爸,我昨天嫖娼被抓了,现在派出所,他们要塞钱才能放我出来,这是那个人的账号****,开户行是**,派出所不让打电话,不然会挨揍,不要告诉我妈。
你可能没有儿子,但你可能收到过这样的信息,对,这样肯定骗不到机智的你,我们来看下一条。
爸,我昨天嫖娼被抓了,现在派出所,贾伯伯虽然在外地,但他帮我找了人,他现在急着飞国外,他们要塞钱才能放我出来,这是那个人的账号****,开户行是**,派出所不让打电话,不然会挨揍,不要告诉我妈,你也知道她有心脏病,一个星期前才住了院。
如果骗子操作细致,通过各路信息渠道知道老王有个儿子在外地上学,他的妻子一个星期前因为心脏病住院,他有个朋友姓贾,电话暂时联系不上。那么,老王有可能上当受骗。
电信诈骗似乎无处不在,徐玉玉遭遇电信诈骗的事件绝对不是孤例。在等车的间隙,吃火锅烫菜的时候,或者网购时,你都可能会收到一条诈骗短信,内容各异,目的相同。
如果要为这些那些精准的电信诈骗、网络诈骗等各类诈骗找一个共同的凶手,想必你绝对不会反对这一个——信息泄露。
阿里巴巴集团安全副总裁杜跃进在2016中国国际大数据大会上干脆下了一个定论——信息泄露来自什么地方?来自今天的大数据环境,不一定是在拥有大量数据的地方,而是到处都在漏数据。
不要以为这是耸人听闻。几天前,雅虎才承认5亿账户遭窃,2亿账户信息暗网黑市叫卖,比雅虎泄露更严重的是,超85万台思科设备仍受“零日漏洞”影响,这意味着攻击者可直接从设备内存中盗取数据。
直观的是,各类电信诈骗、网络诈骗等带来钱财损失,有时甚至是生命的代价,还有一类损失看不见,却感受得到。但是之前,一直有一种声音——被骗是因为你蠢。
作为安全行业的资深从业者,杜跃进要给大家辟个谣:
非常重要的数据的泄露,导致非常精准的诈骗,老百姓没有办法应对这些骗局。大家不要觉得被诈骗的人自己不聪明,我在阿里巴巴客服部门专门听反诈骗的东西,发现对很多人而言,被诈骗之后,最大的打击来自心理,很多高级知识分子被骗后,打击更大。而类似徐玉玉的群体,他们收入很低,打击更大一些。
因此,数据安全迫在眉睫。
但是,一个需要强调的问题又来了,数据安全涉及到两个层面:数据存放系统的安全和流动数据本身的安全。
何谓数据流动的安全?
举个栗子。
老王在某通信运营商办理了一项需要详细身份信息的业务,刚好通信运营商自己在做数据统计和用户分析,这项研究他们和A机构一起开展,不久后他们又将这批数据作为资源和B银行一起合作。不过,B银行也不是单独开展业务,它还有C和D两个合作商……
在运营商及A、B、C、D还有数不清的潜在字母合作者手里,至关重要的数据在流动。有一天,老王接到一个来电,通知办理的某项业务有问题,需要他去外地某个机构实地办理,或者登录某个网址、打某个看似客服电话的电话咨询。在这个极有可能是电信诈骗的案例里,老王纳闷了,哪个环节,哪一家把信息给卖了?
杜跃进充分感受到了这一点。
数据安全是“以数据为中心的安全”,而当今以数据为中心的安全和过去非常不同。现在的数据是融在业务里的,数据在流动的过程中要保证它的安全。可是数据在哪里产生、存储、丢失?都和过去不一样,这涉及到数据是不是能防止被外面窃取,甚至包括自己的业务生态圈——你自己之外的数据流转时,安全能否得到保证?
