今年的315晚會，宛如“隱私專場”，人臉識別濫用、簡歷流入黑市。

整個三月，或謾罵或不忿或擔(dān)憂。

當(dāng)輿論熱潮消退，隱私問題也暫時從聚光燈下退場。

隱私等信息安全，卻無時無刻不在敲打著安全界的神經(jīng)。

如果你手動搜索，會看到全球互聯(lián)網(wǎng)巨頭中，經(jīng)歷過大規(guī)模數(shù)據(jù)泄露事件的不在少數(shù)。

信息泄露，并不只存在于每年的315，也不該只在315受到全民關(guān)注。

內(nèi)憂外患

為何數(shù)據(jù)泄露事件成災(zāi)，網(wǎng)絡(luò)安全防護難道手無縛雞之力？

回答這個問題之前，需先弄明白，數(shù)據(jù)安全，不僅存在于人臉、簡歷等隱私數(shù)據(jù)，還在于視頻監(jiān)控、郵件等等方面。

而當(dāng)下隱私信息安全的處境，并不樂觀。

內(nèi)憂層見疊出。

首先是產(chǎn)品本身安全不足。

據(jù)數(shù)據(jù)顯示，2019年的物聯(lián)網(wǎng)安全事件中，主要可歸為三類：漏洞和弱口令、準(zhǔn)入控制乏力、應(yīng)用監(jiān)管不足。

其中，有一半是漏洞和弱密碼造成的。

漏洞和弱密碼的風(fēng)險在于極其容易被控制，繼而設(shè)備被利用，造成信息泄露，或引發(fā)DDOS等攻擊。

這也意味著，安防產(chǎn)品自身的可靠性是系統(tǒng)安全的根基。如果自身的安全性得不到保障，只是通過外部來防護，難以做到完全的安全。

宇視安全&網(wǎng)絡(luò)解決方案總工王連朝告訴AI掘金志，造成產(chǎn)品本身安全不足的原因主要有兩個。

一是組織管理的不足，在設(shè)計之初就未考慮安全設(shè)計，漏洞發(fā)現(xiàn)、修復(fù)和響應(yīng)機制等等被忽略，由此事后很難修復(fù)。

二是技術(shù)防范手段不足，存在弱口令，預(yù)留后門，或者軟件開發(fā)本身不規(guī)范，缺失認(rèn)證機制、數(shù)據(jù)明文傳輸?shù)取?

據(jù)部分智能攝像頭企業(yè)的安全監(jiān)測結(jié)果，不少廠商產(chǎn)品在軟件設(shè)置上不強制用戶修改初始密碼，甚至可不設(shè)密碼。

其次，內(nèi)部另一風(fēng)險來自應(yīng)用監(jiān)管不足，視頻被內(nèi)部人員泄露。

早在2016年6月，智聯(lián)招聘的經(jīng)營者北京網(wǎng)聘咨詢有限公司就向公安機關(guān)報案，稱其內(nèi)部員工利用公司漏洞，以低價出售了幾十萬條平臺上的求職者簡歷。

據(jù)悉，被315點名的萬店掌透露，其平臺目前擁有的人臉數(shù)據(jù)量已經(jīng)上億。

若內(nèi)部管理不足，這些數(shù)據(jù)，可輕易通過盜取錄像、抓圖導(dǎo)出、截屏、錄屏、外發(fā)等各種方式泄密。

外患層出不窮。

在攻擊手段上，利用偽造網(wǎng)站、虛假郵件等誘騙手法的網(wǎng)絡(luò)釣魚行為愈演愈烈。

“被釣者”的登錄憑據(jù)被竊取后，攻擊者可假其身份發(fā)送郵件進行匯款授權(quán)等操作。

2014年至2016年間，“CEO欺詐”這一釣魚式攻擊已影響了12,000家公司，并造成20億美元的損失。

從系統(tǒng)層面看，其整個流程都面臨著威脅。

感知層的感知設(shè)備有可能被劫持；傳輸層會受到“私接”網(wǎng)絡(luò)、DDoS等攻擊；

管理層（平臺服務(wù)層）可能會遭遇非法入侵，數(shù)據(jù)被竊；應(yīng)用層則可能會受到黑客對PC機或應(yīng)用設(shè)備的攻擊。

著眼各層面防護和預(yù)警，迫在眉睫。

「零信任」最小權(quán)限原則

傳統(tǒng)的防護思維，判斷安全與否就看一條分界線。

邊界內(nèi)的一切事物被視為不具有威脅，基本擁有全部的訪問權(quán)限。

隨著云計算、移動互聯(lián)的發(fā)展，傳統(tǒng)邊界正在瓦解，基于邊界的防護正在失效。

擁有“白名單”權(quán)限的訪問者，恰有可能是最危險的。

而“零信任”這一概念，正如它的字面意思，以“不相信任何人”為原則。

其關(guān)鍵能力可概括為：以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評估和動態(tài)訪問控制。

