近年來,個人信息被泄漏、隱私安全遭威脅、“數(shù)據(jù)黑市”已經(jīng)成為越來越猖獗的存在。從身份證、郵箱到銀行卡信息等,每個人都不得不承認自己的個人信息數(shù)據(jù)正在以并不昂貴的價格反復(fù)倒賣。隨著各類泄露事件的不斷曝光,大眾開始擔(dān)憂起來:在各種數(shù)據(jù)泛濫的時代,互聯(lián)網(wǎng)還有安全可言嗎?
現(xiàn)實很殘酷,網(wǎng)絡(luò)安全形勢并不美好
網(wǎng)絡(luò)上的個人信息并不能得到安全的保障,很大一部分原因,在于個人不良的上網(wǎng)習(xí)慣。在不同網(wǎng)站使用同名賬戶和密碼,隨意在平臺上填寫個人信息,都會給不法分子創(chuàng)造竊取信息的機會。
比如,近期國內(nèi)發(fā)生了多起用戶蘋果ID賬號被盜、鎖定、以及遠程抹掉并遭遇鎖機以此來惡意敲詐的情況,而被盜的用戶多數(shù)使用的是QQ郵箱。事實上,蘋果ID被盜,首先是因為注冊用的QQ郵箱被盜。不法分子通過釣魚等手段盜取QQ郵箱密碼仿冒合法用戶,之后才能將蘋果ID鎖定,并進行一系列勒索敲詐等犯罪活動。
而這種程度的個人信息泄露只不過是漏洞黑市的冰山一角。危害更大的狀況,則是公司數(shù)據(jù)庫被黑導(dǎo)致的信息外泄。 2016年一月,凱悅連鎖酒店超過50% 遭安全入侵;四月土耳其出現(xiàn)重大數(shù)據(jù)泄露事件,5000w公民信息被泄露;5月俄國黑客盜取2.73億郵箱信息以1美元價錢販賣;9月,雅虎被曝出隱瞞了5億賬戶信息被竊事件……,2016年還沒到頭,大規(guī)模信息泄露事件便已不一而足。
眼觀國內(nèi),網(wǎng)絡(luò)安全事故發(fā)生的頻率也在不斷上升。比如今年3月,開源的加密工具OpenSSL被爆出新的安全漏洞“水牢”,允許黑客攻擊網(wǎng)站,并讀取密碼、信用卡賬號等加密信息,我國有十萬余家網(wǎng)站受到影響。
而除了信息泄露,其他種類的安全事故也并不少見。今年5月,攜程網(wǎng)由于員工錯誤操作導(dǎo)致長達十幾個小時的宕機,大量用戶無法訪問網(wǎng)站的事件。剛剛過去的9月份,阿里云安全產(chǎn)品云盾“安騎士”升級觸發(fā)bug,將所有新啟動的可執(zhí)行文件都當(dāng)成惡意文件進行隔離,也造成了較大范圍的影響。
由此可見,在互聯(lián)網(wǎng)安全領(lǐng)域,即使大企業(yè)也不一定做得有多好。究其根源,網(wǎng)絡(luò)安全并不是一個簡單的漏洞問題,系統(tǒng)的網(wǎng)絡(luò)安全問題,往往是背后綜合性原因?qū)е碌摹?/p>
互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全狀況堪憂,背后隱藏多重原因
近兩年,互聯(lián)網(wǎng)創(chuàng)業(yè)極端狂熱,不少公司都將精力花在能夠直接帶來公司業(yè)務(wù)增長的層面,長期忽視底層技術(shù)的加固。同時,網(wǎng)絡(luò)安全領(lǐng)域的尖端人才高度缺乏,各方面因素導(dǎo)致企業(yè)增長速度和技術(shù)投入程度完全不成正比?;ヂ?lián)網(wǎng)安全問題時有發(fā)生,可以歸結(jié)出一些共因:
1.安全意識問題。如上文所說,目前國內(nèi)不少互聯(lián)網(wǎng)運營公司缺乏網(wǎng)絡(luò)安全意識,不重視對用戶信息的安全保護。這也造成了整個公司員工的安全意識缺失,比如密碼強度,離開電腦及時鎖屏等習(xí)慣,和被釣魚社工等。
