0
今年的315晚會,宛如“隱私專場”,人臉識別濫用、簡歷流入黑市。
整個三月,或謾罵或不忿或擔憂。
當輿論熱潮消退,隱私問題也暫時從聚光燈下退場。
隱私等信息安全,卻無時無刻不在敲打著安全界的神經(jīng)。
如果你手動搜索,會看到全球互聯(lián)網(wǎng)巨頭中,經(jīng)歷過大規(guī)模數(shù)據(jù)泄露事件的不在少數(shù)。
信息泄露,并不只存在于每年的315,也不該只在315受到全民關(guān)注。
為何數(shù)據(jù)泄露事件成災,網(wǎng)絡(luò)安全防護難道手無縛雞之力?
回答這個問題之前,需先弄明白,數(shù)據(jù)安全,不僅存在于人臉、簡歷等隱私數(shù)據(jù),還在于視頻監(jiān)控、郵件等等方面。
而當下隱私信息安全的處境,并不樂觀。
內(nèi)憂層見疊出。
首先是產(chǎn)品本身安全不足。
據(jù)數(shù)據(jù)顯示,2019年的物聯(lián)網(wǎng)安全事件中,主要可歸為三類:漏洞和弱口令、準入控制乏力、應用監(jiān)管不足。
其中,有一半是漏洞和弱密碼造成的。
漏洞和弱密碼的風險在于極其容易被控制,繼而設(shè)備被利用,造成信息泄露,或引發(fā)DDOS等攻擊。
這也意味著,安防產(chǎn)品自身的可靠性是系統(tǒng)安全的根基。如果自身的安全性得不到保障,只是通過外部來防護,難以做到完全的安全。
宇視安全&網(wǎng)絡(luò)解決方案總工王連朝告訴AI掘金志,造成產(chǎn)品本身安全不足的原因主要有兩個。
一是組織管理的不足,在設(shè)計之初就未考慮安全設(shè)計,漏洞發(fā)現(xiàn)、修復和響應機制等等被忽略,由此事后很難修復。
二是技術(shù)防范手段不足,存在弱口令,預留后門,或者軟件開發(fā)本身不規(guī)范,缺失認證機制、數(shù)據(jù)明文傳輸?shù)取?
據(jù)部分智能攝像頭企業(yè)的安全監(jiān)測結(jié)果,不少廠商產(chǎn)品在軟件設(shè)置上不強制用戶修改初始密碼,甚至可不設(shè)密碼。
其次,內(nèi)部另一風險來自應用監(jiān)管不足,視頻被內(nèi)部人員泄露。
早在2016年6月,智聯(lián)招聘的經(jīng)營者北京網(wǎng)聘咨詢有限公司就向公安機關(guān)報案,稱其內(nèi)部員工利用公司漏洞,以低價出售了幾十萬條平臺上的求職者簡歷。
據(jù)悉,被315點名的萬店掌透露,其平臺目前擁有的人臉數(shù)據(jù)量已經(jīng)上億。
若內(nèi)部管理不足,這些數(shù)據(jù),可輕易通過盜取錄像、抓圖導出、截屏、錄屏、外發(fā)等各種方式泄密。
外患層出不窮。
在攻擊手段上,利用偽造網(wǎng)站、虛假郵件等誘騙手法的網(wǎng)絡(luò)釣魚行為愈演愈烈。
“被釣者”的登錄憑據(jù)被竊取后,攻擊者可假其身份發(fā)送郵件進行匯款授權(quán)等操作。
2014年至2016年間,“CEO欺詐”這一釣魚式攻擊已影響了12,000家公司,并造成20億美元的損失。
從系統(tǒng)層面看,其整個流程都面臨著威脅。
感知層的感知設(shè)備有可能被劫持;傳輸層會受到“私接”網(wǎng)絡(luò)、DDoS等攻擊;
管理層(平臺服務層)可能會遭遇非法入侵,數(shù)據(jù)被竊;應用層則可能會受到黑客對PC機或應用設(shè)備的攻擊。
著眼各層面防護和預警,迫在眉睫。
傳統(tǒng)的防護思維,判斷安全與否就看一條分界線。
邊界內(nèi)的一切事物被視為不具有威脅,基本擁有全部的訪問權(quán)限。
隨著云計算、移動互聯(lián)的發(fā)展,傳統(tǒng)邊界正在瓦解,基于邊界的防護正在失效。
