2016年是網(wǎng)絡(luò)安全形勢(shì)極為嚴(yán)峻的一年,一系列規(guī)模巨大、影響深遠(yuǎn)的數(shù)據(jù)泄露事件頻發(fā),不僅造成了巨大的經(jīng)濟(jì)損失,更引發(fā)了全球?qū)€(gè)人信息安全、企業(yè)責(zé)任乃至國(guó)家安全的深度憂慮。在數(shù)字化浪潮席卷一切的今天,盤(pán)點(diǎn)這些事件,反思其根源,并探討未來(lái)網(wǎng)絡(luò)安全技術(shù)與研發(fā)的方向,顯得尤為緊迫。
一、 2016年十大典型數(shù)據(jù)泄露事件回顧
- 雅虎(Yahoo)兩次巨量泄露:2016年9月,雅虎披露2014年的一次攻擊導(dǎo)致至少5億用戶賬戶信息被盜。同年12月,又曝出另一起發(fā)生于2013年的攻擊,涉及超過(guò)10億賬戶。這不僅是當(dāng)年,也是迄今為止已知最大的單一數(shù)據(jù)泄露事件,嚴(yán)重動(dòng)搖了用戶對(duì)老牌互聯(lián)網(wǎng)巨頭的信任。
- FriendFinder Networks:成人交友及娛樂(lè)網(wǎng)站母公司遭遇入侵,超過(guò)4.12億個(gè)賬戶的敏感信息被泄露,暴露了高度隱私數(shù)據(jù)的脆弱性。
- 菲律賓選舉委員會(huì)(COMELEC):超過(guò)5500萬(wàn)菲律賓選民的個(gè)人信息數(shù)據(jù)庫(kù)被公開(kāi)下載,被稱(chēng)為“史上最大的政府?dāng)?shù)據(jù)泄露事件之一”,對(duì)國(guó)家政治安全構(gòu)成直接威脅。
- Myspace:這個(gè)昔日的社交網(wǎng)絡(luò)鼻祖披露,2013年的一次舊漏洞導(dǎo)致超過(guò)4.27億條用戶數(shù)據(jù)(包括部分密碼)在暗網(wǎng)被出售。
- 領(lǐng)英(LinkedIn):雖然攻擊發(fā)生在2012年,但直到2016年,超過(guò)1.67億條用戶登錄憑證才在暗網(wǎng)被公開(kāi)售賣(mài),凸顯了數(shù)據(jù)泄露影響的長(zhǎng)期性和滯后性。
- Dropbox:同樣源于2012年的攻擊,約6870萬(wàn)用戶憑證在2016年被證實(shí)泄露,再次敲響了對(duì)云端存儲(chǔ)安全的警鐘。
- Dyn遭受DDoS攻擊:雖然不完全是數(shù)據(jù)泄露,但2016年10月,美國(guó)主要DNS服務(wù)商Dyn遭受大規(guī)模分布式拒絕服務(wù)攻擊,導(dǎo)致包括Twitter、Netflix、亞馬遜在內(nèi)的大量主流網(wǎng)站癱瘓。此次攻擊由被Mirai僵尸網(wǎng)絡(luò)感染的物聯(lián)網(wǎng)設(shè)備發(fā)起,預(yù)示了新型攻擊載體的危險(xiǎn)性。
- 美國(guó)民主黨全國(guó)委員會(huì)(DNC)郵件泄露:黑客組織入侵并公開(kāi)了大量?jī)?nèi)部郵件,嚴(yán)重影響了美國(guó)大選進(jìn)程,使“網(wǎng)絡(luò)攻擊干預(yù)政治”從理論變?yōu)楝F(xiàn)實(shí),上升至地緣戰(zhàn)略層面。
- SWIFT銀行間網(wǎng)絡(luò)攻擊:針對(duì)孟加拉國(guó)央行等金融機(jī)構(gòu)通過(guò)SWIFT系統(tǒng)發(fā)起的攻擊,成功竊取數(shù)千萬(wàn)美元。這表明關(guān)鍵金融基礎(chǔ)設(shè)施已成為高級(jí)持續(xù)性威脅(APT)的重點(diǎn)目標(biāo)。
- 多家醫(yī)院遭遇勒索軟件:全球多家醫(yī)療機(jī)構(gòu)系統(tǒng)被勒索軟件加密,患者數(shù)據(jù)無(wú)法訪問(wèn),直接威脅到生命安全,顯示了網(wǎng)絡(luò)攻擊對(duì)實(shí)體社會(huì)的毀滅性影響。
二、 共性反思:安全漏洞何在?
