【动画】带你了解，何为网络安全“攻击面管理”******

　　【2022年国家网络宣传周系列科普】

　　近年来，新兴技术迅速发展带动了网络资产边界快速拓展，也增加了企业资产暴露面，而基于供应链的新型攻击则大大降低了攻击成本。在多重因素的驱动下，网络安全防御策略也在与时俱进，攻击面管理也开始被行业所关注。让我们一起了解一下攻击面管理的小知识吧。

　　什么是攻击面？

　　近日发布的《中国攻击面管理市场研究报告》（以下简称研究报告）指出，攻击面是指未经授权即能访问和利用企业数字资产的所有潜在入口的总和。

　　其中，包括未经授权的可访问的硬件、软件、云资产和数据资产等，同样也包括人员管理、技术管理、业务流程存在的安全弱点和缺陷等，即存在可能会被攻击者利用并造成损失的潜在风险。

　　但不是所有资产暴露面都可以成为攻击面，只有可利用暴露面叠加攻击向量才形成了攻击面。

　　什么是攻击面管理？

　　攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。

　　主要包含外部攻击面管理（EASM）、网络资产攻击面管理（CAASM）、数字风险保护服务（DRPS）等内容。

　　什么是攻击面管理框架体系？

　　攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景。基础技术为支撑攻击面管理的技术能力集合，多种技术组合形成攻击面管理的能力体系，根据不同的业务场景需求采用不同的能力组合，形成不同的应用场景下的攻击面管理解决方案，为用户提供有针对性的攻击面闭环管理能力。

　　什么是攻击面管理成熟度模型？

　　研究报告中还提到了建立攻击面管理的成熟度模型，主要是工具阶段的被动防御、平台阶段的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级；提出了暴露面获取、脆弱点发现、攻击面挖掘、情报获取能力等攻击面管理要具备的12个能力域，从检测发现、分析研判、情报预警、响应运营的闭环管控过程分解了响应的29个能力子项，从子能力的具备和完善情况来评价攻击面管理的有效性。

　　发展前景怎么看？

　　目前，国内外厂商如华云安、360政企安全、Mandiant、CyCoginito、等一大批传统网络安全团队，正在进入攻击面管理创新领域。未来攻击面管理将从传统场景扩展到新兴技术场景，并提供跨领域、跨技术平台的数字资产及其攻击面管理能力，更关注企业内部业务风险和第三方风险的管理，为用户提供统一的攻击面管理入口，并提供一致的安全运营体验。

　　光明网、华云安 联合出品

　　监制：张宁、李政葳策划：孔繁鑫制作/配音：雷渺鑫

ChatGPT搞钱行不行******

　　一系列的试探之后，AI聊天机器人ChatGPT的收费计划浮出水面。当地时间2月1日，人工智能实验室Open AI在其官网宣布将推出“ChatGPT Plus”付费订阅版本，每月收取20美元。免费了两个月，月活用户却达1亿的ChatGPT，终于踏上了自己的“赚钱路”，由此，AIGC商业化落地的探讨也陡然升温。不少人迫切地想知道，ChatGPT Plus会不会是AIGC从烧钱到赚钱的关键转折。

　　免费服务仍将继续

　　“新晋顶流”ChatGPT用收费计划再次搅动了AI圈的一池春水。根据Open AI的公告，订阅ChatGPT Plus服务的用户，即使在高峰时段，也可获得该聊天机器人更快速的回应，而且可以提前体验新功能和改进。

　　去年11月，ChatGPT横空出世，不仅能够通过学习和理解人类的语言与用户进行对话，还能根据上下文互动，甚至能够完成撰写文案、翻译等工作。得益于这种突破性的使用体验，ChatGPT迅速蹿红。

　　当地时间2月1日，瑞银发布研究报告称，截至今年1月，近期爆火的ChatGPT在推出仅两个月后，其月活跃用户估计已达1亿，成为历史上用户增长最快的消费应用。同样的成绩，海外版抖音TikTok在全球发布后，花了大约9个月的时间，Instagram则花了两年半的时间。

