2
| 本文作者: 李勤 | 2016-09-29 11:37 |
爸,我昨天嫖娼被抓了,現在派出所,他們要塞錢才能放我出來,這是那個人的賬號****,開戶行是**,派出所不讓打電話,不然會挨揍,不要告訴我媽。
你可能沒有兒子,但你可能收到過這樣的信息,對,這樣肯定騙不到機智的你,我們來看下一條。
爸,我昨天嫖娼被抓了,現在派出所,賈伯伯雖然在外地,但他幫我找了人,他現在急著飛國外,他們要塞錢才能放我出來,這是那個人的賬號****,開戶行是**,派出所不讓打電話,不然會挨揍,不要告訴我媽,你也知道她有心臟病,一個星期前才住了院。
如果騙子操作細致,通過各路信息渠道知道老王有個兒子在外地上學,他的妻子一個星期前因為心臟病住院,他有個朋友姓賈,電話暫時聯系不上。那么,老王有可能上當受騙。
電信詐騙似乎無處不在,徐玉玉遭遇電信詐騙的事件絕對不是孤例。在等車的間隙,吃火鍋燙菜的時候,或者網購時,你都可能會收到一條詐騙短信,內容各異,目的相同。
如果要為這些那些精準的電信詐騙、網絡詐騙等各類詐騙找一個共同的兇手,想必你絕對不會反對這一個——信息泄露。
阿里巴巴集團安全副總裁杜躍進在2016中國國際大數據大會上干脆下了一個定論——信息泄露來自什么地方?來自今天的大數據環境,不一定是在擁有大量數據的地方,而是到處都在漏數據。
不要以為這是聳人聽聞。幾天前,雅虎才承認5億賬戶遭竊,2億賬戶信息暗網黑市叫賣,比雅虎泄露更嚴重的是,超85萬臺思科設備仍受“零日漏洞”影響,這意味著攻擊者可直接從設備內存中盜取數據。
直觀的是,各類電信詐騙、網絡詐騙等帶來錢財損失,有時甚至是生命的代價,還有一類損失看不見,卻感受得到。但是之前,一直有一種聲音——被騙是因為你蠢。
作為安全行業的資深從業者,杜躍進要給大家辟個謠:
非常重要的數據的泄露,導致非常精準的詐騙,老百姓沒有辦法應對這些騙局。大家不要覺得被詐騙的人自己不聰明,我在阿里巴巴客服部門專門聽反詐騙的東西,發現對很多人而言,被詐騙之后,最大的打擊來自心理,很多高級知識分子被騙后,打擊更大。而類似徐玉玉的群體,他們收入很低,打擊更大一些。
因此,數據安全迫在眉睫。
但是,一個需要強調的問題又來了,數據安全涉及到兩個層面:數據存放系統的安全和流動數據本身的安全。
何謂數據流動的安全?
舉個栗子。
老王在某通信運營商辦理了一項需要詳細身份信息的業務,剛好通信運營商自己在做數據統計和用戶分析,這項研究他們和A機構一起開展,不久后他們又將這批數據作為資源和B銀行一起合作。不過,B銀行也不是單獨開展業務,它還有C和D兩個合作商……
在運營商及A、B、C、D還有數不清的潛在字母合作者手里,至關重要的數據在流動。有一天,老王接到一個來電,通知辦理的某項業務有問題,需要他去外地某個機構實地辦理,或者登錄某個網址、打某個看似客服電話的電話咨詢。在這個極有可能是電信詐騙的案例里,老王納悶了,哪個環節,哪一家把信息給賣了?
杜躍進充分感受到了這一點。
數據安全是“以數據為中心的安全”,而當今以數據為中心的安全和過去非常不同。現在的數據是融在業務里的,數據在流動的過程中要保證它的安全。可是數據在哪里產生、存儲、丟失?都和過去不一樣,這涉及到數據是不是能防止被外面竊取,甚至包括自己的業務生態圈——你自己之外的數據流轉時,安全能否得到保證?
