蘋果ID被盜事件再起,網(wǎng)絡(luò)安全依舊是個(gè)問題

責(zé)任編輯:editor006

2016-10-21 16:32:37

摘自:鈦媒體

總地來看,雖然巨頭紛紛布局企業(yè)安全,新興初創(chuàng)企業(yè)也躍躍欲試,但網(wǎng)絡(luò)安全能力依然較差,如何攻克目前存在的制約條件,需要從政府到企業(yè)各個(gè)層面的相互配合。

摘要:總地來看,雖然巨頭紛紛布局企業(yè)安全,新興初創(chuàng)企業(yè)也躍躍欲試,但網(wǎng)絡(luò)安全能力依然較差,如何攻克目前存在的制約條件,需要從政府到企業(yè)各個(gè)層面的相互配合。技術(shù)的發(fā)展和需求的細(xì)化必然引來越來越多的參與者。雖然目前存在諸多局限,但行業(yè)正在變得更務(wù)實(shí),更落地,這至少說明一切都在慢慢變好。

近年來,個(gè)人信息被泄漏、隱私安全遭威脅、“數(shù)據(jù)黑市”已經(jīng)成為越來越猖獗的存在。從身份證、郵箱到銀行卡信息等,每個(gè)人都不得不承認(rèn)自己的個(gè)人信息數(shù)據(jù)正在以并不昂貴的價(jià)格反復(fù)倒賣。

隨著各類泄露事件的不斷曝光,大眾開始擔(dān)憂起來:在各種數(shù)據(jù)泛濫的時(shí)代,互聯(lián)網(wǎng)還有安全可言嗎?

現(xiàn)實(shí)很殘酷,網(wǎng)絡(luò)安全形勢(shì)并不美好

網(wǎng)絡(luò)上的個(gè)人信息并不能得到安全的保障,很大一部分原因,在于個(gè)人不良的上網(wǎng)習(xí)慣。在不同網(wǎng)站使用同名賬戶和密碼,隨意在平臺(tái)上填寫個(gè)人信息,都會(huì)給不法分子創(chuàng)造竊取信息的機(jī)會(huì)。

比如,近期國(guó)內(nèi)發(fā)生了多起用戶蘋果ID賬號(hào)被盜、鎖定、以及遠(yuǎn)程抹掉并遭遇鎖機(jī)以此來惡意敲詐的情況,而被盜的用戶多數(shù)使用的是QQ郵箱。

事實(shí)上,蘋果ID被盜,首先是因?yàn)樽?cè)用的QQ郵箱被盜。不法分子通過釣魚等手段盜取QQ郵箱密碼仿冒合法用戶,之后才能將蘋果ID鎖定,并進(jìn)行一系列勒索敲詐等犯罪活動(dòng)。

而這種程度的個(gè)人信息泄露只不過是漏洞黑市的冰山一角。危害更大的狀況,則是公司數(shù)據(jù)庫(kù)被黑導(dǎo)致的信息外泄。

2016年一月,凱悅連鎖酒店超過50% 遭安全入侵;四月土耳其出現(xiàn)重大數(shù)據(jù)泄露事件,5000w公民信息被泄露;5月俄國(guó)黑客盜取2.73億郵箱信息以1美元價(jià)錢販賣;9月,雅虎被曝出隱瞞了5億賬戶信息被竊事件……2016年還沒到頭,大規(guī)模信息泄露事件便已不一而足。

眼觀國(guó)內(nèi),網(wǎng)絡(luò)安全事故發(fā)生的頻率也在不斷上升。比如今年3月,開源的加密工具OpenSSL被爆出新的安全漏洞“水牢”,允許黑客攻擊網(wǎng)站,并讀取密碼、信用卡賬號(hào)等加密信息,我國(guó)有十萬余家網(wǎng)站受到影響。

