近年来,个人信息被泄漏、隐私安全遭威胁、“数据黑市”已经成为越来越猖獗的存在。从身份证、邮箱到银行卡信息等,每个人都不得不承认自己的个人信息数据正在以并不昂贵的价格反复倒卖。
随着各类泄露事件的不断曝光,大众开始担忧起来:在各种数据泛滥的时代,互联网还有安全可言吗?
现实很残酷,网络安全形势并不美好
网络上的个人信息并不能得到安全的保障,很大一部分原因,在于个人不良的上网习惯。在不同网站使用同名账户和密码,随意在平台上填写个人信息,都会给不法分子创造窃取信息的机会。
比如,近期国内发生了多起用户苹果ID账号被盗、锁定、以及远程抹掉并遭遇锁机以此来恶意敲诈的情况,而被盗的用户多数使用的是QQ邮箱。
事实上,苹果ID被盗,首先是因为注册用的QQ邮箱被盗。不法分子通过钓鱼等手段盗取QQ邮箱密码仿冒合法用户,之后才能将苹果ID锁定,并进行一系列勒索敲诈等犯罪活动。
而这种程度的个人信息泄露只不过是漏洞黑市的冰山一角。危害更大的状况,则是公司数据库被黑导致的信息外泄。
2016年一月,凯悦连锁酒店超过50% 遭安全入侵;四月土耳其出现重大数据泄露事件,5000w公民信息被泄露;5月俄国黑客盗取2.73亿邮箱信息以1美元价钱贩卖;9月,雅虎被曝出隐瞒了5亿账户信息被窃事件……2016年还没到头,大规模信息泄露事件便已不一而足。
眼观国内,网络安全事故发生的频率也在不断上升。比如今年3月,开源的加密工具OpenSSL被爆出新的安全漏洞“水牢”,允许黑客攻击网站,并读取密码、信用卡账号等加密信息,我国有十万余家网站受到影响。
而除了信息泄露,其他种类的安全事故也并不少见。今年5月,携程网由于员工错误操作导致长达十几个小时的宕机,大量用户无法访问网站的事件。刚刚过去的9月份,阿里云安全产品云盾“安骑士”升级触发bug,将所有新启动的可执行文件都当成恶意文件进行隔离,也造成了较大范围的影响。
由此可见,在互联网安全领域,即使大企业也不一定做得有多好。究其根源,网络安全并不是一个简单的漏洞问题,系统的网络安全问题,往往是背后综合性原因导致的。
互联网企业网络安全状况堪忧,背后隐藏多重原因
近两年,互联网创业极端狂热,不少公司都将精力花在能够直接带来公司业务增长的层面,长期忽视底层技术的加固。同时,网络安全领域的尖端人才高度缺乏,各方面因素导致企业增长速度和技术投入程度完全不成正比。互联网安全问题时有发生,可以归结出一些共因:
- 安全意识问题。如上文所说,目前国内不少互联网运营公司缺乏网络安全意识,不重视对用户信息的安全保护。这也造成了整个公司员工的安全意识缺失,比如密码强度,离开电脑及时锁屏等习惯,和被钓鱼社工等。
- 软件开发人员的视觉盲区。在过去,对开发工程师的要求仅仅停留在代码质量的层面,开发人员对信息安全的理解其实是比较浅薄的。在开发过程中,很可能因为没有考虑到位或者引用了存在问题的开源项目,导致代码有先天性漏洞。
- 系统运维人员和测试等技术盲区。无法第一时间发现被攻击,不能及时发现漏洞,修补漏洞,造成后天性漏洞。
- 黑客、同行攻击、敲诈勒索现象严重,会消耗公司的技术资源和增加技术成本,导致有些公司对其运营的互联网服务平台没有能力或不愿意投入巨额来部署高级的风险控制或主动防御体系。
互联网的特征之一即为开放,过去从来没有像今天这样,不同的行业在互联网的框架下紧密关联。加上现代科技的日新月异,各种形式的攻击层出不穷,想要杜绝安全问题是过于理想化了,任何一个系统都存在百密一疏的风险。
比如这次的苹果账号被锁事件,虽然是发生在用户身上的个人事件,但苹果公司在用户ID发生被盗之后并没能及时预警,在很大程度上就是被自己开发的“远程锁定”功能坑了。
安全事件防不胜防,在互联网世界欣欣向荣的背后,网络安全状况比大多数人想得都要糟糕。互联网领域的所有参与者都面临着不安全的风险,企业能做的只能是用高度的预警意识来对抗这种不安全性,而这种防范又必须是动态的、持续的。
