胁，无死角地感知威胁，并体系化评估点、线、面风险及其影响。在实践上包括资产盘点与管理、暴露面检测、安全监控与检测、攻击面验证等等，并且协同威胁情报等大数据能力，覆盖边端纵深和横向感知，形成全面的感知基础能力建设。其次在于加强检测分析能力。从单一的安全事件、到整体的安全威胁、到全局的安全风险，安全视角不断拔高，跳出规则监测之后，需要着重洞察攻击过程中持续的多个动作与正常用户行为的区别，比如通过XDR平台进行威胁狩猎，不仅仅要分析出攻击，还原完整的攻击链条，更应该溯源挖掘本质原因，强化防御能力，提升对全局性安全风险的判断。再次在于优化决策响应能力。在攻击者对业务系统造成最终损害之前，制止损害或降低损失是安全体系的最终防线，也是及时响应的目标。安全运营需要在对系统以往发生和正在发生的事件进行分析的基础上，对系统未来和当下事件变化规律做出最优判定，结合了安全事件响应、安全编排与自动化、共享威胁情报等能力的SOAR被大量应用，大幅度缩短MTTR，提高决策水平和响应速度。模式创新、AI加码安全运营市场发展势头强劲围绕上述识别、检测和响应的安全闭环进行能力扩展和强化，面向未来的安全运营应该是高效、精准和普惠的，让安全建设可衡量，让安全防护有效果。安全运营成为广受认可的重要发展方向，市场发展势头强劲，根据安全419观察：●

两年前，笔者曾盘点过当时最为活跃的三大勒索团伙近况，并从安全厂商处总结了系统化的应对建议，三大勒索团伙分别为LockBit、Conti、Lapsus$。众所周知，最近一段时间的爆炸性新闻之一就是LockBit已被联合执法，本篇也将从勒索组织的陆续覆灭，并结合网安产业观察及应对角度进行相关总结。Conti因自身数据泄露提前解散Conti是2019年至2022年最为活跃的RaaS勒索软件即服务团伙，该组织一度是当时名气最大和攻击力最强的勒索组织，其特点是不仅攻击商业组织，其还对各国政府机构开展无差别攻击。比如该团伙就曾策划了针对哥斯达黎加政府的勒索攻击，一度让哥政府宣布进入国家紧急状态。Conti勒索团伙为强化勒索手段，其后续逐渐使用双重勒索手段，即通过建立Tor匿名化数据泄露平台，以不支付赎金就泄露被盗数据为威胁，进一步胁迫受害者妥协从而支付赎金。据调查数据表明，Conti自Tor平台建立以来，累计公布了600多名受害者，保守赎金收入高达1.8亿美元。Conti最终被解散是多方面原因，一方面要考虑到国际执法对该勒索组织的持续调查，另外一个重要的原因是自俄乌冲突以来，Conti高调声明了自身的亲俄立场，此举引发了一名乌克兰安全研究人员的不满，随后该名研究人员入侵了Conti的内部服务器，并分批次的泄露了该团伙的内部数据。泄露的数据暴露了Conti的关键信息，包括恶意软件源代码，数万条成员之间的聊天记录，通过这些内容可以让外界进一步捕捉到其细说的攻击手段，以及内部的运作方式。随后，美国政府为Conti团伙开出千万美元高额悬赏，以获取有关Conti勒索软件团伙的进一步信息。几乎与此同时，Conti逐渐关闭了自身的基础设施，并确信其并未重新命名，而是团伙的核心成员解散加入到了较小的勒索软件团伙当中。巨头杀手

