特稿 >

原创精选 >

信息安全告急,十面埋伏如何突围|Xtecher研究院

信息安全告急,十面埋伏如何突围|Xtecher研究院

Xtecher原创 丨 原创精选

3795
15

2016-11-24

dudeluun

Xtecher特稿作者

关注

 摘要:2016年年初,由360互联网安全中心调查研究《2015年度中国网站安全报告》显示:被调查网站中43.9%存在安全漏洞,一年或有55亿条信息因网站漏洞泄露。在互联网黑市交易中,平均一份个人信息数据5美元。而根据去年流出的数据量,这个灰色地带的市场总额已经达到500多亿,比小米公司去年的市值还高。

作者|Dude

编辑|甲小姐

网址|www.xtecher.com 

微信公众号ID|Xtecher


一九四九年,作家乔治奥威尔出版小说《一九八四》,描绘了一个老大哥无所不在的监控世界,人们的一举一动都在监控之中,无所遁形。作品除了表达对极权统治,对乌托邦理想的讽刺之外,也侧面反映了人们对于信息安全的渴望。

 

半个多世纪过去,随着移动互联网、云服务、物联网等新兴事物的风起云涌,手机号码、家庭住址、工资收入等个人信息越来越多暴露于移动互联网当中。

 

网络边界无法判定,信息窃取手段越来越高明,传统的安全思路已难以应对大数据时代的信息安全挑战。

 

2014年,美国斯诺登“菱镜”事件震惊世界,2016年,美国总统候选人希拉里更因邮件门憾失总统宝座。


屏幕快照 2016-11-24 上午10.59.13.png

信息安全告急。

 

由信息泄露造成的悲剧越来越多,上至国家机器,下至企业个人都需要立刻重视个人信息的安全。一场信息保护的序幕已经拉开。

 


根据IDC报告,2015年中国信息安全市场规模约为27亿美元,约合162亿人民币。预计到2019年,国内信息安全产品市场规模有望达290亿人民币,年复合增长率为16.5%,整个信息安全市场空间巨大。

警钟为谁鸣


2015年,我国政府机构和重要信息系统部门的事件性漏洞近2.4万起,约是2014年的2.6倍。近5000个IP地址感染窃密木马、约2.5万个网站被恶意篡改。

 

2016年年初,由360互联网安全中心调查研究《2015年度中国网站安全报告》显示:被调查网站中43.9%存在安全漏洞,一年或有55亿条信息因网站漏洞泄露。2016年网络世界用户数据外泄事件频发,上半年就有LinkedIn、MySpace、Tumblr以及雅虎等网站传出数年前的旧数据在黑客之间交易流传进而在黑市出售,Dropbox更是承认6800万用户资料外泄。

 

著名科技博客网站GigaOmce曾报道,在互联网黑市交易中,平均一份个人信息数据5美元。而根据去年流出的数据量,这个灰色地带的市场总额已经达到500多亿,比小米公司去年的市值还高。

 

利益驱使之下,不断有人以身试法,信息的盗取越加猖狂。

 

中国互联网协会发布的《2016年中国网民权益保护调查报告》显示:2015年下半年到2016年上半年,我国因诈骗信息、个人信息泄露等遭受经济损失高达915亿元,人均133元。


凶手


信息安全已经告急,那么,谁是真正的凶手?

 

第一个凶手,是信息企业本身。

 

“对于企业而言,应从两个方面着手规避有可能出现的安全问题:一是加强企业的安全意识,二是通过安全公司提供安全防护。”奇虎360总裁齐向东说。

 企业的安全意识普遍并不高。


根据数字安全公司Gemalto发布的《2014年网络数据安全报告》显示,大部分数据泄露事故并不需要黑客攻击或者政府组织攻击这样高端的技术。70%的事故主要是因为外部或内部恶意代码侵入。12306订票网站泄露的账户信息就是恶意代码侵入,这些事实和公司行为不无关系,视公司对数据库安全投入程度而定。IDC数据显示,2013年的320亿家公司中,只有26%都对数据安全做了部署。


屏幕快照 2016-11-24 上午11.03.30.png


“传统的信息安全防护措施难以应对大数据时代的信息安全挑战,大数据时代应加强信息安全保护工作。”中国工程院院士沈昌祥说。

 

