今年的315晚會(huì)，宛如“隱私專場(chǎng)”，人臉識(shí)別濫用、簡(jiǎn)歷流入黑市。

整個(gè)三月，或謾罵或不忿或擔(dān)憂。

當(dāng)輿論熱潮消退，隱私問題也暫時(shí)從聚光燈下退場(chǎng)。

隱私等信息安全，卻無時(shí)無刻不在敲打著安全界的神經(jīng)。

如果你手動(dòng)搜索，會(huì)看到全球互聯(lián)網(wǎng)巨頭中，經(jīng)歷過大規(guī)模數(shù)據(jù)泄露事件的不在少數(shù)。

信息泄露，并不只存在于每年的315，也不該只在315受到全民關(guān)注。

內(nèi)憂外患

為何數(shù)據(jù)泄露事件成災(zāi)，網(wǎng)絡(luò)安全防護(hù)難道手無縛雞之力？

回答這個(gè)問題之前，需先弄明白，數(shù)據(jù)安全，不僅存在于人臉、簡(jiǎn)歷等隱私數(shù)據(jù)，還在于視頻監(jiān)控、郵件等等方面。

而當(dāng)下隱私信息安全的處境，并不樂觀。

內(nèi)憂層見疊出。

首先是產(chǎn)品本身安全不足。

據(jù)數(shù)據(jù)顯示，2019年的物聯(lián)網(wǎng)安全事件中，主要可歸為三類：漏洞和弱口令、準(zhǔn)入控制乏力、應(yīng)用監(jiān)管不足。

其中，有一半是漏洞和弱密碼造成的。

漏洞和弱密碼的風(fēng)險(xiǎn)在于極其容易被控制，繼而設(shè)備被利用，造成信息泄露，或引發(fā)DDOS等攻擊。

這也意味著，安防產(chǎn)品自身的可靠性是系統(tǒng)安全的根基。如果自身的安全性得不到保障，只是通過外部來防護(hù)，難以做到完全的安全。

宇視安全&網(wǎng)絡(luò)解決方案總工王連朝告訴AI掘金志，造成產(chǎn)品本身安全不足的原因主要有兩個(gè)。

一是組織管理的不足，在設(shè)計(jì)之初就未考慮安全設(shè)計(jì)，漏洞發(fā)現(xiàn)、修復(fù)和響應(yīng)機(jī)制等等被忽略，由此事后很難修復(fù)。

二是技術(shù)防范手段不足，存在弱口令，預(yù)留后門，或者軟件開發(fā)本身不規(guī)范，缺失認(rèn)證機(jī)制、數(shù)據(jù)明文傳輸?shù)取?

據(jù)部分智能攝像頭企業(yè)的安全監(jiān)測(cè)結(jié)果，不少?gòu)S商產(chǎn)品在軟件設(shè)置上不強(qiáng)制用戶修改初始密碼，甚至可不設(shè)密碼。

其次，內(nèi)部另一風(fēng)險(xiǎn)來自應(yīng)用監(jiān)管不足，視頻被內(nèi)部人員泄露。

早在2016年6月，智聯(lián)招聘的經(jīng)營(yíng)者北京網(wǎng)聘咨詢有限公司就向公安機(jī)關(guān)報(bào)案，稱其內(nèi)部員工利用公司漏洞，以低價(jià)出售了幾十萬條平臺(tái)上的求職者簡(jiǎn)歷。

據(jù)悉，被315點(diǎn)名的萬店掌透露，其平臺(tái)目前擁有的人臉數(shù)據(jù)量已經(jīng)上億。

若內(nèi)部管理不足，這些數(shù)據(jù)，可輕易通過盜取錄像、抓圖導(dǎo)出、截屏、錄屏、外發(fā)等各種方式泄密。

外患層出不窮。

在攻擊手段上，利用偽造網(wǎng)站、虛假郵件等誘騙手法的網(wǎng)絡(luò)釣魚行為愈演愈烈。

“被釣者”的登錄憑據(jù)被竊取后，攻擊者可假其身份發(fā)送郵件進(jìn)行匯款授權(quán)等操作。

2014年至2016年間，“CEO欺詐”這一釣魚式攻擊已影響了12,000家公司，并造成20億美元的損失。

從系統(tǒng)層面看，其整個(gè)流程都面臨著威脅。

感知層的感知設(shè)備有可能被劫持；傳輸層會(huì)受到“私接”網(wǎng)絡(luò)、DDoS等攻擊；

管理層（平臺(tái)服務(wù)層）可能會(huì)遭遇非法入侵，數(shù)據(jù)被竊；應(yīng)用層則可能會(huì)受到黑客對(duì)PC機(jī)或應(yīng)用設(shè)備的攻擊。

