今年的315晚會,宛如“隱私專場”,人臉識別濫用、簡歷流入黑市。
整個三月,或謾罵或不忿或擔憂。
當輿論熱潮消退,隱私問題也暫時從聚光燈下退場。
隱私等資訊保安,卻無時無刻不在敲打著安全界的神經。
如果你手動搜尋,會看到全球網際網路巨頭中,經歷過大規模資料洩露事件的不在少數。
資訊洩露,並不只存在於每年的315,也不該只在315受到全民關注。
內憂外患
為何資料洩露事件成災,網路安全防護難道手無縛雞之力?
回答這個問題之前,需先弄明白,資料安全,不僅存在於人臉、簡歷等隱私資料,還在於影片監控、郵件等等方面。
而當下隱私資訊保安的處境,並不樂觀。
內憂層見疊出。
首先是產品本身安全不足。
據資料顯示,2019年的物聯網安全事件中,主要可歸為三類:漏洞和弱口令、准入控制乏力、應用監管不足。
其中,有一半是漏洞和弱密碼造成的。
漏洞和弱密碼的風險在於極其容易被控制,繼而裝置被利用,造成資訊洩露,或引發DDOS等攻擊。
這也意味著,安防產品自身的可靠性是系統安全的根基。如果自身的安全性得不到保障,只是透過外部來防護,難以做到完全的安全。
宇視安全&網路解決方案總工王連朝告訴AI掘金志,造成產品本身安全不足的原因主要有兩個。
一是組織管理的不足,在設計之初就未考慮安全設計,漏洞發現、修復和響應機制等等被忽略,由此事後很難修復。
二是技術防範手段不足,存在弱口令,預留後門,或者軟體開發本身不規範,缺失認證機制、資料明文傳輸等。
據部分智慧攝像頭企業的安全監測結果,不少廠商產品在軟體設定上不強制使用者修改初始密碼,甚至可不設密碼。
其次,內部另一風險來自應用監管不足,影片被內部人員洩露。
早在2016年6月,智聯招聘的經營者北京網聘諮詢有限公司就向公安機關報案,稱其內部員工利用公司漏洞,以低價出售了幾十萬條平臺上的求職者簡歷。
據悉,被315點名的萬店掌透露,其平臺目前擁有的人臉資料量已經上億。
若內部管理不足,這些資料,可輕易透過盜取錄影、抓圖匯出、截圖、錄屏、外發等各種方式洩密。
外患層出不窮。
在攻擊手段上,利用偽造網站、虛假郵件等誘騙手法的網路釣魚行為愈演愈烈。
“被釣者”的登入憑據被竊取後,攻擊者可假其身份傳送郵件進行匯款授權等操作。
2014年至2016年間,“CEO欺詐”這一釣魚式攻擊已影響了12,000家公司,並造成20億美元的損失。
從系統層面看,其整個流程都面臨著威脅。
感知層的感知裝置有可能被劫持;傳輸層會受到“私接”網路、DDoS等攻擊;
管理層(平臺服務層)可能會遭遇非法入侵,資料被竊;應用層則可能會受到駭客對PC機或應用裝置的攻擊。
著眼各層面防護和預警,迫在眉睫。
「零信任」最小許可權原則
傳統的防護思維,判斷安全與否就看一條分界線。
邊界內的一切事物被視為不具有威脅,基本擁有全部的訪問許可權。
隨著雲計算、移動互聯的發展,傳統邊界正在瓦解,基於邊界的防護正在失效。
擁有“白名單”許可權的訪問者,恰有可能是最危險的。
而“零信任”這一概念,正如它的字面意思,以“不相信任何人”為原則。
其關鍵能力可概括為:以身份為基石、業務安全訪問、持續信任評估和動態訪問控制。
不同的訪問者可訪問的資源,取決於自身的許可權級別。
每一次被授權前都需重新驗證,更靈活地建立了防護邊界。
騰訊研發落地的“騰訊ioA”零信任安全管理系統,以身份安全可信、裝置安全可信、應用程序可信、鏈路保護等功能,對終端訪問過程進行持續的許可權控制和安全保護。
除了騰訊自身,騰訊ioA在金融、醫療、交通等多個行業領域都實現了應用。
內網辦公、遠端辦公、雲上辦公等不同場景的風險得到控制,員工實現了“無論何時、何地、使用何裝置都可安全訪問授權資源以處理何種業務”的新型辦公方式。
不將雞蛋放在同一個籃子裡,是投資者的降低風險之策;資訊保安的防護,也不可在一次授權後就高枕無憂。
零信任作為新一代網路安全理念,將“有邊”變為“無邊”,將授權防護落實在每一次動態訪問上,讓“白名單威脅”無縫可鑽。
態勢感知:零信任的得力助手
就零信任領域中的持續信任評估而言,需要訪問者提供多個身份驗證方法。
這也就是說,在態勢感知方面對訪問進行持續分析,有助於零信任的訪問管理。
在新型IT環境下,網路攻擊的形態演變不斷。
企業若是沒有及時發現未知威脅,就無法定位攻擊目標及源頭,更無法對入侵途徑和動機進行溯源。
目前,實現對威脅的準確檢測,仍基於安全大資料的分析。
奇安信推出的威脅態勢感知系統,基於自有的多維度大資料,自動挖掘與雲端關聯分析。
利用檢索分析平臺中的告警日誌和流量日誌,並與其他資料進行關聯,幫助進一步分析。
若是提前洞悉到威脅,系統會推出威脅情報,對其進行描述。
同樣,透過態勢感知對攻擊事件、攻擊源和威脅告警進行分類統計和分析,華為雲目前能檢測出超二十大類的雲上安全風險。
常見的DDoS攻擊、Web攻擊等威脅也囊括其中。
如今,為實現安全運營等閉環管理,態勢感知已達到一定程度的普及。
化被動為主動,為零信任架構提供了必需的安全保障。
小結
為應對資訊洩露等危機,不僅有各企制定出解決方案與預防手段,政府也在立法層面不斷加強管制。
自2019年實施起的等保2。0,對保護物件分級監管,並新增了雲計算、移動互聯、物聯網和工控四大安全拓展要求,以及集中管控、入侵防範、惡意程式碼防範和安全審計等網路和通訊安全類專案。
去年,國內釋出的《資訊保安技術個人資訊保安規範》,對收集個人生物識別資訊的告知和儲存要求也作出了明確規定。
但資訊保安與威脅將長期共存,消除眼下的危機,不代表可一勞永逸。
企業仍需不斷提升自身防禦能力,建立一套持續監測、持續改進最佳化的機制,才是可持續發展之計。雷鋒網雷鋒網雷鋒網