第二个凶手,是人——信息泄露者。

 

信息泄露带来的高额利润,使得许多人进行信息倒卖。回顾近6年来有关信息泄露的案件,快递、网购、物业、教育等机构是信息泄露的源头,而保险、理财、房地产中介等行业以及职业倒卖人则是这些信息的主要购买者。

 

第三个凶手,是进行数据窃取的黑客。

 

网络黑客会通过软件和硬件的漏洞进入,引诱人们打开受感染的电子邮件,访问带病毒的网站来传播恶意软件,并利用人们忽视网络安全常识的漏洞(如不经常修改密码、不定期更新反病毒软件,以及使用反病毒软件等)开展网络攻击。

 

最近的网络安全攻击事件显示,网络黑客已从原先的单一攻击手段转向多种攻击手段的结合,综合使用非法接入、木马攻击、IP欺骗、网页仿冒、僵尸网络、网络嗅探、网址嫁接等手段,窃取数据。


魔高一尺、道高一丈


爱加密公司CTO程智力告诉Xtecher:“信息安全防护是一个博弈过程,黑客攻击技术魔高一尺,防护技术就道高一丈。”

 

数据的存贮、输送、甚至硬件,都有可能存在着脆弱环节,黑客会利用其中的安全漏洞盗取数据信息。因此,信息安全保护要从各个环节中进行加密和保护。

 

数据有两种存在的形态:一种是结构化的数据——数据库中保存的数据;此外是大量的非结构化数据——大量地存在于用户终端的散落文档型数据。这些数据都需要保护。

 

如何保护?

 

首先,数据库和输送渠道的保护。

 在众多信息当中,首先要在数据进行分级:核心数据、公开数据。然后对核心数据在储存设备中加密,在加密过程中采用不同强度的算法,密钥,增加破解的难度,对抗黑客的信息盗取。

 

黑客们除了在数据库中进行数据盗取,另一个重要的盗取方式就是在数据、信息等进行外部的输送时,利用输送链条薄弱进行信息的窃取。

针对此,程智力表示,他们对于数据的输送保护有一套严格的审查机制——DLP敏感数据防泄露解决方案。其做法是:在网络出口设置审核机制,系统判断数据的机密程度,进行拦截或放行;通过使用协议对流量抓包、解码、捕捉敏感数据是否存在外泄;一旦发现外泄,系统会做出及时通知、预警和阻拦,扼杀数据在传输中泄露的可能性。

 

其次,硬件软件化。

 信息安全的防护除了和软件有关,跟硬件同样有着莫大的关系。

因为硬件设计上的缺陷、硬件操作系统上的问题、既带的安全漏洞等引发数据丢失的例子屡见不鲜。因为硬件本身的安全风险和漏洞难以修复,许多黑客窃取数据也选择从硬件下手。


屏幕快照 2016-11-24 上午11.09.07.png

 

据文章《征信之乱,一家公司黑市倒卖上亿数据,如今估值几十亿》中记载:某黑客盗取企业数据时,其核心数据服务器放在云端。如果直接入侵云端,对抗的是整个云端的安全系统,难度系数高,于是,黑客便利用小工具强行破解公司的WiFi——进入内网后,所有人的电脑,黑客便如探囊取物,很快找到了登陆云端服务器的用户名和密码,将200万的公司缓存数据库拖出来。

 

对于此种情况,信息安全要求硬件往智能化方向进化。通过并入软件或并入安全系统,即硬件软件化的方式,对硬件的组件进行智能化升级,避免安全风险、快速修复安全问题。

 

最后,从源头防起。

 针对来自信息泄露源的隐患,程智力表示,需要对数据的使用实行权限的控制:“对同一个数据设置可使用的人群、可使用的时间,可使用的基础,并对相关的数据使用的操作进行记录。这样,所有的数据人员操作行为都是可溯源的。”

 

换言之,要从根本上大大降低信息从人泄露出去的可能。


APP,一个重要阵地

随着移动互联网的兴起,越来越多企业都是依托APP进行相关活动。

 