而除了信息泄露,其他種類的安全事故也并不少見。今年5月,攜程網(wǎng)由于員工錯(cuò)誤操作導(dǎo)致長(zhǎng)達(dá)十幾個(gè)小時(shí)的宕機(jī),大量用戶無法訪問網(wǎng)站的事件。剛剛過去的9月份,阿里云安全產(chǎn)品云盾“安騎士”升級(jí)觸發(fā)bug,將所有新啟動(dòng)的可執(zhí)行文件都當(dāng)成惡意文件進(jìn)行隔離,也造成了較大范圍的影響。

由此可見,在互聯(lián)網(wǎng)安全領(lǐng)域,即使大企業(yè)也不一定做得有多好。究其根源,網(wǎng)絡(luò)安全并不是一個(gè)簡(jiǎn)單的漏洞問題,系統(tǒng)的網(wǎng)絡(luò)安全問題,往往是背后綜合性原因?qū)е碌摹?/p> 互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全狀況堪憂,背后隱藏多重原因

近兩年,互聯(lián)網(wǎng)創(chuàng)業(yè)極端狂熱,不少公司都將精力花在能夠直接帶來公司業(yè)務(wù)增長(zhǎng)的層面,長(zhǎng)期忽視底層技術(shù)的加固。同時(shí),網(wǎng)絡(luò)安全領(lǐng)域的尖端人才高度缺乏,各方面因素導(dǎo)致企業(yè)增長(zhǎng)速度和技術(shù)投入程度完全不成正比?;ヂ?lián)網(wǎng)安全問題時(shí)有發(fā)生,可以歸結(jié)出一些共因:

安全意識(shí)問題。如上文所說,目前國(guó)內(nèi)不少互聯(lián)網(wǎng)運(yùn)營(yíng)公司缺乏網(wǎng)絡(luò)安全意識(shí),不重視對(duì)用戶信息的安全保護(hù)。這也造成了整個(gè)公司員工的安全意識(shí)缺失,比如密碼強(qiáng)度,離開電腦及時(shí)鎖屏等習(xí)慣,和被釣魚社工等。軟件開發(fā)人員的視覺盲區(qū)。在過去,對(duì)開發(fā)工程師的要求僅僅停留在代碼質(zhì)量的層面,開發(fā)人員對(duì)信息安全的理解其實(shí)是比較淺薄的。在開發(fā)過程中,很可能因?yàn)闆]有考慮到位或者引用了存在問題的開源項(xiàng)目,導(dǎo)致代碼有先天性漏洞。系統(tǒng)運(yùn)維人員和測(cè)試等技術(shù)盲區(qū)。無法第一時(shí)間發(fā)現(xiàn)被攻擊,不能及時(shí)發(fā)現(xiàn)漏洞,修補(bǔ)漏洞,造成后天性漏洞。黑客、同行攻擊、敲詐勒索現(xiàn)象嚴(yán)重,會(huì)消耗公司的技術(shù)資源和增加技術(shù)成本,導(dǎo)致有些公司對(duì)其運(yùn)營(yíng)的互聯(lián)網(wǎng)服務(wù)平臺(tái)沒有能力或不愿意投入巨額來部署高級(jí)的風(fēng)險(xiǎn)控制或主動(dòng)防御體系。

互聯(lián)網(wǎng)的特征之一即為開放,過去從來沒有像今天這樣,不同的行業(yè)在互聯(lián)網(wǎng)的框架下緊密關(guān)聯(lián)。加上現(xiàn)代科技的日新月異,各種形式的攻擊層出不窮,想要杜絕安全問題是過于理想化了,任何一個(gè)系統(tǒng)都存在百密一疏的風(fēng)險(xiǎn)。

比如這次的蘋果賬號(hào)被鎖事件,雖然是發(fā)生在用戶身上的個(gè)人事件,但蘋果公司在用戶ID發(fā)生被盜之后并沒能及時(shí)預(yù)警,在很大程度上就是被自己開發(fā)的“遠(yuǎn)程鎖定”功能坑了。