2.軟件開發(fā)人員的視覺盲區(qū)。在過去,對開發(fā)工程師的要求僅僅停留在代碼質(zhì)量的層面,開發(fā)人員對信息安全的理解其實是比較淺薄的。在開發(fā)過程中,很可能因為沒有考慮到位或者引用了存在問題的開源項目,導(dǎo)致代碼有先天性漏洞。
3.系統(tǒng)運維人員和測試等技術(shù)盲區(qū)。無法第一時間發(fā)現(xiàn)被攻擊,不能及時發(fā)現(xiàn)漏洞,修補漏洞,造成后天性漏洞。
4.黑產(chǎn)、同行攻擊、敲詐勒索現(xiàn)象嚴重,會消耗公司的技術(shù)資源和增加技術(shù)成本,導(dǎo)致有些公司對其運營的互聯(lián)網(wǎng)服務(wù)平臺沒有能力或不愿意投入巨額來部署高級的風(fēng)險控制或主動防御體系。
互聯(lián)網(wǎng)的特征之一即為開放,過去從來沒有像今天這樣,不同的行業(yè)在互聯(lián)網(wǎng)的框架下緊密關(guān)聯(lián)。加上現(xiàn)代科技的日新月異,各種形式的攻擊層出不窮,想要杜絕安全問題是過于理想化了,任何一個系統(tǒng)都存在百密一疏的風(fēng)險。比如這次的蘋果賬號被鎖事件,雖然是發(fā)生在用戶身上的個人事件,但蘋果公司在用戶ID發(fā)生被盜之后并沒能及時預(yù)警,在很大程度上就是被自己開發(fā)的“遠程鎖定”功能坑了。
安全事件防不勝防,在互聯(lián)網(wǎng)世界欣欣向榮的背后,網(wǎng)絡(luò)安全狀況比大多數(shù)人想得都要糟糕?;ヂ?lián)網(wǎng)領(lǐng)域的所有參與者都面臨著不安全的風(fēng)險,企業(yè)能做的只能是用高度的預(yù)警意識來對抗這種不安全性,而這種防范又必須是動態(tài)的、持續(xù)的。
互聯(lián)網(wǎng)企業(yè)安全需求增長,安全行業(yè)往縱深方向發(fā)展
正是由于互聯(lián)網(wǎng)安全的不確定性以及網(wǎng)絡(luò)安全問題頻發(fā)等原因,當(dāng)下很多企業(yè)開始有了整體的網(wǎng)絡(luò)安全意識,將網(wǎng)絡(luò)安全提升到戰(zhàn)略性的位置進行考量。
有需求就有市場。面對越來越多企業(yè)安全需求跟不上業(yè)務(wù)發(fā)展的現(xiàn)狀,第三方安全行業(yè)開始呈現(xiàn)出新業(yè)態(tài)。過去合規(guī)需求導(dǎo)向的產(chǎn)品已經(jīng)跟不上節(jié)奏,如何提供真正滿足企業(yè)客戶安全需求的服務(wù),成了當(dāng)下安全公司分析的重點。
從測試到防護以及預(yù)警響應(yīng),企業(yè)所需要的安全服務(wù)千差萬別,服務(wù)導(dǎo)向型的模式迫使安全公司深入到企業(yè)需求環(huán)節(jié)中的某一環(huán)。大而全的牛皮很難再吹得起來,信息安全行業(yè)正變得越來越務(wù)實,越來越細分。各個安全細分領(lǐng)域小而美的公司開始顯現(xiàn)優(yōu)勢,有人評價:贏家通吃變得越來越難了,單一產(chǎn)品解決某個單一需求已經(jīng)大勢所趨。
過去,傳統(tǒng)的安全公司集中在賣硬件,防火墻WAF,帶安全的路由交換機等方面,而隨著安全服務(wù)的細分發(fā)展趨勢,比如滲透,掃描,應(yīng)急響應(yīng),運維等都可做成服務(wù)。
(綜合來看,目前安全行業(yè)方向圖中幾大分類,涵蓋了網(wǎng)絡(luò)安全領(lǐng)域各個環(huán)節(jié)。而技術(shù)型人才是所有細分服務(wù)的基礎(chǔ),人才培養(yǎng)能否更上行業(yè)發(fā)展需要,又是另一個復(fù)雜的話題。)