著眼各層面防護(hù)和預(yù)警，迫在眉睫。

「零信任」最小權(quán)限原則

傳統(tǒng)的防護(hù)思維，判斷安全與否就看一條分界線。

邊界內(nèi)的一切事物被視為不具有威脅，基本擁有全部的訪問權(quán)限。

隨著云計(jì)算、移動(dòng)互聯(lián)的發(fā)展，傳統(tǒng)邊界正在瓦解，基于邊界的防護(hù)正在失效。

擁有“白名單”權(quán)限的訪問者，恰有可能是最危險(xiǎn)的。

而“零信任”這一概念，正如它的字面意思，以“不相信任何人”為原則。

其關(guān)鍵能力可概括為：以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評(píng)估和動(dòng)態(tài)訪問控制。

不同的訪問者可訪問的資源，取決于自身的權(quán)限級(jí)別。

每一次被授權(quán)前都需重新驗(yàn)證，更靈活地建立了防護(hù)邊界。

騰訊研發(fā)落地的“騰訊ioA”零信任安全管理系統(tǒng)，以身份安全可信、設(shè)備安全可信、應(yīng)用進(jìn)程可信、鏈路保護(hù)等功能，對(duì)終端訪問過程進(jìn)行持續(xù)的權(quán)限控制和安全保護(hù)。

除了騰訊自身，騰訊ioA在金融、醫(yī)療、交通等多個(gè)行業(yè)領(lǐng)域都實(shí)現(xiàn)了應(yīng)用。

內(nèi)網(wǎng)辦公、遠(yuǎn)程辦公、云上辦公等不同場(chǎng)景的風(fēng)險(xiǎn)得到控制，員工實(shí)現(xiàn)了“無論何時(shí)、何地、使用何設(shè)備都可安全訪問授權(quán)資源以處理何種業(yè)務(wù)”的新型辦公方式。

不將雞蛋放在同一個(gè)籃子里，是投資者的降低風(fēng)險(xiǎn)之策；信息安全的防護(hù)，也不可在一次授權(quán)后就高枕無憂。

零信任作為新一代網(wǎng)絡(luò)安全理念，將“有邊”變?yōu)椤盁o邊”，將授權(quán)防護(hù)落實(shí)在每一次動(dòng)態(tài)訪問上，讓“白名單威脅”無縫可鉆。

態(tài)勢(shì)感知：零信任的得力助手

就零信任領(lǐng)域中的持續(xù)信任評(píng)估而言，需要訪問者提供多個(gè)身份驗(yàn)證方法。

這也就是說，在態(tài)勢(shì)感知方面對(duì)訪問進(jìn)行持續(xù)分析，有助于零信任的訪問管理。

在新型IT環(huán)境下，網(wǎng)絡(luò)攻擊的形態(tài)演變不斷。

企業(yè)若是沒有及時(shí)發(fā)現(xiàn)未知威脅，就無法定位攻擊目標(biāo)及源頭，更無法對(duì)入侵途徑和動(dòng)機(jī)進(jìn)行溯源。

目前，實(shí)現(xiàn)對(duì)威脅的準(zhǔn)確檢測(cè)，仍基于安全大數(shù)據(jù)的分析。

奇安信推出的威脅態(tài)勢(shì)感知系統(tǒng)，基于自有的多維度大數(shù)據(jù)，自動(dòng)挖掘與云端關(guān)聯(lián)分析。

利用檢索分析平臺(tái)中的告警日志和流量日志，并與其他數(shù)據(jù)進(jìn)行關(guān)聯(lián)，幫助進(jìn)一步分析。

若是提前洞悉到威脅，系統(tǒng)會(huì)推出威脅情報(bào)，對(duì)其進(jìn)行描述。

同樣，通過態(tài)勢(shì)感知對(duì)攻擊事件、攻擊源和威脅告警進(jìn)行分類統(tǒng)計(jì)和分析，華為云目前能檢測(cè)出超二十大類的云上安全風(fēng)險(xiǎn)。

常見的DDoS攻擊、Web攻擊等威脅也囊括其中。

如今，為實(shí)現(xiàn)安全運(yùn)營(yíng)等閉環(huán)管理，態(tài)勢(shì)感知已達(dá)到一定程度的普及。

化被動(dòng)為主動(dòng)，為零信任架構(gòu)提供了必需的安全保障。

小結(jié)

 為應(yīng)對(duì)信息泄露等危機(jī)，不僅有各企制定出解決方案與預(yù)防手段，政府也在立法層面不斷加強(qiáng)管制。

自2019年實(shí)施起的等保2.0，對(duì)保護(hù)對(duì)象分級(jí)監(jiān)管，并新增了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工控四大安全拓展要求，以及集中管控、入侵防范、惡意代碼防范和安全審計(jì)等網(wǎng)絡(luò)和通信安全類項(xiàng)目。

去年，國(guó)內(nèi)發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》，對(duì)收集個(gè)人生物識(shí)別信息的告知和存儲(chǔ)要求也作出了明確規(guī)定。

但信息安全與威脅將長(zhǎng)期共存，消除眼下的危機(jī)，不代表可一勞永逸。

企業(yè)仍需不斷提升自身防御能力，建立一套持續(xù)監(jiān)測(cè)、持續(xù)改進(jìn)優(yōu)化的機(jī)制，才是可持續(xù)發(fā)展之計(jì)。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。