擁有“白名單”權(quán)限的訪問者,恰有可能是最危險的。
而“零信任”這一概念,正如它的字面意思,以“不相信任何人”為原則。
其關(guān)鍵能力可概括為:以身份為基石、業(yè)務安全訪問、持續(xù)信任評估和動態(tài)訪問控制。
不同的訪問者可訪問的資源,取決于自身的權(quán)限級別。
每一次被授權(quán)前都需重新驗證,更靈活地建立了防護邊界。
騰訊研發(fā)落地的“騰訊ioA”零信任安全管理系統(tǒng),以身份安全可信、設(shè)備安全可信、應用進程可信、鏈路保護等功能,對終端訪問過程進行持續(xù)的權(quán)限控制和安全保護。
除了騰訊自身,騰訊ioA在金融、醫(yī)療、交通等多個行業(yè)領(lǐng)域都實現(xiàn)了應用。
內(nèi)網(wǎng)辦公、遠程辦公、云上辦公等不同場景的風險得到控制,員工實現(xiàn)了“無論何時、何地、使用何設(shè)備都可安全訪問授權(quán)資源以處理何種業(yè)務”的新型辦公方式。
不將雞蛋放在同一個籃子里,是投資者的降低風險之策;信息安全的防護,也不可在一次授權(quán)后就高枕無憂。
零信任作為新一代網(wǎng)絡(luò)安全理念,將“有邊”變?yōu)椤盁o邊”,將授權(quán)防護落實在每一次動態(tài)訪問上,讓“白名單威脅”無縫可鉆。
就零信任領(lǐng)域中的持續(xù)信任評估而言,需要訪問者提供多個身份驗證方法。
這也就是說,在態(tài)勢感知方面對訪問進行持續(xù)分析,有助于零信任的訪問管理。
在新型IT環(huán)境下,網(wǎng)絡(luò)攻擊的形態(tài)演變不斷。
企業(yè)若是沒有及時發(fā)現(xiàn)未知威脅,就無法定位攻擊目標及源頭,更無法對入侵途徑和動機進行溯源。
目前,實現(xiàn)對威脅的準確檢測,仍基于安全大數(shù)據(jù)的分析。
奇安信推出的威脅態(tài)勢感知系統(tǒng),基于自有的多維度大數(shù)據(jù),自動挖掘與云端關(guān)聯(lián)分析。
利用檢索分析平臺中的告警日志和流量日志,并與其他數(shù)據(jù)進行關(guān)聯(lián),幫助進一步分析。
若是提前洞悉到威脅,系統(tǒng)會推出威脅情報,對其進行描述。
同樣,通過態(tài)勢感知對攻擊事件、攻擊源和威脅告警進行分類統(tǒng)計和分析,華為云目前能檢測出超二十大類的云上安全風險。
常見的DDoS攻擊、Web攻擊等威脅也囊括其中。
如今,為實現(xiàn)安全運營等閉環(huán)管理,態(tài)勢感知已達到一定程度的普及。
化被動為主動,為零信任架構(gòu)提供了必需的安全保障。
為應對信息泄露等危機,不僅有各企制定出解決方案與預防手段,政府也在立法層面不斷加強管制。
自2019年實施起的等保2.0,對保護對象分級監(jiān)管,并新增了云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工控四大安全拓展要求,以及集中管控、入侵防范、惡意代碼防范和安全審計等網(wǎng)絡(luò)和通信安全類項目。
去年,國內(nèi)發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》,對收集個人生物識別信息的告知和存儲要求也作出了明確規(guī)定。
但信息安全與威脅將長期共存,消除眼下的危機,不代表可一勞永逸。
企業(yè)仍需不斷提升自身防御能力,建立一套持續(xù)監(jiān)測、持續(xù)改進優(yōu)化的機制,才是可持續(xù)發(fā)展之計。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