根据艾媒咨询《2015年中国手机APP市场研究》,在三大系统运营商应用商店应用数量上,以iOS系统为主的App Store应用商店应用数量已达到121万;以Android系统为主的Google Play应用商店应用数量超过App Store,达到143万;Windows Phone的应用数量最少,只有30万,但其应用数量增速较快。

 

APP是信息重要载体,在展开对应业务时,APP上会储存着敏感的数据。

 

针对APP,开发者首先要做的是保障数据的本地安全性,对数据进行加密;同时要保障的是数据的远程应用,在连接服务器进行远程服务时,需要保障链入的安全性;此外,需要在链入的通道进行加密,避免出现中间人攻击以及通过中间的抓包窃取行为盗取机密数据。

 

总之,APP开发者应该本着对用户负责的原则,做到数据在储存、传输、终端都是安全的。


信息安全化的未来



今年8月,我国发射首颗量子通信卫星,对于安全通信而言,无疑是莫大的喜讯。

 

量子通讯卫星利用量子力学特性来保证通信安全,它使通信的双方能够产生并分享一个随机的、安全的密钥,来加密和解密讯息。


屏幕快照 2016-11-24 上午11.15.05.png


量子密码的一个最重要的,也是最独特的性质是:如果有第三方试图窃听密码,则通信的双方便会察觉。

 

这种性质基于量子力学的基本原理:任何对量子系统的测量都会对系统产生干扰。第三方试图窃听密码,必须用某种方式测量它,而这些测量就会带来可察觉的异常。通过量子叠加态或量子纠缠态来传输信息,通信系统便可以检测是否存在窃听。当窃听低于一定标准,一个有安全保障的密钥就可以产生了。

 

相比之下,传统密码学是基于某些数学算法的计算复杂度,量子密码的安全性基于量子力学的基本原理。传统密码学无法察觉窃听,也就无法保证密钥的安全性。量子密码只用于产生和分发密钥,并没有传输任何实质的讯息。密钥可用于某些加密算法来加密讯息,加密过的讯息可以在标准信道中传输——这将大大提升通信的安全性。

 

中国科学技术大学微尺度物质科学国家实验室研究员彭承志说:“量子科学实验卫星是一颗低轨卫星,只能在晚上进行量子通信,空间覆盖能力和应用都还比较有限。”

 

我国计划在2030年建成全球化的量子通信网络。换言之,量子通信网络还只是个愿景。


 屏幕快照 2016-11-24 上午11.17.08.png

在量子通信之外,人工智能的飞速发展也让我们对信息安全技术有了新的想象。

 

《西部世界》剧中,总工程师Ford试图从host机器人Deloris口中获取阿诺德遗留的算法信息,但是机器人能够做到“守口如瓶”。未来的人工智能技术不但能够自己开发加密技术,还能够破解其他人工智能加密技术。

 

现实中,人工智能加密技术的发展也超出了预期,例如谷歌大脑已经成功开发出两个人工智能加密算法,在加密时甚至都不需要“学习”人类的算法。

 

在更好的明天到来之前,个性化定制是最好的出路。

 

这是因为,随着工业4.0持续发酵,每个企业对于信息安全都会有不同的需求,定制化能够更好地根据企业的规模、成本、对安全性的需求量身打造信息安全的方案。因此,近期的信息安全道路,走的一定是深度定制的方向。


专注于企业服务器信息安全的白帽汇合伙人刘宇对Xtecher说:“目前的技术已经可以实现个性化的定制。”

 

白帽汇旗下的产品安徒生,就是专门针对中小企业而设定的信息安全产品,采用服务器的被动扫描、主动扫描等方法对进行服务器进行漏洞检测,并且发现最新攻击方法。


总而言之,信息安全化是一条非常艰难的道路,并非朝夕之功。如果你我不想生活在一个随时布满监控的“老大哥”世界,必须不断地发展技术,构建信息安全的保护墙,使得无论是国家机器还是企业个人,都在公平的状态底下竞争,而不是通过剽窃等方式偷步。


 


打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮

账号登录

重置密码

还没有账号?立即注册>

账号注册

已有账号?立即登录>注册企业会员

重置密码

返回

绑定手机