“采集数据是罪恶之源,数据采集了后应该被遗忘,实际上我不认同这样的观点。”
实际上大数据也是解决安全问题的关键。利用大数据和网络空间的坏人对抗时,速度是特别关键的点,这个“速度”来自快速的大数据分析。我们正在进入数据时代,未来各种业务也都离不开大数据的应用。但是,在这种情况下,当你是一家和数据有关的公司或者部门,你会面临两个问题。
杜跃进对雷锋网强调:
第一个问题,下一个徐玉玉案出现时,你是不是数据泄露的地方,为此你需要担责?
第二个问题,当你想要和别人合作的时候需要数据,有10个竞争者,数据在你的手里比在别人手里更安全吗?
他介绍,电商生态圈有很多独立软件供应商,他们会处理实施交易数据,但是以前这些独立软件供应商的安全问题比较多,大量数据被黑产直接偷走。用户刚下一个订单,详细的数据就出来了,这样就可以诈骗了。
我们跟这样的合作商合作,也很恼火,客户如果受到损失,就会来找我们,客户也会因为这样的事情失去信心,更加不愿意使用各种网络应用,这会让整个行业失去信心。
来看一个让人惊讶的对比数据。
在中国大陆,数据黑产一年的产值在1000亿人民币左右,网络安全产业却只有300亿人民币的规模。
那么,数据是怎么被偷走的?
一种是拖库,一个网站出现了漏洞,攻击者利用漏洞获取网站数据库内保存的各类数据,这些数据可能包括在这个网站注册过的用户的账号、密码、电子邮箱、订单等敏感信息。
还有一种,被拥有数据的公司或者部门员工偷偷贩卖。
你手里不是有新数据吗?随便找一个员工,你给我一点数据,我给你钱,一条十块、五十块怎么样?在有些案例里,一个基层政府部门的员工卖了几千万数据,他可以挣到很多的钱。
杜跃进提了很多问题。
数据在你手里,这种滥用行为你能发现吗?
你的员工不合规使用了权限,比如,他的女朋友找他查一查某个人的数据,他给查了,你能发现吗?
如果你不能发现,你怎么样解决滥用问题?
如果你解决不了滥用问题,你怎么得到信任?怎么防止被贩卖?
就算贩卖被抓住,你连一个线索都找不到,证明不了你的内部贩卖数据。有没有人来审核他在做这个过程当中侵犯到隐私?
杜跃进借此机会,推销了一把“数据安全成熟度模型”,他强调:也不算广告,因为也不拿它卖钱。
既然不“卖钱”,我们来看一下。
据杜跃进介绍,这个模型是基于自身的数据安全实践,借鉴国际上成熟的度量模型,聚焦组织在数据上的安全管理能力,围绕数据从生产、存储、使用、传输、共享到销毁的全生命周期,覆盖组织结构、制度流程、技术能力、人员能力四个能力维度,共计14个安全域,50个安全管理过程。
不过这个模型还有待完善,因为杜跃进说:
我不敢说现在一定可以,因为我们自己也在不断的打磨和完善它,与此同时,我们现在尽量选择和更多的企业和部门合作,让他们尝试这些东西,目的是让这个模型能够适应各种不同类型的企业或部门,看一看管不管用?从而摸索出不仅阿里巴巴能够使用,其他企业或部门也能使用的最佳实践。
杜跃进还对雷锋网宅客频道透露,阿里巴巴推出的这个模型已经在国际标准、国家标准和行业标准立项,正在制订细节的过程中。
威瑞森《2016数据泄露报告》在2015年调查的大量数据泄露事件中表示,人的因素是其中最弱的一环。网络罪犯在依靠诸如网络钓鱼之类熟悉的攻击模式的同时,一直持续利用着人类的本性弱点。在2016年的报告中,公司终端用户的各种小失误,占据了安全事件根源榜首位置。这些多种多样的用户失误包括不恰当的公司信息丢弃、IT系统的错误配置,以及遗失和被盗的笔记本、智能手机等公司资产。
看来,无论是有意的贩卖,还是无意的泄露,保证数据安全,对抗精准诈骗都任重道远。