8月22-23日,2023 DEMO WORLD企业开放式创新大会在长三角G60科创走廊策源地松江隆重举行。本届大会由创业邦主办,松江区经济委员会、松江区投资促进服务中心、国家级上海松江经济技术开发区、松江区泗泾镇人民政府、松江区佘山镇人民政府协办。
大会以“拥抱开放”为主题,邀请200+跨国公司及本土企业创新领袖,聚焦开放式创新,通过演讲分享、报告发布、榜单评选、案例展示、需求对接等多种方式,推动全球创新资源在行业中的流动,加速世界各地的企业在中国成长。
在8月22日下午,数据安全专场,安全狗创始人、CEO 陈奋,泥藕资本创始合伙人、温致科技董事长杜欣,知道创宇技术副总裁 李伟辰,进行了一场名为《AI时代,数据安全的矛与盾》的圆桌对话,对话由上海联创管理合伙人朱一凡主持。其中精彩观点如下:
陈奋:数据安全需要建立在传统网络安全基础之上,若没有打好基础,数据安全问题会很容易出现。杜欣:数据安全就像人体的免疫系统一样,对于科技公司来说是必不可少的防护组成部分。
李伟辰:安全本质上是人与人之间的对抗,双方的行动目标是获取所需信息,阻止对方获取超越权限的信息。
朱一凡:数据的所有权、共享方式以及政府的角色也在动态变化。如何协调这三者的关系,构建一个平衡的框架,在保障信息安全的基础上实现可持续运营,是一个持续演化的过程。
以下为对话内容,由创业邦整理:
朱一凡:数据已被誉为数字经济时代的石油,甚至被列为继劳动力、土地、技术、资本之后的第五大生产要素。数据的流通不仅催生新动能,创造商业价值,还推动资金、人才、技术、物质的流动。然而,数据的流通也带来新风险,特别是数据泄露。这就要求我们有必要进行有效监管。今天,我们有幸邀请了业界的重要人物和投资者,共同就数据安全、监管及合规等话题展开讨论。
01 数据安全 常聊常新
几位嘉宾能不能大家从自己切身的案例或者接触到的行业的信息,给大家选一个例子重点介绍一下最近几年涉及企业安全方面的漏洞,信息泄露之类的,大家可以笼统发散地分享一下,重点介绍一下安全信息方面的问题,以及如何应对?
李伟辰:安全本质上是人与人之间的对抗,双方的行动目标是获取所需信息,阻止对方获取超越权限的信息。对抗中应用的各种手段与技术都可以作用于数据安全保护,如加解密、数据流控制等。
我们是专注于实战的安全公司,我们的客户需要在安全事件发生时找到可以真正挽回损失、防止未来事件的供应商。很多政府、企事业单位业客户都是因为遭遇了安全事件才来找我们。数据安全范畴很大,最终解决问题还是需要传统的安全手段,再结合新技术,比如隐私计算。
杜欣:多年来我们投资了许多项目,数据安全一直是个关键议题。我们的视角可能与前面两位产业专家稍有不同。
在互联网金融盛行的时代,大量基于个人用户数据的分析用于信用评分等,这个行业也出现了诸多问题,很多公司甚至不复存在,归根结底是数据安全和隐私泄露的问题。
回过头来看企业级安全,现在许多安全防护型公司都服务于大型国企、央企、金融机构等有资金的领域。然而,在广泛的业务领域中,一些快速发展的科技公司也面临风险。由于很多公司集中部署在云上,使用各种SaaS和在线工具,疫情时期更是加速了一切的联网。我知道有竞争对手之间使用黑客手段互相攻击的情况也非常普遍。
这包括一些技术上的泄密,也包括内部人员造成的问题。有时候因为劳资纠纷或合伙人间的纷争,导致源代码、重要客户、核心资源、技术秘密等遭到不可逆转的损害。
我希望云安全和数据安全厂商能够考虑为这些快速发展的科技公司提供数据安全防护。甚至我认为他们可以考虑用自己的股权进行交换。虽然这些公司在现金支付方面可能不如国企、央企和军队有能力,但是对于他们来说,出现问题将导致巨大的损失。我认为数据安全就像人体的免疫系统一样,对于科技公司来说是必不可少的防护组成部分。
