2
| 本文作者: 李勤 | 2016-09-29 11:37 |
爸,我昨天嫖娼被抓了,現(xiàn)在派出所,他們要塞錢才能放我出來,這是那個人的賬號****,開戶行是**,派出所不讓打電話,不然會挨揍,不要告訴我媽。
你可能沒有兒子,但你可能收到過這樣的信息,對,這樣肯定騙不到機智的你,我們來看下一條。
爸,我昨天嫖娼被抓了,現(xiàn)在派出所,賈伯伯雖然在外地,但他幫我找了人,他現(xiàn)在急著飛國外,他們要塞錢才能放我出來,這是那個人的賬號****,開戶行是**,派出所不讓打電話,不然會挨揍,不要告訴我媽,你也知道她有心臟病,一個星期前才住了院。
如果騙子操作細致,通過各路信息渠道知道老王有個兒子在外地上學,他的妻子一個星期前因為心臟病住院,他有個朋友姓賈,電話暫時聯(lián)系不上。那么,老王有可能上當受騙。
電信詐騙似乎無處不在,徐玉玉遭遇電信詐騙的事件絕對不是孤例。在等車的間隙,吃火鍋燙菜的時候,或者網(wǎng)購時,你都可能會收到一條詐騙短信,內(nèi)容各異,目的相同。
如果要為這些那些精準的電信詐騙、網(wǎng)絡詐騙等各類詐騙找一個共同的兇手,想必你絕對不會反對這一個——信息泄露。
阿里巴巴集團安全副總裁杜躍進在2016中國國際大數(shù)據(jù)大會上干脆下了一個定論——信息泄露來自什么地方?來自今天的大數(shù)據(jù)環(huán)境,不一定是在擁有大量數(shù)據(jù)的地方,而是到處都在漏數(shù)據(jù)。
不要以為這是聳人聽聞。幾天前,雅虎才承認5億賬戶遭竊,2億賬戶信息暗網(wǎng)黑市叫賣,比雅虎泄露更嚴重的是,超85萬臺思科設備仍受“零日漏洞”影響,這意味著攻擊者可直接從設備內(nèi)存中盜取數(shù)據(jù)。
直觀的是,各類電信詐騙、網(wǎng)絡詐騙等帶來錢財損失,有時甚至是生命的代價,還有一類損失看不見,卻感受得到。但是之前,一直有一種聲音——被騙是因為你蠢。
作為安全行業(yè)的資深從業(yè)者,杜躍進要給大家辟個謠:
非常重要的數(shù)據(jù)的泄露,導致非常精準的詐騙,老百姓沒有辦法應對這些騙局。大家不要覺得被詐騙的人自己不聰明,我在阿里巴巴客服部門專門聽反詐騙的東西,發(fā)現(xiàn)對很多人而言,被詐騙之后,最大的打擊來自心理,很多高級知識分子被騙后,打擊更大。而類似徐玉玉的群體,他們收入很低,打擊更大一些。
因此,數(shù)據(jù)安全迫在眉睫。
但是,一個需要強調(diào)的問題又來了,數(shù)據(jù)安全涉及到兩個層面:數(shù)據(jù)存放系統(tǒng)的安全和流動數(shù)據(jù)本身的安全。
何謂數(shù)據(jù)流動的安全?
舉個栗子。
老王在某通信運營商辦理了一項需要詳細身份信息的業(yè)務,剛好通信運營商自己在做數(shù)據(jù)統(tǒng)計和用戶分析,這項研究他們和A機構(gòu)一起開展,不久后他們又將這批數(shù)據(jù)作為資源和B銀行一起合作。不過,B銀行也不是單獨開展業(yè)務,它還有C和D兩個合作商……
在運營商及A、B、C、D還有數(shù)不清的潛在字母合作者手里,至關重要的數(shù)據(jù)在流動。有一天,老王接到一個來電,通知辦理的某項業(yè)務有問題,需要他去外地某個機構(gòu)實地辦理,或者登錄某個網(wǎng)址、打某個看似客服電話的電話咨詢。在這個極有可能是電信詐騙的案例里,老王納悶了,哪個環(huán)節(jié),哪一家把信息給賣了?
杜躍進充分感受到了這一點。
數(shù)據(jù)安全是“以數(shù)據(jù)為中心的安全”,而當今以數(shù)據(jù)為中心的安全和過去非常不同。現(xiàn)在的數(shù)據(jù)是融在業(yè)務里的,數(shù)據(jù)在流動的過程中要保證它的安全。可是數(shù)據(jù)在哪里產(chǎn)生、存儲、丟失?都和過去不一樣,這涉及到數(shù)據(jù)是不是能防止被外面竊取,甚至包括自己的業(yè)務生態(tài)圈——你自己之外的數(shù)據(jù)流轉(zhuǎn)時,安全能否得到保證?