縱觀這些事件,根源錯(cuò)綜復(fù)雜:
- 舊系統(tǒng)與漏洞的“長(zhǎng)尾效應(yīng)”:許多泄露源于多年前未修補(bǔ)的漏洞或已過(guò)時(shí)、缺乏維護(hù)的系統(tǒng)(如雅虎、Myspace)。
- 數(shù)據(jù)價(jià)值與保護(hù)投入失衡:企業(yè)過(guò)度收集和存儲(chǔ)用戶數(shù)據(jù),但在安全防護(hù)上投入不足或存在僥幸心理。
- 內(nèi)部威脅與人為失誤:弱密碼、釣魚(yú)攻擊、權(quán)限管理不當(dāng)?shù)取叭说囊蛩亍比允侵匾黄瓶凇?/li>
- 供應(yīng)鏈與第三方風(fēng)險(xiǎn):通過(guò)攻擊供應(yīng)鏈中較弱的環(huán)節(jié)(如Dyn攻擊影響下游無(wú)數(shù)網(wǎng)站)成為新趨勢(shì)。
- 技術(shù)擴(kuò)散帶來(lái)的攻擊面擴(kuò)大:物聯(lián)網(wǎng)設(shè)備安全性的普遍薄弱,為發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊提供了“武器庫(kù)”(如Mirai僵尸網(wǎng)絡(luò))。
三、 網(wǎng)絡(luò)安全何去何從?——技術(shù)研發(fā)的五大關(guān)鍵方向
面對(duì)日益嚴(yán)峻的挑戰(zhàn),被動(dòng)的修補(bǔ)已不足夠,必須在網(wǎng)絡(luò)技術(shù)研發(fā)的源頭上融入安全思維,并向主動(dòng)、智能、協(xié)同的方向演進(jìn)。
- 向“零信任”架構(gòu)演進(jìn):摒棄傳統(tǒng)的“邊界防護(hù)”思想,默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外的任何主體,對(duì)每一次訪問(wèn)請(qǐng)求都進(jìn)行嚴(yán)格的身份驗(yàn)證、授權(quán)和加密。這需要研發(fā)更細(xì)粒度的身份與訪問(wèn)管理技術(shù)、微隔離技術(shù)等。
- 人工智能與機(jī)器學(xué)習(xí)的深度應(yīng)用:利用AI/ML技術(shù)進(jìn)行異常行為檢測(cè)、威脅情報(bào)自動(dòng)分析與關(guān)聯(lián)、攻擊模式預(yù)測(cè)以及自動(dòng)化響應(yīng)。研發(fā)能夠應(yīng)對(duì)AI自身被攻擊(如對(duì)抗樣本攻擊)的魯棒性安全AI同樣重要。
- 強(qiáng)化數(shù)據(jù)安全技術(shù):聚焦于數(shù)據(jù)本身的安全,無(wú)論其處于何處。這包括:同態(tài)加密、安全多方計(jì)算等隱私計(jì)算技術(shù),使數(shù)據(jù)在加密狀態(tài)下也能被處理;更先進(jìn)的數(shù)據(jù)庫(kù)加密、脫敏與令牌化技術(shù);以及數(shù)據(jù)流轉(zhuǎn)的全生命周期追蹤與審計(jì)技術(shù)。
- 云原生與供應(yīng)鏈安全:隨著云原生和DevOps的普及,需研發(fā)內(nèi)生于開(kāi)發(fā)流程的“安全左移”工具,如代碼成分分析、容器安全、基礎(chǔ)設(shè)施即代碼的安全掃描。建立軟件物料清單標(biāo)準(zhǔn),實(shí)現(xiàn)對(duì)整個(gè)軟件供應(yīng)鏈的可視化與風(fēng)險(xiǎn)管控。
- 量子安全密碼學(xué)的提前布局:雖然量子計(jì)算機(jī)對(duì)現(xiàn)有公鑰密碼體系的威脅尚未成為現(xiàn)實(shí),但研發(fā)并逐步部署能夠抵御量子計(jì)算攻擊的后量子密碼算法,已是關(guān)乎未來(lái)十年乃至數(shù)十年安全的基礎(chǔ)性、戰(zhàn)略性任務(wù)。
2016年的數(shù)據(jù)泄露風(fēng)暴是一記沉重的警鐘。它告訴我們,網(wǎng)絡(luò)安全已不再是單純的技術(shù)問(wèn)題,而是涉及管理、法規(guī)、倫理和戰(zhàn)略的復(fù)雜系統(tǒng)工程。未來(lái)的網(wǎng)絡(luò)技術(shù)研發(fā),必須將“安全”作為核心屬性而非附加功能,從設(shè)計(jì)之初就貫徹“安全-by-design”原則。需要全球各方——政府、企業(yè)、技術(shù)社區(qū)和用戶——加強(qiáng)協(xié)作,共同構(gòu)建一個(gè)更具韌性、可信的數(shù)字世界。技術(shù)永遠(yuǎn)在攻防中前進(jìn),而我們的警覺(jué)與智慧,是駕馭它的關(guān)鍵。
