江苏龙网

  1. 首页 > 人文 > >

火星|零信任 为“白名单威胁”而生 彻底安全了

今年的315晚会 , 宛如“隐私专场” , 人脸识别滥用、简历流入黑市 。
整个三月 , 或谩骂或不忿或担忧 。
当舆论热潮消退 , 隐私问题也暂时从聚光灯下退场 。
隐私等信息安全 , 却无时无刻不在敲打着安全界的神经 。
如果你手动搜索 , 会看到全球互联网巨头中 , 经历过大规模数据泄露事件的不在少数 。
信息泄露 , 并不只存在于每年的315 , 也不该只在315受到全民关注 。
内忧外患
为何数据泄露事件成灾 , 网络安全防护难道手无缚鸡之力?
回答这个问题之前 , 需先弄明白 , 数据安全 , 不仅存在于人脸、简历等隐私数据 , 还在于视频监控、邮件等等方面 。
而当下隐私信息安全的处境 , 并不乐观 。
内忧层见叠出 。
首先是产品本身安全不足 。
据数据显示 , 2019年的物联网安全事件中 , 主要可归为三类:漏洞和弱口令、准入控制乏力、应用监管不足 。 
其中 , 有一半是漏洞和弱密码造成的 。
漏洞和弱密码的风险在于极其容易被控制 , 继而设备被利用 , 造成信息泄露 , 或引发DDOS等攻击 。
这也意味着 , 安防产品自身的可靠性是系统安全的根基 。如果自身的安全性得不到保障 , 只是通过外部来防护 , 难以做到完全的安全 。
宇视安全&网络解决方案总工王连朝告诉AI掘金志 , 造成产品本身安全不足的原因主要有两个 。
一是组织管理的不足 , 在设计之初就未考虑安全设计 , 漏洞发现、修复和响应机制等等被忽略 , 由此事后很难修复 。
二是技术防范手段不足 , 存在弱口令 , 预留后门 , 或者软件开发本身不规范 , 缺失认证机制、数据明文传输等 。 
据部分智能摄像头企业的安全监测结果 , 不少厂商产品在软件设置上不强制用户修改初始密码 , 甚至可不设密码 。
其次 , 内部另一风险来自应用监管不足 , 视频被内部人员泄露 。
早在2016年6月 , 智联招聘的经营者北京网聘咨询有限公司就向公安机关报案 , 称其内部员工利用公司漏洞 , 以低价出售了几十万条平台上的求职者简历 。
据悉 , 被315点名的万店掌透露 , 其平台目前拥有的人脸数据量已经上亿 。
若内部管理不足 , 这些数据 , 可轻易通过盗取录像、抓图导出、截屏、录屏、外发等各种方式泄密 。
外患层出不穷 。
在攻击手段上 , 利用伪造网站、虚假邮件等诱骗手法的网络钓鱼行为愈演愈烈 。
“被钓者”的登录凭据被窃取后 , 攻击者可假其身份发送邮件进行汇款授权等操作 。
2014年至2016年间 , “CEO欺诈”这一钓鱼式攻击已影响了12,000家公司 , 并造成20亿美元的损失 。
从系统层面看 , 其整个流程都面临着威胁 。
感知层的感知设备有可能被劫持;传输层会受到“私接”网络、DDoS等攻击;
管理层(平台服务层)可能会遭遇非法入侵 , 数据被窃;应用层则可能会受到黑客对PC机或应用设备的攻击 。
着眼各层面防护和预警 , 迫在眉睫 。
「零信任」最小权限原则
传统的防护思维 , 判断安全与否就看一条分界线 。
边界内的一切事物被视为不具有威胁 , 基本拥有全部的访问权限 。
随着云计算、移动互联的发展 , 传统边界正在瓦解 , 基于边界的防护正在失效 。 
拥有“白名单”权限的访问者 , 恰有可能是最危险的 。
而“零信任”这一概念 , 正如它的字面意思 , 以“不相信任何人”为原则 。
其关键能力可概括为:以身份为基石、业务安全访问、持续信任评估和动态访问控制 。
不同的访问者可访问的资源 , 取决于自身的权限级别 。 
每一次被授权前都需重新验证 , 更灵活地建立了防护边界 。
腾讯研发落地的“腾讯ioA”零信任安全管理系统 , 以身份安全可信、设备安全可信、应用进程可信、链路保护等功能 , 对终端访问过程进行持续的权限控制和安全保护 。


推荐阅读


上一篇:泉州一女恶心腹痛,一查胃里竟变成这样!这种病接吻也会传染

下一篇:天文航天|联想发布小新熊猫打印一体机:内置丰富真题试卷 鸡娃必备