安全419最近从媒体披露渠道统计了国内与国际上的网安产业融资事件，据不完全统计2024年二月份共有23家网安公司获得新一轮融资，其中包含国内的2起，以及国际上的21起，汇总以上信息带来以下二月网安产业投融资趋势观察。初创企业批量涌入AI成为网安产业决胜未来关键国内方面，因春节假期原因，整个网安产业投融资事件较少，统计只有两家厂商获得新一轮融资。其中安全运营厂商知其安成立时间较短，近亿元Pre-A轮融资为该体量厂商提供了充裕的资金，结合赛道热度未来发展可期。网藤科技未披露具体融资金额，考虑其所属赛道未来的广泛前景，该笔融资将会对公司未来发展起到关键作用。国际方面融资事件较多，主要仍以网安产业发达地区为主，其中表现出来的主要趋势是网安产业仍然备受外界看好，比如至少9家初创厂商在二月份获得了种子轮资金，他们已从幕后筹备走向前台正式进军网安产业。此外本月也有多家初创厂商拿到了A轮融资，将为未来发展进一步提供连续性。从赛道上看，二月份拿到融资的初创厂商主要遍布于云安全、安全运营、数据安全、漏洞管理、AI安全、安全服务等几大主流赛道，而我们总体上发现的趋势是无论分属哪个赛道，当前创业者都已将AI技术作为安全产品或解决方案的核心技术，这一点与一月份趋势相一致。即基于AI的网安技术创新仍然是吸引投资的法宝。老牌厂商方面，能够吸引投资还得是拿得出手的业绩，获得1.02亿美元E轮融资的Bugcrowd过去一年业务增长了40%，其渗透测试即服务业务更是增长了近100%。获得7500万美元D轮融资的Clumio在去年的年度经常性收入大涨了四倍，这家厂商主要提供数据备份和恢复服务，广泛的勒索软件威胁已让企业客户在这方面的投入成为硬性标准。以下为具体的相关投融资事件：国内：1、知其安官宣完成近亿元Pre-A轮融资2月28日，知其安官宣于近日完成近亿元Pre-A轮融资。本轮融资由红点中国领投，晨晖创投、联想创投参与共同投资，云岫资本担任独家财务顾问。知其安CEO聂君表示，本轮融资主要用于公司夯实研发技术，建立产品护城河，加速市场拓展和优化组织建设。知其安成立于2021年，是一家致力于技术和产品创新驱动的新一代网络安全企业，其愿景是成为一家领先的安全运营公司，让安全验证成为企业标配。2、网藤科技完成新一轮战略融资工业互联网+安全企业北京网藤科技有限公司宣布完成新一轮战略融资。本轮融资由浪潮集团及奥成基金联合投资，见信资本担任财务顾问。网藤科技CEO赵西玉表示，本轮融资的成功将进一步增强公司的资本实力，助力公司在产品研发、市场拓展、团队建设、战略布局等方面实现更大突破。网藤科技成立于2016年，是我国工业互联网+安全领域的杰出代表，其安全产品在电力、石油石化、矿山、制造业等关键领域得到广泛应用。国际：1、众包网络安全公司Bugcrowd获得1.02亿美元E轮融资众包网络安全平台初创公司Bugcrowd宣布获得General

新一轮产业变革机遇期，网络安全成为促进数字经济高质量发展的压舱石，顶层设计不断优化，产业扶持政策密集出台，市场需求加速释放。多份产业调研报告显示，近年来，我国网络安全行业总体保持增长态势。走进行业中的企业和从业者们，我们又能看到生态中更具体的面貌。一方面，受宏观经济影响，行业增速持续走低，映射到每一家企业身上，可能面临着因项目收缩、资金吃紧而导致研发投入难产、人才培养困难等挑战；另一方面，准入门槛提高，行业内卷加剧，无论是综合老厂的转型，或新兴企业的上路，都需要建立创新和差异化的模式以保持自身竞争力。回顾过去一年的奋进与跌宕，努力活下去，成为了行业同仁们共同的心理历程。穿越经济周期，锻造企业韧性，安全从业者们正在用实际行动谱写着新一年的主旋律。时值阳春三月，万物生机勃发，作为行业健康发展的推动者之一，安全419将发挥自身专长，助力网络安全企业向上生长，在此正式启动“2024年度行业品牌扶持计划”，免费为网络安全企业提供一次品牌宣发支持服务。活动范围企业品牌战略发布、产品/解决方案发布、投融资等企业重大事件披露活动时间3月1日-5月31日（按报名时间先后顺序安排宣发支持服务）宣发服务方式*参与企业可根据发布形式与内容，按需选择一种适宜的宣发方式。01

2024）地点：南昌主办单位：江西省计算机学会时间：3月29-31日活动简介：ASENS

作为网络安全行业唯一围绕内容传播为核心的垂直资讯媒体，安全419始终致力于为网络安全行业相关的用户群体及企业提供及时、客观、高质量的新闻资讯及原创内容报道，助力网络安全产业的价值传递和品牌建设。安全419编辑团队长期耕耘在行业一线，持续与业内厂商、安全专家、甲方用户、产融机构等各方角色保持深度沟通与调研，现将近期系列选题计划公布，期待业界各方积极与我们联络交流，共建优质内容，共促行业发展。《关键领域数据安全建设观察》在如火如荼的数字化建设征程中，在统筹发展与安全的顶层规划下，各关键领域以及各地区的主管部门密集出台相关的数据条例与安全标准，有力落实上位法的监管要求，积极探索数字治理的中国方案。我们将以各关键领域为维度，观察其在数字化建设大背景下数据安全的建设现状、监管要求、市场需求、难点及应对，以期为各行业的数据处理者带来一定的启发与有益的参考。欢迎阅读：医疗卫生领域