陈奋:数据安全在过去两年确实受到了高度的关注。前面有专家提到数据是一个全生命周期的动态过程,数据涉及到很多应用系统和存储,因此,数据安全需要建立在传统网络安全基础之上,若没有打好基础,数据安全问题会很容易出现。
比如,去年上海公安数据泄露事件。这个问题的本质在于网络安全和云安全配置的不当,导致外部可以访问数据。这个案例凸显了在数据生命周期中,尤其是存储环节,必须正确设置基础设施的网络安全,否则会导致数据泄露。类似的云上数据泄露案例很多,例如国外的AWS等。我们进行了云安全检查,发现很多用户的身份密钥都没有得到妥善存储,这是基础的网络安全问题,这导致大量数据泄露。
关于最近的案例,是一个云上客户在数据使用过程中出现的安全问题。这个客户是政府部门的大客户,他们的应用开发商是一个备受信任的大型开发商,他们提供了系统和基础设施。然而,项目经理在开发过程中植入了一个漏洞代码,使得实时数据可以传输到外部。这些实时数据具有商业价值,甚至项目经理以几亿的价格卖出了这些数据。这个案例揭示了在数据使用过程中可能出现的问题,而这些问题很难被传统的网络安全手段所识别,因为这些行为在访问过程中看起来是正常的。这就需要新的方法来防范,如零信任技术,全面管控访问过程,以防止内部泄密事件。
朱一凡:接着四位的分享我想谈一下我的感受。我们关注安防领域已经很多年了,我注意到数据和信息安全并不是一个新话题,它早在十年甚至二十年前就已经存在,只是随着应用的发展,安全需求变得更加突出。这也意味着随着应用的不断演进,安全措施也需要不断更新。
举个例子,证券公司内部有不同部门,包括前台、中台、后台等。过去几年中,为了防止交易员滥用内部信息进行不当交易,许多证券公司采取了一系列安全措施,比如在交易员办公区域设置摄像头,特别关注他们在交易时的表情、手势等。虽然这些措施在防止交易员不当交易方面取得了一些效果,但问题是,这些措施无法防止公司后台的IT人员偷窥交易员的交易活动,进而滥用信息进行操纵市场。这个例子展示了随着商业模式的变化,安全需求也需要不断更新,以应对新的风险。
数据安全并不是单一的概念,而是在不同的领域和应用中体现出不同的需求和挑战。以信息安全为例,保密部门的高级领导可能会发现,虽然门卫和保安有查看摄像头的权限,但他们可能会被利用,暴露出领导的行踪等敏感信息。这种情况下,即便没有高超的技术,信息的泄露仍然可能带来严重的风险。
02 AI如何赋能信息安全
接下来,我想请几位企业创始人分享一下,现在各位所处的细分领域,关于信息技术安全方面的趋势,以及最热的人工智能在各位所处的细分领域当中有没有赋能的价?当中可以包括两方面的内容,一方面AI怎么赋能信息安全,另外一方面AI本身是需要大量的数据做反复的演算,做培训和学习,本身持续需要大量的数据做培训,作为创业公司如何保证这些信息来源的安全性、可靠性,以及信息存储的安全性。
李伟辰:在人工智能方面,我们利用大数据分析技术来识别攻击行为。我们的云防御平台每天可以捕获十亿次以上的攻击事件,其中不少是利用的0day漏洞,每年发现的在野0day利用超过上百个,这是通过我们的数据获取及数据分析能力实现的。此外,我们看到运维自动化领域,像SOAR这样的技术需要大量分析网络和安全设备的日志。我们相信,大型语言模型时代将会为日志分析带来积极的影响。
总的来说,我们关注立体纵深的防御,以及威胁情报在安全领域中的广泛应用。我们通过大数据和人工智能技术实现了攻击行为的分类和识别,并有效地应用精准威胁情报提升防御效果。
朱一凡:两个技术名词,除了大模型还有没有其他的?