“采集數(shù)據(jù)是罪惡之源,數(shù)據(jù)采集了后應該被遺忘,實際上我不認同這樣的觀點。”
實際上大數(shù)據(jù)也是解決安全問題的關鍵。利用大數(shù)據(jù)和網(wǎng)絡空間的壞人對抗時,速度是特別關鍵的點,這個“速度”來自快速的大數(shù)據(jù)分析。我們正在進入數(shù)據(jù)時代,未來各種業(yè)務也都離不開大數(shù)據(jù)的應用。但是,在這種情況下,當你是一家和數(shù)據(jù)有關的公司或者部門,你會面臨兩個問題。
杜躍進對雷鋒網(wǎng)強調(diào):
第一個問題,下一個徐玉玉案出現(xiàn)時,你是不是數(shù)據(jù)泄露的地方,為此你需要擔責?
第二個問題,當你想要和別人合作的時候需要數(shù)據(jù),有10個競爭者,數(shù)據(jù)在你的手里比在別人手里更安全嗎?
他介紹,電商生態(tài)圈有很多獨立軟件供應商,他們會處理實施交易數(shù)據(jù),但是以前這些獨立軟件供應商的安全問題比較多,大量數(shù)據(jù)被黑產(chǎn)直接偷走。用戶剛下一個訂單,詳細的數(shù)據(jù)就出來了,這樣就可以詐騙了。
我們跟這樣的合作商合作,也很惱火,客戶如果受到損失,就會來找我們,客戶也會因為這樣的事情失去信心,更加不愿意使用各種網(wǎng)絡應用,這會讓整個行業(yè)失去信心。
來看一個讓人驚訝的對比數(shù)據(jù)。
在中國大陸,數(shù)據(jù)黑產(chǎn)一年的產(chǎn)值在1000億人民幣左右,網(wǎng)絡安全產(chǎn)業(yè)卻只有300億人民幣的規(guī)模。
那么,數(shù)據(jù)是怎么被偷走的?
一種是拖庫,一個網(wǎng)站出現(xiàn)了漏洞,攻擊者利用漏洞獲取網(wǎng)站數(shù)據(jù)庫內(nèi)保存的各類數(shù)據(jù),這些數(shù)據(jù)可能包括在這個網(wǎng)站注冊過的用戶的賬號、密碼、電子郵箱、訂單等敏感信息。
還有一種,被擁有數(shù)據(jù)的公司或者部門員工偷偷販賣。
你手里不是有新數(shù)據(jù)嗎?隨便找一個員工,你給我一點數(shù)據(jù),我給你錢,一條十塊、五十塊怎么樣?在有些案例里,一個基層政府部門的員工賣了幾千萬數(shù)據(jù),他可以掙到很多的錢。
杜躍進提了很多問題。
數(shù)據(jù)在你手里,這種濫用行為你能發(fā)現(xiàn)嗎?
你的員工不合規(guī)使用了權限,比如,他的女朋友找他查一查某個人的數(shù)據(jù),他給查了,你能發(fā)現(xiàn)嗎?
如果你不能發(fā)現(xiàn),你怎么樣解決濫用問題?
如果你解決不了濫用問題,你怎么得到信任?怎么防止被販賣?
就算販賣被抓住,你連一個線索都找不到,證明不了你的內(nèi)部販賣數(shù)據(jù)。有沒有人來審核他在做這個過程當中侵犯到隱私?
杜躍進借此機會,推銷了一把“數(shù)據(jù)安全成熟度模型”,他強調(diào):也不算廣告,因為也不拿它賣錢。
既然不“賣錢”,我們來看一下。
據(jù)杜躍進介紹,這個模型是基于自身的數(shù)據(jù)安全實踐,借鑒國際上成熟的度量模型,聚焦組織在數(shù)據(jù)上的安全管理能力,圍繞數(shù)據(jù)從生產(chǎn)、存儲、使用、傳輸、共享到銷毀的全生命周期,覆蓋組織結(jié)構(gòu)、制度流程、技術能力、人員能力四個能力維度,共計14個安全域,50個安全管理過程。
不過這個模型還有待完善,因為杜躍進說:
我不敢說現(xiàn)在一定可以,因為我們自己也在不斷的打磨和完善它,與此同時,我們現(xiàn)在盡量選擇和更多的企業(yè)和部門合作,讓他們嘗試這些東西,目的是讓這個模型能夠適應各種不同類型的企業(yè)或部門,看一看管不管用?從而摸索出不僅阿里巴巴能夠使用,其他企業(yè)或部門也能使用的最佳實踐。
杜躍進還對雷鋒網(wǎng)宅客頻道透露,阿里巴巴推出的這個模型已經(jīng)在國際標準、國家標準和行業(yè)標準立項,正在制訂細節(jié)的過程中。
威瑞森《2016數(shù)據(jù)泄露報告》在2015年調(diào)查的大量數(shù)據(jù)泄露事件中表示,人的因素是其中最弱的一環(huán)。網(wǎng)絡罪犯在依靠諸如網(wǎng)絡釣魚之類熟悉的攻擊模式的同時,一直持續(xù)利用著人類的本性弱點。在2016年的報告中,公司終端用戶的各種小失誤,占據(jù)了安全事件根源榜首位置。這些多種多樣的用戶失誤包括不恰當?shù)墓拘畔G棄、IT系統(tǒng)的錯誤配置,以及遺失和被盜的筆記本、智能手機等公司資產(chǎn)。
看來,無論是有意的販賣,還是無意的泄露,保證數(shù)據(jù)安全,對抗精準詐騙都任重道遠。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