在观察大模型如何应用到网络安全系列报道的开篇综述里，安全419分析到，凭借大模型优异的上下文语义理解分析能力、代码理解能力和复杂推理能力，可以多维度提升效率与精度，在诸多安全细分领域具备高潜应用场景。本期，我们着重探讨大模型在安全运营场景的应用和发展趋势。安全运营正面临生产力短缺和效率瓶颈安全运营的本质是什么？运营已经完成建设的安全能力的工具、平台与系统，以实现安全风险与事件的发现、分析与响应。风险和事件是相互演化与发展的，当风险得不到控制就演化为事件，当事件得不到响应与处置，就会演化为新的风险。而安全的目标就是要尽可能、尽早地发现并化解风险，遏制事件的负面后果，防止新的风险再次冒头。因此，安全运营本质上是数据在安全领域的运营，安全运营体系实际上是构建了一个安全领域的数据应用要素体系，定义出数据以及数据源，依靠工具和专家共同实现基于数据的分析体系。那么，如今的安全运营体系是否能够有效应对安全风险与事件呢？生产力决定着安全运营的效率和质量，在目前的风险境况和安全能力的对抗下，企业侧生产力短缺的情况比较普遍，主要反映在：安全告警疲劳海量告警难以得到有效应对。新技术加速迭代，攻击者手法层出不穷，已有的攻击行为还没分析研判清楚，设备告警又涌现出来。大量告警无力处理，形成告警疲劳，攻击者趁虚而入，导致安全事件屡屡发生。运营效率瓶颈企业应对安全问题购买大量的安全设备，要依赖于运营体系才能发挥效率，设备堆叠部署，管理愈加繁琐，相应的运维人员也越来越多，成本持续增加，给企业带来很大的成本压力和管理压力。安全专家稀缺解决复杂安全问题，需要高水平的安全专家，然而安全是一个知识、技术和经验门槛颇高的复合领域，专家极其稀缺，亟需的高水平人才难以快速培养。安全大模型助力安全运营朝自动化、智能化进阶囿于以上瓶颈和困境，自动化和智能化就成为安全运营提升效能的方向。基于大模型的重建，将给安全运营体系带来怎样的机遇呢？我们可以从知识语义的增强、任务分析决策、人机交互范式几个方面作出分析。首先是威胁检测和事件响应能力的提升。即利用大模型的上下文语义理解分析能力和复杂推理能力，将人依靠知识和经验能够辨别的威胁，以及传统特征方式不好辨认的威胁识别出来。通过自动分析告警和日志，评估风险，帮助安全团队更快地响应安全事件并优化安全策略。其次是带来安全运营成本的下降。大模型具备的常识和知识体系是其发展出通用智能的关键基础，将安全知识与经验作为语料训练出安全大模型，其本质就是替换了需要运维人员和高级安全专家才能执行的任务，让大模型替代执行重复任务和复杂任务。再者是赋能安全运营体系的便利和效率。即通过将大模型的总结、分析、归纳能力链接到传统安全设备，通过自然语言交互来降低人员参与的门槛，显著降低安全设备的运营难度，并加速日常运营工作的流程，自动检测、修复、报告等大幅提升安全运营的效率。国内面向安全运营领域的大模型应用观察过去一年多，伴随通用大模型崛起，国内外的安全大模型也纷纷落地，并嵌入不同的安全运营产品或体系，施展降本增效的魔力。深信服

言当前，数据作为新型生产要素，促进着数字基础设施发展与产业迭代升级，推动着数字经济成为我国经济高质量发展的新引擎，与此同时，有力的数据安全保障和流动监管成为确保数据优势发挥的重要基础底座。

