您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给余快
发送

0

零信任,为「白名单威胁」而生

本文作者: 余快 2021-05-29 15:38
导语:信息泄露,并不只存在于每年的315,也不该只在315受到全民关注。

零信任,为「白名单威胁」而生

今年的315晚会,宛如“隐私专场”,人脸识别滥用、简历流入黑市。

整个三月,或谩骂或不忿或担忧。

当舆论热潮消退,隐私问题也暂时从聚光灯下退场。

隐私等信息安全,却无时无刻不在敲打着安全界的神经。

如果你手动搜索,会看到全球互联网巨头中,经历过大规模数据泄露事件的不在少数。

信息泄露,并不只存在于每年的315,也不该只在315受到全民关注。

内忧外患

为何数据泄露事件成灾,网络安全防护难道手无缚鸡之力?

回答这个问题之前,需先弄明白,数据安全,不仅存在于人脸、简历等隐私数据,还在于视频监控、邮件等等方面。

而当下隐私信息安全的处境,并不乐观。

内忧层见叠出。

首先是产品本身安全不足。

据数据显示,2019年的物联网安全事件中,主要可归为三类:漏洞和弱口令、准入控制乏力、应用监管不足。

其中,有一半是漏洞和弱密码造成的。

漏洞和弱密码的风险在于极其容易被控制,继而设备被利用,造成信息泄露,或引发DDOS等攻击。

这也意味着,安防产品自身的可靠性是系统安全的根基。如果自身的安全性得不到保障,只是通过外部来防护,难以做到完全的安全。

宇视安全&网络解决方案总工王连朝告诉AI掘金志,造成产品本身安全不足的原因主要有两个。

一是组织管理的不足,在设计之初就未考虑安全设计,漏洞发现、修复和响应机制等等被忽略,由此事后很难修复。

二是技术防范手段不足,存在弱口令,预留后门,或者软件开发本身不规范,缺失认证机制、数据明文传输等。

据部分智能摄像头企业的安全监测结果,不少厂商产品在软件设置上不强制用户修改初始密码,甚至可不设密码。

其次,内部另一风险来自应用监管不足,视频被内部人员泄露。

早在2016年6月,智联招聘的经营者北京网聘咨询有限公司就向公安机关报案,称其内部员工利用公司漏洞,以低价出售了几十万条平台上的求职者简历。

据悉,被315点名的万店掌透露,其平台目前拥有的人脸数据量已经上亿。

若内部管理不足,这些数据,可轻易通过盗取录像、抓图导出、截屏、录屏、外发等各种方式泄密。

外患层出不穷。

在攻击手段上,利用伪造网站、虚假邮件等诱骗手法的网络钓鱼行为愈演愈烈。

“被钓者”的登录凭据被窃取后,攻击者可假其身份发送邮件进行汇款授权等操作。

2014年至2016年间,“CEO欺诈”这一钓鱼式攻击已影响了12,000家公司,并造成20亿美元的损失。

从系统层面看,其整个流程都面临着威胁。

感知层的感知设备有可能被劫持;传输层会受到“私接”网络、DDoS等攻击;

管理层(平台服务层)可能会遭遇非法入侵,数据被窃;应用层则可能会受到黑客对PC机或应用设备的攻击。

着眼各层面防护和预警,迫在眉睫。

「零信任」最小权限原则

传统的防护思维,判断安全与否就看一条分界线。

边界内的一切事物被视为不具有威胁,基本拥有全部的访问权限。

随着云计算、移动互联的发展,传统边界正在瓦解,基于边界的防护正在失效。

拥有“白名单”权限的访问者,恰有可能是最危险的。

而“零信任”这一概念,正如它的字面意思,以“不相信任何人”为原则。

其关键能力可概括为:以身份为基石、业务安全访问、持续信任评估和动态访问控制。

不同的访问者可访问的资源,取决于自身的权限级别。

每一次被授权前都需重新验证,更灵活地建立了防护边界。

腾讯研发落地的“腾讯ioA”零信任安全管理系统,以身份安全可信、设备安全可信、应用进程可信、链路保护等功能,对终端访问过程进行持续的权限控制和安全保护。

除了腾讯自身,腾讯ioA在金融、医疗、交通等多个行业领域都实现了应用。

内网办公、远程办公、云上办公等不同场景的风险得到控制,员工实现了“无论何时、何地、使用何设备都可安全访问授权资源以处理何种业务”的新型办公方式。

不将鸡蛋放在同一个篮子里,是投资者的降低风险之策;信息安全的防护,也不可在一次授权后就高枕无忧。

零信任作为新一代网络安全理念,将“有边”变为“无边”,将授权防护落实在每一次动态访问上,让“白名单威胁”无缝可钻。

态势感知:零信任的得力助手

就零信任领域中的持续信任评估而言,需要访问者提供多个身份验证方法。

这也就是说,在态势感知方面对访问进行持续分析,有助于零信任的访问管理。

在新型IT环境下,网络攻击的形态演变不断。

企业若是没有及时发现未知威胁,就无法定位攻击目标及源头,更无法对入侵途径和动机进行溯源。

目前,实现对威胁的准确检测,仍基于安全大数据的分析。

奇安信推出的威胁态势感知系统,基于自有的多维度大数据,自动挖掘与云端关联分析。

利用检索分析平台中的告警日志和流量日志,并与其他数据进行关联,帮助进一步分析。

若是提前洞悉到威胁,系统会推出威胁情报,对其进行描述。

同样,通过态势感知对攻击事件、攻击源和威胁告警进行分类统计和分析,华为云目前能检测出超二十大类的云上安全风险。

常见的DDoS攻击、Web攻击等威胁也囊括其中。

如今,为实现安全运营等闭环管理,态势感知已达到一定程度的普及。

化被动为主动,为零信任架构提供了必需的安全保障。

小结

 为应对信息泄露等危机,不仅有各企制定出解决方案与预防手段,政府也在立法层面不断加强管制。

自2019年实施起的等保2.0,对保护对象分级监管,并新增了云计算、移动互联、物联网和工控四大安全拓展要求,以及集中管控、入侵防范、恶意代码防范和安全审计等网络和通信安全类项目。

去年,国内发布的《信息安全技术个人信息安全规范》,对收集个人生物识别信息的告知和存储要求也作出了明确规定。

但信息安全与威胁将长期共存,消除眼下的危机,不代表可一劳永逸。

企业仍需不断提升自身防御能力,建立一套持续监测、持续改进优化的机制,才是可持续发展之计。雷锋网雷锋网雷锋网

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说