今年的315晚会,宛如“隐私专场”,人脸识别滥用、简历流入黑市。
整个三月,或谩骂或不忿或担忧。
当舆论热潮消退,隐私问题也暂时从聚光灯下退场。
隐私等信息安全,却无时无刻不在敲打着安全界的神经。
如果你手动搜索,会看到全球互联网巨头中,经历过大规模数据泄露事件的不在少数。
信息泄露,并不只存在于每年的315,也不该只在315受到全民关注。
为何数据泄露事件成灾,网络安全防护难道手无缚鸡之力?
回答这个问题之前,需先弄明白,数据安全,不仅存在于人脸、简历等隐私数据,还在于视频监控、邮件等等方面。
而当下隐私信息安全的处境,并不乐观。
内忧层见叠出。
首先是产品本身安全不足。
据数据显示,2019年的物联网安全事件中,主要可归为三类:漏洞和弱口令、准入控制乏力、应用监管不足。
其中,有一半是漏洞和弱密码造成的。
漏洞和弱密码的风险在于极其容易被控制,继而设备被利用,造成信息泄露,或引发DDOS等攻击。
这也意味着,安防产品自身的可靠性是系统安全的根基。如果自身的安全性得不到保障,只是通过外部来防护,难以做到完全的安全。
宇视安全&网络解决方案总工王连朝告诉AI掘金志,造成产品本身安全不足的原因主要有两个。
一是组织管理的不足,在设计之初就未考虑安全设计,漏洞发现、修复和响应机制等等被忽略,由此事后很难修复。
二是技术防范手段不足,存在弱口令,预留后门,或者软件开发本身不规范,缺失认证机制、数据明文传输等。
据部分智能摄像头企业的安全监测结果,不少厂商产品在软件设置上不强制用户修改初始密码,甚至可不设密码。
其次,内部另一风险来自应用监管不足,视频被内部人员泄露。
早在2016年6月,智联招聘的经营者北京网聘咨询有限公司就向公安机关报案,称其内部员工利用公司漏洞,以低价出售了几十万条平台上的求职者简历。
据悉,被315点名的万店掌透露,其平台目前拥有的人脸数据量已经上亿。
若内部管理不足,这些数据,可轻易通过盗取录像、抓图导出、截屏、录屏、外发等各种方式泄密。
外患层出不穷。
在攻击手段上,利用伪造网站、虚假邮件等诱骗手法的网络钓鱼行为愈演愈烈。
“被钓者”的登录凭据被窃取后,攻击者可假其身份发送邮件进行汇款授权等操作。
2014年至2016年间,“CEO欺诈”这一钓鱼式攻击已影响了12,000家公司,并造成20亿美元的损失。
从系统层面看,其整个流程都面临着威胁。
感知层的感知设备有可能被劫持;传输层会受到“私接”网络、DDoS等攻击;
管理层(平台服务层)可能会遭遇非法入侵,数据被窃;应用层则可能会受到黑客对PC机或应用设备的攻击。
着眼各层面防护和预警,迫在眉睫。
传统的防护思维,判断安全与否就看一条分界线。
边界内的一切事物被视为不具有威胁,基本拥有全部的访问权限。
随着云计算、移动互联的发展,传统边界正在瓦解,基于边界的防护正在失效。
拥有“白名单”权限的访问者,恰有可能是最危险的。
而“零信任”这一概念,正如它的字面意思,以“不相信任何人”为原则。
其关键能力可概括为:以身份为基石、业务安全访问、持续信任评估和动态访问控制。
不同的访问者可访问的资源,取决于自身的权限级别。
每一次被授权前都需重新验证,更灵活地建立了防护边界。
腾讯研发落地的“腾讯ioA”零信任安全管理系统,以身份安全可信、设备安全可信、应用进程可信、链路保护等功能,对终端访问过程进行持续的权限控制和安全保护。
除了腾讯自身,腾讯ioA在金融、医疗、交通等多个行业领域都实现了应用。
内网办公、远程办公、云上办公等不同场景的风险得到控制,员工实现了“无论何时、何地、使用何设备都可安全访问授权资源以处理何种业务”的新型办公方式。
不将鸡蛋放在同一个篮子里,是投资者的降低风险之策;信息安全的防护,也不可在一次授权后就高枕无忧。
零信任作为新一代网络安全理念,将“有边”变为“无边”,将授权防护落实在每一次动态访问上,让“白名单威胁”无缝可钻。
就零信任领域中的持续信任评估而言,需要访问者提供多个身份验证方法。
这也就是说,在态势感知方面对访问进行持续分析,有助于零信任的访问管理。
在新型IT环境下,网络攻击的形态演变不断。
企业若是没有及时发现未知威胁,就无法定位攻击目标及源头,更无法对入侵途径和动机进行溯源。
目前,实现对威胁的准确检测,仍基于安全大数据的分析。
奇安信推出的威胁态势感知系统,基于自有的多维度大数据,自动挖掘与云端关联分析。
利用检索分析平台中的告警日志和流量日志,并与其他数据进行关联,帮助进一步分析。
若是提前洞悉到威胁,系统会推出威胁情报,对其进行描述。
同样,通过态势感知对攻击事件、攻击源和威胁告警进行分类统计和分析,华为云目前能检测出超二十大类的云上安全风险。
常见的DDoS攻击、Web攻击等威胁也囊括其中。
如今,为实现安全运营等闭环管理,态势感知已达到一定程度的普及。
化被动为主动,为零信任架构提供了必需的安全保障。
为应对信息泄露等危机,不仅有各企制定出解决方案与预防手段,政府也在立法层面不断加强管制。
自2019年实施起的等保2.0,对保护对象分级监管,并新增了云计算、移动互联、物联网和工控四大安全拓展要求,以及集中管控、入侵防范、恶意代码防范和安全审计等网络和通信安全类项目。
去年,国内发布的《信息安全技术个人信息安全规范》,对收集个人生物识别信息的告知和存储要求也作出了明确规定。
但信息安全与威胁将长期共存,消除眼下的危机,不代表可一劳永逸。
企业仍需不断提升自身防御能力,建立一套持续监测、持续改进优化的机制,才是可持续发展之计。雷锋网雷锋网雷锋网