不同的訪問者可訪問的資源，取決于自身的權(quán)限級別。

每一次被授權(quán)前都需重新驗證，更靈活地建立了防護邊界。

騰訊研發(fā)落地的“騰訊ioA”零信任安全管理系統(tǒng)，以身份安全可信、設(shè)備安全可信、應(yīng)用進程可信、鏈路保護等功能，對終端訪問過程進行持續(xù)的權(quán)限控制和安全保護。

除了騰訊自身，騰訊ioA在金融、醫(yī)療、交通等多個行業(yè)領(lǐng)域都實現(xiàn)了應(yīng)用。

內(nèi)網(wǎng)辦公、遠程辦公、云上辦公等不同場景的風(fēng)險得到控制，員工實現(xiàn)了“無論何時、何地、使用何設(shè)備都可安全訪問授權(quán)資源以處理何種業(yè)務(wù)”的新型辦公方式。

不將雞蛋放在同一個籃子里，是投資者的降低風(fēng)險之策；信息安全的防護，也不可在一次授權(quán)后就高枕無憂。

零信任作為新一代網(wǎng)絡(luò)安全理念，將“有邊”變?yōu)椤盁o邊”，將授權(quán)防護落實在每一次動態(tài)訪問上，讓“白名單威脅”無縫可鉆。

態(tài)勢感知：零信任的得力助手

就零信任領(lǐng)域中的持續(xù)信任評估而言，需要訪問者提供多個身份驗證方法。

這也就是說，在態(tài)勢感知方面對訪問進行持續(xù)分析，有助于零信任的訪問管理。

在新型IT環(huán)境下，網(wǎng)絡(luò)攻擊的形態(tài)演變不斷。

企業(yè)若是沒有及時發(fā)現(xiàn)未知威脅，就無法定位攻擊目標(biāo)及源頭，更無法對入侵途徑和動機進行溯源。

目前，實現(xiàn)對威脅的準(zhǔn)確檢測，仍基于安全大數(shù)據(jù)的分析。

奇安信推出的威脅態(tài)勢感知系統(tǒng)，基于自有的多維度大數(shù)據(jù)，自動挖掘與云端關(guān)聯(lián)分析。

利用檢索分析平臺中的告警日志和流量日志，并與其他數(shù)據(jù)進行關(guān)聯(lián)，幫助進一步分析。

若是提前洞悉到威脅，系統(tǒng)會推出威脅情報，對其進行描述。

同樣，通過態(tài)勢感知對攻擊事件、攻擊源和威脅告警進行分類統(tǒng)計和分析，華為云目前能檢測出超二十大類的云上安全風(fēng)險。

常見的DDoS攻擊、Web攻擊等威脅也囊括其中。

如今，為實現(xiàn)安全運營等閉環(huán)管理，態(tài)勢感知已達到一定程度的普及。

化被動為主動，為零信任架構(gòu)提供了必需的安全保障。

小結(jié)

 為應(yīng)對信息泄露等危機，不僅有各企制定出解決方案與預(yù)防手段，政府也在立法層面不斷加強管制。

自2019年實施起的等保2.0，對保護對象分級監(jiān)管，并新增了云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工控四大安全拓展要求，以及集中管控、入侵防范、惡意代碼防范和安全審計等網(wǎng)絡(luò)和通信安全類項目。

去年，國內(nèi)發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》，對收集個人生物識別信息的告知和存儲要求也作出了明確規(guī)定。

但信息安全與威脅將長期共存，消除眼下的危機，不代表可一勞永逸。

企業(yè)仍需不斷提升自身防御能力，建立一套持續(xù)監(jiān)測、持續(xù)改進優(yōu)化的機制，才是可持續(xù)發(fā)展之計。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。