安全事件防不勝防,在互聯(lián)網(wǎng)世界欣欣向榮的背后,網(wǎng)絡(luò)安全狀況比大多數(shù)人想得都要糟糕?;ヂ?lián)網(wǎng)領(lǐng)域的所有參與者都面臨著不安全的風(fēng)險(xiǎn),企業(yè)能做的只能是用高度的預(yù)警意識(shí)來對(duì)抗這種不安全性,而這種防范又必須是動(dòng)態(tài)的、持續(xù)的。

互聯(lián)網(wǎng)企業(yè)安全需求增長(zhǎng),安全行業(yè)往縱深方向發(fā)展

正是由于互聯(lián)網(wǎng)安全的不確定性以及網(wǎng)絡(luò)安全問題頻發(fā)等原因,當(dāng)下很多企業(yè)開始有了整體的網(wǎng)絡(luò)安全意識(shí),將網(wǎng)絡(luò)安全提升到戰(zhàn)略性的位置進(jìn)行考量。

有需求就有市場(chǎng)。面對(duì)越來越多企業(yè)安全需求跟不上業(yè)務(wù)發(fā)展的現(xiàn)狀,第三方安全行業(yè)開始呈現(xiàn)出新業(yè)態(tài)。過去合規(guī)需求導(dǎo)向的產(chǎn)品已經(jīng)跟不上節(jié)奏,如何提供真正滿足企業(yè)客戶安全需求的服務(wù),成了當(dāng)下安全公司分析的重點(diǎn)。

從測(cè)試到防護(hù)以及預(yù)警響應(yīng),企業(yè)所需要的安全服務(wù)千差萬別,服務(wù)導(dǎo)向型的模式迫使安全公司深入到企業(yè)需求環(huán)節(jié)中的某一環(huán)。大而全的牛皮很難再吹得起來,信息安全行業(yè)正變得越來越務(wù)實(shí),越來越細(xì)分。

各個(gè)安全細(xì)分領(lǐng)域小而美的公司開始顯現(xiàn)優(yōu)勢(shì),有人評(píng)價(jià):贏家通吃變得越來越難了,單一產(chǎn)品解決某個(gè)單一需求已經(jīng)大勢(shì)所趨。

過去,傳統(tǒng)的安全公司集中在賣硬件,防火墻WAF,帶安全的路由交換機(jī)等方面,而隨著安全服務(wù)的細(xì)分發(fā)展趨勢(shì),比如滲透,掃描,應(yīng)急響應(yīng),運(yùn)維等都可做成服務(wù)。

( 綜合來看,目前安全行業(yè)方向圖中幾大分類,涵蓋了網(wǎng)絡(luò)安全領(lǐng)域各個(gè)環(huán)節(jié)。而技術(shù)型人才是所有細(xì)分服務(wù)的基礎(chǔ),人才培養(yǎng)能否更上行業(yè)發(fā)展需要,又是另一個(gè)復(fù)雜的話題。)

針對(duì)新環(huán)境下的安全問題,比如個(gè)人隱私泄漏,移動(dòng)安全,黑產(chǎn),大數(shù)據(jù),云計(jì)算,工業(yè)控制,物聯(lián)網(wǎng),APT攻擊等新場(chǎng)景,不少細(xì)分領(lǐng)域的公司已初現(xiàn)創(chuàng)新的產(chǎn)品模式,例如網(wǎng)絡(luò)安全態(tài)勢(shì)感知、網(wǎng)絡(luò)攻擊可視化等。當(dāng)然,這也僅僅只是初級(jí)階段,全技術(shù)和產(chǎn)品模式需具備更新升級(jí)能力。