針對新環(huán)境下的安全問題,比如個人隱私泄漏,移動安全,黑產(chǎn),大數(shù)據(jù),云計算,工業(yè)控制,物聯(lián)網(wǎng),APT攻擊等新場景,不少細分領(lǐng)域的公司已初現(xiàn)創(chuàng)新的產(chǎn)品模式,例如網(wǎng)絡(luò)安全態(tài)勢感知、網(wǎng)絡(luò)攻擊可視化等。當(dāng)然,這也僅僅只是初級階段,全技術(shù)和產(chǎn)品模式需具備更新升級能力。
網(wǎng)絡(luò)安全經(jīng)歷了早期的防御階段,后續(xù)必然將向智能感知和快速響應(yīng)更高級的層面發(fā)展?,F(xiàn)在不對稱的黑客攻防未來或許會發(fā)生一些改變,比如大數(shù)據(jù)會不斷地學(xué)習(xí)攻擊方的知識,計算能力會讓這種學(xué)習(xí)成本越來越低。
安全行業(yè)發(fā)展仍存在諸多局限
雖然安全行業(yè)越來越受重視,也在往更加專業(yè)化的方向發(fā)展,但由于科技的發(fā)展,新的業(yè)務(wù)領(lǐng)域在不斷出現(xiàn),這導(dǎo)致在快速進軍新業(yè)務(wù)領(lǐng)域的時候,現(xiàn)有的技術(shù)和產(chǎn)品模式并不能適應(yīng)業(yè)務(wù)創(chuàng)新的趨勢。網(wǎng)絡(luò)安全行業(yè)還存在很多局限,距離成熟還有很長一段路要走。
首先,最大的短板在于缺少實戰(zhàn)性網(wǎng)絡(luò)空間安全人才。
安全行業(yè)應(yīng)該有很高的技術(shù)門檻,在互聯(lián)網(wǎng)安全行業(yè)的生態(tài)圈里,技術(shù)人才是生態(tài)最重要的底層建筑。不僅僅是安全領(lǐng)域從業(yè)者,未來對開發(fā)工程師的要求也會越來越高,越來越多的企業(yè)在面試開發(fā)工程師的時候就會把代碼安全作為重要的考量標(biāo)準。
其次,網(wǎng)絡(luò)安全如何從B轉(zhuǎn)C,商業(yè)模式還在探索中。
隨著云計算的普及,私有云和大數(shù)據(jù)等技術(shù)會進入每個人的日常生活當(dāng)中。此時私有云之間的信息泄露和安全問題很可能成為其是否能大范圍流行的關(guān)鍵。同時,
大數(shù)據(jù)分析的流行也會涉及個人隱私暴露的問題。屆時,C端一定會爆發(fā)出網(wǎng)絡(luò)安全方面的需求,比如一些反隱私泄露的課題,未來必然會在C端出現(xiàn)新的商業(yè)模式。
再次,國家層面對安全公司實質(zhì)性的政策利好不夠多。
雖然政府層面已經(jīng)在不斷推進安全方面的法規(guī)建設(shè),但還是都停留在一些原則性的規(guī)范層面,并沒有涉及太多實質(zhì)性的政策利好。
除此之外,面臨的問題還有很多。舉例如:
大量安全企業(yè)還是依靠政府買單,并沒有真正的市場經(jīng)濟
因為安全問題的敏感性,大型公司還是寧愿自己籌備安全隊伍,自己研發(fā)解決方案,而不是依賴安全公司
國家對于網(wǎng)絡(luò)安全工程師等職業(yè)資格認證等不到位
全民對網(wǎng)絡(luò)安全意識還不夠,沒有像交通法律等普及
總地來看,雖然巨頭紛紛布局企業(yè)安全,新興初創(chuàng)企業(yè)也躍躍欲試,但網(wǎng)絡(luò)安全能力依然較差,如何攻克目前存在的制約條件,需要從政府到企業(yè)各個層面的相互配合。
技術(shù)的發(fā)展和需求的細化必然引來越來越多的參與者。雖然目前存在諸多局限,但行業(yè)正在變得更務(wù)實,更落地,這至少說明一切都在慢慢變好。