李伟辰:传统的人工智能算法我们也在使用。
陈奋:在过去几年中,AI技术已经在安全领域得到了引入和应用。然而,关键在于根据不同的场景选择最适合的算法,找到与特定场景最匹配的方法。过去几年,我们已经引入了诸如时序分析、机器学习和神经网络等算法。例如,对于病毒分析,传统的机器学习算法基本足够,而不一定需要运用到当前大型模型的算法。因此,算法的选择与应用场景密切相关。
最近大型语言模型的兴起,网络安全公司也开始探索其在网络安全领域的应用。在某些场景下,大型语言模型的应用是有益的,比如在代码安全性分析中,因为代码本身是非结构化文本数据。同时,安全事件分析中的安全知识也常常是非结构化文本数据,可以用来训练安全助手或安全智能机器人。一些厂商已经在朝这个方向发展。我们还在特定场景中应用AI算法,比如在数据分类和分级时使用AI算法有助于不同行业数据的分类。
我认为选择适合的AI算法是非常重要的,不是所有情况都需要大型语言模型。去年开始研究AI安全可能不是我们的主业,但是我们也关注到一些重要的领域。例如,人脸识别可能被替代,同时我们在探索如何利用AI防止AI算法的漏洞被绕过,这是一个具有一定难度的挑战。我们还在进行AI鉴帧的研究,以判断视频中的人脸是由生成式算法生成还是真实存在的,监管部门也对此非常关注。当一些领导人的视频被替换时,这可能引发政治事件,因此我们也在关注新的AI鉴帧技术的发展。
朱一凡:人脸这个东西毕竟跟其他不一样,银行密码丢了可以重置,人脸的数据一旦丢失的整容也不行,依赖于人脸做安全防控,特别是金融防控,一旦人脸信息丢失了之后怎么解决这个问题,我也一直很感兴趣。
接下来请杜总分享一下未来在整个信息安全领域投资的趋势
杜欣:其实这不算是新话题了,十几二十年前大家都特别关注这个领域,对信息安全的重视应该说是越来越重视,不管是国有的,to G的,包括这种中小企业,创新型企业都会越来越重视,所以我们更多的还是把它看成是一个常规的这种企业级服务的赛道。
同时,真正具有领先技术的企业会有更多机会,比如今天探索很多的隐私计算,包括很多如何在不告诉你具体数据内容,但又能够实现数据交易、数据资产的共享方面发挥特别大的价值。
数据的趋势是未来会在交易端产生特别大的可能性,过去为什么数据交易一直没起来,要么就是灰产,要么变得无法交易。如何做到?其实就是很多的数据安全技术,可以成为交易的基础平台级的应用,我们还蛮期待这个领域能出现一些好的技术,好的公司,好的模式,包括今天是一个特别的日子。
如何去确认企业数据资产?财政部的一系列配套的文件已经出来了,未来从会计师的角度来讲,就可以把很多的数据落实为资产。技术上如何真正的让数据实现可流动、可变现,可能就是下一个阶段非常重要的目标。这个会涌现一个非常庞大的数据交易的市场,围绕它的数据资产的生成、交易、安全、防护,会产生非常多的机会,这属于过去没有未来会有新的东西。
其他领域to B、to G,我们如何防护的更好,攻的更强,这是一个常聊常新的话题,这里面最终杀出来的会是一些商业化能力跟技术能力比较平衡的一些团队。
03 产业与安全 相辅相成
朱一凡:数据交易与安全之间存在着一种辩证关系。早些年,由于数据相对缺乏管控,大量数据外泄催生了中国特有的大数据市场。随着大数据的兴起,安全漏洞也日益显现,从而促使信息安全投资领域的崛起。投资机会、市场风险和市场应用在这个过程中是相辅相成的。
数据与第一产业的种地类似,生产靠农民,管理靠农场主,最终税收由政府收取,构建了稳定的生产模式。然而,不同历史阶段会有不同的历史使命,类似家庭联产承包责任制或国有农场。对数据而言,数据的所有权、共享方式以及政府的角色也在动态变化。如何协调这三者的关系,构建一个平衡的框架,在保障信息安全的基础上实现可持续运营,是一个持续演化的过程。
嘉宾们能否用简洁的话语表达一下这三者之间的关系,以及如何建立平衡,确保信息安全并实现可持续发展?
陈奋:在这三者之间,每个角色都有自己的定位。政府在其中是规则的制定者、监管者、数据的拥有者,同时也是向外提供服务的角色。政府在整个数据安全产业的发展中扮演着至关重要的角色。作为网络安全从业者,我们更多地致力于保护角色,为规则制定者提供数据安全监管、保护和交换交易的手段。数据安全公司在这个过程中也能够承担重要的职责。
杜欣:如何活跃交易,就跟现在的股票市场是一样的。有多层次资本市场,但是缺买方跟卖方,缺资产的供给跟愿意在市场里交易的伙伴,还是希望能够把整个的流程,包括这里面的前置条件变得不要这么复杂。否则的话不利于一个交易双方的市场的形成,所有市场的形成先有交易,让它在一定有可控风险的情况下,出现一些乱象甚至过热的形象,慢慢地规范,从街边的菜市场变成一个比较好的大超市,数据的交易可能这样的一个过程,所以相对而言,其实比我们现在的交易规则,包括这里面的技术规则更重要的可能是我觉得是一个良好的生态的搭建。
李伟辰:我非常同意杜总的观点。实际上,新加坡已经在这方面进行了尝试,建立了金融科技监管沙盒制度,以便观察新事物的发展。数据安全和数据作为资产的概念对社会来说都是新事物,我们还在不断探索中。例如,昨天财政部发布了《企业数据资源相关会计处理暂行规定》,其中关于数据作为存货的问题,我还没搞清楚如何将数据资产结转,因为数据是可复制的。还有许多问题还没有明确答案。希望监管机构能够允许企业和个人先行先试,但是必须进行严格监督,一旦发现问题要及时终止。我们希望能够鼓励大家不断尝试和思考,这将有助于数字经济的繁荣。