“采集數據是罪惡之源,數據采集了后應該被遺忘,實際上我不認同這樣的觀點。”
實際上大數據也是解決安全問題的關鍵。利用大數據和網絡空間的壞人對抗時,速度是特別關鍵的點,這個“速度”來自快速的大數據分析。我們正在進入數據時代,未來各種業務也都離不開大數據的應用。但是,在這種情況下,當你是一家和數據有關的公司或者部門,你會面臨兩個問題。
杜躍進對雷鋒網強調:
第一個問題,下一個徐玉玉案出現時,你是不是數據泄露的地方,為此你需要擔責?
第二個問題,當你想要和別人合作的時候需要數據,有10個競爭者,數據在你的手里比在別人手里更安全嗎?
他介紹,電商生態圈有很多獨立軟件供應商,他們會處理實施交易數據,但是以前這些獨立軟件供應商的安全問題比較多,大量數據被黑產直接偷走。用戶剛下一個訂單,詳細的數據就出來了,這樣就可以詐騙了。
我們跟這樣的合作商合作,也很惱火,客戶如果受到損失,就會來找我們,客戶也會因為這樣的事情失去信心,更加不愿意使用各種網絡應用,這會讓整個行業失去信心。
來看一個讓人驚訝的對比數據。
在中國大陸,數據黑產一年的產值在1000億人民幣左右,網絡安全產業卻只有300億人民幣的規模。
那么,數據是怎么被偷走的?
一種是拖庫,一個網站出現了漏洞,攻擊者利用漏洞獲取網站數據庫內保存的各類數據,這些數據可能包括在這個網站注冊過的用戶的賬號、密碼、電子郵箱、訂單等敏感信息。
還有一種,被擁有數據的公司或者部門員工偷偷販賣。
你手里不是有新數據嗎?隨便找一個員工,你給我一點數據,我給你錢,一條十塊、五十塊怎么樣?在有些案例里,一個基層政府部門的員工賣了幾千萬數據,他可以掙到很多的錢。
杜躍進提了很多問題。
數據在你手里,這種濫用行為你能發現嗎?
你的員工不合規使用了權限,比如,他的女朋友找他查一查某個人的數據,他給查了,你能發現嗎?
如果你不能發現,你怎么樣解決濫用問題?
如果你解決不了濫用問題,你怎么得到信任?怎么防止被販賣?
就算販賣被抓住,你連一個線索都找不到,證明不了你的內部販賣數據。有沒有人來審核他在做這個過程當中侵犯到隱私?
杜躍進借此機會,推銷了一把“數據安全成熟度模型”,他強調:也不算廣告,因為也不拿它賣錢。
既然不“賣錢”,我們來看一下。
據杜躍進介紹,這個模型是基于自身的數據安全實踐,借鑒國際上成熟的度量模型,聚焦組織在數據上的安全管理能力,圍繞數據從生產、存儲、使用、傳輸、共享到銷毀的全生命周期,覆蓋組織結構、制度流程、技術能力、人員能力四個能力維度,共計14個安全域,50個安全管理過程。
不過這個模型還有待完善,因為杜躍進說:
我不敢說現在一定可以,因為我們自己也在不斷的打磨和完善它,與此同時,我們現在盡量選擇和更多的企業和部門合作,讓他們嘗試這些東西,目的是讓這個模型能夠適應各種不同類型的企業或部門,看一看管不管用?從而摸索出不僅阿里巴巴能夠使用,其他企業或部門也能使用的最佳實踐。
杜躍進還對雷鋒網宅客頻道透露,阿里巴巴推出的這個模型已經在國際標準、國家標準和行業標準立項,正在制訂細節的過程中。
威瑞森《2016數據泄露報告》在2015年調查的大量數據泄露事件中表示,人的因素是其中最弱的一環。網絡罪犯在依靠諸如網絡釣魚之類熟悉的攻擊模式的同時,一直持續利用著人類的本性弱點。在2016年的報告中,公司終端用戶的各種小失誤,占據了安全事件根源榜首位置。這些多種多樣的用戶失誤包括不恰當的公司信息丟棄、IT系統的錯誤配置,以及遺失和被盜的筆記本、智能手機等公司資產。
看來,無論是有意的販賣,還是無意的泄露,保證數據安全,對抗精準詐騙都任重道遠。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