根据Crunchbase的统计数据显示，2023年网安产业创业公司在投资交易方面总计筹集了82亿美元资金，相比2022年的163亿美元，以及2021年创下的218亿美元高光纪录而言，再次回到了多年前该领域的“合适水平”。但也并不是说网安产业对于投资机构而言不再具备吸引力，该行业负责保护网络、数据不受非法侵害，科技发展日新月异，全球地缘政治冲突不断，网络攻击的频率和复杂性不断升级已成事实，网络安全仍然是几乎每家公司和政府最为关心的问题。安全419最近从媒体披露渠道统计了国内与国际上的网安产业融资事件，据不完全统计2024年一月份共有23家网安公司获得新一轮融资，其中包含国内的8起，以及国际上的15起，通过这些投融资事件我们希望能够观察到一些潜在事实，以便供大家参考借鉴产业相关趋势。国内：数据安全热度持续新星赛道逐渐显现从国内市场来看，融资金额最高的是雪诺科技的近亿元Pre-A轮融资，这家公司从技术上来讲身处零信任赛道领域，实际应用更偏数据安全以及提供整体的安全服务。另外一月份还有共两家数据安全厂商航天启星和云集至获得了新一轮的战略投资。显而易见的是，数字时代数据成为新的生产要素，数据安全赛道热度仍然持续保持。泛联新安是一家基础软件厂商，在安全方面主要提供的是软件安全测试解决方案，我们暂将其归为供应链安全赛道。蜚语科技的核心产品也均为开发安全类产品，其自身同样定位于供应链安全创新解决方案企业。供应链安全问题是个全球性的大问题，开源生态、组件框架，过去一年以来仅从勒索软件攻击利用角度就发生了多起重大相关攻击事件，这一方向始终需要厂商进一步创新解决。车联网安全市场是未来一个现象级的市场，去年十二月份各大车企、经销商以及整个生态机构都在处理一项重要工作，就是要根据相关标准向网信办上报2023年度汽车数据安全管理情况，数据处理最重要的就是安全问题，这必然离不开车联网安全厂商的专业支撑。但目前而言头部厂商多数都是该赛道的参与者，这对创新的专业型厂商而言是个不小的挑战。国际：身份安全最为受宠AI被广泛关注与应用从国际市场来看，身份安全绝对是最热网安赛道，其中ITDR技术厂商Silverfort宣布再次融资，以期独立发展谋求进一步商业上的成功。这家公司2022年4月份获得了6500万美元C轮融资，此次D轮融资更是达到1.16美元。另外两家初创身份安全厂商Oasis、Oleria进入A轮融资，3500万美元和3300万美元规模也都在向外证明身份安全赛道是当下最热网安细分赛道。让人印象深刻的还有NDR厂商ExtraHop再获投资者1亿美元新的投资，该公司宣布在去年达到了2亿美元年度经常性收入，也代表着技术应用拥有绝对的市场潜力。Torq专注于安全自动化领域，实际赛道可归为安全运营，这家公司此前拿到了5000万美元B轮融资，此次因其收入和客户均实现了翻倍增长，再次获得4000万美元延期投资。对于企业用户而言，如何系统化解决软硬件漏洞一直是个老大难问题，Vicarius将整合漏洞发现优先级修复到了一个统一的自动化平台产品当中，因其客户群体的持续扩大，也在新的B轮融资当中拿到了3000万美元融资。Bastille在E轮融资中筹集了4400美元融资，这家公司专注无线设备的漏洞管理工作，应用场景正在增加且风险加剧，其在过去一年中实现了三倍的年度经常性收入增长，这也使得公司进入下一个发展阶段。以上厂商当前还有一个共同的特质，业务上保持高速增长之外，技术上多数厂商都在向AI技术靠拢，即在通过AI赋能，以实现更高的检测效率和响应速度。另外Prompt

漏洞是在硬件、软件、协议的具体实现或操作系统安全策略上存在的缺陷，从而使攻击者能够在未经授权的情况下访问或者破坏系统。发现并进行漏洞利用是获得系统控制权限的重要途径，当传统的系统&应用在数字时代与越来越多的新兴技术产生碰撞之时，漏洞数量也正以不可思议速度逐年增长。安全419此前留意到保险科技初创企业Corvus

回顾2023年，随着汽车行业的智能化、网联化发展进程加速，智能汽车的信息安全问题日益凸显，潜在的安全风险不仅涉及车辆自身的驾驶安全，更关乎用户隐私和数据安全。自动驾驶、车联网等先进技术的应用使汽车成为移动的数据中心，大量敏感信息如车辆状态、驾驶行为、乘客个人信息等在网络中传输，为攻击者提供了攻击敞口。智能软件、人车交互、智能导航、自动驾驶、远程升级，随着汽车变得越来越场景化、智能化，驾驶室的智能场景也正在向Windows/Andriod操作系统靠拢。在物联网技术的发展下，人、车、路、云的一体化趋势日益明显，智能汽车将会成为移动互联网的节点之一。然而，新兴的互联网场景也吸引了更多的黑客关注。面对日益复杂且严峻的信息安全挑战，监管单位对汽车信息安全的关注度将持续升温，国内汽车行业在信息安全标准规范上取得了显著进展。智能网联汽车创新、测试、准入、使用等方面的法律法规、规范、标准不断出台，智能网联汽车产品监管体系逐渐完善，为智能网联汽车的信息安全保障提供了有力的法律和制度保障。越来越多细化的法规标准和指导文件，推动着汽车制造商、零部件供应商和第三方服务商遵循严格的信息安全标准，进行产品设计、开发及运维。安全419对2023年国内的数据泄露事件和国内汽车网络安全领域相关标准和法规进行了梳理盘点，总结回顾我国汽车网络安全形势，供大家参考。2023年汽车信息安全大事件回顾●