互联网企业安全需求增长,安全行业往纵深方向发展
正是由于互联网安全的不确定性以及网络安全问题频发等原因,当下很多企业开始有了整体的网络安全意识,将网络安全提升到战略性的位置进行考量。
有需求就有市场。面对越来越多企业安全需求跟不上业务发展的现状,第三方安全行业开始呈现出新业态。过去合规需求导向的产品已经跟不上节奏,如何提供真正满足企业客户安全需求的服务,成了当下安全公司分析的重点。
从测试到防护以及预警响应,企业所需要的安全服务千差万别,服务导向型的模式迫使安全公司深入到企业需求环节中的某一环。大而全的牛皮很难再吹得起来,信息安全行业正变得越来越务实,越来越细分。
各个安全细分领域小而美的公司开始显现优势,有人评价:赢家通吃变得越来越难了,单一产品解决某个单一需求已经大势所趋。
过去,传统的安全公司集中在卖硬件,防火墙WAF,带安全的路由交换机等方面,而随着安全服务的细分发展趋势,比如渗透,扫描,应急响应,运维等都可做成服务。
( 综合来看,目前安全行业方向图中几大分类,涵盖了网络安全领域各个环节。而技术型人才是所有细分服务的基础,人才培养能否更上行业发展需要,又是另一个复杂的话题。)
针对新环境下的安全问题,比如个人隐私泄漏,移动安全,黑产,大数据,云计算,工业控制,物联网,APT攻击等新场景,不少细分领域的公司已初现创新的产品模式,例如网络安全态势感知、网络攻击可视化等。当然,这也仅仅只是初级阶段,全技术和产品模式需具备更新升级能力。
网络安全经历了早期的防御阶段,后续必然将向智能感知和快速响应更高级的层面发展。现在不对称的黑客攻防未来或许会发生一些改变,比如大数据会不断地学习攻击方的知识,计算能力会让这种学习成本越来越低。
安全行业发展仍存在诸多局限
虽然安全行业越来越受重视,也在往更加专业化的方向发展,但由于科技的发展,新的业务领域在不断出现,这导致在快速进军新业务领域的时候,现有的技术和产品模式并不能适应业务创新的趋势。网络安全行业还存在很多局限,距离成熟还有很长一段路要走。
首先,最大的短板在于缺少实战性网络空间安全人才 。
安全行业应该有很高的技术门槛,在互联网安全行业的生态圈里,技术人才是生态最重要的底层建筑。不仅仅是安全领域从业者,未来对开发工程师的要求也会越来越高,越来越多的企业在面试开发工程师的时候就会把代码安全作为重要的考量标准。
其次,网络安全如何从B转C,商业模式还在探索中。
随着云计算的普及,私有云和大数据等技术会进入每个人的日常生活当中。此时私有云之间的信息泄露和安全问题很可能成为其是否能大范围流行的关键。
同时,大数据分析的流行也会涉及个人隐私暴露的问题。届时,C端一定会爆发出网络安全方面的需求,比如一些反隐私泄露的课题,未来必然会在C端出现新的商业模式。
再次,国家层面对安全公司实质性的政策利好不够多。
虽然政府层面已经在不断推进安全方面的法规建设,但还是都停留在一些原则性的规范层面,并没有涉及太多实质性的政策利好。
除此之外,面临的问题还有很多。举例如:
- 大量安全企业还是依靠政府买单,并没有真正的市场经济
- 因为安全问题的敏感性,大型公司还是宁愿自己筹备安全队伍,自己研发解决方案,而不是依赖安全公司
- 国家对于网络安全工程师等职业资格认证等不到位
- 全民对网络安全意识还不够,没有像交通法律等普及
总地来看,虽然巨头纷纷布局企业安全,新兴初创企业也跃跃欲试,但网络安全能力依然较差,如何攻克目前存在的制约条件,需要从政府到企业各个层面的相互配合。
技术的发展和需求的细化必然引来越来越多的参与者。虽然目前存在诸多局限,但行业正在变得更务实,更落地,这至少说明一切都在慢慢变好。(本文首发钛媒体)
更多新闻资讯,关注钛媒体微信号:钛媒体(ID:taimeiti)
根据《网络安全法》实名制要求,请绑定手机号后发表评论