　　但大量用户涌入的同时，也导致ChatGPT经常在流量压力之下无法提供及时的回应，此次收费版的ChatGPT Plus针对的便是这一痛点。

　　据悉，付费计划将在未来几周内首先在美国推出，然后扩展到其他国家。但ChatGPT Plus的推出并不意味着取代免费版的ChatGPT，Open AI表示，将继续为ChatGPT提供免费访问。

　　烧不起的模型成本

　　尽管只推出了两个月，但Open AI对于ChatGPT的收费计划却已经暗示了有一阵子。早在1月初，Open AI就曾提出过专业版ChatGPT的计划，宣布“开始考虑如何使ChatGPT货币化”，并公布了一项调查。什么价格以上会无法接受？什么价格以下会觉得太便宜？诸如此类关于定价的问题皆在其中。

　　有用户曾在社交媒体上提问ChatGPT是否会永久免费，对此，Open AI首席执行官Sam Altman回应称：“我们将不得不在某个时间点，以某种方式将其商业化，因为运算成本令人瞠目结舌。”Sam Altman曾透露，ChatGPT平均每次的聊天成本为“个位数美分”。

　　“这类大模型训练成本非常高。”在接受北京商报记者采访时，瑞莱智慧高级产品经理张旭东表示。

　　但相对训练来说，模型推理，也就是用户提交输入模型输出结果的过程，这一成本会更高。“据说ChatGPT在开放测试阶段每天要花掉200万美元的服务器费用，所以前段时间免费的公测也停止了，如何降低模型推理的消耗也是目前的一个重要研究问题。”张旭东称。

　　“钱景”在哪

　　长久以来，广阔的市场前景和难以盈利的现状几乎成为了AI领域难以平衡的理想和现实，对ChatGPT或者说是以ChatGPT为代表的AIGC也是一样。

　　洛克资本副总裁史松坡对北京商报记者分析称，ChatGPT受到广泛认可的重要原因是引入新技术RLHF，即基于人类反馈的强化学习。在史松坡看来，ChatGPT是一个高效的信息整合助手，可以取代大量人类中初级助理的角色。

　　但他同时提到，目前ChatGPT在海外英文环境中已经能胜任图画创作、音乐创作、文字整理、信息搜集综合、基础编程和金融分析，但还不能胜任高频度的人类主观决策，比如大型投资决策、政治战略决策等。

　　天使投资人、知名互联网专家郭涛认为，ChatGPT在重塑众多行业或场景的同时也孕育着巨大的商机，将推动众多行业快速变革，有望在AIGC、传媒、娱乐、教育、客户服务、医疗健康、元宇宙等领域快速落地，具有万亿级市场规模。

　　张旭东认为，AIGC商业化落地还需要结合应用场景，目前基于生成式大模型的商业应用案例还比较少，就以当下的技术水平看，一两年内达到很好的AGI(通用人工智能)水平还是不太现实的，所以一定需要有垂直领域的创新公司来基于OpenAI等公司的工作来寻找合适的场景落地。

　　AIGC商业化，侵权与被侵权

　　AIGC要想商业化，场景只是其一。伴随着ChatGPT的爆火，争议始终并行，比如AI绘画面临的版权探讨。学术界也已针对ChatGPT做出了反应，权威学术出版机构Nature规定，ChatGPT等大模型不能被列为作者。纽约市教育部门曾表示，纽约公立学校的所有设备和网络上将禁止使用ChatGPT。

　　张旭东认为，目前AIGC最为成熟的应用在内容作品创作上，但从专业角度看，AIGC属于模仿创新，并不具备真正的创造力，AIGC的作品可能对一些艺术家、创作家的风格题材造成侵权；另一方面，AIGC作品也存在被他人侵权的风险。

　　此外，就安全性问题而言，AIGC这种深度生成能力很可能被滥用于伪造虚假信息，比如生成一些敏感性的有害信息，甚至伪造新闻信息恶意引导社会舆论，而且这些生成式内容难以分辨追踪，大幅增加对信息治理的挑战难度。信息获取也是AIGC需要解决的问题之一。

　　郭涛则提到，当前AIGC赛道尚处于孕育探索阶段，存在关键核心技术不成熟、免费素材资源较少、内容堆砌且质量参差不齐、成熟的商业应用场景较少、相关法律法规不健全及技术伦理挑战等突出问题，短期内还难以实现大规模商业化应用。

　　北京商报记者 杨月涵