網(wǎng)絡(luò)安全經(jīng)歷了早期的防御階段,后續(xù)必然將向智能感知和快速響應(yīng)更高級(jí)的層面發(fā)展?,F(xiàn)在不對(duì)稱的黑客攻防未來或許會(huì)發(fā)生一些改變,比如大數(shù)據(jù)會(huì)不斷地學(xué)習(xí)攻擊方的知識(shí),計(jì)算能力會(huì)讓這種學(xué)習(xí)成本越來越低。

安全行業(yè)發(fā)展仍存在諸多局限

雖然安全行業(yè)越來越受重視,也在往更加專業(yè)化的方向發(fā)展,但由于科技的發(fā)展,新的業(yè)務(wù)領(lǐng)域在不斷出現(xiàn),這導(dǎo)致在快速進(jìn)軍新業(yè)務(wù)領(lǐng)域的時(shí)候,現(xiàn)有的技術(shù)和產(chǎn)品模式并不能適應(yīng)業(yè)務(wù)創(chuàng)新的趨勢(shì)。網(wǎng)絡(luò)安全行業(yè)還存在很多局限,距離成熟還有很長(zhǎng)一段路要走。

首先,最大的短板在于缺少實(shí)戰(zhàn)性網(wǎng)絡(luò)空間安全人才 。

安全行業(yè)應(yīng)該有很高的技術(shù)門檻,在互聯(lián)網(wǎng)安全行業(yè)的生態(tài)圈里,技術(shù)人才是生態(tài)最重要的底層建筑。不僅僅是安全領(lǐng)域從業(yè)者,未來對(duì)開發(fā)工程師的要求也會(huì)越來越高,越來越多的企業(yè)在面試開發(fā)工程師的時(shí)候就會(huì)把代碼安全作為重要的考量標(biāo)準(zhǔn)。

其次,網(wǎng)絡(luò)安全如何從B轉(zhuǎn)C,商業(yè)模式還在探索中。

隨著云計(jì)算的普及,私有云和大數(shù)據(jù)等技術(shù)會(huì)進(jìn)入每個(gè)人的日常生活當(dāng)中。此時(shí)私有云之間的信息泄露和安全問題很可能成為其是否能大范圍流行的關(guān)鍵。

同時(shí),大數(shù)據(jù)分析的流行也會(huì)涉及個(gè)人隱私暴露的問題。屆時(shí),C端一定會(huì)爆發(fā)出網(wǎng)絡(luò)安全方面的需求,比如一些反隱私泄露的課題,未來必然會(huì)在C端出現(xiàn)新的商業(yè)模式。

再次,國(guó)家層面對(duì)安全公司實(shí)質(zhì)性的政策利好不夠多。

雖然政府層面已經(jīng)在不斷推進(jìn)安全方面的法規(guī)建設(shè),但還是都停留在一些原則性的規(guī)范層面,并沒有涉及太多實(shí)質(zhì)性的政策利好。

除此之外,面臨的問題還有很多。舉例如:

大量安全企業(yè)還是依靠政府買單,并沒有真正的市場(chǎng)經(jīng)濟(jì)因?yàn)榘踩珕栴}的敏感性,大型公司還是寧愿自己籌備安全隊(duì)伍,自己研發(fā)解決方案,而不是依賴安全公司國(guó)家對(duì)于網(wǎng)絡(luò)安全工程師等職業(yè)資格認(rèn)證等不到位全民對(duì)網(wǎng)絡(luò)安全意識(shí)還不夠,沒有像交通法律等普及

總地來看,雖然巨頭紛紛布局企業(yè)安全,新興初創(chuàng)企業(yè)也躍躍欲試,但網(wǎng)絡(luò)安全能力依然較差,如何攻克目前存在的制約條件,需要從政府到企業(yè)各個(gè)層面的相互配合。

技術(shù)的發(fā)展和需求的細(xì)化必然引來越來越多的參與者。雖然目前存在諸多局限,但行業(yè)正在變得更務(wù)實(shí),更落地,這至少說明一切都在慢慢變好。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)